[doc. web n. 10142331]

Parere sullo schema aggiornato delle Linee Guida sull’infrastruttura tecnologica della Piattaforma Digitale Nazionale Dati per l’interoperabilità dei sistemi informativi e delle basi di dati, che deve essere adottato dall’Agenzia per l’Italia digitale - 21 maggio 2025

Registro dei provvedimenti
n. 283 del 21 maggio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO l’art. 50-ter del d.lgs. 7 marzo 2005, n. 82 (di seguito, CAD), ai sensi del quale, in particolare:

“1. La Presidenza del Consiglio dei ministri promuove la progettazione, lo sviluppo e la realizzazione di una Piattaforma Digitale Nazionale Dati (PDND) finalizzata a favorire la conoscenza e l'utilizzo del patrimonio informativo detenuto, per finalità istituzionali, dai soggetti di cui all'articolo 2, comma 2, nonché la condivisione dei dati tra i soggetti che hanno diritto ad accedervi ai fini dell'attuazione dell'articolo 50 e della semplificazione degli adempimenti amministrativi dei cittadini e delle imprese, in conformità alla disciplina vigente.

2. La Piattaforma Digitale Nazionale Dati è gestita dalla Presidenza del Consiglio dei ministri ed è costituita da un'infrastruttura tecnologica che rende possibile l'interoperabilità dei sistemi informativi e delle basi di dati delle pubbliche amministrazioni e dei gestori di servizi pubblici per le finalità di cui al comma 1, mediante l'accreditamento, l'identificazione e la gestione dei livelli di autorizzazione dei soggetti abilitati ad operare sulla stessa, nonché la raccolta e conservazione delle informazioni relative agli accessi e alle transazioni effettuate suo tramite. La condivisione di dati e informazioni avviene attraverso la messa a disposizione e l'utilizzo, da parte dei soggetti accreditati, di interfacce di programmazione delle applicazioni (API). Le interfacce, sviluppate dai soggetti abilitati con il supporto della Presidenza del Consiglio dei ministri e in conformità alle Linee guida AgID in materia interoperabilità, sono raccolte nel "catalogo API" reso disponibile dalla Piattaforma ai soggetti accreditati. I soggetti di cui all'articolo 2, comma 2, sono tenuti ad accreditarsi alla piattaforma, a sviluppare le interfacce e a rendere disponibili le proprie basi dati senza nuovi o maggiori oneri per la finanza pubblica. In fase di prima applicazione, la Piattaforma assicura prioritariamente l'interoperabilità con le basi di dati di interesse nazionale di cui all'articolo 60, comma 3-bis e con le banche dati dell'Agenzie delle entrate individuate dal Direttore della stessa Agenzia. L'AgID, sentito il Garante per la protezione dei dati personali e acquisito il parere della Conferenza unificata, di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, adotta linee guida con cui definisce gli standard tecnologici e criteri di sicurezza, di accessibilità, di disponibilità e di interoperabilità per la gestione della piattaforma nonché il processo di accreditamento e di fruizione del catalogo API con i limiti e le condizioni di accesso volti ad assicurare il corretto trattamento dei dati personali ai sensi della normativa vigente. […]

3. Nella Piattaforma Digitale Nazionale Dati non sono conservati, né comunque trattati, oltre quanto strettamente necessario per le finalità di cui al comma 1, i dati, che possono essere resi disponibili, attinenti a ordine e sicurezza pubblica, difesa e sicurezza nazionale, difesa civile e soccorso pubblico, indagini preliminari, polizia giudiziaria e polizia economico-finanziaria. Non possono comunque essere conferiti, conservati, né trattati i dati coperti da segreto o riservati nell'ambito delle materie indicate al periodo precedente. […]

6. L'accesso ai dati attraverso la Piattaforma Digitale Nazionale Dati non modifica la disciplina relativa alla titolarità del trattamento, ferme restando le specifiche responsabilità ai sensi dell'articolo 28 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 in capo al soggetto gestore della Piattaforma nonché le responsabilità dei soggetti accreditati che trattano i dati in qualità di titolari autonomi del trattamento.

7. Resta fermo che i soggetti di cui all'articolo 2, comma 2, possono continuare a utilizzare anche i sistemi di interoperabilità già attivi […]”;

VISTO l’art. 8, commi 2 e 3, del d.l. 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla l. 11 febbraio 2019, n. 12, ai sensi del quale la Presidenza del Consiglio dei Ministri si avvale, per la progettazione, lo sviluppo, la gestione e l'implementazione della piattaforma di cui all'art. 50-ter del CAD, di PagoPA S.p.A. (di seguito, Gestore);

VISTE le Linee Guida sull’infrastruttura tecnologica della Piattaforma Digitale Nazionale Dati per l’interoperabilità dei sistemi informativi e delle basi di dati (di seguito, linee guida PDND), adottate dall’Agenzia per l’Italia digitale (di seguito AgID) con determinazione del Direttore n. 627/2021, ai sensi dell’art. 50-ter, comma 2, del CAD, su cui il Garante ha espresso parere favorevole con provv. n. 433 del 16 dicembre 2021 (disponibile sul sito istituzionale www.garanteprivacy.it, doc. web n. 9732758);

VISTA la richiesta di parere pervenuta in data 6 novembre 2024, come integrata e modificata in data 31 gennaio e 18 aprile 2025, con la quale l’AgID ha sottoposto all’Autorità uno schema aggiornato di linee guida PDND, comprensivo di sette allegati e della valutazione d’impatto sulla protezione dei dati svolta dal Gestore, ai fini dell’acquisizione del parere ai sensi degli artt. 50-ter, comma 2, e 71 del CAD;

RILEVATO che tale schema concerne l’infrastruttura tecnologica per l’interoperabilità dei sistemi informativi e delle basi di dati (di seguito, Infrastruttura interoperabilità PDND), al fine di “favorire la conoscenza e l’utilizzo del patrimonio informativo detenuto per finalità istituzionali dai soggetti di cui all’articolo 2, comma 2 del CAD [(pubbliche amministrazioni, gestori di servizi pubblici e società a controllo pubblico)] nonché la condivisione dei dati/informazioni tra i soggetti che hanno diritto di accedervi ai fini dell’attuazione dell’articolo 50 del CAD e della semplificazione degli adempimenti dei cittadini e delle imprese, in conformità alla normativa vigente” (par. 1);

RILEVATO che l’Infrastruttura interoperabilità PDND è già operativa in relazione alle funzionalità previste dalle linee guida PDND del 2021 e che l’aggiornamento delle stesse, oltre a chiarire taluni profili di funzionamento, introduce nuove funzionalità volte a meglio perseguire le finalità previste dall’art. 50-ter del CAD, tra cui, in particolare:

- l’apertura alla possibilità che anche soggetti privati, “nello svolgimento di attività connesse al perseguimento di finalità di interesse pubblico, [abbiano] l’esigenza di condividere i propri dati con i soggetti fruitori […], alle condizioni fissate dall’ordinamento” (par. 3.1.1);

- l’introduzione della figura del “Delegato” quale “pubblica amministrazione […] Aderente all’Infrastruttura interoperabilità PDND, che è delegata da un’altra pubblica amministrazione Aderente a utilizzare per suo conto le funzionalità dell’infrastruttura medesima per: la registrazione e la modifica degli e-service sul Catalogo API, ivi compresa l’accettazione delle richieste di fruizione per gli stessi (Delegato dell’Erogatore); [ovvero,] la compilazione e la sottoposizione delle richieste di fruizione degli e-service di interesse, ivi compresa la compilazione delle analisi del rischio (Delegato del Fruitore)” (par. 4.9);

- in aggiunta all’“Erogazione Ordinaria”, intesa quale “flusso descritto per l’accesso ad un e-service che consente ad un Fruitore di accedere ai dati/informazioni di cui l’Erogatore è titolare” (par. 4.14, già prevista dalle linee guida PDND del 2021), l’introduzione dell’“Erogazione Inversa”, intesa quale “flusso descritto per l’accesso ad un e-service che consente ad un Erogatore la ricezione di dati/informazioni di cui un Fruitore è titolare” (par. 4.13); in caso di Erogazione Inversa, è all’Erogatore che spetta “effettuare, sotto la propria esclusiva responsabilità e tramite gli strumenti messi a disposizione dall’Infrastruttura interoperabilità PDND, l’analisi del rischio sulla protezione dei dati personali per ogni specifica finalità per cui dichiara di essere titolato a ricevere i dati da parte di un Fruitore”, nonché “indicare ai Fruitori il riferimento ai documenti informatici (ad esempio numero di protocollo, numero di registrazione, ecc. dell'atto amministrativo che determina la richiesta di accesso ai dati) che possano provare la liceità dello specifico trattamento dei dati personali effettuato in occasione di ogni singolo utilizzo degli e-service. In occasione di ogni singolo utilizzo degli e-service l’Erogatore DEVE comunicare il suddetto riferimento sotto la propria responsabilità a valle della ricezione dei dati da parte del Fruitore”; rimane confermato che “La raccolta e la memorizzazione di tali riferimenti, considerato che gli scambi dati in ogni circostanza sono realizzati direttamente tra Erogatore e Fruitore, non avviene sulla Infrastruttura interoperabilità PDND” (cap. 8). Conseguentemente, anche l’analisi del rischio sulla protezione dei dati personali viene configurata compatibilmente con la funzionalità di “Erogazione Inversa”, prevedendo, in questo caso, che “il Fruitore [selezioni] l’analisi del rischio correlata alla specifica finalità per cui intende trasmettere i dati, fra quelle disponibili” (cap. 10; cfr. altresì le ulteriori conseguenti modifiche in merito alle responsabilità di Erogatore e Fruitore riportate al cap. 11);

- l’introduzione delle funzionalità di “Richiesta Massiva” e di richiesta in “Modalità Asincrona” (parr. 4.22 e 4.23; in relazione a quest’ultima, cfr. cap. 17);

- l’introduzione della funzionalità di distribuzione del “Segnale di Variazione”, tramite la quale “un Aderente Produttore comunica agli Aderenti Consumatori, per il tramite della Piattaforma interoperabilità PDND, l’avvenuta variazione di stati e/o fatti conosciuti all’interno del dominio di dati/informazioni di cui lo stesso è titolare”, che prevede, a questo fine, a seguito dell’applicazione di funzioni di hashing, la trasmissione di “identificatori pseudonimizzati” (parr. 4.24-4.29). In particolare, è previsto che “l’Infrastruttura interoperabilità PDND [distribuisca] gli eventi generati, i Segnali di Variazione, da un Aderente produttore per un suo e-service attivo solo ed esclusivamente agli Aderenti consumatori che hanno almeno una finalità attiva per tale e-service. I Segnali di Variazione non trasportano né il contenuto effettivo della variazione né l’identificatore del soggetto cui questa si riferisce, poiché quest’ultimo è sostituito da un identificatore pseudonimizzato. Le informazioni aggiuntive per risolvere la pseudonimizzazione sono nella sola conoscenza del Produttore e da questa trasferita ai soli Consumatori che hanno un procedimento in essere per uno specifico soggetto. […] Tenuto conto della necessità di garantire che i Segnali di Variazione per un dato soggetto siano interpretabili solo dai Consumatori con un procedimento in essere sullo stesso e dato il carattere temporale tipicamente limitato di un procedimento, i Produttori devono periodicamente modificare almeno uno dei parametri con cui attuano la pseudonimizzazione” (cap. 16). “Con riferimento ai trattamenti effettuati ai fini della distribuzione dei Segnali di Variazione, il Gestore assume il ruolo di responsabile del trattamento del Produttore” (par. 18.1);

- la possibilità che il Gestore, “per agevolare la compilazione dell’analisi del rischio, [renda] disponibili sull’Infrastruttura interoperabilità PDND modelli precompilati per determinate finalità, pur rimanendo estraneo alla loro redazione [e consentendo] in ogni caso la modifica dei campi precompilati [senza essere] responsabile per le informazioni e dati contenuti nei modelli precompilati” (cap. 10);

RILEVATO, inoltre, che lo schema prevede che il Gestore predisponga una valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 del Regolamento, “anche alla luce del paragrafo 10 della medesima disposizione, che indichi anche le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonché a tutela dei diritti e delle libertà degli interessati, con riferimento ai trattamenti effettuati nell’ambito dell’Infrastruttura interoperabilità PDND” (par. 18.3);

VISTA, da ultimo, la nota del 9 maggio 2025, con la quale l’AgID ha precisato che “le richieste massive di cui al paragrafo 4.22 delle Linee guida in oggetto sono attivabili unicamente mediante la modalità asincrona di scambio di dati e/o informazioni di cui al paragrafo 4.23 e al relativo Allegato 5”, e che, al fine di darne immediata evidenza, “si valuta di inserire nel testo un’esplicitazione in tal senso nella definizione riportata al paragrafo 4.22”;

CONSIDERATO che lo schema di linee guida in esame tiene conto delle indicazioni fornite dall’Ufficio nel corso delle interlocuzioni informali intercorse con rappresentanti dell’AgID e del Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri, al fine di rendere conformi alla normativa in materia di protezione dei dati personali, in ossequio ai principi di privacy by design e privacy by default (art. 25 del Regolamento), i trattamenti ivi disciplinati, che hanno riguardato, in particolare:

- la definizione di Delegato nonché quella di Erogatore e, nello specifico, delle finalità per le quali ai soggetti privati è consentito di operare in tale ultima veste per il tramite dell’Infrastruttura interoperabilità PDND, nel rispetto dei principi di liceità, correttezza e trasparenza e di limitazione della finalità (art. 5, par. 1, lett. a) e b), del Regolamento);

- l’individuazione del Gestore quale responsabile del trattamento del Produttore, ai sensi dell’art. 28 del Regolamento, con riferimento ai trattamenti effettuati ai fini della distribuzione dei Segnali di Variazione; ciò fermo restando che, con riferimento alle funzionalità di Erogazione (sia Ordinaria che Inversa), il Gestore non riveste alcun ruolo nel trattamento dei dati personali, considerato che la fruizione degli e-service non determina, sull’Infrastruttura interoperabilità PDND, alcun trattamento dei dati personali oggetto della trasmissione da Erogatore a Fruitore, restando ogni Aderente autonomo titolare del trattamento dei dati personali che rende disponibili o di cui fruisce nell’interazione con altro Aderente per mezzo dell’Infrastruttura interoperabilità PDND;

- la previsione dell’obbligo per l’Erogatore di indicare la numerosità massima di entità dati e informazioni fornite in risposta a una richiesta di un Fruitore, con riferimento alla modalità di scambio asincrono con callback, nel rispetto del principio di minimizzazione dei dati (art. 5, par. 1, lett. c), del Regolamento); ciò anche tenendo conto della prospettata integrazione al riguardo (cfr. la citata nota del 9 maggio 2025);

- la precisazione degli obblighi di sicurezza posti in capo agli Aderenti, al fine di fornire alcuni chiarimenti in merito alla prevenzione, rilevazione e gestione di accessi non autorizzati alle banche dati dell’Erogatore, esplicitando che “qualora la fruizione di un e-service comporti un trattamento di dati personali, l’Erogatore è tenuto a configurare gli e-service adottando misure tecniche e organizzative nel rispetto dei principi di liceità, correttezza e sicurezza del trattamento, adeguate alle caratteristiche degli stessi (ad esempio, se del caso, il tracciamento delle operazioni svolte dai singoli operatori del Fruitore e l’attivazione di meccanismi di alerting). In particolare, l’Erogatore è tenuto a vigilare sugli accessi alle proprie banche dati, anche con attività di monitoraggio costante delle chiamate ricevute dal Fruitore e controlli a campione sulla validità delle analisi del rischio compilate, a cui il Fruitore è tenuto a collaborare. Il Fruitore è tenuto a rispettare i Requisiti di Fruizione, tra cui quelli riferibili alle misure tecniche e organizzative individuate dall’Erogatore (ad esempio, l’esecuzione di specifici controlli e il riscontro tempestivo a eventuali segnalazioni di anomalia pervenute dall’Erogatore). Una volta acquisiti i dati per il tramite dell’Infrastruttura interoperabilità PDND, il Fruitore, in qualità di titolare del trattamento, è responsabile dell’adozione di misure tecniche e organizzative adeguate affinché il trattamento di tali dati avvenga nel rispetto dei principi di liceità, correttezza e sicurezza, e in conformità alle finalità dichiarate” (cap. 10);

RITENUTO che, alla luce di quanto sopra illustrato, non vi sono osservazioni da formulare sullo schema di linee guida in esame, anche tenendo conto dei predetti chiarimenti introdotti nel testo, volti a precisare che l'utilizzo dell’Infrastruttura interoperabilità PDND non muta gli obblighi che il Regolamento e il Codice pongono in capo ai soggetti a vario titolo coinvolti nel trattamento circa le misure da adottare al fine di assicurare il rispetto dei principi di liceità e di integrità e riservatezza, nonché degli obblighi di sicurezza (art. 5, par. 1, lett. a) e f), e art. 32 del Regolamento), in relazione, in particolare, agli accessi alle banche dati;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale reggente ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema aggiornato delle Linee Guida sull’infrastruttura tecnologica della Piattaforma Digitale Nazionale Dati per l’interoperabilità dei sistemi informativi e delle basi di dati, che deve essere adottato dall’Agenzia per l’Italia digitale ai sensi degli artt. 50-ter, comma 2, e 71 del d.lgs. 7 marzo 2005, n. 82.

Catanzaro, 21 maggio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza 

IL SEGRETARIO GENERALE REGGENTE
Filippi