L'analisi

Piattaforma per le notifiche PA, via libera dal Garante privacy: ecco gli aspetti di sicurezza

Il Garante privacy ha dato parere favorevole allo schema di DPCM sulla piattaforma per le notifiche degli atti con valore legale della PA verso cittadini e professionisti: vediamo tutti gli aspetti legati alla data protection, per garantire la compliance al GDPR

11 Nov 2021
C
Marina Rita Carbone

Consulente privacy

Un passo in più verso la Piattaforma per le notifiche della PA a cittadini e imprese. Il 14 ottobre 2021 il Garante Privacy ha reso il proprio parere favorevole sullo schema del Dpcm relativo alla Piattaforma per la notificazione degli atti della pubblica amministrazione.

Trattasi di un sistema sviluppato al fine di rendere maggiormente efficienti ed economiche le comunicazioni aventi valore legale, che consentirà di garantire la riservatezza dei documenti inviati mediante il sistema medesimo, a tutela degli interessi dei soggetti coinvolti, incluso quello alla privacy.

I rilievi del Garante

A seguito delle interlocuzioni svolte con il Garante, sono state individuate una serie di misure e di accorgimento volti a garantire la piena conformità con il GDPR e il Codice per la protezione dei dati personali. In primo luogo, si prevede che il mittente debba precisare al Gestore (PagoPa) se l’atto oggetto di notifica sia inerente all’attività imprenditoriale o professionale eventualmente svolta dal destinatario, così da evitare che “comunicazioni avente carattere personale possano essere recapitate al domicilio digitale professionale, spesso accessibile anche ai collaboratori d’ufficio, nel rispetto del principio di limitazione della finalità del trattamento”.

WHITEPAPER
I documenti aziendali che condividi durante le video riunioni online sono davvero al sicuro?
Amministrazione/Finanza/Controllo
CIO

Al fine di garantire il pieno controllo all’interessato degli accessi effettuati alla Piattaforma, si prevede, oltre al periodico invio di un promemoria che ricorda quali deleghe sono attive, la possibilità, per il destinatario, di monitorare in ogni tempo gli accessi operati per suo conto alla Piattaforma. Infatti, rileva il Garante, “il ricorso al meccanismo della delega, pur nella sua indubbia utilità, introduce maggiori rischi per la riservatezza delle informazioni, suscettibili, in particolare, di accessi non autorizzati da parte di terzi. Ciò, soprattutto, in caso di deleghe attribuite a organizzazioni complesse (a cui l’interessato può rivolgersi per il disbrigo di pratiche), dove potrebbero trovarsi a essere delegati un numero elevato di soggetti senza che il destinatario ne abbia contezza. Peraltro, tali organizzazioni potrebbero risultare delegate da numerosi soggetti, avendo così accesso, nel tempo, a una moltitudine di dati riferibili a un numero elevato di interessati”.

I sistemi della PA sono ancora un colabrodo: i nuovi dati

Il Gestore, obbligato a svolgere una valutazione d’impatto ex art. 35 GDPR, “dovrà individuare anche le misure tecniche e organizzative di dettaglio, non disciplinate nello schema in esame, necessarie a rendere il trattamento conforme alla normativa in materia di dati personali” e sottoporre la valutazione medesima alla consultazione preventiva del Garante Privacy.

Non solo:

  • Non si stabilisce un vincolo sul tipo di dato che può essere trattato, potendo essere oggetto del trattamento in esame anche dati appartenenti alle categorie c.d. particolari di cui all’art. 9 e 10 GDPR.
  • nel rispetto del principio di trasparenza l’avviso recapitato al destinatario deve recare anche il mittente.
  • I dati trattati per finalità di miglioramento dei servizi erogati e per lo sviluppo della Piattaforma e la valorizzazione del patrimonio aziendale potranno essere utilizzati esclusivamente in forma aggregata.

La piattaforma digitale PA: come funzionerà

Secondo quanto contenuto nella bozza di Dpcm sottoposta al vaglio del Garante e predisposta dal Ministro per l’innovazione tecnologica e la transizione digitale, le Pubbliche Amministrazioni saranno dotate di una piattaforma unica, gestita da PagoPa (gestore dei pagamenti digitali effettuati a favore delle pubbliche amministrazioni e dei gestori di pubblici servizi in Italia), per la notificazione telematica di atti, provvedimenti, avvisi e comunicazioni, anche in materia tributaria.

Il mittente, nello specifico:

  • carica il documento oggetto di notifica nella piattaforma;
  • identifica il destinatario specificandone: codice fiscale, domicilio digitale speciale (se eletto), domicilio fisico;
  • comunica i dati al Gestore.

Il Gestore attribuirà al documento un preciso codice IUN (identificativo univoco della notificazione) o comunica al mittente l’impossibilità di procedere, provvedendo all’immediata eliminazione dei documenti caricati. Ai destinatari viene poi inoltrato dal Gestore, un avviso di avvenuta ricezione, che comunica l’esistenza e l’identificativo univoco della notificazione (o “IUN”) e le modalità tramite cui accedere alla piattaforma per prendere visione ed estrarre copia del documento notificato. Gli indirizzi cui effettuare la notifica sono tre, nel seguente ordine di prevalenza:

  • presso il domicilio digitale di Piattaforma eletto dal destinatario (indirizzo PEC o altro);
  • presso il suo domicilio digitale speciale, qualora eletto;
  • presso il “domicilio digitale generale” (ossia l’indirizzo inserito in uno degli elenchi di cui all’INI-PEC, all’IPA o all’INAD).

Nel caso in cui la PEC o il servizio elettronico prescelto non abbia memoria disponibile, non sia più valido o non attivo, il Gestore, svolti due tentativi a vuoto, rende disponibile l’avviso di mancato recapito all’interno di un’area riservata specifica e notizia il destinatario dell’avvenuta notificazione a mezzo lettera raccomandata. Viceversa, nel caso in cui il destinatario non abbia una PEC o altro domicilio digitale prescelto, l’avviso di avvenuta ricezione viene direttamente notificato, senza ritardo, in formato cartaceo e in busta chiesa a mezzo raccomandata con avviso di ricevimento, direttamente dal Gestore. Trattasi di ipotesi che permettono di garantire il servizio anche a cittadini che non dispongono di una PEC, di una SPID o di una Carta di Identità Elettronica (come, ad esempio, i cittadini più anziani) e che, dunque, non possono accedere alla Piattaforma.

L’accesso alla Piattaforma, infatti, avviene soltanto “previa autenticazione a mezzo SPID, con livello di sicurezza almeno significativo, o CIE; qualora si tratti di persone giuridiche, accedono mediante SPID o CIE dei rispettivi legali rappresentanti (previa verifica di suddetta qualità da parte del Gestore), ovvero dei soggetti a ciò delegati. I destinatari possono eleggere uno o più domicili digitali di Piattaforma (diversificandoli in relazione ai vari mittenti) nonché indicare un recapito digitale dove ricevere gli avvisi di cortesia”. Ai destinatari degli atti sarà consentito l’accesso alla Piattaforma sia personalmente che tramite soggetti appositamente delegati a tal scopo, al fine di garantire “il reperimento, la consultazione e l’acquisizione dei documenti informatici oggetto di notificazione, assicurandone l’autenticità, l’integrità, l’immodificabilità. La leggibilità e la reperibilità)”. È possibile visualizzare, in particolare: “mittente, data e ora di messa a disposizione, atto notificato, storico del processo di notifica, che include atti opponibili a terzi e avvisi di mancato recapito, codice IUN”. I soggetti cui si dà la facoltà di accedere alla piattaforma sono, più nello specifico, “le persone fisiche, le persone giuridiche, gli enti, le associazioni e ogni altro soggetto pubblico o privato, ivi inclusi i soggetti di cui all’articolo 12, comma 3, del decreto legislativo 31 dicembre 1992, n. 546”.

I ruoli della Piattaforma per le notifiche

All’art. 14 della bozza di DPCM si stabiliscono i seguenti ruoli nel trattamento dei dati personali:

  • i mittenti sono titolari del trattamento dei dati utilizzati per l’invio al Gestore degli atti da notificare, nonché per la trasmissione e conservazione degli stessi;
  • il Gestore è titolare del trattamento dei dati necessari all’accesso alla Piattaforma a mezzo SPID o CIE da parte dei destinatari, dei dati necessari per l’adesione e l’accesso dei mittenti, e di ogni altro dato inerente alla gestione di ogni attività strumentale all’utilizzo della Piattaforma stessa, ivi inclusa l’acquisizione dei domicili digitali delle persone fisiche;
  • il Gestore è responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, quando agisce per conto dei mittenti in relazione agli ulteriori trattamenti necessari alla gestione del servizio di notificazione, di invio degli avvisi di cortesia e degli avvisi di pagamento tramite la Piattaforma;
  • l’addetto al recapito postale è titolare del trattamento per l’espletamento delle funzioni a lui affidate ai fini della fornitura del servizio di spedizione degli atti da notificare in modalità analogica;
  • il fornitore del servizio universale agisce come responsabile del trattamento per lo sviluppo della Piattaforma anche attraverso il riuso dell’infrastruttura tecnologica esistente.

Al Gestore si demanda lo svolgimento di una valutazione di impatto ex art. 35 GDPR, e la conservazione dei documenti oggetto delle attestazioni fino a dieci anni dalla data di perfezionamento della notifica per il destinatario (ai sensi di quanto disposto dal GDPR e dal D.lgs. n. 82/2005). Gli atti notificati sono disponibili sulla piattaforma per 120 giorni dal perfezionamento della notifica.

@RIPRODUZIONE RISERVATA