Cancelliamo i dati indesiderati +39.06.39754846 cyberlex.net

PA: dal Garante privacy arriva l’ok alle Linee guida Agid sull’AppIO

Il Garante Privacy, tramite il parere emesso il 1 novembre 2021, ha dato il via libera alle regole che disciplinano l’accesso telematico ai servizi della Pubblica Amministrazione, anche attraverso l’App IO. In particolare l’Autorità ha espresso il proprio parere favorevole alle linee guida presentate dall’Agenzia per l’Italia digitale, in acronimo AgID. L’obiettivo del punto di accesso telematico per i cittadini, uno tra gli altri, l’App IO, è quello di consentire alle pubbliche amministrazioni o di altri soggetti erogatori di rendere disponibili tutta una serie di servizi che offrono come ad esempio gli avvisi di pagamento, le certificazioni, scadenze e così via. Il Punto di accesso, gestito interamente dalla piattaforma PagoPa, è strutturato da tre componenti: il front-end, back-end ed il back office. Il primo, quello utilizzato dall’utente cittadino, include sia l’App IO per smartphone e tablet sia un’applicazione web per accedere da pc ed il cittadino può accedervi tramite SPID o CIE. Il back-end invece “mette in comunicazione” il front-end ed il back office.

Il back office infine è dedicato agli enti erogatori e attraverso di esso possono quindi aderire al servizio ed interagire direttamente con gli utenti cittadini.Tutti questi passaggi, al fine di assicurare le opportune garanzie a tutela della privacy, sono stati presi in considerazione dal Garante nelle sue numerose interlocuzioni con AgID e di PagoPa. Questo insieme di regole verso cui il Garante ha espresso parere favorevole pongono l’attenzione sui ruoli che assume PagoPa – e i diversi soggetti erogatori (P.A.) – poiché sono questi che devono assicurare la tutela alla privacy già a partire dalle modalità di adesione al punto di accesso telematico secondo il principio di privacy by design e privacy by default. Principio questo sancito dall’art. 25 del Regolamento GDPR che prevede un approccio concettuale innovativo che impone alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali con specifico riguardo al trattamento di dati relativi alla salute e di dati personali relativi a condanne penali e reati nonché alle modalità di integrazione del punto di accesso telematico con altre piattaforme digitali. Il Garante ha comunque precisato che ulteriori misure di dettaglio saranno ad ogni modo adottate in corso d’opera in seguito alla valutazione d’impatto sulla protezione dei dati che sarà poi trasmessa da PagoPa.

La DPIA obbligatoria

La predisposizione di ulteriori regole tecniche invece, ove necessario, è demandata ad AgID. In ogni caso il Garante ha predisposto che il Gestore è tenuto a predisporre una valutazione di impatto sulla protezione dei dati, anche DPIA in acronimo, da sottoporre alla stessa Autorità così da mettere a disposizione dei soggetti erogatori come ausilio alla valutazione d’impatto che gli stessi dovranno eventualmente sottoporre al Garante in caso di trattamenti caratterizzati da un rischio elevato in assenza di misure adottate per attenuare tale rischio, ai sensi dell’artt. 35 e 36, par. 1, del Regolamento.

Le misure di sicurezza in merito ai rischi

Ancora, il Garante ha predisposto che vi siano misure volte ad assicurare un livello di sicurezza di adeguamento tale per permettere di preservare gli utenti dai rischi che potrebbero essere presentati dal trattamento. Questa operazione viene fatta con particolare riguardo per il tracciamento delle interazioni con le altre piattaforme, nonché per gli accessi e delle operazioni compiute dai soggetti autorizzati, in ossequio al principio di integrità e riservatezza e nel rispetto degli obblighi in materia di sicurezza. Altresì il trattamento dei dati di contatto deve essere effettuato dagli utenti, da effettuarsi nel rispetto dei principi di liceità, correttezza e trasparenza, di minimizzazione dei dati e di esattezza. La logica di tutte queste operazioni di sicurezza in punto di accessi della P.A. al trattamento dei dati personali degli utenti, è dedita, oltre al perseguimento del principio del corretto andamento dell’attività amministrativa, a che i soggetti siano debitamente informati attraverso il consenso al trattamento dei dati personali e che, per questo, non richiedano poi di cancellare le proprie informazioni dal web; scatenando in tal modo una procedura, anche di reclamo dinanzi al Garante, per la fruizione del diritto all’oblio.

Rispondi

%d blogger hanno fatto clic su Mi Piace per questo: