Accesso area Extranet

Al fine di rispondere al quesito richiesto, si precisa preliminarmente che per “Area Extranet” si intenderà esclusivamente l’area dedicata all’accesso da parte di altre pubbliche amministrazioni/gestori di pubblici servizi ai sensi dell’art. 50 CAD, essendo pacifico che secondo il D.L. Semplificazioni (n. 76/2020) i Comuni possono consentire l’accesso dei privati cittadini ad un’area riservata per usufruire di determinati servizi solo ed esclusivamente mediante SPID/CIE/CNS, e le eventuali credenziali rilasciate in precedenza per tali finalità possono essere utilizzate fino a naturale scadenza, e comunque non oltre il 30.9.2021 (art. 24, comma 4, del predetto D.L.).

Da un punto di vista normativo, l’art. 50 – per i fini che qui rilevano – non ha subito modifiche a seguito dell’entrata in vigore del D.L. semplificazioni (ad eccezione dell’aggiunta del comma 3-ter sotto riportato), ragion per cui il testo vigente così dispone: “1. I dati delle pubbliche amministrazioni sono formati, raccolti, conservati, resi disponibili e accessibili con l'uso delle tecnologie dell'informazione e della comunicazione che ne consentano la fruizione e riutilizzazione, alle condizioni fissate dall'ordinamento, da parte delle altre pubbliche amministrazioni e dai privati; restano salvi i limiti alla conoscibilità dei dati previsti dalle leggi e dai regolamenti, le norme in materia di protezione dei dati personali ed il rispetto della normativa comunitaria in materia di riutilizzo delle informazioni del settore pubblico. 2. Qualunque dato trattato da una pubblica amministrazione, con le esclusioni di cui all'articolo 2, comma 6, salvi i casi previsti dall'articolo 24 della legge 7 agosto 1990, n. 241, e nel rispetto della normativa in materia di protezione dei dati personali, è reso accessibile e fruibile alle altre amministrazioni quando l'utilizzazione del dato sia necessaria per lo svolgimento dei compiti istituzionali dell'amministrazione richiedente, senza oneri a carico di quest'ultima, salvo per la prestazione di elaborazioni aggiuntive; è fatto comunque salvo il disposto degli articoli 43, commi 4 e 71, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445. 2-bis. Le pubbliche amministrazioni, nell'ambito delle proprie funzioni istituzionali, procedono all'analisi dei propri dati anche in combinazione con quelli detenuti da altri soggetti di cui all'articolo 2, comma 2, fermi restando i limiti di cui al comma 1. La predetta attività si svolge secondo le modalità individuate dall'AgID con le Linee guida. 2-ter. Le pubbliche amministrazioni certificanti detentrici dei dati di cui al comma 1 ne assicurano la fruizione da parte delle pubbliche amministrazioni e dei gestori di servizi pubblici, attraverso la predisposizione di accordi quadro. Con gli stessi accordi, le pubbliche amministrazioni detentrici dei dati assicurano, su richiesta dei soggetti privati di cui all'articolo 2 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, conferma scritta della corrispondenza di quanto dichiarato con le risultanze dei dati da essa custoditi, con le modalità di cui all'articolo 71, comma 4 del medesimo decreto. 3-bis. Il trasferimento di un dato da un sistema informativo a un altro non modifica la titolarità del dato. 3-ter. In caso di mancanza di accordi quadro, il Presidente del Consiglio dei ministri o il Ministro delegato per l'innovazione tecnologica e la digitalizzazione stabilisce un termine entro il quale le pubbliche amministrazioni interessate provvedono a rendere disponibili, accessibili e fruibili i dati alle altre amministrazioni pubbliche ai sensi del comma 2. L'inadempimento dell'obbligo di rendere disponibili i dati ai sensi del presente articolo costituisce mancato raggiungimento di uno specifico risultato e di un rilevante obiettivo da parte dei dirigenti responsabili delle strutture competenti e comporta la riduzione, non inferiore al 30 per cento, della retribuzione di risultato e del trattamento accessorio collegato alla performance individuale dei dirigenti competenti, oltre al divieto di attribuire premi o incentivi nell'ambito delle medesime strutture.”.

Anche a seguito dell’entrata in vigore del D.L. Semplificazioni, la normativa vigente stabilisce che la fruizione dei dati tra amministrazioni deve essere disciplinato da apposito accordo quadro, e ciò si ritiene anche ai fini del rilascio delle credenziali e delle modalità di accesso (che dovrà avvenire in linea con gli accorgimenti tecnici e le misure di sicurezza stabiliti dall’AGID e dal Garante per la protezione dei dati personali nei propri provvedimenti), e che non vi sia alcuna norma di legge vigente che, ai fini della predetta fruizione da parte di altre amministrazioni, impedisca il rilascio di credenziali a quest’ultime e imponga l’accesso solo mediante SPID.

La disposizione cui fa riferimento il quesito, infatti, si ritiene che sia l’art. 24, comma 4, D.L. Semplificazioni, secondo cui “Ai fini dell'attuazione dell'articolo 64, comma 3-bis, secondo periodo, del decreto legislativo 7 marzo 2005, n. 82, come modificato dal comma 1, lettera e), numero 6), dal 28 febbraio 2021, è fatto divieto ai soggetti di cui all'articolo 2, comma 2, lettera a) del predetto decreto legislativo n. 82 del 2005 di rilasciare o rinnovare credenziali per l'identificazione e l'accesso dei cittadini ai propri servizi in rete, diverse da SPID, CIE o CNS, fermo restando l'utilizzo di quelle già rilasciate fino alla loro naturale scadenza e, comunque, non oltre il 30 settembre 2021.”.

Analizzando tale disposizione, risulta che la stessa è finalizzata ad attuare l’art. 64, comma 3-bis, secondo periodo del CAD, secondo cui “Fatto salvo quanto previsto dal comma 2-nonies, a decorrere dal 28 febbraio 2021, i soggetti di cui all'articolo 2, comma 2, lettera a), utilizzano esclusivamente le identità digitali e la carta di identità elettronica ai fini dell'identificazione dei cittadini che accedono ai propri servizi in rete”.

Da una interpretazione letterale di tale norma, considerato che i soggetti che accedono all’area Extranet, più che essere genericamente individuabili come “cittadini”, sono più propriamente qualificabili come pubblici ufficiali o incaricati di pubblico servizio, e che la fruibilità dei dati tra amministrazioni risulta essere una fattispecie ad hoc disciplinata dall’art. 50 CAD e non un “servizio in rete” in termini generali, risulta pertanto che l’ambito applicativo della stessa riguarda l’identificazione di privati cittadini ai servizi online predisposti dalle pubbliche amministrazioni, e non alla fruizione dei dati da parte di altre pubbliche amministrazioni.

Tale interpretazione, inoltre, non sembra contrastare con l’impianto normativo sopra descritto, considerato che le disposizioni in questione non prevedono l’immediata entrata in vigore con validità erga omnes della disposizione che stabilisce l’identificazione dei soggetti che accedono ai servizi in rete delle pubbliche amministrazioni solo attraverso SPID: il successivo terzo periodo del predetto comma 3-bis, infatti, rimette ad apposito decreto governativo di stabilire la  data  a  decorrere  dalla  quale anche imprese e professionisti dovranno obbligatoriamente utilizzare le identità digitali per accedere a detti servizi, che – pertanto – nelle more continueranno ad utilizzare i precedenti sistemi di autenticazione (cfr. “Con decreto del Presidente del Consiglio dei ministri  o del  Ministro   delegato   per   l'innovazione   tecnologica   e   la digitalizzazione è stabilita la  data  a  decorrere  dalla  quale  i soggetti di cui all'articolo  2,  comma  2,  lettera  a),  utilizzano esclusivamente le identità digitali per consentire  l'accesso  delle imprese e dei professionisti ai propri servizi in rete”).

24 aprile 2021                    Alessandro Rizzo