DIGITALIZZAZIONE DEI SERVIZI PUBBLICI COMUNALI: LE NUOVE LINEE GUIDA SULLA PIATTAFORMA DIGITALE NAZIONALE DATI (PDND) E GLI OBBLIGHI DI INTEROPERABILITÀ ANCHE PER I PARTNER TECNLOGICI PRIVATI

Le nuove linee guida sulla Piattaforma Digitale Nazionale Dati (PDND) abilitando i partner tecnologici privati all’adesione alla Piattaforma PDND sia come fruitori o come erogatori di servizi per attività connesse a finalità di interesse pubblico estendono alle Organizzazioni diverse dagli enti pubblici gli obblighi di interoperabilità rappresentano un ulteriore progressione verso una compiuta realizzazione di un ecosistema digitale cd. integrato perché’ aperto a soggetti esterni alla P.A. secondo modello di interoperabilità delle pubbliche amministrazioni (ModI), definito da AgID ai sensi dell’art. 73, comma 3-bis, lett. b) del CAD, in applicazione dei principi introdotti dal nuovo European Interoperability Framework.

La Digitalizzazione dei Servizi Pubblici e il percorso normativo dell’interoperabilità. Dal CAD all’introduzione della Piattaforma PDND

La digitalizzazione dei servizi pubblici in Italia ha visto il proprio avvio con l’emanazione del Decreto Legislativo 82/2005, il Codice dell’Amministrazione Digitale (CAD) cui si deve l’introduzione del principio cardine di  “disponibilità dei dati”,  che imponeva per la prima volta alle PA l’obbligo di rendere fruibili i propri dati a tutte le altre amministrazioni che ne avessero avuto bisogno per fini istituzionali, evitando che i cittadini fornissero le stesse informazioni più volte (principio del “once only”).

L’attuazione pratica dell’interoperabilità, in questa prima fase, si è basata sul Sistema Pubblico di Connettività (SPC), gestito inizialmente dal CNIPA (poi DigitPA e infine AgID)

Questo modello, pur valido nei principi, richiedeva che ogni amministrazione sviluppasse e gestisse connessioni e servizi specifici per ogni singolo partner, generando frammentazione, oneri significativi e difficoltà di coordinamento. La mancanza di un hub centrale e standardizzato rendeva l’attivazione di nuovi scambi di dati un processo lungo e complesso, basato su accordi bilaterali e sviluppi ad hoc ed Comuni, in particolare quelli più piccoli, spesso non disponevano delle risorse tecniche ed economiche per implementare autonomamente le complesse regole tecniche dell’SPC.

L’implementazione tecnologica efficace e scalabile a livello nazionale,  è  in realtà avvenuta con introduzione di un’infrastruttura centrale e obbligatoria per l’interoperabilità: la Piattaforma Digitale Nazionale Dati (PDND) istituita dal  Decreto Legge 76/2020 (Decreto Semplificazioni e innovazione digitale), con l’introduzione dell’articolo 50-ter nel CAD la quale ha reso cogente

Completa il quadro in materia l’art. 64-bis CAD, il quale prevede che le pubbliche amministrazioni progettino e sviluppino i propri sistemi e servizi in maniera interoperabile, rendendo quest’ultimi fruibili in rete e anche in modalità digitale, ed esponendo per ciascuno di essi le relative interfacce di programmazione delle applicazioni (c.d. API, acronimo di Interfaccia di programmazione applicazioni, si tratta sostanzialmente delle interfacce applicative dei servizi informatici accessibili tramite la rete internet).

Un ruolo fondamentale per la realizzazione operativa della Piattaforma di Interscambio e’ stato svolto dall’ Agid (Agenzia per l’Italia Digitale)  incaricata, per espresso disposto normativo di cui  l’articolo 71 CAD, di adottare le linee guida applicative necessarie per l’attuazione delle disposizioni del CAD, con un potere vincolante e obbligo di preventiva consultazione pubblica e l’acquisizione dei pareri delle amministrazioni competenti. 

Le Linee Guida sono da intendersi “erga omnes”, cioè applicabili a tutti i soggetti indicati dalla norma, le pubbliche amministrazioni, gli organismi di diritto pubblico e le imprese pubbliche e private. 

E proprio i soggetti privati, nell’ottica di apertura del Framework Europeo sull’interoperabilità del 2017 , sono stati destinatari delle Linee Guida che si sono susseguite dal 2021 ed in particolare “Linee Guida sull’infrastruttura tecnologica della Piattaforma Digitale Nazionale Dati per l’interoperabilità dei sistemi informativi e delle basi di dati”, adottata con Determinazione n. 529/2021 del 15 settembre 2021 e successivamente aggiornata nel 2022.

Ha disciplinato le modalità con cui i soggetti privati possono aderire alla piattaforma (inizialmente come fruitori/erogatori in specifici contesti di interesse pubblico) ed i requisiti tecnologici e di sicurezza che i sistemi informativi devono rispettare per interagire con la piattaforma fornendo  indicazioni sui processi di accreditamento, identificazione e autorizzazione assicurati dalla stessa, sulle modalità con cui i soggetti interessati danno seguito alle reciproche transazioni per il tramite dell’infrastruttura, e sulle procedure di raccolta e conservazione delle informazioni relative agli accessi e alle transazioni effettuate per il tramite della piattaforma.

Le dette regole operative hanno ricevuto il vaglio del Garante per la protezione dei dati che attraverso un parere (doc. web n. 9732758 del 16 dicembre 2021) sullo schema delle Linee Guida sull’infrastruttura tecnologica della Piattaforma Digitale Nazionale Dati (PDND) in cui l’Autorita’ ha fornito diverse osservazioni e richiesto integrazioni, sottolineando la necessità di garantire un elevato livello di protezione dei dati personali nell’attuazione della piattaforma. I punti chiave della sua posizione includevano: 

• Base giuridica e finalità: Il Garante ha richiesto che venissero esplicitate con maggiore chiarezza le basi giuridiche e le finalità del trattamento dei dati all’interno della PDND, per assicurare la legittimità delle operazioni di interoperabilità.
• Principio di minimizzazione dei dati: È stata evidenziata l’importanza di rispettare il principio di minimizzazione, assicurando che le amministrazioni accedano solo ai dati strettamente necessari per erogare un determinato servizio, evitando accessi massivi o sproporzionati.
• Ruoli e responsabilità: Il Garante ha chiesto una definizione precisa dei ruoli (titolare, responsabile del trattamento) e delle responsabilità in capo ai vari soggetti coinvolti (AgID, fornitori di servizi, ecc.), soprattutto per quanto riguarda la gestione della sicurezza e le violazioni dei dati (data breach).
• Sicurezza e misure tecniche: Sono state sollecitate l’adozione di misure di sicurezza adeguate e l’implementazione di garanzie tecniche robuste per proteggere i dati durante lo scambio, in conformità con il GDPR.
• Trasparenza e informazione all’interessato: Il Garante ha raccomandato che venissero fornite informazioni chiare e accessibili ai cittadini (interessati) sulle modalità e le finalità del trattamento dei loro dati personali nell’ambito della piattaforma

Sebbene la piena apertura ai soggetti privati sia stata ulteriormente definita e potenziata con successivi aggiornamenti (in particolare nel 2025, come indicato da alcune fonti recenti), il documento del 2021 ha posto le fondamenta normative e tecniche iniziali per il loro coinvolgimento nell’ecosistema di interoperabilità nazionale, stabilendo le regole per l’accesso e lo scambio sicuro di dati.

Con il Decreto del Ministro per l’innovazione tecnologica e la transizione digitale 22 settembre 2022  sono stati poi stati specificati  gli obblighi e i termini di accreditamento alla Piattaforma digitale nazionale dati (PDND) da intendersi quale l’archivio unico della p.a. – attivo dall’ottobre 2022 – che consente l’interoperabilità dei sistemi informativi e delle basi dati pubbliche, secondo il principio dell’once only (“una volta per tutte”), evitando al cittadino di dover fornire più volte la stessa informazione a diverse amministrazioni.

Il provvedimento in particolare ha previsto le scadenze del l’obbligo delle le pubbliche amministrazioni ad  accreditarsi alla PDND, a sviluppare le interfacce di programmazione (API) ed a rendere disponibili le proprie basi dati sulla piattaforma entro il 30 settembre 2023 (per i gestori di servizi pubblici entro 31 marzo 2024 e per le società a controllo pubblico entro il 30 settembre 2024).

Servizi digitali erogati dai Comune e accesso alle banche dati

Con specifico riferimento ai servizi digitali comunali un riferimento e’ d’obbligo alla Circolare DAIT n. 73 del 31 maggio 2023 (o Circolare n. 3 Anagr. 2023) del Ministero dell’Interno – Dipartimento per gli Affari Interni e Territoriali che fornisce le istruzioni operative e le linee guida per consentire l’accesso dei Comuni (in particolare degli uffici non demografici) ai dati contenuti nell’Anagrafe Nazionale della Popolazione Residente (ANPR).

Il documento fornisce le indicazioni pratiche, i riferimenti normativi e le procedure tecniche che i Comuni devono seguire per integrare i propri sistemi informativi con l’ANPR tramite la PDND, con particolare ed esplicito riferimento a servizi quali a titolo esemplificativo:

• Uffici Tributi: per la verifica dei dati anagrafici e di residenza ai fini dell’applicazione di tasse e imposte locali (IMU, TARI, ecc.).

• Servizi Sociali: per l’erogazione di prestazioni assistenziali e sussidi basati sul nucleo familiare e la residenza.
• Uffici Elettorali e di Leva: per l’aggiornamento automatico delle liste elettorali.
• Polizia Locale: per verifiche relative alla residenza o al codice della strada.
• Uffici Scuola/Istruzione: per la gestione delle iscrizioni e dei servizi scolastici (es. mensa, trasporto).
• Uffici Cimiteriali: per la gestione delle concessioni cimiteriali e delle relative anagrafiche.
• Servizi Demografici (parte non anagrafica): ad esempio, per lo stato civile.

Detta circolare appare strategica perché’, sebbene non immediatamente riferibile ai partner tecnologici privati, impatta di certo sugli enti locali che necessariamente utilizzano software gestionali forniti da aziende private.

Affinché infatti  gli uffici comunali (tributi, sociali, ecc.) possano concretamente interrogare l’ANPR tramite la PDND, le software house devono integrare i loro gestionali con le API (Application Programming Interface) della Piattaforma Digitale Nazionale Dati

Spetta infatti ai partner privati (spesso incaricati dagli Affidatari dei Servizi n.q. di Responsabili Esterni) sviluppare le interfacce e i connettori che permettano al gestionale comunale di “dialogare” con la PDND in modo sicuro e conforme alle specifiche tecniche stabilite da AgID (Agenzia per l’Italia Digitale) e dal Dipartimento per la Trasformazione Digitale  nonché’ supportare i Comuni nell’accreditamento alla PDND, nella configurazione dei sistemi e nella formazione del personale sull’uso delle nuove funzionalità che consentono l’accesso ai dati ANPR. 

L’attuazione della PDND e le Nuove Linee Guida Agid 2025

Se l’articolo 50-ter  ha rappresentato l’architrave normativo che abilita l’ecosistema digitale nazionale per la condivisione efficiente e sicura dei dati tra enti pubblici, superando l’approccio tradizionale basato su convenzioni puntuali e promuovendo il principio “once only” (unica comunicazione) prevedendo in via generale la facoltà di abilitazione dei partner tecnologici privati, in qualità di erogatori o fruitori di servizi per attività connesse a finalità di interesse pubblico sulla Piattaforma Digitale Nazionale Dati (PDND)

Il 19 giugno 2025 è stata pubblicata la versione 2.0 delle Linee Guida sull’infrastruttura tecnologica della PDND: un’importante evoluzione del modello nazionale di interoperabilità. Il documento, frutto della collaborazione tra il Dipartimento per la trasformazione digitale, Agenzia per l’Italia Digitale (AgID) e PagoPA spa, introduce funzionalità avanzate e definizioni operative aggiornate finalizzate a potenziare lo scambio strutturato, sicuro e responsabile di dati e informazioni tra i sistemi informativi della pubblica amministrazione.

La nuova versione si distingue per un significativo potenziamento dell’infrastruttura su cui si fonda la Piattaforma digitale nazionale dati (PDND), non solo in termini di sicurezza e semplificazione amministrativa, ma anche sotto il profilo dell’apertura e inclusività del modello: per la prima volta, infatti, viene prevista la possibilità che anche i soggetti privati, nell’ambito di attività connesse a finalità di interesse pubblico, operino all’interno dell’infrastruttura.

Conclusioni

La pubblicazione delle nuove Linee Guida si inserisce nella cornice delineata dall’art. 50-ter del Codice dell’Amministrazione Digitale (CAD) e rafforza la visione di una Pubblica amministrazione interoperabile, integrata e orientata al dato, secondo i principi di trasparenza, efficienza e once-only.

Le nuove Linee Guida confermano e potenziano il ruolo dell’infrastruttura PDND come hub tecnologico di interoperabilità, attraverso il quale i soggetti pubblici (e ora anche i soggetti privati) devono obbligatoriamente transitare per realizzare lo scambio di dati tramite servizi digitali e si configurano dunque come un tassello strategico per la piena realizzazione della trasformazione digitale del settore pubblico, con effetti diretti sulla semplificazione degli adempimenti per cittadini e imprese, sulla valorizzazione del patrimonio informativo nazionale e sull’allineamento dell’Italia ai più avanzati standard europei in materia di interoperabilità.

In prospettiva, le nuove funzionalità rappresentano una base solida per l’integrazione futura con ecosistemi digitali europei, come ad esempio il Digital Identity Wallet.

Si è detto come il Garante per la protezione dei dati personali abbia espresso un parere favorevole sullo schema delle linee guida, richiedendo specifiche garanzie per assicurare la conformità alla normativa tuttavia l’ apertura della Piattaforma Digitale Nazionale Dati (PDND) ai soggetti privati solleva in via potenziale diverse criticità in termini di GDPR e privacy, che richiedono un’attenta compliance.

Di seguito solo alcune delle aree di necessario monitoraggio per una necessaria accountability dei Titolari accreditati:

• Base Giuridica e Consenso: L’accesso dei privati ai dati della PA deve fondarsi su una solida base giuridica, come richiesto dall’art. 6 del GDPR. Sebbene le nuove linee guida prevedano il “previo consenso” dell’interessato, la gestione e la tracciabilità di tale consenso diventano complesse in un ecosistema di interoperabilità esteso. Assicurarsi che il consenso sia libero, specifico, informato e revocabile è fondamentale.
• Accountability: Le linee guida chiariscono che i soggetti accreditati (inclusi i privati) agiscono come titolari autonomi del trattamento. Ciò significa che ogni privato è direttamente responsabile della conformità GDPR per i dati che riceve e tratta, con tutti gli oneri e le responsabilità che ne conseguono, incluse le sanzioni in caso di non conformità.
• Sicurezza dei Dati (Data Security): L’aumento del numero di attori coinvolti (PA e innumerevoli privati) amplia la superficie di attacco e i potenziali rischi di sicurezza. È essenziale garantire che tutti i soggetti aderenti implementino misure di sicurezza adeguate (es. crittografia, controlli di accesso) per prevenire violazioni, accessi non autorizzati, o alterazioni accidentali o dolose dei dati.
• Principio di Minimizzazione dei Dati e Limitazione delle Finalità: La PDND gestisce spesso grandi volumi di dati, inclusi dati sensibili. Occorre garantire che i privati accedano solo ai dati strettamente necessari per la finalità dichiarata (minimizzazione) e che non li utilizzino per scopi diversi da quelli per cui sono stati originariamente forniti (limitazione delle finalità).
• Tracciabilità e Monitoraggio: Con un numero elevato di scambi, la tracciabilità delle operazioni diventa cruciale per rispondere a eventuali richieste dell’interessato o del Garante per la protezione dei dati personali. Le linee guida introducono funzionalità di monitoraggio, ma la loro efficacia dipende dalla corretta implementazione da parte di tutti gli aderenti.
• Valutazione d’Impatto sulla Protezione dei Dati (DPIA): Per i trattamenti che presentano un rischio elevato per i diritti e le libertà delle persone fisiche, come può essere lo scambio massivo di dati personali tra enti diversi, è obbligatorio effettuare una DPIA. L’apertura ai privati richiederà probabilmente valutazioni d’impatto specifiche e approfondite.
• Consapevolezza e Formazione: I soggetti privati, in particolare le piccole e medie imprese, potrebbero non avere la stessa preparazione delle PA in materia di normativa privacy. Sarà necessaria un’adeguata formazione per garantire che comprendano e rispettino gli obblighi del GDPR e delle linee guida AgID. 

[1]  Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comodo economico e sociale europeo e al Comitato delle regioni, “European Interoperability Framework – Implementation Strategy”, COM(2017) 134 final,  Document 52017DC0134, adottata il 23.03.2017 e  pubblicata sul sito web EU : https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52017DC0134

A cura dell’ Avv. Chiara De Angelis