g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Consultazione preventiva per adozione della DPIA
  4. Provvedimento del 21 dicembre 2023 [9976614]

Provvedimento del 21 dicembre 2023 [9976614]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9976614]

Provvedimento del 21 dicembre 2023

Registro dei provvedimenti
n. 604 del 21 dicembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO l’art. 1, comma 402, della legge 27 dicembre 2019, n. 160 e ss.mm., ai sensi del quale, “Al fine di rendere più semplice, efficiente, sicura ed economica la notificazione con valore legale di atti, provvedimenti, avvisi e comunicazioni della pubblica amministrazione, con risparmio per la spesa pubblica e minori oneri per i cittadini, la Presidenza del Consiglio dei ministri, tramite la società di cui all'articolo 8, comma 2, del decreto-legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12, sviluppa una piattaforma digitale per le notifiche. La società di cui al primo periodo affida, in tutto o in parte, lo sviluppo della piattaforma al fornitore del servizio universale di cui all'articolo 3 del decreto legislativo 22 luglio 1999, n. 261, anche attraverso il riuso dell'infrastruttura tecnologica esistente di proprietà del suddetto fornitore”;

VISTO l’art. 26 del decreto legge 16 luglio 2020, n. 76, convertito, con modificazioni, dalla legge 11 settembre 2020, n. 120, e ss.mm., il quale si occupa di fornire la disciplina normativa della “Piattaforma notifiche digitali” (di seguito, PN), disponendo, in particolare, che:

- “Ai fini della notificazione di atti, provvedimenti, avvisi e comunicazioni, in alternativa alle modalità previste da altre disposizioni di legge, anche in materia tributaria, le amministrazioni possono rendere disponibili telematicamente sulla piattaforma i corrispondenti documenti informatici. […] il gestore della piattaforma assicura l'autenticità, l'integrità, l'immodificabilità, la leggibilità e la reperibilità dei documenti informatici resi disponibili dalle amministrazioni e, a sua volta, li rende disponibili ai destinatari, ai quali assicura l'accesso alla piattaforma, personalmente o a mezzo delegati, per il reperimento, la consultazione e l'acquisizione dei documenti informatici oggetto di notificazione. Ciascuna amministrazione […]. La piattaforma può essere utilizzata anche per la trasmissione di atti, provvedimenti, avvisi e comunicazioni per i quali non è previsto l'obbligo di notificazione al destinatario” (comma 3);

- “Il gestore della piattaforma, con le modalità previste dal decreto di cui al comma 15, per ogni atto, provvedimento, avviso o comunicazione oggetto di notificazione reso disponibile dall'amministrazione, invia al destinatario l'avviso di avvenuta ricezione, con il quale comunica l'esistenza e l'identificativo univoco della notificazione (IUN), nonché le modalità di accesso alla piattaforma e di acquisizione del documento oggetto di notificazione” (comma 4);

- l'avviso di avvenuta ricezione, in formato elettronico, è inviato con modalità telematica ai destinatari titolari di un indirizzo di posta elettronica certificata (di seguito, PEC) o di un servizio elettronico di recapito certificato qualificato (comma 5): inserito negli elenchi IPA, INI-PEC o INAD (di cui, rispettivamente, agli artt. 6-bis, 6-ter, e 6-quater del decreto legislativo 7 marzo 2005, n. 82 – di seguito, CAD); eletto come domicilio speciale per determinati atti o affari, se a tali atti o affari è riferita la notificazione; eletto per la ricezione delle notificazioni delle pubbliche amministrazioni (di seguito, PA Mittenti) effettuate tramite la PN;

- è previsto altresì l’invio, da parte del gestore della PN, di un avviso di cortesia in modalità informatica contenente le stesse informazioni dell'avviso di avvenuta ricezione, il quale viene reso disponibile altresì tramite il punto di accesso telematico di cui all'art. 64-bis del CAD (comma 5-bis);

- la disciplina in caso di mancata consegna dell’avviso di avvenuta ricezione (comma 6) e di notifica del medesimo nei confronti di destinatari privi del domicilio digitale tra quelli di cui al precedente comma 5 (comma 7);

- autenticandocisi alla PN con SPID o CIE si può accedere all’area riservata, ove sono consentiti il reperimento, la consultazione e l'acquisizione dei documenti informatici oggetto di notifica, nonché la copia informatica dell'avviso di avvenuta ricezione cartaceo e degli atti relativi alla notificazione effettuata; accesso che viene assicurato anche mediante il menzionato punto di accesso telematico. I destinatari possono anche conferire apposita delega per l'accesso alla PN a uno o più delegati (commi 8 e 12);

- il gestore della PN, con le modalità previste dal decreto di cui al successivo comma 15, forma e rende disponibili sulla PN medesima, alle PA Mittenti e ai destinatari, le attestazioni opponibili ai terzi (tra cui, ad esempio, la data di messa a disposizione dei documenti informatici sulla PN da parte delle PA Mittenti, o l'indirizzo del destinatario risultante alla data dell'invio dell'avviso di avvenuta ricezione) (comma 11);

- con uno o più decreti del Presidente del Consiglio dei Ministri, o del Ministro delegato per l'innovazione tecnologica e la digitalizzazione, sentiti il Ministro dell'economia e delle finanze e il Garante per la protezione dei dati personali per gli aspetti di competenza, acquisito il parere in sede di Conferenza unificata, vengono disciplinate, in particolare, le modalità di funzionamento della PN (comma 15);

- il gestore della PN si avvale del fornitore del servizio universale di cui all'art. 3 del decreto legislativo 22 luglio 1999, n. 261, anche per effettuare la consegna della copia cartacea degli atti oggetto di notificazione e garantire, su tutto il territorio nazionale, l'accesso universale alla PN e al nuovo servizio di notificazione digitale (comma 20);

- “Al fine di garantire la piena informazione dei soggetti sprovvisti di domicilio digitale, fino al 30 novembre 2023 il gestore della piattaforma invia al destinatario che non abbia eletto domicilio digitale, qualora non abbia già perfezionato la notifica tramite accesso alla piattaforma ai sensi del comma 9, lettera b), numero 3), una copia analogica dell'atto unitamente all'avviso di avvenuta ricezione in forma cartacea […]” (comma 22-bis);

VISTO il decreto del Ministro per l’innovazione tecnologica e la transizione digitale 8 febbraio 2022, n. 58, rubricato Regolamento recante piattaforma per la notificazione degli atti della pubblica amministrazione (di seguito, decreto) – adottato ai sensi dell’art. 26, comma 15, del d.l. 76/2020 e su cui il Garante ha espresso parere favorevole con provv. n. 369 del 14 ottobre 2021 (disponibile su www.garanteprivacy.it, doc. web n. 9716841) – che si occupa di disciplinare le modalità di funzionamento della PN e che, in particolare, all’art. 14 prevede che:

- le PA Mittenti “sono titolari del trattamento dei dati utilizzati per l'invio al gestore della piattaforma degli atti da notificare, nonché per la trasmissione e conservazione degli stessi” (comma 1);

- il gestore della PN “è titolare del trattamento dei dati necessari all'accesso alla piattaforma a mezzo SPID o CIE da parte dei destinatari, dei dati necessari per l'adesione e l'accesso dei mittenti, e di ogni altro dato inerente alla gestione di ogni attività strumentale all'utilizzo della piattaforma stessa, ivi inclusa l'acquisizione dei domicili digitali delle persone fisiche” (comma 2), mentre “agisce per conto dei mittenti, in qualità di responsabile del trattamento ai sensi dell'articolo 28 del Regolamento UE 2016/679 per i trattamenti diversi da quelli di cui al comma 2 e necessari alla gestione del servizio di notificazione, di invio degli avvisi di cortesia e degli avvisi di pagamento tramite la piattaforma” (comma 3);

- l’Addetto al recapito postale “agisce come titolare del trattamento per l'espletamento delle funzioni a lui affidate ai fini della fornitura del servizio di spedizione degli atti da notificare in modalità analogica” (comma 4);

- il fornitore del servizio universale “agisce come responsabile del trattamento per lo sviluppo della piattaforma anche attraverso il riuso dell'infrastruttura tecnologica esistente” (comma 5);

- “Il gestore della piattaforma effettua, prima dell'inizio dell'attività di trattamento, la valutazione di impatto ai sensi dell'articolo 35 del Regolamento (UE) 679/2016 e consulta il Garante per la protezione dei dati personali ai sensi dell'art. 36 dello stesso Regolamento. Nella valutazione di impatto sono indicate tra l'altro, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonché le eventuali misure poste a tutela dei diritti e delle libertà degli interessati” (comma 8);

VISTA la richiesta di parere pervenuta, da ultimo, in data 12 dicembre 2023, anche a seguito delle interlocuzioni con l’Ufficio del Garante, con la quale PagoPA S.p.A. (di seguito, PagoPA), in qualità di gestore della PN ai sensi dell’art. 1, lett. n), del decreto, ha sottoposto all’Autorità, ai sensi dell’art. 14, comma 8, del medesimo decreto, la valutazione d’impatto sulla protezione dei dati di cui all’art. 35 del Regolamento (di seguito, DPIA), unitamente ai relativi allegati, concernente i trattamenti effettuati nell’ambito della PN stessa;

RILEVATO che la DPIA in esame si occupa, in particolare, di:

- descrivere nel dettaglio le attività di trattamento effettuate, che comprendono, in particolare, quelle di registrazione/adesione e di de-registrazione della PA Mittente alla PN, l’accesso e la gestione dei Referenti della PA Mittente sulla PN, di conservazione degli atti notificati e degli ulteriori dati trattati, di deposito delle notifiche sulla PN da parte della PA Mittente, di invio dell’Avviso di avvenuta ricezione e dell’Avviso di cortesia, di invio della lettera raccomandata contenente l’avviso di avvenuta ricezione, di accesso del destinatario alla copia analogica dei documenti relativi alla notifica o dell’avviso di avvenuta ricezione non consegnato anche in favore di persone prive degli strumenti digitali necessari ad accedere alla PN per il tramite dei c.d. servizi RADD, di registrazione/accesso e gestione delle preferenze (ad esempio, quelle relative all’indicazione dei recapiti digitali), di consultazione dei documenti informatici oggetto di notificazione e di ogni altro documento disponibile nella PN, di raccolta dei dati di navigazione sul portale, di aggregazione dei dati acquisiti a fini di miglioramento dei servizi e sviluppo e valorizzazione del patrimonio aziendale;

- precisare, per ciascuna di tali attività di trattamento, le finalità perseguite, i ruoli dei soggetti coinvolti nel trattamento, le tipologie di dati trattati, le categorie di interessati cui tali dati si riferiscono e i tempi di conservazione dei medesimi dati;

- valutare i possibili rischi per i diritti e le libertà fondamentali degli interessati connessi al trattamento dei dati personali in esame effettuato nell’ambito della PN e, conseguentemente, individuare le misure tecniche e organizzative volte a mitigarli, nonché ad assicurare la minimizzazione e l’accuratezza dei dati trattati e la proporzionalità del trattamento;

- individuare i responsabili del trattamento (che divengono sub-responsabili nei casi in cui PagoPA agisce in qualità di responsabile del trattamento per conto delle PA Mittenti titolari) ai sensi dell’art. 28 del Regolamento, specificando di aver privilegiato fornitori situati sul territorio nazionale e dell’UE, e, nel caso in cui si tratti di soggetti facenti parte di gruppi internazionali, di aver provveduto, laddove possibile, a istruirli circa la necessità di conservare i dati personali nel territorio dell’UE. Al riguardo, PagoPA ha aggiunto che, “Alla luce del mutato assetto normativo derivante in particolare dalla decisione di adeguatezza sul quadro UE-USA per la protezione dei dati personali del 10 luglio 2023, si evidenzia che i fornitori stranieri coinvolti nelle attività di trattamento che effettuano, anche tramite proprie affiliate ed anche in via residuale, trasferimenti verso gli Stati Uniti, hanno aderito al Data Privacy Framework e/o hanno implementato idonei meccanismi (incluse le Clausole Contrattuali Standard)”, allegando copia della documentazione relativa ai rapporti instaurati con i fornitori e la valutazione d’impatto sul trasferimento dei dati recante le misure contrattuali e tecniche/organizzative adottate “(ivi incluse, a titolo esemplificativo, segregazione dei dati, cifratura, access control e log protection) implementate a protezione dei dati nei residuali casi di trasferimento di dati all’estero”;

CONSIDERATO che la DPIA in esame tiene conto, in gran parte, delle osservazioni fornite dall’Ufficio nel corso delle interlocuzioni intercorse durante l’istruttoria al fine di rendere conformi i trattamenti ivi descritti alla normativa in materia di protezione dei dati personali, in ossequio ai principi di accountability e di privacy by design e by default (artt. 5, par. 2, 24 e 25 del Regolamento), che hanno riguardato, nello specifico:

- la corretta definizione dei ruoli assunti dai diversi soggetti coinvolti nel trattamento dei dati personali, con particolare riferimento ai dati personali acquisiti dai Registri delle imprese e dall’elenco INI-PEC, nonché ai compiti svolti dall’Addetto al recapito postale o a quelli concernenti la messa a disposizione della copia analogica dei documenti per il tramite dei servizi RADD, nel rispetto del principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento). Al riguardo, appare utile evidenziare che la PN richiede che l’utente possieda SPID o CIE per potersi autenticare sul portale web di piattaforma o su App IO; tramite i c.d. Servizi RADD (Rete di Assorbimento del Divario Digitale), è quindi consentito ai destinatari, con particolare riguardo a quelli in divario digitale, accedere alla piattaforma tramite un soggetto terzo, opportunamente abilitato, per ottenere la copia cartacea degli atti inerenti la notifica al fine di garantire su tutto il territorio nazionale l'accesso universale alla piattaforma e al nuovo servizio di notificazione digitale;

- l’individuazione di misure volte ad assicurare, nel rispetto dei principi di liceità, correttezza e trasparenza e di minimizzazione dei dati (art. 5, par. 1, lett. a) e c), del Regolamento), che il gestore invii la notifica, sulla base della natura dell’atto da notificare, al domicilio digitale specificamente preposto a ricevere le comunicazioni di natura personale o professionale;

- la previsione di misure volte a far sì che le PA Mittenti, in qualità di titolari del trattamento, utilizzino i servizi offerti dalla PN in conformità ai principi di liceità, correttezza e trasparenza e di accountability (art. 5, parr. 1, lett. a), e 2, e art. 24 del Regolamento), come quelle concernenti, ad esempio, la modifica del domicilio digitale speciale da parte dei destinatari o la gestione dei documenti resi disponibili dalla PN mediante gli strumenti in uso dalla PA Mittente stessa;

- l’avvio di analisi volte a introdurre misure quali l’invio della comunicazione circa la modifica dei domicili digitali di piattaforma e del recapito digitale (cioè il canale di comunicazione diverso dal domicilio digitale, ovvero cellulare ed e-mail) anche al domicilio o recapito in uso prima della modifica, nel rispetto del principio di integrità e riservatezza e degli obblighi di sicurezza (artt. 5, par. 1, lett. f), e 32 del Regolamento);

- la qualificazione delle figure, e dei relativi compiti ad esse assegnati, autorizzate ad accedere alla PN e a operare su di essa, con particolare riferimento a quelle individuate dalle PA mittenti, nel rispetto del principio di integrità e riservatezza e degli obblighi di sicurezza (artt. 5, par. 1, lett. f), 29 e 32 del Regolamento);

- l’individuazione di misure volte ad assicurare il rispetto dei principi di minimizzazione dei dati e di integrità e riservatezza e degli obblighi di sicurezza (artt. 5, par. 1, lett. c) e f), e 32 del Regolamento) nell’ambito del procedimento di acquisizione mediante i servizi RADD, da parte dei destinatari, della copia analogica dei documenti oggetto di notifica e degli Avvisi di avvenuta ricezione non recapitati, prevedendo, in tale ambito, l’acquisizione dei soli estremi del documento di identità del destinatario, in luogo di copia del documento d’identità, quale misura di contemperamento tra le esigenze di identificazione e i rischi connessi alla conservazione delle copie dei documenti d’identità (che può comportare utilizzi impropri, tra cui furti d’identità);

- la previsione di limitazioni rispetto alle operazioni di aggregazione dei dati acquisiti dal gestore a fini di sviluppo e valorizzazione del patrimonio informativo, nel rispetto dei principi di limitazione della finalità e di minimizzazione dei dati (art. 5, par. 1, lett. b) e c), del Regolamento);

RILEVATO, altresì, che la DPIA prevede:

- l’introduzione di un campo denominato “causale” (definito quale “l’oggetto della notifica, ovvero titolo dell'avviso/atto/provvedimento/comunicazione (ossia il campo di 134 caratteri come individuato nel Manuale Operativo liberamente valorizzabili dalle PA Mittenti)”), nell’ambito delle attività consistenti, in particolare, nel deposito delle notifiche dalla PA Mittente sulla PN, nell’invio dell’Avviso di avvenuta ricezione, dell’Avviso di cortesia e della lettera raccomandata nonché nella messa a disposizione di copia analogica dei documenti mediante i servizi RADD, derivante dall’esigenza di facilitare la comprensione del contenuto dell’atto da parte del destinatario; tale previsione non sarebbe in contrasto con quanto disposto in relazione alla notifica “analogica” – in cui non è consentito apporre sulla busta segni o indicazioni dai quali possa desumersi il contenuto dell'atto qualora questa non sia consegnata nelle mani del destinatario – tenuto conto delle diverse modalità di recapito che caratterizzano quella “digitale”. Al riguardo, PagoPA S.p.A. ha rappresentato l’intenzione di fornire, in ogni caso, indicazioni alle PA Mittenti circa la necessità di compilare il campo con un “livello di astrazione sufficientemente alto”;

- in relazione alle attività connesse alla stampa dei documenti oggetto di notifica e degli Avvisi di avvenuta ricezione da parte dell’operatore RADD, misure di mitigazione volte a “minimizzare la visibilità dei dati personali da parte dell’operatore e i rischi legati ad usi impropri da parte dello stesso”, fornendo indicazioni al fornitore del servizio RADD quali “la stampa della pagina bianca prima della stampa dei documenti; la consegna al delegato dell’atto stampato in busta chiusa (o altre misure equivalenti); il divieto di effettuare più copie dello stesso atto se non necessitate dal caso specifico; il divieto di effettuare più download per lo stesso atto; la copia dell’atto scaricato su altri supporti, etc)”; al riguardo, viene riportato che “La società sta ad ogni modo valutando la possibilità di inibire ab origine determinate azioni che l’operatore del servizio RADD può effettuare sul documento, ad esempio prevedendo l’inibizione all’azione di download o di copia, ma permettendo solo l’azione della stampa diretta del documento”;

CONSIDERATO, con riferimento ai profili suesposti, che, in relazione ai principi di liceità, correttezza e trasparenza, di minimizzazione dei dati, di integrità e riservatezza, di accountability e di privacy by design e by default e agli obblighi di sicurezza (art. 5, parr. 1, lett. a), c) e f), e 2, e artt. 24, 25 e 32 del Regolamento):

- l’indicazione della causale del documento oggetto di notifica, non prevista dal decreto (cfr. spec. art. 6, comma 2), presenta, in alcuni casi, criticità che, pur considerando le misure individuate nella DPIA, determinano in ogni caso rischi per la riservatezza del destinatario, con la possibilità che terzi possano avere contezza della tipologia di atto oggetto di notifica (che, in molti casi, attiene a contenuti pregiudizievoli per lo stesso) – ad esempio, in caso di notifica di un atto avente carattere personale presso un domicilio digitale ad uso professionale, oppure in caso di acquisizione mediante operatore RADD dell’Avviso di avvenuta ricezione in cui tale campo è presente – tenuto anche conto delle ormai consolidate garanzie, introdotte nell’ordinamento nel 2003 ad opera dell’art. 174 del Codice all’epoca vigente, in merito alla notificazione di atti e di documenti da parte di organi delle pubbliche amministrazioni a soggetti diversi dagli interessati o da persone da essi delegate, nonché a comunicazioni ed avvisi circa il relativo contenuto (cfr. art. 15-bis del d.P.R. 28 dicembre 2000, n. 445, che rinvia all’art. 137 c.p.c., ai sensi del quale, in caso di notificazione analogica, se la notificazione non può essere eseguita in mani proprie del destinatario, “sulla busta non sono apposti segni o indicazioni dai quali possa desumersi il contenuto dell'atto”);

- parimenti, in relazione alle attività connesse alla stampa dei documenti oggetto di notifica e degli Avvisi di avvenuta ricezione da parte dell’operatore RADD, al fine di mitigare i rischi di visualizzazione indebita di specifiche informazioni relative al destinatario, si rende necessario fin da subito impostare l’applicativo utilizzato nell’ambito dei servizi RADD con modalità che:

• impediscano all’operatore RADD di effettuare download o copie dei documenti oggetto di notifica e degli Avvisi di avvenuta ricezione;

• non consentano all’operatore RADD la visualizzazione dei documenti oggetto di notifica e degli Avvisi di avvenuta ricezione, nonché delle causali ad esse riferiti;

• sulla pagina bianca resa dalla stampante prima dei documenti stampati, siano riportati il numero delle pagine nonché informazioni che consentano all’operatore RADD di individuare correttamente il soggetto a cui consegnare l’atto (ad esempio, riportando il nome e il cognome del destinatario), soprattutto in caso di stampanti condivise nell’ambito dell’ufficio RADD o di stampe multiple;

RITENUTO, pertanto, di poter autorizzare PagoPA S.p.A. a effettuare i trattamenti di dati personali nell’ambito della PN, a condizione che siano individuate misure volte a:

a) limitare la visibilità della causale ai casi in cui sia certa la notifica nelle mani proprie del destinatario dell’atto oggetto di notifica;

b) impedire all’operatore RADD di effettuare download o copie dei documenti oggetto di notifica e degli Avvisi di avvenuta ricezione;

c) non consentire all’operatore RADD la visualizzazione dei documenti oggetto di notifica e degli Avvisi di avvenuta ricezione, nonché delle causali ad esse riferiti;

d) riportare, sulla pagina bianca resa dalla stampante prima dei documenti stampati, il numero delle pagine nonché informazioni che consentano all’operatore RADD di individuare correttamente il soggetto a cui consegnare l’atto, soprattutto in caso di stampanti condivise nell’ambito dell’ufficio RADD;

CONSIDERATO, infine, che il 10 luglio 2023 la Commissione europea ha adottato, ai sensi dell’art. 45 del Regolamento, la decisione che stabilisce un livello di protezione adeguato dei dati personali (c.d. decisione di adeguatezza) con riferimento ai trasferimenti di dati personali effettuati nell’ambito del “EU-US Data Privacy Framework” (di seguito, DPF) verso le organizzazioni statunitensi che hanno aderito al programma DPF e sono incluse nella lista dei partecipanti al DPF (c.d. DPF list), gestita e pubblicata dal Dipartimento del commercio degli USA, e che, al riguardo, il Comitato europeo per la protezione dei dati (di seguito, Comitato) ha adottato una nota informativa che – nel fornire indicazioni sull'impatto della decisione di adeguatezza, sulle implicazioni del DPF e sul nuovo meccanismo di ricorso in materia di sicurezza nazionale – chiarisce, ad esempio, che i trasferimenti basati su decisioni di adeguatezza non devono essere integrati da misure supplementari, e i trasferimenti verso gli USA nei confronti di organizzazioni non incluse nella DPF list richiedono tutele adeguate, come clausole tipo di protezione dei dati o norme vincolanti d’impresa (cfr. https://edpb.europa.eu/system/files/2023-07/edpb_informationnoteadequacydecisionus_en.pdf);

RITENUTO che i soggetti di cui PagoPA S.p.A. si avvale per fornire i servizi previsti dalla PN, i quali pongano in essere trasferimenti di dati personali verso gli USA, pur avendo aderito al DPF – e, quindi, risultando sottoposti alle garanzie previste dalla decisione di adeguatezza – in quanto responsabili del trattamento per conto della medesima Società sono tenuti a rispettare gli obblighi previsti dall’art. 28 del Regolamento, restando in ogni caso fermo che deve essere altresì tenuto conto di quanto indicato nel report 2022 Coordinated Enforcement Action Use of cloud-based services by the public sector adottato dal Comitato il 17 gennaio 2023 (reperibile alla pagina web https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-use-cloud-based-services-public_en), al fine di assicurare il rispetto del Regolamento nel momento in cui un soggetto che esercita compiti di interesse pubblico si avvale di servizi cloud;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 5, e 58, par. 3, lett. c), del Regolamento e dell’art. 14, comma 8, del decreto del Ministro per l’innovazione tecnologica e la transizione digitale 8 febbraio 2022, n. 58, autorizza PagoPA S.p.A. a effettuare i trattamenti di dati personali nell’ambito della Piattaforma notifiche digitali, nei termini e con le modalità previsti nella valutazione d’impatto sulla protezione dei dati di cui all’art. 35 del Regolamento, a condizione che siano individuate misure volte a:

a) limitare la visibilità della causale ai casi in cui sia certa la notifica nelle mani proprie del destinatario dell’atto oggetto di notifica;

b) impedire all’operatore RADD di effettuare download o copie dei documenti oggetto di notifica e degli Avvisi di avvenuta ricezione;

c) non consentire all’operatore RADD la visualizzazione dei documenti oggetto di notifica e degli Avvisi di avvenuta ricezione, nonché delle causali ad esse riferiti;

d) riportare, sulla pagina bianca resa dalla stampante prima dei documenti stampati, il numero delle pagine nonché informazioni che consentano all’operatore RADD di individuare correttamente il soggetto a cui consegnare l’atto, soprattutto in caso di stampanti condivise nell’ambito dell’ufficio RADD.

Roma, 21 dicembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9976614
Data
21/12/23

Argomenti

Misure di sicurezza Pubblica Amministrazione Conservazione di dati Informativa Trasferimento dati all'estero DPIA Cloud Minimizzazione

Tipologie

Consultazione preventiva per adozione della DPIA