|
Data: 26/11/2021 06:00:00 - Autore: Annamaria Villafrate
Parere Garante privacy piattaforma notifica atti PA[Torna su]
Sta per tagliare il traguardo la digitalizzazione della notifica degli atti della PA, cui si potrà accedere con Spid e la delega digitale. Il Garante privacy infatti ha espresso il suo parere (sotto allegato) sullo schema di dpcm in materia di "Piattaforma per la notificazione degli atti della pubblica amministrazione", da adottare ai sensi dell'art. 26, comma 15, del d.l. 16 luglio 2020, n. 76, convertito, con modificazioni, dalla l. 11 settembre 2020, n. 120. Il Garante, dopo il richiamo della normativa in materia, compreso naturalmente l'art. 26 del dl. n. 76/2020, che disciplina la Piattaforma, analizza il testo del dpcm trasmessogli che contiene la disciplina di funzionamento della Piattaforma digitale per le notifiche della PA. Vediamo cosa prevede il testo. Passaggi e soggetti coinvolti nella procedura di notifica[Torna su]
Le P.A mittenti accedono alla Piattaforma tramite funzionari incaricati e poi autorizzati a svolgere le attività connesse all'utilizzo della stessa. L'accesso avviene a mezzo SPID o CIE. A loro volta anche i destinatari accedono alla Piattaforma dopo essersi autenticati a mezzo SPID, con livello di sicurezza almeno significativo, o CIE (dei legali rappresentanti o dei soggetti delegati se si tratta di società, previa verifica di tale qualità da parte del gestore). La PA mittente carica sulla piattaforma il documento da notificare, identifica il destinatario, il suo domicilio digitale speciale, ove eletto, e quello fisico, poi comunica automaticamente i dati al Gestore. Se il documento e la messa a disposizione rispettano le regole il Gestore gli attribuisce il codice IUN, altrimenti comunica al mittente l'impossibilità di procedere alla notificazione ed elimina automaticamente i documenti caricati. La notificazione viene effettuata quindi dal Gestore: prima presso il domicilio digitale di Piattaforma eletto dal destinatario; poi presso il domicilio digitale speciale, se eletto; infine al "domicilio digitale generale" (indirizzo inserito in uno degli elenchi di cui all'INI-PEC, all'IPA o all'INAD). Se tutti questi domicili digitali risultano saturi, non validi o non attivi, il Gestore procede a un secondo tentativo d'invio. Il destinatario nell'accedere alla Piattaforma può reperire, consultare e acquisire i documenti notificati, visualizzando mittente, data e ora di messa a disposizione, atto notificato, storico del processo di notifica, compresi gli atti opponibili a terzi, gli avvisi di mancato recapito, il codice IUN. Il destinatario può scaricare e inviare a terzi la copia del documento. Il Gestore attesta la data e l'ora in cui il destinatario o il delegato accedono, tramite la Piattaforma, all'atto notificato, con un sistema di marcatura temporale certificato opponibile a terzi. I destinatari possono infatti conferire a terzi con delega apposita il diritto di accedere alla Piattaforma per reperire, consultare e acquisire, per loro conto, atti, provvedimenti, avvisi e comunicazioni notificati dalle amministrazioni. La delega può essere revocata o rinunciata in qualsiasi momento e può essere conferita con Sistema di gestione delle deleghe di cui all'art. 64-ter del CAD, o tramite una specifica funzionalità della Piattaforma, anche solo in relazione ad alcuni specifici mittenti. Il legale rappresentante di un ente giuridico destinatario, nei confronti di uno o più dipendenti, può ricorrere alla delega senza però che sia necessario in tal caso accettazione o rinuncia da parte di questi soggetti. Regole particolari sono dedicate alla notifica cartacea. Per finire lo schema stabilisce regole specifiche in base al ruolo che viene ricoperto dai vari soggetti coinvolti nella procedura, con particolare riferimento ai mittenti, al gestore, all'addetto al recapito e al fornitore del servizio universale. Profili di rischio per la tutela della privacy[Torna su]
Il dpcm analizzato, per il Garante, ha tenuto conto delle indicazioni fornite in precedenza per rendere le disposizioni conformi alla normativa sul trattamento dei dati personali, esso tuttavia presenta ancora dei profili di rischio elevati perché il sistema della notifica degli atti della PA coinvolge su larga scala tutta una serie di dati e informazioni di carattere personale dei cittadini e contenuti nei documenti notificati e di cui vengono a conoscenza diversi soggetti, come il mittente, il gestore della Piattaforma, il fornitore del servizio universale e addetto al recapito postale. Il Garante rileva che tali rischi riguardano però non solo le modalità di trasmissione degli atti, ma anche lo strumento della delega, con la quale il destinatario può autorizzare numerose categorie di soggetti delegati ad accedere alla Piattaforma e visionare, acquisire e consultare per suo conto provvedimenti vari, avvisi e comunicazioni della PA. Un meccanismo, quello della delega, che presta il fianco ad accessi non autorizzati a terzi. Pensiamo a deleghe complesse, riconosciute a organizzazioni incaricate ad esempio di provvedere al disbrigo di pratiche per conto del delegante, che potrebbe trovarsi nella condizione di non conoscere di fatto chi sono i soggetti che possono visionare i suoi atti e documenti. Organizzazioni che, se delegate da molti soggetti, determinano la conoscenza esponenziale di dati di una moltitudine di soggetti. Un altro profilo di rischio infine è quello che riguarda la possibilità per il destinatario "di rivolgersi al fornitore del servizio universale per consentirgli di estrarre, per suo conto e tramite accesso semplificato, copia analogica del documento informatico disponibile sulla Piattaforma e le previste attestazioni." In questo caso infatti un soggetto terzo può presentarsi allo sportello dell'ufficio postale, con tanto di avviso di ricezione, al posto del reale destinatario e a sua insaputa. Abusi possibili sono però anche quelli che possono essere compiuti dall'addetto all'ufficio postale. Alla luce di queste osservazioni il Garante concede parere favorevole allo schema del decreto "fermo restando che, anche in ossequio ai principi di accountability e privacy by design e by default (artt. 5, par. 2, 24 e 25 del Regolamento), le ulteriori misure tecniche e organizzative necessarie a mitigare i rischi elevati presentati dal trattamento dovranno essere adeguatamente individuate dal Gestore nella valutazione di impatto di cui all'art. 14, comma 8, dello schema in esame." |
|