Il provvedimento del Garante che si vuole prendere in considerazione definisce si occupa di chiarisce attraverso lo schema delle linee guida in merito le modalità di realizzazione e funzionamento del punto di accesso telematico, che è costituito dall’insieme dei sistemi e delle componenti tecnologiche sviluppate e gestite dal Gestore al fine di rendere disponibili agli utenti finali i propri servizi tramite una apposita convenzione.
La privacy in merito al punto di accesso
In primo luogo è necessario comprendere cosa il Garante intende per punto di accesso. Ebbene, nel provvedimento succitato il punto di accesso telematico, offre una serie di funzionalità standard tra cui la possibilità di inviare messaggi, il servizio portafoglio, ed altri servizi inerenti al profilo dell’utente in App; ebbene, questi servizi ben possono essere ampliati in via facoltativa dal Gestore, il quale deve fornire l’integrazione con le piattaforme tecnologiche rilevanti per la digitalizzazione dei processi e dei servizi delle pubbliche amministrazioni Il Garante sul punto ha rilevato i soggetti erogatori devono eseguire per aderire al punto di accesso telematico devono sottoscrivere la documentazione contrattuale predisposta dallo stesso Gestore.
Le previsioni in materia di dati personali
È bene individuare alcuni degli aspetti relativi alla protezione dei dati personali che vengono illustrati nell’ambito del punto di accesso telematico. In particolare, si faccia riferimento a quelli che sono i ruoli assunti dai soggetti coinvolti nel trattamento. All’uopo il Garante chiarisce che il gestore è il titolare dei trattamenti di:
– progettazione, sviluppo, gestione ed implementazione del punto di accesso telematico, comprese le attività di assistenza e diagnostica nonché monitoraggio del funzionamento, miglioramento ed evoluzione dello stesso;
– realizzazione delle funzionalità e/o dei servizi resi direttamente dal Gestore su richiesta dell’utente finale, nel senso di tutte quelle attività che sono attuate allo scopo gestionale in maniera semplice e dinamica;
– svolgimento di altre attività che a lui conferite ai sensi di Legge per l’esecuzione di compiti di interesse pubblico.
Dunque, il Garante chiarisce che i soggetti atti alla erogazione dei servizi operano quali Titolari di trattamento, in relazione a quelli effettuati nell’ambito dei Servizi in rete resi disponibili tramite il punto di accesso telematico, mentre il Gestore opera quale responsabile del trattamento. Ai fini di una maggiore comprensione della differenza tra Responsabile e Gestore del trattamento si consiglia la lettura di questo articolo. Il Garante, poi, definisce che le due figure ivi richiamate sono chiamate insieme per la implementazione delle misure di sicurezza, restando sempre ferma la necessaria predisposizione di ogni misura tecnica ed organizzativa che sia proporzionata al fine di garantire un livello di sicurezza adeguato al rischio in ossequio alle disposizioni previste dal Regolamento sulla protezione dei dati personali, o anche GDPR. Ancora, sul punto, viene chiarito come il Gestore ed il Titolare del trattamento possono fissare in collaborazione tra loro, ai sensi dell’art. 28 del Regolamento, ulteriori misure tecniche e organizzative rispetto a quanto previsto nell’accordo stipulato. Il Gestore può, poi, stilare un elenco al fine di avvalersi dei propri Responsabili da mettere a disposizione per i Gestori. Infine, il garante predispone che il Gestore è, in ogni caso, tenuto a organizzare una valutazione di impatto sulla protezione dei dati personali, o anche DPIA, che deve poi presentare sia per il parere professionale all’Autorità, sia anche ai soggetti erogatori al fine di coadiuvare questi ultimi nella DPIA che loro stessi dovranno, nella eventualità che i trattamenti siano caratterizzati da un rischio elevato, al Garante.