g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Parere del Garante
  4. Parere sullo schema di regolamento di funzionamento dell’infrastruttura nazionale del Single digital gateway (SDG) - 7 dicembre 2023 [9974086]

Parere sullo schema di regolamento di funzionamento dell’infrastruttura nazionale del Single digital gateway (SDG) - 7 dicembre 2023 [9974086]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9974086]

Parere sullo schema di regolamento di funzionamento dell’infrastruttura nazionale del Single digital gateway (SDG) - 7 dicembre 2023

Registro dei provvedimenti
n. 579 del 7 dicembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTO il Regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio del 2 ottobre 2018 che istituisce uno sportello digitale unico per l’accesso a informazioni, procedure e servizi di assistenza e di risoluzione dei problemi e che modifica il Regolamento (UE) n. 1024/2012, e in particolare, l’art. 14, che prevede l’istituzione – da parte della Commissione europea, in cooperazione con gli Stati membri – del “Sistema tecnico per lo scambio transfrontaliero automatizzato di prove” tra le autorità competenti di diversi Stati membri (c.d. Single digital gateway – di seguito, SDG), con particolare riferimento alle procedure interamente in linea di cui all’art. 6 e all’allegato II del medesimo regolamento;

RILEVATO che, in base al menzionato art. 14 del Regolamento (UE) 2018/1724, il SDG, in ossequio al principio once-only: consente il trattamento delle richieste di prove (cioè ogni documento o dato richiesto nell’ambito delle procedure disciplinate dal predetto regolamento) su richiesta esplicita dell’utente; consente il trattamento delle richieste di scambio di prove o di accesso ad esse; consente la trasmissione delle prove tra autorità competenti; consente il trattamento delle prove da parte dell’autorità competente richiedente; garantisce la riservatezza e l’integrità delle prove; prevede la possibilità per l’utente di esaminare le prove che devono essere utilizzate dall’autorità richiedente competente e di scegliere se procedere o meno allo scambio delle prove; garantisce un adeguato livello di interoperabilità con altri sistemi pertinenti; garantisce un elevato livello di sicurezza per la trasmissione e il trattamento delle prove; non tratta le prove al di là di quanto necessario sul piano tecnico per lo scambio delle prove, e successivamente solo per la durata necessaria a tal fine;

VISTO il Regolamento di esecuzione (UE) 2022/1463 della Commissione del 5 agosto 2022 che definisce le specifiche tecniche e operative del sistema tecnico per lo scambio transfrontaliero automatizzato di prove e l’applicazione del principio «una tantum» a norma del regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio, che, in particolare, prevede che i richiedenti prove (cioè le autorità competenti responsabili di una o più delle procedure amministrative cui si rivolge l’utente) siano collegati a un nodo eIDAS per consentire l’autenticazione degli utenti e che i punti di accesso eDelivery siano installati, configurati e integrati nei portali per le procedure dei richiedenti prove, nei servizi dati dei fornitori di prove (cioè le autorità competenti che rilasciano legalmente prove strutturate o non strutturate) e nelle piattaforme di intermediazione;

RILEVATO che il predetto Regolamento di esecuzione (UE) 2022/1463, tra le altre cose, disciplina: le spiegazioni da fornire agli utenti; la selezione dei tipi di prova; l’autenticazione dell’utente (basata su mezzi di identificazione elettronica rilasciati nell’ambito di un regime di identificazione elettronica notificato a norma del Regolamento (UE) 910/2014 – c.d. autenticazione eiDAS – per cui si potrebbe rendere necessaria, in alcuni casi, la presentazione di eventuali attributi aggiuntivi: art. 11); la richiesta delle prove dal richiedente al fornitore di prove; il reindirizzamento dell’utente al fornitore di prove (o alla piattaforma di intermediazione) al fine di consentire a quest’ultimo di esaminare in anteprima le prove; la risposta del fornitore di prove; la richiesta del fornitore di prove (o della piattaforma di intermediazione) all’utente di identificarsi e autenticarsi nuovamente ai fini della determinazione della corrispondenza dell’identità e delle prove, anche fornendo attributi aggiuntivi, allo scopo di assicurare che le prove siano scambiate tramite il SDG soltanto se gli attributi di identità dell’utente scambiati, utilizzando i mezzi di identificazione elettronica e forniti dall’utente per facilitare l’identificazione da parte del fornitore di prove pertinente, corrispondono agli attributi detenuti da tali fornitori di prove o piattaforme di intermediazione (art. 16);

VISTA la nota inviata dall’Agenzia per l’Italia digitale (AgID) il 3 ottobre 2023, con cui è stato trasmesso all’Autorità, per l’acquisizione del parere, lo schema di regolamento di funzionamento dell’infrastruttura nazionale del SDG, unitamente all’analisi del rischio e al relativo parere rilasciato dal proprio Responsabile della protezione dei dati;

RILEVATO che lo schema di regolamento in esame “detta la base per la messa a punto e l’uso di un “sistema tecnico” (Once-Only Technical System) pienamente operativo, sicuro e protetto per lo scambio transfrontaliero e automatizzato di prove (Evidence) secondo il principio del Once-Only (“una tantum”) tra i soggetti coinvolti, ovvero tra i Portali della Pubblica Amministrazione, denominati Procedure Portal (PP) e le Pubbliche Amministrazioni che possiedono il dato, denominate Data Service (DS)” (par. 1.1), con “l’obiettivo di descrivere l’ipotesi di soluzione per le componenti italiane considerando le peculiarità del contesto italiano” (par. 1.2), prevedendo, in particolare, che:

- “Il network di cooperazione amministrativa è garantito dalla realizzazione per ogni Stato Membro di un gateway SDG, composto da componenti e strutture in grado di garantire l’interoperabilità semantica, che metterà in collegamento i Portali della Pubblica Amministrazione (PP) ed i diversi Soggetti Erogatori di prove (DS) con i vicendevoli presenti negli altri Stati Membri, attraverso gli eDelivery Access Point ed un gateway SDG centrale a livello EU” (par. 1.3);

- il SDG sia composto dalle seguenti componenti logiche: il “Catalogo dei servizi” (ove sono censiti e descritti i procedimenti amministrativi delle pubbliche amministrazioni coinvolte nel progetto SDG); la “Componente per l’eDelivery (Access Point)” (necessaria ad abilitare lo scambio di dati); l’“eID” (componente di autenticazione, basato sul Regolamento UE 2014/910), per l’accesso alle procedure in linea da parte di utenti transfrontalieri, in relazione al quale viene precisato che “gli attributi minimi obbligatori (dati dell’utente condivisi) ricevuti dal SP in fase di autenticazione mediante eIDAS, sono […] nome, cognome, data di nascita e identificativo univoco associato all’identità eIDAS”, mentre “L’identificativo univoco (costituito da: codice del paese identificatore/codice del paese destinatario della richiesta/combinazione alfa-numerica) permette di individuare il paese che ha rilasciato l’identità”); il “Preview Space” (che consente all’utente di visualizzare in anteprima le prove recuperate per mezzo del SDG prima di utilizzarle nel procedimento amministrativo di interesse); il “Backbone Servizi SDG” (insieme dei componenti necessari per garantire l’interoperabilità, la ricerca ed il recupero delle prove e dei dati) (par. 1.3);

- con riferimento all’“Infrastruttura nazionale SDG (Access Point, Catalogo dei servizi, Evidence Broker, Data Service Directory, Architecture Common Services, Preview Space)”, l’AgID assume il ruolo di “Attuatore di SDG Italia” (par. 2.1);

- le componenti applicative del SDG siano costituite da: “Catalogo dei Servizi”, “Evidence Broker”, “Data Service Directory”, “Architecture Common Services SDG IT”, “Access Point” e “Preview Space SDG IT” (par. 2.2);

- nel “confine logico indicato come “ITALIA”” rientrino: la “Piattaforma Digitale Nazionale Dati (PDND)” (l’infrastruttura nazionale che abilita l’interoperabilità dei sistemi informativi e delle banche dati degli Enti e dei gestori di servizi pubblici italiani); il “Procedure Portal IT” (che contiene, tra gli altri, i portali istituzionali delle pubbliche amministrazioni attraverso i quali gli utenti portano avanti i procedimenti amministrativi di interesse); il “Data Service IT” (che contiene, tra gli altri, i data service italiani che forniscono prove ed informazioni necessarie per l’espletamento dei procedimenti amministrativi) (par. 2.2);

- tramite la PDND, cui l’infrastruttura nazionale SDG ha aderito, le componenti nazionali SDG per l’Italia assumano il ruolo di erogatore dei servizi esposti ai Data service delle pubbliche amministrazioni italiane (che, a loro volta, assumono il ruolo di fruitore), per cui la PDND “non si interpone nelle comunicazioni machine-to-machine tra Fruitore ed Erogatore, ma si occupa di autenticare e autorizzare il Fruitore tramite distribuzione di un Authorization Token OAuth 2.0” (par. 2.3);

- con riferimento all’identificazione e autenticazione eiDAS – come disciplinata dal Regolamento (UE) 910/2014 e che consente l’autenticazione di un utente rispetto a servizi offerti in maniera transfrontaliera, in assenza di strumenti quali SPID, CIE o CNS che operano solamente sul piano nazionale – “Considerando che le Pubbliche Amministrazioni italiane nella quasi totalità dei casi utilizzano come chiave primaria di accesso ai propri servizi il Codice Fiscale dell’utente, si è ritenuto di utilizzare tale codice quale dato aggiuntivo rispetto a quelli acquisiti con l’autenticazione eIDAS, ove ritenuto necessario dalla PA competente di un determinato procedimento amministrativo”, a norma dell’art. 16 del Regolamento di esecuzione (UE) 2022/1463, per cui “è stato predisposto un servizio denominato “verifica CF” messo a disposizione dall’Agenzia delle Entrate ed esposto tramite API sulla Piattaforma Digitale Nazionale Dati (PDND), in coerenza con la strategia nazionale di interoperabilità. Nel fornire tale servizio, AdE si limita a verificare la sola corrispondenza dei dati dell’utente (in parte acquisiti dal nodo eIDAS, in parte dichiarati dall’utente stesso) con quelli censiti da AdE stessa sull’Anagrafe Tributaria al momento dell’interrogazione […]. L’identificazione degli utenti rimane a carico degli Identity Provider del Paese d’origine che colloquiano con il nodo eIDAS per consentire l’autenticazione degli utenti secondo il livello di garanzia dei mezzi di identificazione elettronica previsto dall’Erogatore della singola procedura richiesta” (par. 2.5);

- le pubbliche amministrazioni che gestiscono i portali ed i Data service adottino una serie di misure ivi indicate (parr. 3.1 e 3.2);

-“Le Pubbliche Amministrazioni aderenti al Single Digital Gateway in qualità di titolari di procedimenti amministrativi e/o responsabili dell’erogazione di prove, dovranno redigere un atto di nomina che designa AgID quale responsabile al trattamento dei dati utilizzando l’apposito template, fornito dalla Commissione Europea, [… il quale,] opportunamente compilato e firmato dalla PA dovrà essere inviato ad AgID che firmerà per accettazione” (par. 3.3);

RILEVATO che, dalla documentazione trasmessa, emerge che l’infrastruttura nazionale del SDG è stata progettata sulla base delle specifiche tecniche e operative stabilite nel Regolamento di esecuzione (UE) 2022/1463 e periodicamente approfondite e integrate mediante la documentazione concernente la progettazione tecnica, definita congiuntamente dalla Commissione e dagli Stati membri (compreso il suddetto template per la designazione dell’AgID quale responsabile del trattamento da parte delle amministrazioni aderenti al SDG), e che allo stato tali specifiche risultano ancora in progressiva definizione in vista della finalizzazione dell’architettura a livello europeo, risultando ancora in corso, in particolare, le interlocuzioni fra Commissione e Stati membri per una più dettagliata definizione delle tematiche di protezione dei dati personali;

CONSIDERATO che i trattamenti di dati personali effettuati nell'ambito del SDG sono dettagliatamente disciplinati dal Regolamento (UE) 2018/1724 e, per quanto concerne la definizione delle specifiche tecniche e operative, dal Regolamento di esecuzione (UE) 2022/1463 (in attuazione di tale ultimo Regolamento di esecuzione, cfr. il documento redatto congiuntamente dalla Commissione e dagli Stati membri, disponibile alla pagina web https://ec.europa.eu/digital-building-blocks/wikis/display/OOTS/Technical+Design+Documents);

RILEVATO che, come noto, nelle opportune sedi europee è ancora in corso il confronto per la definizione dei profili concernenti la realizzazione e gestione delle componenti del SDG, a livello europeo, da parte della Commissione, che sono sottoposti al controllo circa la conformità alle norme sulla protezione dei dati personali da parte del Garante europeo per la protezione dei dati ai sensi del Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio del 23 ottobre 2018 sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE;

RILEVATI, quindi, i limitati margini di autonomia decisionale lasciati alla regolazione nazionale a completamento del quadro giuridico definito a livello europeo;

VISTA la precisazione in tal senso inviata dall’AgID con la nota del 3 novembre 2023, con cui è stato evidenziato, in particolare, che:

- i profili sottoposti in questa sede all’attenzione del Garante sono limitati a quanto non già direttamente attuativo della normativa regolamentare europea e delle specifiche tecniche individuate e periodicamente aggiornate dalla Commissione europea;

- la realizzazione e la gestione dell’infrastruttura nazionale del SDG sono condotte nel pieno rispetto delle indicazioni rese dalla Commissione europea nei vari gruppi di approfondimento condotti con gli Stati membri e sulla base delle specifiche tecniche e operative stabilite nel Regolamento di esecuzione (UE) 2022/1463, trimestralmente approfondite e integrate;

- le amministrazioni pubbliche responsabili delle procedure rese disponibili mediante SDG sono tenute a svolgere o riesaminare la propria valutazione d'impatto sulla protezione dei dati personali in relazione ai procedimenti medesimi in qualità di titolari del trattamento, ai sensi dell'art. 35 del Regolamento – potendo utilmente rinviare alle analisi condotte da AgID per le attività a questa demandate in qualità di gestore dell'infrastruttura e responsabile del trattamento per conto delle stesse – e a chiedere la consultazione preventiva dell’Autorità unicamente qualora la valutazione d'impatto dovesse indicare che il trattamento presenterebbe un rischio elevato in assenza di misure volte alla sua attenuazione, ai sensi dell'art. 36 del medesimo Regolamento;

- la disciplina europea in materia di SDG e le scadenze stabilite in seno al PNRR impongono la disponibilità delle procedure a decorrere dal 12 dicembre 2023;

VISTE, inoltre, le note inviate dall’AgID il 17 e il 30 novembre 2023, con cui è stata rappresentata l’introduzione delle seguenti misure rilevanti in materia di protezione dei dati personali:

- a decorrere dal 27 novembre 2023 l’indirizzo e-mail personale del referente delle autorità competenti risulterà espunto dal set di dati che l’AgID acquisirà dall’Identity provider per l’accesso al backoffice dei referenti al Catalogo dei Servizi SDG mediante SPID o altro strumento di identificazione, “in qualità di responsabile del trattamento dei dati personali per conto delle autorità competenti in qualità di service providers e titolari del trattamento dei dati personali, anche ai sensi degli artt. 33 e 35 del Regolamento di esecuzione (UE) 2022/1463”; a decorrere dalla medesima data saranno anche espunte informazioni quali il genere, la data e la nazione di nascita dei referenti medesimi;

- con riferimento all’identificazione univoca dell’utente sul “Preview Space”, è in corso un intervento, da finalizzare entro il 12 dicembre 2023, con cui verrà implementata la sola richiesta degli attributi obbligatori (i c.d. mandatory attributes eIDAS, cioè cognome, nome e data di nascita) e non di quelli opzionali (cioè nome alla nascita, cognome alla nascita, luogo di nascita, indirizzo corrente, genere), e con cui anche l’indirizzo e-mail personale dell’utente nazionale risulterà espunto dal set di dati acquisiti mediante lo strumento di identificazione;

- nell’ambito di SDG, AgID mette a disposizione delle autorità competenti la piattaforma di intermediazione nazionale “agendo sempre quale responsabile del trattamento per conto delle autorità competenti, in conformità alle indicazioni e alle valutazioni congiunte della Commissione europea e degli Stati membri a livello unionale”;

VISTA la nota del 6 dicembre 2023, con cui è stato trasmesso all’Autorità, per l’acquisizione del parere, lo schema di “Regolamento di funzionamento delle componenti nazionali SDG”, che sarà adottato mediante determina del Capo del Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri (di seguito, DTD), in luogo di un provvedimento del Direttore dell’AgID;

RILEVATO che la determina del Capo del DTD, nelle premesse, precisa, infatti, che il ““Piano Nazionale di Ripresa e Resilienza” presentato dall’Italia alla Commissione europea in data 30 giugno 2021 e valutato positivamente con Decisione del Consiglio ECOFIN del 13 luglio 2021, notificata all’Italia dal Segretariato generale del Consiglio con nota LT161/21 del 14 luglio 2021 […] individua l’Agenzia per l’Italia Digitale quale soggetto attuatore della Missione 1, Componente 1, Investimento 1.3.2 - Single Digital Gateway e, pertanto, soggetto gestore delle componenti nazionali italiane” e che l’AgID medesima è sottoposta alla vigilanza del Presidente del Consiglio dei Ministri o del Ministro da lui delegato, avvalendosi a tal fine del Dipartimento per la trasformazione digitale, ai sensi dell'art. 19 del d.l. 22 giugno 2012, n. 83, convertito con modificazioni, dalla l. 7 agosto 2012, n. 134;

CONSIDERATO, pertanto, che, nel rispetto delle competenze del Garante, il presente parere esamina gli aspetti in materia di protezione dei dati personali non oggetto di regolazione a livello europeo e, quindi, rimessi alla disciplina nazionale, quali, in particolare:

- il ricorso alla PDND quale piattaforma che assicura l’interoperabilità tra i sistemi informativi delle pubbliche amministrazioni italiane, su cui il Garante si è pronunciato favorevolmente con provv. n. 433 del 16 dicembre 2021 (disponibile sul sito www.garanteprivacy.it, doc. web n. 9732758);

- la messa a disposizione da parte dell’Agenzia delle entrate, in favore delle amministrazioni erogatrici dei servizi previsti dal Regolamento (UE) 2018/1724, del servizio di “verifica CF tramite la PDND”, attraverso cui facilitare l’identificazione dell’utente mediante attributi aggiuntivi, a norma dell’art. 16 del Regolamento di esecuzione (UE) 2022/1463, in ossequio ai principi di esattezza e di privacy by design e by default (artt. 5, par. 1, lett. d), e 25 del Regolamento);

- il ruolo dell’AgID, nella sua veste di soggetto attuatore del SDG per quanto concerne l’Italia (e, pertanto, di soggetto gestore delle componenti nazionali italiane), quale responsabile del trattamento per conto delle pubbliche amministrazioni titolari di procedimenti amministrativi e/o responsabili dell’erogazione di prove, ai sensi dell’art. 28 del Regolamento, in considerazione anche di quanto disposto dal Regolamento di esecuzione (UE) 2022/1463 che, all’art. 33, stabilisce che, in relazione al trattamento dei dati personali presenti nelle prove oggetto degli scambi tramite il SDG, le rispettive autorità competenti degli Stati membri, nella loro qualità di richiedenti prove o fornitori di prove, agiscono in qualità di titolari del trattamento, quali definiti all’articolo 4, punto 7, del Regolamento;

CONSIDERATO, inoltre, che, al fine di assicurare la conformità alla disciplina in materia di protezione dei dati personali, in tale contesto sono state fornite rassicurazioni, in particolare, con riferimento al set di dati personali acquisiti in sede di autenticazione degli utenti, prevedendo l’adozione di misure volte a garantire il rispetto dei principi di minimizzazione dei dati e di privacy by design e by default (artt. 5, par. 1, lett. c), e 25 del Regolamento);

RITENUTO che il parere debba essere reso nei termini indicati nell’art. 9, comma 3, del d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205, considerato che “il Regolamento istitutivo e le scadenze stabilite in seno al PNRR impongono la disponibilità delle procedure a decorrere dal prossimo 12 dicembre”;

RITENUTO, alla luce di quanto rilevato sopra, per i profili di competenza limitati ai predetti aspetti non oggetto di regolazione a livello europeo, non vi sono osservazioni da formulare sullo schema di regolamento di funzionamento del SDG;

CONSIDERATO che, su tale base, le amministrazioni titolari dei trattamenti concernenti i servizi dalle stesse erogate nell’ambito del Regolamento (UE) 2018/1724 possono aderire al SDG, in conformità al regolamento di funzionamento dell’infrastruttura nazionale SDG oggetto del presente parere, senza acquisire il parere del Garante sui propri atti volti a disciplinare il trattamento dei dati personali connessi ai servizi resi disponibili per il tramite del SDG, salvo il caso in cui, a valle di un’eventuale valutazione d’impatto sulla protezione dei dati effettuata dalle amministrazioni aderenti, in ossequio al principio di accountability (artt. 5, par. 2, e 24 del Regolamento), si renda necessaria, da parte delle stesse, una consultazione preventiva ai sensi dell’art. 36, par. 2, del Regolamento;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di regolamento di funzionamento dell’infrastruttura nazionale del Single digital gateway (SDG) di cui al Regolamento (UE) 2018/1724 e al Regolamento di esecuzione (UE) 2022/1463, da adottarsi con determina del Capo del Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri.

Roma, 7 dicembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

 

Scheda

Doc-Web
9974086
Data
07/12/23

Argomenti

Pubblica Amministrazione Anagrafe tributaria e-Government Enti pubblici Tessera sanitaria Agenzia delle Entrate DPIA SPID Minimizzazione

Tipologie

Parere del Garante