g-docweb-display Portlet

Parere sugli schemi, predisposti dall’AgiD, di Linee Guida sull’interoperabilità tecnica delle pubbliche amministrazioni e di Linee Guida su tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici - 8 luglio 2021 [9682994]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE Newsletter del 20 luglio 2021

 

[doc. web n. 9682994]

Parere sugli schemi, predisposti dall’AgiD, di Linee Guida sull’interoperabilità tecnica delle pubbliche amministrazioni e di Linee Guida su tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici - 8 luglio 2021

Registro dei provvedimenti
n. 260 dell'8 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

Visto il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento);

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, (di seguito Codice);

Visti gli artt. 14-bis e 71 del decreto legislativo 7 marzo 2005, n. 82 (di seguito CAD) e la determinazione dell’Agenzia per l’Italia digitale (di seguito AgID) n. 160 del 2019, recante il “Regolamento per l’adozione di linee guida per l’attuazione del Codice dell’Amministrazione Digitale”, che disciplinano le procedure per l’adozione di linee guida contenenti le regole tecniche e di indirizzo, previa consultazione pubblica e sentiti l’amministrazione interessata e il Garante per la protezione dei dati personali, nonché l’acquisizione del parere della Conferenza unificata;

Visto, in particolare, l’art. 14-bis, comma 2, lett. a), del CAD, che individua le funzioni di AgID, tra cui l’“emanazione di Linee [...] di indirizzo [...] sull'attuazione e sul rispetto delle norme di cui al presente Codice, anche attraverso l'adozione di atti amministrativi generali, in materia di [...] interoperabilità e cooperazione applicativa tra sistemi informatici pubblici e quelli dell'Unione europea”;

Visti, altresì, l’art. 51, comma 1, del CAD, ai sensi del quale “Con le Linee guida sono individuate le soluzioni tecniche idonee a garantire la protezione, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati e la continuità operativa dei sistemi e delle infrastrutture”, e l’art. 73, comma 3-ter, lett. b), del CAD, ai sensi del quale “Il SPC è costituito da un insieme di elementi che comprendono: […]; b) linee guida e regole per la cooperazione e l'interoperabilità”;

Vista la nota del 25 maggio 2021, con la quale AgID ha trasmesso all’Autorità, ai fini dell’espressione del relativo parere, gli schemi relativi alle seguenti Linee guida:

a) “Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni”, di cui all’art. 73, comma 3-ter, lett. b), del CAD. Tale schema è integrato dai seguenti documenti operativi: “Pattern di interazione”, “Pattern di sicurezza”, “Profili di interoperabilità”, “Raccomandazioni di implementazione”;

b) “Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici”, di cui all’art. 73, comma 3-ter, lett. b), del CAD. Tale schema è integrato dai seguenti allegati: “Raccomandazioni in merito allo standard Transport Layer Security (TLS)”, “Raccomandazioni in merito agli algoritmi per XML Canonicalization, Digest and signature public key SOAP e Digest and signature public key REST”;

Considerato che, in base a quanto ivi contenuto:

a) le “Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni” “individuano le tecnologie e gli standard che le Pubbliche Amministrazioni devono tenere in considerazione durante la realizzazione dei propri sistemi informatici, al fine di permettere il coordinamento informativo e informatico dei dati tra le amministrazioni centrali, regionali e locali, nonché tra queste e i sistemi dell’Unione Europea, con i gestori di servizi pubblici e dei soggetti privati”, nonché “contribuiscono alla definizione del Modello di Interoperabilità della PA (in breve ModI), focalizzandosi sulle tecnologie e le loro modalità di utilizzo, per assicurare lo scambio di dati tra le PA, e tra queste e i soggetti privati; in esse sono definiti i contesti di interazione e integrazione tra le PA, i cittadini e le imprese”, in coerenza con l’“European Interoperability Framework (in breve EIF) oggetto della Comunicazione COM (2017) 134 della Commissione Europea del 23 marzo 2017, al fine di assicurare l’interoperabilità nel contesto Europeo e per l’attuazione del Digital Single Market (Mercato Unico Digitale)”;

b) le “Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici” “si focalizzano sulle tecnologie e le loro modalità di utilizzo al fine di garantire la sicurezza delle transazioni digitali realizzate tra e verso le pubbliche amministrazioni che utilizzano le application programming interface tramite rete di collegamento informatica (di seguito API)”, individuando “le soluzioni tecniche idonee a garantire l’autenticazione dei soggetti coinvolti e la protezione, l’integrità e la riservatezza dei dati scambiati nelle interazioni tra sistemi informatici della pubblica amministrazione e di questi con i sistemi informatici di soggetti privati per il tramite di API”;

Considerato, altresì, che entrambi i citati schemi di Linee guida sono destinati ai soggetti di cui all’art. 2, comma 2, del CAD (cioè, pubbliche amministrazioni, gestori di servizi pubblici e società a controllo pubblico), ma che sono rivolti anche ai soggetti privati che devono interoperare con la pubblica amministrazione per fruire di dati e/o di servizi tramite sistemi informatici;

Rilevato che gli schemi di Linee guida sottoposti ad esame, nel definire il Modello di Interoperabilità della PA (ModI) e le interazioni, per il tramite di API (cioè le interfacce di programmazione delle applicazioni), tra i sistemi informatici della pubblica amministrazione – nonché tra questi e i sistemi informatici di soggetti privati – intendono promuovere la realizzazione di un modello organizzativo che individua ruoli e responsabilità dei vari soggetti chiamati a darvi attuazione;

Rilevato che viene, altresì, definito un quadro di garanzie e di misure volte ad assicurare l’integrità e la riservatezza dei dati oggetto di comunicazione nelle interazioni tra i sistemi informatici coinvolti nel processo di interoperabilità, nonché a soddisfare esigenze di privacy by design e by default, in coerenza con gli obblighi a questo fine stabiliti dal Regolamento (cfr., in particolare, gli artt. 5, par., 1, lett. f), 25 e 32);

Ritenuto, pertanto, che sugli schemi di Linee guida in esame non vi sono rilievi da formulare, fermo restando che i flussi di dati personali che saranno instaurati attraverso il richiamato Modello di Interoperabilità della PA dovranno comunque trovare un legittimo fondamento in una base giuridica idonea ai sensi della disciplina in materia di protezione dei dati personali e corredata delle adeguate garanzie a tutela dei diritti e delle libertà degli interessati (cfr. artt. 5, par. 1, lett. a), 6, 9 e 10 del Regolamento e artt. 2-ter, 2-sexies e 2-octies del Codice), tra soggetti che rivestono ruoli conformi a quanto stabilito dal Regolamento (cfr. artt. 24 e ss.), nel rispetto dei principi stabiliti dal medesimo Regolamento all’art. 5 – come peraltro ribadito dallo stesso CAD laddove stabilisce che i dati trattati dalle pubbliche amministrazioni siano resi accessibili e fruibili alle altre amministrazioni nel rispetto della normativa in materia di protezione dei dati personali e quando l’utilizzazione del dato medesimo sia necessaria per lo svolgimento dei compiti istituzionali dell'amministrazione richiedente (cfr. art. 50, comma 2);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi degli artt. 36, par. 4, e 57, par. 1, lett. c), del Regolamento, esprime parere favorevole sui seguenti schemi di Linee guida, predisposti da AgID e corredati dall’allegata documentazione:

a) “Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni”;

b) “Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici”.

Roma, 8 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

 


Vedi anche (9)