Linee guida per la stesura di convenzioni per la fruibilità di dati delle pubbliche amministrazioni
Stando a quanto contenuto nel Codice della PA Digitale (CAD) le amministrazioni devono stipulare – attenendosi alle linee guida emanate da DigitPA – delle convenzioni per consentire l’accesso alle banche dati di cui sono titolari. In realtà già la versione precedente del CAD prevedeva qualcosa di simile, ma ciò che cambia è l’esistenza di linee guida specifiche a cui le amministrazioni devono adeguarsi.
15 Luglio 2011
Simonetta Zingarelli*
Stando a quanto contenuto nel Codice della PA Digitale (CAD) le amministrazioni devono stipulare – attenendosi alle linee guida emanate da DigitPA – delle convenzioni per consentire l’accesso alle banche dati di cui sono titolari. In realtà già la versione precedente del CAD prevedeva qualcosa di simile, ma ciò che cambia è l’esistenza di linee guida specifiche a cui le amministrazioni devono adeguarsi.
La modifica dell’art. 58, comma 2, del CAD introdotta dal D. Lgs. 235/10 prevede che “ai sensi dell’articolo 50, comma 2[1], nonché al fine di agevolare l’acquisizione d’ufficio ed il controllo sulle dichiarazioni sostitutive riguardanti informazioni e dati relativi a stati, qualità personali e fatti di cui agli articoli 46 e 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, le Amministrazioni titolari di banche dati accessibili per via telematica predispongono, sulla base delle linee guida redatte da DigitPA, sentito il Garante per la protezione dei dati personali, apposite convenzioni aperte all’adesione di tutte le amministrazioni interessate volte a disciplinare le modalità di accesso ai dati da parte delle stesse amministrazioni procedenti, senza oneri a loro carico. Le convenzioni valgono anche quale autorizzazione ai sensi dell’articolo 43, comma 2, del citato decreto del Presidente della Repubblica n. 445 del 2000”.
Ai sensi dell’art. 58 comma 2 dunque, le amministrazioni devono stipulare – attenendosi alle linee guida emanate da DigitPA – delle convenzioni per consentire l’accesso alle banche dati di cui sono titolari.
Le linee guida pubblicate sul sito di DigitPa costituiscono una prima bozza di indicazioni volte a regolamentare le convenzioni tra pubbliche amministrazioni titolari e amministrazioni richiedenti, al fine di mettere a disposizione tra PA banche dati accessibili per via telematica.
Il testo è stato sottoposto al Garante per la protezione dei dati personali, con lo scopo di rappresentare delle regole quanto più corrispondenti alla disciplina in materia di “privacy”. Il testo sarà aggiornato da DigitPA.
A ben vedere la norma di cui all’art. 58 non è una novità assoluta, nel senso che il testo precedente alla modifica prevedeva: “Le pubbliche amministrazioni possono stipulare tra loro convenzioni finalizzate alla fruibilità informatica dei dati di cui sono titolari. Il CNIPA, sentito il Garante per la protezione dei dati personali, definisce schemi generali di convenzioni finalizzate a favorire la fruibilità informatica dei dati tra le pubbliche amministrazioni centrali e, d’intesa con la conferenza unificata di cui all’art. 8 del decreto legislativo 28 agosto del 97 n. 281, tra le Amministrazioni centrali medesime, le regioni e le autonomie locali.
La novità introdotta dal D.Lgs. 235/10 non è però di poco conto, stabilisce infatti che le Amministrazioni si adeguino a tale precetto del Codice dell’Amministrazione Digitale (D.Lgs. 82/05) rispettando le linee guida emanate da DigitPa. Inoltre, il comma 3 dell’art. 58, sempre introdotto dal D.Lgs. 235/10, prevede un monitoraggio da parte di DigitPa per verificare che le PA diano applicazione alla norma. In conseguenza di tale controllo, DigitPa dovrà riferire annualmente al Ministero per la pubblica amministrazione e l’innovazione e alla commissione per la valutazione, la trasparenza e l’integrità delle amministrazioni pubbliche l’effettivo rispetto della norma. Qualora ciò non avvenga sarà lo stesso Presidente del Consiglio dei Ministri – in base all’art. 58, comma 3 bis – a prevedere un termine entro il quale le amministrazioni interessate debbano stipulare tali convenzioni. “Decorso inutilmente il termine, il Presidente del Consiglio dei Ministri può nominare un commissario ad acta incaricato di predisporre le predette convenzioni”. È stata dunque introdotta dal legislatore una forma di controllo fino ad ora inesistente.
Si consideri che nel vecchio articolo non erano prescritti dei tempi relativi alla stipulazione di dette convenzioni, tanto è vero che molte pubbliche amministrazioni non si sono ancora adeguate; si pensi, inoltre, che il Codice dell’Amministrazione Digitale risale al 2005 e che nel corso di questi anni si sono verificati non pochi problemi di coordinamento tra le pubbliche amministrazioni, relativi proprio alla possibilità di rendere accessibili banche dati fra Enti. Addirittura lo scambio di informazioni non è stato possibile, spesso, proprio per mancanza di direttive regolanti il trasferimento dei dati.
La disponibilità e la fruibilità dei dati posseduti dalle Pubbliche amministrazioni è una tematica molto importante per il legislatore e in generale per la cittadinanza, poiché incide sull’efficienza dei servizi forniti dalle PA a cittadini e imprese.
Anche attraverso la lettura sistematica del Codice dell’Amministrazione digitale ( D.Lgs. 82/05) si può ricavare l’importanza assegnata a tale principio.[2]
Le linee guida del 22 aprile 2011, per la stesura di convenzioni per la fruibilità di dati delle pubbliche amministrazioni ex art. 58, comma 2, D.Lgs 82/05, hanno lo scopo di dare le indicazioni necessarie a predisporre le convenzioni per la corretta ed efficiente fruibilità dei dati tra le PA.
In particolare, le linee guida prevedono:
- l’individuazione dei destinatari, con i termini di adempimento previsti dal recente D. Lgs. 235/2010, oltre che la normativa cui ci si riferisce;
- il contesto di riferimento;
- le modalità di raccolta e formazione dei dati, con le indicazioni per la raccolta dei dati anche ai fini statistici, come previsto dalla normativa vigente in materia;
- i servizi messi a disposizione e le modalità di accesso che dovranno essere utilizzate per l’accesso ai dati delle pubbliche amministrazioni, prevedendo modalità residuali per casi particolari;
- gli aspetti di sicurezza e privacy per l’accesso ai dati delle pubbliche amministrazioni;
- i criteri per la definizione dei livelli di servizio che le convenzioni potranno stabilire;
- uno schema di convenzione, con un contenuto minimo delle disposizioni che dovranno essere previste;
- le modalità di pubblicazione della convenzione, anche ai fini delle attività di monitoraggio poste in capo a DigitPA.
I destinatari sono tutti i soggetti di cui all’art. 2, commi 2 e 4, del D .Lgs. 82/2005[3] che hanno la necessità di accedere ai dati di altre amministrazioni per svolgere adempimenti istituzionali.
Le Amministrazioni aderiscono alle regole di cui alle linee guida, facendo riferimento al Sistema Pubblico di Connettività (SPC) che ai sensi dell’art. 73 del CAD, consente di assicurare il coordinamento informatico dei dati tra le amministrazioni centrali, regionali e locali e promuovere l’omogeneità nella elaborazione e trasmissione dei dati stessi, finalizzati allo scambio e diffusione tra le Pubbliche Amministrazioni e alla realizzazione di servizi integrati.
I soggetti che invece non aderiscono al SPC dovranno comunque prevedere misure di sicurezza all’interno delle convenzioni, in grado di rispettare le indicazioni previste dalle linee guida.
La raccolta delle informazioni deve avvenire verificando che le informazioni possano essere acquisite attraverso la fruibilità dei dati in possesso di altre pubbliche amministrazioni o soggetti pubblici.
Le modalità di accesso per la fruibilità dei dati sono: la cooperazione applicativa e l’accesso via web[4]. In particolari casi le pubbliche amministrazioni potranno utilizzare modalità di accesso alternative: soluzioni di “trasferimento di file“ in modalità FPT e posta elettronica certificata[5].
Sarà necessario porre particolare attenzione alla tutela dei dati personali: le convenzioni, infatti, dovranno prevedere una policy sul corretto trattamento dei dati ed evitare attraverso opportune regole di sicurezza la possibilità di duplicazione dei dati.
Le convenzioni redatte in base alle linee guida sopra descritte, dovranno contenere in allegato anche le regole tecniche relative alle specifiche banche dati oggetto della convenzione, e dovranno contenere le indicazioni relative all’amministrazione erogatrice che mette a disposizione l’acceso ai dati di cui è titolare, le indicazioni relative all’amministrazione richiedente che accede ai dati di un’amministrazione erogatrice, le norme di riferimento in base alle quali viene stipulata la convenzione e, infine, gli obiettivi specifici per i quali si stipula la convenzione. Dovrà, inoltre, essere data comunicazione della stipulazione della convenzione all’ufficio dati pubblici di DigitPa da parte dell’Amministrazione erogatrice.[6]
*Avv. Simonetta Zingarelli – Digital & Law Department – Studio legale Lisi – www.studiolegalelisi.it.