g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Parere del Garante
  4. Provvedimento del 25 settembre 2025 [10184542]

Provvedimento del 25 settembre 2025 [10184542]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10184542]

Provvedimento del 25 settembre 2025

Registro dei provvedimenti
n. 526 del 25 settembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTO l’art. 50-ter del d.lgs. 7 marzo 2005, n. 82 (di seguito, CAD), ai sensi del quale, in particolare:

“1. La Presidenza del Consiglio dei ministri promuove la progettazione, lo sviluppo e la realizzazione di una Piattaforma Digitale Nazionale Dati (PDND) finalizzata a favorire la conoscenza e l'utilizzo del patrimonio informativo detenuto, per finalità istituzionali, dai soggetti di cui all'articolo 2, comma 2, nonché la condivisione dei dati tra i soggetti che hanno diritto ad accedervi ai fini dell'attuazione dell'articolo 50 e della semplificazione degli adempimenti amministrativi dei cittadini e delle imprese, in conformità alla disciplina vigente.

2. La Piattaforma Digitale Nazionale Dati è gestita dalla Presidenza del Consiglio dei ministri ed è costituita da un'infrastruttura tecnologica che rende possibile l'interoperabilità dei sistemi informativi e delle basi di dati delle pubbliche amministrazioni e dei gestori di servizi pubblici per le finalità di cui al comma 1, mediante l'accreditamento, l'identificazione e la gestione dei livelli di autorizzazione dei soggetti abilitati ad operare sulla stessa, nonché la raccolta e conservazione delle informazioni relative agli accessi e alle transazioni effettuate suo tramite. La condivisione di dati e informazioni avviene attraverso la messa a disposizione e l'utilizzo, da parte dei soggetti accreditati, di interfacce di programmazione delle applicazioni (API). Le interfacce, sviluppate dai soggetti abilitati con il supporto della Presidenza del Consiglio dei ministri e in conformità alle Linee guida AgID in materia interoperabilità, sono raccolte nel "catalogo API" reso disponibile dalla Piattaforma ai soggetti accreditati. I soggetti di cui all'articolo 2, comma 2, sono tenuti ad accreditarsi alla piattaforma, a sviluppare le interfacce e a rendere disponibili le proprie basi dati senza nuovi o maggiori oneri per la finanza pubblica. In fase di prima applicazione, la Piattaforma assicura prioritariamente l'interoperabilità con le basi di dati di interesse nazionale di cui all'articolo 60, comma 3-bis e con le banche dati dell'Agenzie delle entrate individuate dal Direttore della stessa Agenzia. L'AgID, sentito il Garante per la protezione dei dati personali e acquisito il parere della Conferenza unificata, di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, adotta linee guida con cui definisce gli standard tecnologici e criteri di sicurezza, di accessibilità, di disponibilità e di interoperabilità per la gestione della piattaforma nonché il processo di accreditamento e di fruizione del catalogo API con i limiti e le condizioni di accesso volti ad assicurare il corretto trattamento dei dati personali ai sensi della normativa vigente. […]

4. Con decreto adottato dal Presidente del Consiglio dei ministri entro sessanta giorni dalla data di entrata in vigore della presente disposizione, di concerto con il Ministero dell'economia e delle finanze e il Ministero dell'interno, sentito il Garante per la protezione dei dati personali e acquisito il parere della Conferenza Unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, è stabilita la strategia nazionale dati. Con la strategia nazionale dati sono identificate le tipologie, i limiti, le finalità e le modalità di messa a disposizione, su richiesta della Presidenza del Consiglio dei ministri, dei dati aggregati e anonimizzati di cui sono titolari i soggetti di cui all'articolo 2, comma 2, in apposita infrastruttura tecnologica della Piattaforma Digitale Nazionale Dati finalizzata al supporto di politiche pubbliche basate sui dati, separata dall'infrastruttura tecnologica dedicata all'interoperabilità dei sistemi informativi di cui al comma 2. Il decreto di cui al presente comma è comunicato alle Commissioni parlamentari competenti […]”;

VISTE le Linee Guida sull’infrastruttura tecnologica della Piattaforma Digitale Nazionale Dati per l’interoperabilità dei sistemi informativi e delle basi di dati, adottate dall’Agenzia per l’Italia digitale, da ultimo, con determinazione del Direttore n. 98/2025 del 19 giugno 2025, ai sensi dell’art. 50-ter, comma 2, del CAD, su cui il Garante ha espresso parere favorevole con provv. n. 283 del 21 maggio 2025 (disponibile sul sito istituzionale www.garanteprivacy.it, doc. web n. 10142331);

VISTA la richiesta di parere pervenuta, da ultimo, in data 2 settembre 2025, con la quale il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri (di seguito, DTD) ha sottoposto all’Autorità, ai fini dell’acquisizione del relativo parere, lo schema di decreto del Presidente del Consiglio dei Ministri da adottare ai sensi dell'art. 50-ter, comma 4, del CAD, unitamente alla relazione illustrativa;

RILEVATO che il suddetto schema di decreto, nell’occuparsi delle modalità di messa a disposizione, su richiesta della Presidenza del Consiglio dei Ministri, dei dati aggregati e anonimizzati di cui sono titolari i soggetti di cui all’articolo 2, comma 2, del CAD (cioè, pubbliche amministrazioni, gestori di pubblici servizi e società a controllo pubblico) (cfr. art. 1), stabilisce, in particolare, che:

- i predetti dati aggregati e anonimizzati siano resi disponibili nella Piattaforma digitale nazionale dati – Osservatorio dati (PDND-OD), finalizzata al supporto di politiche pubbliche basate sui dati e attivata presso l’apposita infrastruttura tecnologica della Piattaforma digitale nazionale dati, che è separata dall'infrastruttura tecnologica dedicata all'interoperabilità dei sistemi informativi di cui al comma 2 dell’art. 50-ter del CAD; la progettazione, realizzazione e gestione della PDND-OD è affidata a PagoPA S.p.A. (art. 2);

- il DTD individui, anche sulla base delle proposte avanzate dagli stessi soggetti pubblici menzionati, i progetti da avviare. Per ogni progetto devono essere specificati, tra le altre cose (art. 3, commi 1 e 2): finalità e risultati attesi; tipologie di dati funzionali a ciascun progetto e relativi soggetti pubblici di riferimento; direttive per l’individuazione delle misure tecniche necessarie ad escludere il trattamento di dati personali, tra cui l’anonimizzazione; eventuale soggetto operante per garantire la messa a disposizione in formato anonimo dei dati personali, che sono da cancellare tempestivamente al termine delle operazioni di anonimizzazione;

- i progetti che implicano l’anonimizzazione dei dati personali da conferire alla PDND-OD, il cui trattamento presenta un rischio elevato per i diritti e le libertà delle persone fisiche, siano comunicati al Garante, unitamente alle relative informazioni e alla valutazione d’impatto sulla protezione dei dati di cui all’articolo 35 del Regolamento, e possano essere avviati decorso il termine di quarantacinque giorni dalla predetta comunicazione senza che il Garante abbia adottato una diversa determinazione delle misure da adottarsi a garanzia degli interessati (art. 3, commi 3 e 4);

- il DTD, ogni sei mesi, effettui attività volte a verificare a campione che i dati aggregati e anonimizzati resi disponibili nella PDND-OD non consentano la reidentificazione, neanche indiretta, degli interessati (art. 3, comma 6);

- i risultati dei progetti e i dati su cui gli stessi si basano siano messi a disposizione dei soggetti pubblici, anche al fine di verificare la correttezza delle proprie basi di dati, nonché dei soggetti che hanno diritto a riceverli e riutilizzarli secondo la normativa vigente (art. 4, comma 2);

- fatte salve le limitazioni in materia di riutilizzo dei documenti contenenti dati pubblici, i risultati dei progetti, inclusi i dati su cui gli stessi si basano, opportunamente aggregati, siano messi a disposizione anche in formato aperto secondo le previsioni del CAD e del d.lgs. 24 gennaio 2006, n. 36, riportando l’indicazione dei soggetti titolari delle basi di dati coinvolte nei progetti (art. 4, comma 3);

RILEVATO, altresì, il carattere di urgenza del parere in esame, trattandosi di schema di decreto che rientra nel programma di attuazione del PNRR, tenendo altresì conto di quanto previsto nell’art. 9, comma 3, del d.l. 8 ottobre 2021 n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205;

CONSIDERATO che lo schema di decreto in esame tiene conto delle osservazioni fornite dall’Ufficio nel corso delle interlocuzioni informali intercorse al fine di rendere conformi alla normativa in materia di protezione dei dati personali i trattamenti ivi disciplinati, che hanno riguardato, in particolare, l’adozione di garanzie concernenti l’aggregazione e l’anonimizzazione dei dati personali messi a disposizione, nella PDND-OD, nell’ambito dei progetti finalizzati al supporto di politiche pubbliche basate sui dati di cui sono titolari i soggetti pubblici, nel rispetto dell’art. 50-ter, comma 4, del CAD e dei principi di liceità, correttezza e trasparenza, di minimizzazione dei dati e di privacy by design e privacy by default (art. 5, par. 1, lett. a) e c), e art. 25 del Regolamento), volte ad assicurare la non reidentificabilità, anche indiretta, degli interessati;

RITENUTO, in ogni caso, che le verifiche di cui all’art. 3, comma 6, dello schema di decreto rientrano tra le misure che il DTD è tenuto ad adottare al fine assicurare che i dati aggregati e anonimizzati resi disponibili alla PDND-OD non consentano la reidentificazione, neanche indiretta, degli interessati;

VISTA, da ultimo, la nota del 19 settembre 2025, con la quale il DTD ha precisato di essere il soggetto tenuto alla comunicazione al Garante ai sensi dell’art. 3, comma 4, dello schema di decreto;

CONSIDERATO che tale soluzione discende dal ruolo assunto dal DTD, cui spetta, ai sensi dell’art. 3, comma 1, dello schema di decreto, l’individuazione dei progetti, da effettuarsi con atto del Capo del DTD medesimo, in ossequio al principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento);

RITENUTO, pertanto, che non vi siano osservazioni da formulare sullo schema di decreto in esame;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto del Presidente del Consiglio dei Ministri, da adottare ai sensi dell'art. 50-ter, comma 4, del d.lgs. 7 marzo 2005, n. 82, avente a oggetto le modalità di messa a disposizione, nella Piattaforma digitale nazionale dati, dei dati aggregati e anonimizzati di cui sono titolari i soggetti di cui all’art. 2, comma 2, del medesimo d.lgs. 7 marzo 2005, n. 82.

Roma, 25 settembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Fanizza

Scheda

Doc-Web
10184542
Data
25/09/25

Argomenti

Pubblica Amministrazione Archivi e banche dati Enti pubblici DPIA Minimizzazione

Tipologie

Parere del Garante

Vedi anche (5)