Il Garante per la protezione dei dati personali ha appena espresso parere favorevole sulle Linee Guida Agid (Agenzia Italia Digitale) che prevedono l’interconnessione e interoperabilità delle banche dati tra Pa e privati. Prosegue quindi il percorso di queste importanti linee guida: lo scopo da perseguire è quello di ottenere uno scambio di informazioni e comunicazioni tra banche dati di enti, Pa e settore privato in modo da facilitare l’accesso ai servizi on line da parte del cittadino in maniera più efficace e veloce.
Le Linee Guida Agid su interconnessione e interoperabilità delle banche dati tra Pa e privati
- Due i nuovi schemi: le “Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni” e le “Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici” di cui all’art. 73, comma 3-ter, lett. b), del CAD, su cui il Garante ha espresso parere favorevole.
- Le “Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni” individuano le tecnologie e gli standard che le Pubbliche Amministrazioni dovrebbero prendere in considerazione durante la realizzazione dei propri sistemi informatici; lo scopo è quello di porre in essere un coordinamento informativo e informatico dei dati tra le amministrazioni centrali, regionali e locali, e anche tra queste e i sistemi dell’Unione Europea.
Il secondo schema, invece, contenente le “Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici”, pone l’attenzione sulle tecnologie e le loro modalità di utilizzo al fine di garantire la sicurezza delle transazioni digitali realizzate tra e verso le pubbliche amministrazioni, in modo da rendere efficienti e sicuri i servizi delle stesse pubbliche amministrazioni. In particolare, tale passaggio sarà reso praticabile tramite le cosiddette API (Application programming interface), che consentono il dialogo tra i vari software utilizzati per la fornitura di servizi.
Il nuovo modello di interoperabilità rappresenta un asse portante e un obiettivo del Piano triennale per l’informatica nella PA 2020-2022. Come stabilito da quest’ultimo, infatti, l’Agenzia per l’Italia Digitale fornisce un catalogo delle API e dei servizi disponibili con una interfaccia di accesso unica, rende disponibili strumenti di cooperazione per agevolare la risoluzione di problematiche relative alle API e stabilisce i parametri di utilizzo delle stesse.
Lo scopo principale è da ravvisare nella certezza dello scambio di dati tra le PA e i soggetti privati. Difatti, i soggetti destinatari degli schemi di Linee guida sono i soggetti di cui all’art.2, comma 2, del CAD; in sostanza, pubbliche amministrazioni, gestori di servizi pubblici e società a controllo pubblico ma che, inevitabilmente, interagiscono con i privati che devono interoperare con le PA.
Le Linee Guida siffatte contribuiscono a definire, così, un modello di riferimento per consentire la comunicazione tra le banche dati e lo scambio di informazioni.
GDPR e CAD
Occorre, pertanto, sottolineare le opportune tutele dal punto di vista del trattamento dei dati personali previste nell’art. 71 del Codice dell’amministrazione digitale, in cui si dispone che AgID, in sede di stesura e adozione delle Linee Guida, debba obbligatoriamente acquisire un parere da parte del Garante per la protezione dei dati personal. A tal proposito, il Garante ha espresso parere favorevole poiché ha riconosciuto la sussistenza nelle emanande Linee Guida di un quadro di garanzie e di misure volte ad assicurare l’integrità e la riservatezza dei dati oggetto di comunicazione nelle interazioni tra i sistemi informatici coinvolti nel processo di interoperabilità, nonché a soddisfare esigenze di privacy by design e by default, in coerenza con gli obblighi stabiliti dal Regolamento europeo 679/2016 (ex artt. 5, par., 1, lett. f), 25 e 32) ovvero GDPR.
Resta fermo secondo il Garante il fatto che i flussi di dati personali, che saranno instaurati attraverso il modello di interoperabilità della PA, dovranno trovare un legittimo fondamento in una base giuridica idonea ai sensi della disciplina in materia di protezione dei dati personali e l’intero sistema dovrà essere corredato, nello specifico, delle adeguate garanzie a tutela dei diritti e delle libertà degli interessati.
Obblighi questi, peraltro, previsti anche dallo stesso CAD, all’art. 50, comma 2, laddove stabilisce che i dati trattati dalle pubbliche amministrazioni debbano essere resi accessibili e fruibili alle altre PA nel rispetto della normativa in materia di protezione dei dati personali e che il relativo trattamento del dato debba essere necessario allo svolgimento dei compiti istituzionali.
Lo scopo da perseguire della normativa, comprese le Linee Guida che ne costituiscono l’implementazione tecnica, è la trasformazione digitale della pubblica amministrazione, con banche dati interoperabili e accessibili in sicurezza anche a soggetti privati, proteggendo integrità e riservatezza di un numero considerevole di dati nella disponibilità delle diverse PA.
Nel porre l’attenzione sulla fruibilità dei dati, il CAD, all’art. 51, prevede che le amministrazioni titolari di banche dati accessibili per via telematica debbano mettere in atto soluzioni tecniche idonee a tutela dell’integrità, riservatezza, disponibilità e accessibilità del dato, nonché la continuità operativa dei sistemi e delle infrastrutture, secondo appunto le Linee guida adottate ai sensi dell’art. 71 del CAD.
Un aspetto da rimarcare è certamente, da una parte, la maggior accortezza che le PA dovranno porre nel rendere chiare e precise le responsabilità dei soggetti coinvolti e, dall’altra, l’individuazione della base giuridica che legittimerà il flusso di dati personali dei cittadini.
