App IO per l'accesso ai servizi della PA, via libera del Garante Privacy
App IO per l’accesso ai servizi della PA, via libera del Garante Privacy
Il Garante Privacy ha espresso parere favorevole sullo schema di Linee guida predisposte dall’Agenzia per l’Italia digitale (AgID), che disciplinano l’accesso telematico ai servizi della Pubblica amministrazione, anche attraverso l’uso della App IO
È arrivato il via libera del Garante Privacy alle regole che disciplinano l’accesso telematico ai servizi della Pubblica amministrazione, anche attraverso l’uso della App IO.
L’Autorità ha espresso parere favorevole sullo schema di Linee guida predisposte dall’Agenzia per l’Italia digitale (AgID); documento che definisce le modalità di realizzazione e di funzionamento del punto di accesso telematico per consentire alle pubbliche amministrazioni e ad altri soggetti erogatori di rendere disponibili agli utenti i propri servizi (avvisi di scadenze, pagamenti, certificazioni, ecc.).
App IO per i servizi della PA, il parere del Garante
Il punto di accesso, costituito dall’insieme dei sistemi sviluppati e gestiti da PagoPa, è formato da diversi componenti – spiega il Garante Privacy – un front-end (che include la App IO e un’applicazione web), al quale l’utente può accedere tramite SPID o CIE; un back-end, che gestisce anche le interazioni tra il front-end e il back office; un back office (c.d. portale), dedicato ai soggetti erogatori, grazie al quale essi possono aderire al punto di accesso e utilizzare i servizi e le interfacce messe a disposizione per interagire con i cittadini.
Lo schema in esame, dunque, tiene conto delle indicazioni fornite dall’Ufficio del Garante nel corso di numerose interlocuzioni avute con i rappresentanti di AgID e di PagoPa per assicurare opportune garanzie a tutela della privacy. Indicazioni che hanno riguardato innanzitutto i ruoli assunti da PagoPa e dai soggetti erogatori, e le modalità di adesione al punto di accesso telematico.
Particolare attenzione è stata posta sulle misure e sulle garanzie adottate per realizzare il punto di accesso nel rispetto dei principi di privacy by design e privacy by default, con specifico riguardo al trattamento di dati relativi alla salute e di dati personali relativi a condanne penali e reati, e alle modalità di integrazione del punto di accesso telematico con altre piattaforme digitali (ad es., Anagrafe nazionale della popolazione residente, Piattaforma notifiche).
Nel parere il Garante ha precisato, inoltre, che l’analisi di ulteriori misure di dettaglio che verranno adottate, sarà effettuata nell’ambito della valutazione d’impatto sulla protezione dei dati che sarà trasmessa da PagoPa.
Infine è stata rinviata ad altre regole tecniche di AgID la disciplina di altri aspetti tecnici (utilizzo di sessioni di lunga durata nell’App IO e accesso ai servizi di altre Pa con meccanismi di federated identity).
