Via libera del Garante per la protezione dei dati personali alle regole che disciplinano l’accesso telematico ai servizi della Pubblica amministrazione, anche attraverso l’uso della App IO.
Il documento definisce le modalità di realizzazione e di funzionamento del punto di accesso telematico per consentire alle pubbliche amministrazioni e ad altri soggetti erogatori di rendere disponibili agli utenti i propri servizi (avvisi di scadenze, pagamenti, certificazioni, ecc.).
Il punto di accesso – costituito dall’insieme dei sistemi sviluppati e gestiti da PagoPa – è formato da diversi componenti: un front-end (che include la App Io e un’applicazione web), al quale l’utente può accedere tramite SPID o CIE; un back-end, che gestisce anche le interazioni tra il front-end e il back office; un back office (c.d. portale), dedicato ai soggetti erogatori, grazie al quale essi possono aderire al punto di accesso e utilizzare i servizi e le interfacce messe a disposizione per interagire con i cittadini.
Lo schema in esame tiene conto delle indicazioni fornite dall’Ufficio del Garante nel corso di numerose interlocuzioni avute con i rappresentanti di AgID e di PagoPa per assicurare opportune garanzie a tutela della privacy. Indicazioni che hanno riguardato innanzitutto i ruoli assunti da PagoPa e dai soggetti erogatori, e le modalità di adesione al punto di accesso telematico.
Particolare attenzione è stata posta sulle misure e sulle garanzie adottate per realizzare il punto di accesso nel rispetto dei principi di privacy by design e privacy by default, con specifico riguardo al trattamento di dati relativi alla salute e di dati personali relativi a condanne penali e reati, e alle modalità di integrazione del punto di accesso telematico con altre piattaforme digitali (ad es., Anagrafe nazionale della popolazione residente, Piattaforma notifiche).
Nel parere il Garante ha precisato che l’analisi di ulteriori misure di dettaglio che verranno adottate, sarà effettuata nell’ambito della valutazione d’impatto sulla protezione dei dati che sarà trasmessa da PagoPa.
È stata infine rinviata ad altre regole tecniche di AgID la disciplina di altri aspetti tecnici (utilizzo di sessioni di lunga durata nell’App IO e accesso ai servizi di altre Pa con meccanismi di federated identity).