L'approfondimento

DPO di gruppo sì, ma a certe condizioni: la governance aziendale come chiave di volta

Il Regolamento Ue prevede che un gruppo imprenditoriale con più sedi possa designare un unico responsabile della protezione dei dati personali. Che si tratti di una persona o di una società ad hoc, il DPO di gruppo deve avere requisiti in grado di garantire un’alta capacità di coordinamento tra i vari dipartimenti e le sedi (anche estere)

15 Apr 2019
M
Nicole Monte

Avvocato e Privacy Specialist – LT42

Sulla figura, le competenze e le responsabilità del Data Protection Officer (DPO), introdotta dall’art. 37 del GDPR, molto si è scritto finora. Poco però ci si è soffermati sui requisiti necessari affinché il DPO possa svolgere correttamente i suoi compiti quando designato non da una singola azienda ma da un gruppo imprenditoriale.

Affrontiamo qui il tema delle qualità professionali e delle conoscenze specialistiche necessarie al professionista (o società) chiamato a svolgere la funzione di DPO di gruppo e delle difficoltà connesse allo svolgimento delle funzioni nell’ambito di realtà organizzative di medie e grandi dimensioni anche con sedi dislocate in due differenti Stati dell’Unione o extra-UE.

La figura del DPO

L’art. 37 del Regolamento (UE) 2016/679 ha introdotto la nuova figura del DPO. Il dibattito a livello nazionale ed Europeo si è più volte soffermato sul ruolo e sulle conseguenti responsabilità di questo soggetto, che viene designato dal titolare del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Come noto, le funzioni di questa figura sono due. Da un lato, il DPO coopera con l’Autorità e per questa ragione la nomina da parte di una società deve essere comunicata al Garante. La figura del DPO è delineata dalla normativa in modo tale che questi rappresenti di fatto il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

Dall’altro lato, anche in ragione del proprio ruolo di punto di contatto per Autorità ed interessati, il DPO rappresenta un raccordo in materia di privacy all’interno dell’organizzazione aziendale, garantendo che il trattamento dei dati venga svolto secondo i dettami della normativa europea. Infatti, è previsto espressamente dal Regolamento (UE) 2016/679 che il responsabile della protezione dei dati personali possa essere interno alla organizzazione aziendale e che possa dunque essere nominato un dipendente del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento).

Il DPO di gruppo

Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (definito all’art. 4, n. 19 come un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate) possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (o sede, n.d.r.) del gruppo. Inoltre, il DPO di gruppo dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le diverse autorità di controllo.

Le Linee-guida del WP29 WP243 rev. 01 (versione aggiornata del 5 aprile 2017) al paragrafo 2.2 specificano che il concetto di raggiungibilità si riferisce ai compiti del DPO in quanto punto di contatto per gli interessati, l’autorità di controllo e i soggetti interni all’organismo o all’ente, visto che uno dei compiti del DPO consiste nell’ “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento”. Allo scopo di assicurare la raggiungibilità del DPO, interno o esterno, è importante garantire la disponibilità dei dati di contatto nei termini previsti dal GDPR.

E ancora il WP29 ha chiarito che il DPO, se necessario con il supporto di un team di collaboratori, deve essere in grado di comunicare con gli interessati in modo efficiente e di collaborare con le autorità di controllo interessate. Ciò significa, fra l’altro, che le comunicazioni in questione devono avvenire nella lingua utilizzata dalle autorità di controllo e dagli interessati volta per volta in causa. Il fatto che il DPO sia raggiungibile – vuoi fisicamente all’interno dello stabile ove operano i dipendenti, vuoi attraverso una linea dedicata o altri mezzi idonei e sicuri di comunicazione – è fondamentale al fine di garantire all’interessato la possibilità di contattare il DPO stesso.

I requisiti necessari per il ruolo di DPO di gruppo

La scelta relativa alla designazione di un DPO di gruppo sembrerebbe puramente strategica e connessa alla organizzazione aziendale di gruppo, posto che la legge pone l’unica condizione del facilmente raggiungibile da ciascuno stabilimento. Nonostante l’unica indicazione normativa relativa alla “facilità di contatto”, non si deve pervenire ad interpretazioni semplicistiche. Leggendo le linee guida del WP29, vengono delineati una serie di requisiti necessari perché il DPO di gruppo possa adempiere correttamente al proprio ruolo e specificamente:

  • la raggiungibilità del DPO e la relativa disponibilità dei dati di contatto da riferirsi non soltanto alle diverse sedi/stabilimenti aziendali, ma a tre differenti soggetti:
  1. autorità;
  2. interessati;
  3. dipendenti dell’intero gruppo;
  • la presenza di strumenti di comunicazione/informativi efficaci. Ad esempio, la possibilità di utilizzare unicamente l’e-mail potrebbe non soddisfare totalmente il requisito imposto dalla norma, specialmente se ci si riferisce ad un gruppo internazionale con sede in diversi Paesi UE ed extra-UE (si pensi alle numerose case farmaceutiche aventi la sede principale nella Svizzera francese);
  • la creazione, ove le dimensioni lo richiedano, di un team di collaboratori del DPO, tutti aventi specifiche competenze e requisiti professionali.

Nel caso di una holding e di un gruppo internazionale è possibile che la società controllante e controllata abbiano sede in due differenti Stati dell’Unione od extra-UE, quindi sorge la prima e la più complessa criticità relativa alla duplicità del ruolo assegnato a questa nuova figura introdotta dal legislatore europeo.

Evidentemente da un lato una società controllata nella propria organizzazione aziendale risponde a logiche aziendali di gruppo, quindi potrebbe risultare più opportuno procedere alla designazione di un DPO di gruppo che sia quindi il medesimo per controllante e controllata, dall’altro lato si ha il secondo – ed importante – ruolo di punto di contatto con l’Autorità Garante con tutto ciò che ne consegue in termini di conoscenza e conoscibilità di provvedimenti, linee guida e raccomandazioni delle diverse Autorità di controllo europee, che al momento risultano tendenzialmente disomogenee.

Qualità professionali e conoscenze specifiche

Ai fini dell’individuazione della figura professionale in grado di svolgere il ruolo di DPO, la normativa generale del Regolamento richiede che tale figura sia in possesso di qualità professionali e di conoscenze specialistiche della normativa e delle prassi in materia di protezione dei dati (art. 37, par. 5), con un livello proporzionato alla complessità e quantità dei dati soggetti a trattamento. A tal proposito, è certamente preferibile che il professionista od il team di professionisti conoscano lo specifico settore di attività e la struttura organizzativa del titolare, oltre che essere in possesso di elevati standard deontologici, quali correttezza e integrità di condotta, oltre alla necessaria assenza di conflitti di interessi.

Considerando le competenze richieste, esistono evidenti difficoltà nel reperire figure professionali che abbiano una tale expertise a livello europeo anche perché le diverse autorità nazionali non sembrano riuscire a lavorare all’unisono (basti pensare all’assenza di un flusso informativo istituzionalizzato in caso di notifica di data breach).

È anche noto che il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali, nelle realtà organizzative di medie e grandi dimensioni, possa essere individuato in un soggetto esterno non necessariamente persona fisica ma anche persona giuridica, quindi la soluzione potrebbe essere rappresentata dalla nomina di un DPO che sia una società in grado di garantire i diversi adempimenti dettati dal regolamento attraverso un team di lavoro, anche di natura internazionale.

Come scegliere la figura di DPO adatta alle esigenze del gruppo

Ogni gruppo di imprese, internazionale o meno, può dunque decidere se avvalersi:

  • di un singolo DPO o di un DPO in team, un organo che in concreto potrebbe essere associabile all’Organismo di Vigilanza già previsto in materia di responsabilità amministrativa dell’ente – D.lgs. 231/01;
  • di una persona fisica o di una società di servizi;
  • di un soggetto interno o esterno all’impresa.

Ai fini di una scelta ottimale, è importante ricordare che, in base a quanto previsto dall’art. 38, il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni che riguardano la protezione dei dati personali e che gli siano fornite le risorse necessarie per lo svolgimento delle sue funzioni in maniera del tutto indipendente. L’eventuale coordinamento del DPO di gruppo con le sedi aziendali dislocate su più Paesi, deve essere specificamente studiato e messo a punto per essere adeguato e tempestivo, come richiesto dalla norma, specialmente nei flussi informativi tra le diverse componenti dell’organigramma aziendale e, in particolare, in relazione alle attività di informazione e consulenza ai titolari del trattamento dei dati personali ed ai dipendenti delle diverse società del Gruppo.

Si pensi ad esempio ad un dipendente di un’azienda che subisce un data breach e che, com’è normale, si rivolga al team IT in grado risolvere il problema, a questo punto entrano in gioco due elementi che sono entrambi sotto la supervisione del DPO: la formazione dei dipendenti in materia di privacy ed il coordinamento tra diversi team. Sia il dipendente che ha subito il breach, sia il suo collega dell’IT devono essere a conoscenza dalla policy aziendale da seguire e delle conseguenti comunicazioni da fornire, in modo tale che il DPO sia informato tempestivamente e il titolare possa adempiere correttamente alla notifica prevista dagli artt. 33 e 34 GDPR.

Come intuibile i grandi gruppi si sono dotati di uno specifico team di lavoro interno alla holding di gruppo con soggetti responsabili interni alle diverse società controllate con il compito di riportare direttamente al team-DPO della capo-gruppo. Hanno optato per questa struttura grandi gruppi nel settore dell’automotive, come FCA, ma anche in ambito sanitario come Humanitas. La scelta è strategicamente ottimale, ma richiede senza dubbio un notevole impiego di risorse.

Una opzione differente è quella di un team di lavoro esterno simile a quello dell’OdV previsto dal D.lgs. 231/2001, che ha il vantaggio di esternalizzare il costo e di essere subito operativo per tutte quelle realtà che dovessero procedere alla designazione.

Altre realtà, invece, hanno optato per esternalizzare gli adempimenti di legge con la nomina di un DPO italiano per la holding-controllante ed un DPO per le diverse sedi all’estero.

In conclusione, sembra potersi rilevare che uno dei criteri principali per la designazione di un DPO di gruppo debba riferirsi alla corretta gestione di flussi informativi presenti nella organizzazione aziendale già esistente, poiché la normativa e l’interpretazione della stessa pongono l’accento sulla capacità di coordinamento tra i diversi componenti (dipartimenti e sedi/stabilimenti) ed il DPO stesso, posto che questi, di fatto, rappresenta uno snodo cruciale in materia di privacy che deve essere progettata tenendo conto delle caratteristiche di ogni impresa e del gruppo di imprese, calibrando la scelta anche sulla base della governance di gruppo.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr