Art. 59 D.P.R. 445/2000 — (R) Accesso esterno

Commento

Cooperazione applicativa tra PA

L'articolo 59 disciplina l'accesso esterno al sistema documentale di un'amministrazione da parte di altre pubbliche amministrazioni. La norma costituisce uno dei pilastri dell'interoperabilità: consente alle PA di acquisire direttamente, tramite servizi telematici, le informazioni e i documenti detenuti da altre PA, senza dover passare per il cittadino. L'attuazione di questo principio è la condizione per il pieno dispiegarsi dell'articolo 43 e per la realizzazione del modello once only europeo.

Strumenti di interoperabilità

Gli strumenti tecnici di interoperabilità si sono evoluti nel tempo. Il sistema pubblico di connettività e cooperazione (SPCoop), introdotto dal CAD nel 2005, ha rappresentato la prima generazione. La seconda generazione è costituita dalla Piattaforma Digitale Nazionale Dati (PDND), prevista dall'articolo 50-ter CAD, che funge da hub per lo scambio di dati e documenti fra PA. La PDND, gestita dal Dipartimento per la Trasformazione Digitale, integra oltre cento basi dati pubbliche e consente alle PA aderenti di interrogare in tempo reale ANPR, casellario, INPS, INAIL, registro imprese, MIUR, Agenzia delle Entrate.

Convenzioni tra amministrazioni

Per l'accesso a dati specifici, le PA stipulano convenzioni di cooperazione applicativa che definiscono ambito, modalità, tempi, sicurezza dell'accesso. Le convenzioni sono pubblicate per trasparenza e possono essere aderite da altre PA con procedure semplificate. Il modello convenzionale è particolarmente utilizzato per dati sensibili (es. dati sanitari fra Aziende sanitarie e Comuni) o per scambi a volume elevato. Le convenzioni richiamano le regole tecniche AgID e prevedono livelli di servizio (SLA) misurabili.

Limitazioni e principio di necessità

L'accesso esterno è limitato ai dati strettamente necessari all'esercizio delle competenze dell'amministrazione richiedente. Il principio di necessità, derivato dal GDPR (articolo 5, par. 1, lett. c), impone alla PA accedente di richiedere solo i dati che le servono e di non eccedere nello scopo. La PDND attua tecnicamente questo principio limitando l'accesso ai campi e ai record specificamente abilitati per ciascuna PA, secondo profili autorizzativi predefiniti. Ogni accesso è tracciato e auditabile.

Tutela della riservatezza

L'accesso esterno avviene sempre nel rispetto delle regole sulla protezione dei dati personali. Il Responsabile della Protezione dei Dati (DPO) della PA accedente e di quella che detiene i dati supervisiona la conformità degli scambi al GDPR. Per i dati sensibili (sanitari, giudiziari, biometrici) la base giuridica deve essere specificamente prevista da norma di legge o di regolamento. Le convenzioni e i protocolli di interoperabilità contengono valutazioni di impatto (DPIA) sulla protezione dei dati, secondo le linee guida del Garante Privacy.

Profili pratici e PNRR

Nella prassi l'interoperabilità fra PA ha registrato progressi significativi negli ultimi anni, accelerati dal PNRR. Il numero di PA aderenti alla PDND è in crescita costante; il numero di banche dati esposte come servizi è in aumento. L'obiettivo strategico è il pieno dispiegarsi del modello once only entro pochi anni, eliminando la necessità per il cittadino di farsi tramite cartaceo o digitale fra amministrazioni diverse. La realizzazione di questo obiettivo dipende da investimenti infrastrutturali (cloud sovrano, piattaforme nazionali), normativi (interoperabilità obbligatoria), organizzativi (formazione del personale, change management) e culturali (superamento delle resistenze burocratiche). L'articolo 59 fornisce la cornice normativa entro cui questi investimenti si sviluppano.