Basi di dati nella riforma PA: quali le regole per la condivisione del patrimonio informativo pubblico?
Dopo l’articolo di due settimane fa dedicato alle Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico, torniamo – nell’ambito della nostra collaborazione con lo Studio legale Lisi – sul tema degli open data. La riflessione di Andrea Lisi e Sarah Ungaro parte dalla modifica della norma che regola la condivisione delle base dati tra amministrazioni pubbliche, sollevando ancora una volta l’urgenza delle Regole tecniche su esattezza, integrità e riservatezza del dato.
1 Ottobre 2014
Andrea Lisi e Sarah Ungaro*
Dopo l’articolo di due settimane fa dedicato alle Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico, torniamo – nell’ambito della nostra collaborazione con lo Studio legale Lisi – sul tema degli open data. La riflessione di Andrea Lisi e Sarah Ungaro parte dalla modifica della norma che regola la condivisione delle base dati tra amministrazioni pubbliche, sollevando ancora una volta l’urgenza delle Regole tecniche su esattezza, integrità e riservatezza del dato.
La recente Legge di conversione del D.L. 90/2014[1] è intervenuta sul tema della valorizzazione del patrimonio informativo pubblico e della condivisione della basi di dati[2], abolendo lo strumento delle convenzioni tra amministrazioni pubbliche, previsto dalla precedente formulazione dall’art. 58 del Codice dell’Amministrazione digitale (CAD – D.Lgs. 82/2005) e istituendo un catalogo nazionale tramite il quale le amministrazioni pubbliche possono accedere alle basi di dati.
Nello specifico, come previsto dal comma 2 dell’art. 24-quater del D.L. 90/2014, tutte le pubbliche amministrazioni e le società partecipate hanno l’obbligo di comunicare[3] all’Agenzia per l’Italia digitale (AgID), esclusivamente per via telematica, l’elenco delle basi di dati in loro gestione e degli applicativi che le utilizzano. Tali adempimenti, in effetti, risultano propedeutici all’attuazione di quanto stabilito dal successivo art. 24-quinquies del D.L. 90/2014, che ha modificato l’art. 58 del CAD, il quale ora stabilisce che “le pubbliche amministrazioni comunicano tra loro attraverso la messa a disposizione a titolo gratuito degli accessi alle proprie basi di dati alle altre amministrazioni mediante la cooperazione applicativa”.
In particolare, poi, il nuovo comma 2 dell’art. 58 del CAD prevede che sia l’Agenzia per l’Italia digitale, sentiti il Garante per la protezione dei dati personali e le amministrazioni interessate, a definire gli standard di comunicazione e le regole tecniche a cui gli enti coinvolti dovranno conformarsi.
Come dicevamo, quindi, con le nuove norme, si è inteso abbandonare lo strumento delle convenzioni finora contemplate dalla precedente versione dell’art. 58 del CAD: grazie al modello delle convenzioni aperte all’adesione di altri enti, infatti, le amministrazioni pubbliche titolari di banche dati accessibili per via telematica potevano disciplinare le modalità di accesso alle proprie basi di dati da parte delle amministrazioni interessate. Con le convenzioni, dunque, le specifiche modalità di accesso ai dati da parte di altre amministrazioni veniva regolato direttamente dall’ente titolare della banca dati[4], il quale sicuramente era in grado di predisporre con maggiore consapevolezza le specifiche misure da adottare per la condivisione dei dati, soprattutto in relazione alla loro natura (comune, sensibile, ultra-sensibile) e alle finalità di raccolta e di gestione dei dati stessi. In effetti, tali convenzioni erano valide anche quale autorizzazione ai sensi dell’articolo 43, comma 2, del decreto del Presidente della Repubblica n. 445 del 2000, il quale prevede che per l’accesso diretto ai propri archivi l’amministrazione certificante rilascia all’amministrazione procedente apposita autorizzazione in cui vengono indicati i limiti e le condizioni di accesso volti ad assicurare la riservatezza dei dati personali ai sensi della normativa vigente.
La riforma introdotta, invece, prevede – come già accennato – che gli standard di comunicazione e le regole generali a cui le pubbliche amministrazioni dovranno conformarsi per l’accesso alle banche dati presenti nel catalogo siano predisposte dall’AgID[5], la quale dunque avrà il compito di prevedere preventivamente la predisposizione di idonee tutele a seconda dei dati che saranno resi disponibili.
Le recenti norme in tema di valorizzazione del patrimonio informativo pubblico pongono non pochi interrogativi, dunque, proprio circa le reali tutele che in questa progressiva operazione di condivisione saranno approntate per i dati personali e per garantire l’integrità e l’autenticità di tale patrimonio.
A tal proposito, le recenti Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico emanate dall’AgID – che hanno l’obiettivo di supportare questo processo di valorizzazione – chiariscono la distinzione tra rilascio dei dati aperti e messa a disposizione online di dati pubblici in un portale, tra condivisione dei dati e dati di tipo aperto. La confusione spesso riscontrata tra questi concetti, infatti, porta a trascurare gli aspetti di disaggregazione, neutralità tecnologica e metadatazione completa per quanto riguarda il paradigma Open Data, e di sicurezza e garanzia dell’autenticità e dell’integrità dei dati stessi, nonché i profili privacy legati alla pubblicazione e alla condivisione di dati pubblici.
Inoltre, mentre la condivisione di dati riguarda solitamente contesti ristretti (pubbliche amministrazioni o enti con finalità pubbliche) e agisce sulla base di un determinato scopo di condivisione e su un insieme di dati specifici, inclusi anche i dati personali, i dati aperti, invece, sono tipicamente non riferibili a singole persone e disponibili gratuitamente per l’uso, il riutilizzo e la distribuzione da parte di chiunque, anche per finalità commerciali, con al massimo la richiesta di indicare la loro fonte di provenienza e di utilizzarli secondo gli stessi termini per cui sono stati licenziati originariamente.
Inoltre, come chiarito anche nelle FAQ sul sito di AgID dedicate alla comunicazione delle basi di dati, l’invio telematico ad AgID dell’elenco di basi in gestione (ai sensi dell’art. 24-quater del D.L. 90/2014) costituisce in ogni caso un adempimento ulteriore rispetto all’obbligo di effettuare la pubblicazione delle informazioni di cui all’art. 52, co. 1, del CAD, che impone alle pubbliche amministrazioni di pubblicare nel proprio sito web, nella sezione “Amministrazione Trasparente”, il catalogo dei dati, dei metadati e delle relative banche dati in loro possesso e i regolamenti che ne disciplinano l’esercizio della facoltà di accesso e il loro riutilizzo.
Le menzionate perplessità sulle effettive misure attualmente predisposte per assicurare l’integrità e l’autenticità del patrimonio informativo pubblico, inoltre, risultano acuite dalla perdurante mancanza delle Regole tecniche previste dall’art. 51 del CAD, che dovrebbero stabilire le modalità atte a garantire l’esattezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture delle amministrazioni pubbliche.
Alla luce di tali considerazioni, dunque, risulta indispensabile predisporre delle regole tecniche per coadiuvare gli Enti coinvolti nella valorizzazione del patrimonio informativo pubblico, e ciò sia per fornire le linee guida per una ponderata riflessione sulle finalità di pubblicazione di una determinata tipologia di dati pubblici, sia per la corretta individuazione delle opportune modalità di messa a disposizione di tali dati.
[1] Legge 11 agosto 2014, n. 114, che ha convertito con modificazioni il D.L. del 24 giugno 2014, n. 90, recante “Misure Urgenti per la semplificazione e la trasparenza amministrativa e per l’efficienza degli uffici giudiziari”.
[2] Temi su cui l’Agenzia per l’Italia digitale ha da poco emanato le Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico, allegate alla Determinazione Commissariale del 26 giugno 2014, n. 95.
[3] L’AgID ha reso noto che tale comunicazione potrà essere effettuata tramite la procedura predisposta fino al 1° ottobre 2014, tuttavia occorre precisare che in realtà il termine previsto dalla Legge 114/2014 è il 18 settembre (ovvero “entro 30 giorni dalla data di entrata in vigore della legge di conversione del presente decreto”); sul punto, non si può non rilevare che la proroga del termine entro cui effettuare tali comunicazioni al 1° ottobre sembra essere frutto di esclusiva iniziativa dell’AgID e non di una successiva norma di rango primario, che – correttamente – avrebbe potuto contemplare tale deroga. Pertanto, sebbene la proroga in questione non appaia potenzialmente portatrice di conseguenze pregiudizievoli per gli enti coinvolti, nel caso di specie, la scelta riguardo all’adozione dello strumento normativo (e, a monte, la tecnica di redazione delle norme, evidentemente viziata dall’impellenza che caratterizza la produzione normativa degli ultimi anni) non risulta affatto legittima alla luce della gerarchia delle fonti nel nostro ordinamento.
[4] Si ricorda che, ai sensi del comma 1 dell’art. 58 del CAD, “il trasferimento di un dato da un sistema informativo ad un altro non modifica la titolarità del dato”.
[5] Entro novanta giorni dalla data di entrata in vigore della Legge di conversione del DL 90/2014.
* Digital&Law Department – Studio Legale Lisi