Garante privacy: ok alla linee guida Agid per l’accesso telematico ai servizi della PA

L’Agenzia per l’Italia digitale (di seguito AgID) aveva trasmesso al Garante per la protezione dei dati personali una nota contenente lo schema di “Linee guida per l’accesso telematico ai servizi della Pubblica Amministrazione”, ai sensi dell’art. 64-bis del d.lgs. 82/2005 (CAD), in virtù del quale le pubbliche amministrazioni sono tenute a rendere fruibili i propri servizi in rete conformemente al disposto dell’art. 71 del medesimo, tramite un punto di accesso telematico attivato presso la Presidenza del Consiglio dei ministri.

In virtù di questa previsione, la Presidenza del Consiglio dei ministri, ai fini della completa realizzazione di questo punto di accesso telematico, si era avvalsa di PagoPA S.p.a., la quale agisce sulla base delle indicazioni contenute nella direttiva del Presidente del Consiglio dei ministri a tal fine.

Attraverso le Linee Guida, sui cui è stato richiesto il parere del Garante privacy, sono state definite le modalità di realizzazione e di funzionamento del punto di accesso telematico che, costituito dall’insieme dei sistemi sviluppati e gestiti dal gestore PagoPA, è formato da varie componenti, ossia: un front-end, inclusivo dell’App IO e di un’applicazione web, al quale l’utente accede tramite SPID o CIE; un back-end che gestisce l’interconnessione tra front-end e back-office; infine, un back-office, ossia un portale indirizzato ai soggetti erogatori tramite il quale gli stessi possono accedere e utilizzare i servizi predisposti ai fini dell’interazione con gli utenti finali del servizio stesso, ossia i cittadini.

Lo schema, che è stato sottoposto al controllo del Garante, ha ad oggetto la procedura che i soggetti erogatori del servizio devono seguire per poter aderire al punto di accesso telematico, attraverso la sottoscrizione di una documentazione contrattuale adeguatamente predisposta dal Gestore (ossia, PagoPA).

Le garanzie predisposte in materia di protezione di dati personali

Nel capitolo 7 dello schema di Linee Guida vengono affrontati gli aspetti inerenti alla protezione dei dati personali trattati all’interno del punto di accesso telematico.

Precisamente, lo schema stabilisce quanto segue:

“Il Gestore è titolare dei trattamenti necessari a:
a) la progettazione, lo sviluppo, la gestione e l’implementazione del punto di accesso telematico, ivi incluse le attività volte a permettere l’interoperabilità con le piattaforme abilitanti, nonché quelle di assistenza, debugging e diagnostica, monitoraggio del funzionamento, miglioramento ed evoluzione dello stesso;

b) la realizzazione delle funzionalità e/o dei servizi resi direttamente dal Gestore su richiesta dell’utente finale, ivi incluse le attività finalizzate alla gestione in modo agevole e dinamico della propria relazione con i Soggetti erogatori per i servizi erogati;

c) lo svolgimento di altre attività che gli sono attribuite ai sensi di legge per l’esecuzione di compiti di interesse pubblico;

i Soggetti erogatori agiscono come titolari in relazione ai trattamenti effettuati nell’ambito dei Servizi in rete resi disponibili tramite il punto di accesso telematico (tranne quando, in qualità di Soggetti aggregatori, sono responsabili del trattamento per conto di altre amministrazioni) e il Gestore agisce in qualità di responsabile del trattamento (o, se del caso, di sub- responsabile del trattamento) per conto degli stessi, sulla base di un accordo ai sensi dell’art. 28 del Regolamento”.

Lo schema prevede inoltre che i Soggetti erogatori di quei servizi predisposti tramite il punto di accesso telematico agiscono in qualità di titolari del trattamento dei dati personali degli utenti fruitori di tali servizi: dunque, tali soggetti dovranno stabilire le modalità e il trattamento dei dati personali.

Lo schema prevede invece che PagoPA, in qualità di Gestore del punto di accesso, relativamente al trattamento dei dati personali degli utenti, agisca come responsabile del trattamento: ciò significa che PagoPa tratta i dati solo per conto del titolare del trattamento e i suoi obblighi devono essere adeguatamente previsti all’interno di un contratto o di altro atto giuridico (nel caso oggetto della nostra attenzione, è stato predisposto un accordo ex art. 28 del GDPR).

Lo schema prevede, inoltre, che tutte le operazioni di cui sopra, vengono attuate assicurando il rispetto dei principi in materia di trattamento dei dati personali previsti all’art. 5 del GDPR (ossia liceità, correttezza, trasparenza, minimizzazione dei dati, garanzia di integrità e riservatezza e, infine, esattezza e aggiornamento dei dati) e  che per i dati ex artt. 9 e 10 GDPR, ossia le categorie particolari di dati personali (ad esempio i dati relativi alla salute) e i dati personali relativi a condanne penali e reati, vengano adottate specifiche misure di trattamento al fine di tutelare adeguatamente i diritti fondamentali e le libertà del soggetto interessato al trattamento.

Infine, all’interno dello schema di Linee guida è previsto che i dati che vengono raccolti per il tramite del punto di accesso telematico devono essere conservati all’interno del territorio dell’Unione europea. Se così non sarà, il Gestore dovrà comunicare ai responsabili ubicati nei Paesi terzi le misure da adottare idonee a non identificare il soggetto interessato del trattamento.

Le valutazioni e la decisione del Garante

Preliminarmente il Garante ha accertato che lo schema sottoposto al suo controllo ha tenuto conto delle indicazioni fornite a seguito delle numerose interlocuzioni intercorse con i rappresentanti di AgID e di PagoPA, al fine di stabilire i punti fondamentali del funzionamento del punto di accesso telematico in materia di trattamento dei dai personali degli utenti di tale servizio.

In conclusione, il Garante ha statuito che lo schema di Linee guida tiene conto di quanto previsto sia dall’art. 6, parr.1, lett. e), e 3 del GDPR sia dall’art. 2-ter del Codice privacy, in virtù dei quali il trattamento è lecito se necessario per l’esecuzione di un interesse pubblico (art. 6, par.1, lett. e)) e se la base giuridica che legittima il trattamento è prevista dalla normativa europea o dalla normativa dello stato cui è soggetto il titolare del trattamento (art. 6 par. 3).

In considerazione di ciò, il Garante ha espresso parere favorevole allo schema di Linee risultando conformi alle disposizioni dettate in materia di protezione dei dai personali.

>> Leggi il Parere del Garante privacy

Consigliamo l’Ebook:

I rischi nel trattamento dei dati – e-Book in pdf

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici. 

Michele Iaselli | 2021 Maggioli Editore

9.90 €  8.42 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento