l'intervento

Perché le PA ignorano il principio “once only”? Ecco il vero problema

Sulla gestione dei dati in possesso delle PA, serve una “soluzione radicale” dice la Commissione di vigilanza sull’anagrafe tributaria. I problemi in realtà sono sempre gli stessi, norme non attuate, sanzioni non irrogate, organismi di controllo sottodimensionati. Risolto il nodo sanzioni, resta quello delle risorse

05 Apr 2022
Mara Mucci

già vicepresidente della commissione d’inchiesta sullo stato della digitalizzazione della PA nella XVII leg, informatica, resp. PA di Azione

Qualche settimana fa, la Commissione di vigilanza sull’anagrafe tributaria, nell’ambito di un’indagine conoscitiva, segnalava uno stallo e la necessità di una “soluzione radicale” nella gestione dei dati da parte delle pubbliche amministrazioni. Il nodo sta nella latente attuazione del principio “once only”, per cui il cittadino deve poter fornire una sola volta le proprie informazioni alla pubblica amministrazione, grazie all’interoperabilità delle sue banche dati.

Diritti digitali, troppe PA li ignorano (in barba ai cittadini): una proposta cambiare le cose

A dire il vero non ci voleva un’indagine conoscitiva per certificare quello che è sotto gli occhi di tutti, costantemente. Una sorta di stillicidio, che porta il contribuente a conoscere a memoria il proprio codice fiscale, quello dei figli, il numero di carta di identità finanche alla sua scadenza, e a digitare ogni volta che deve compilare un qualche modulo, luogo e data di nascita, luogo e data di residenza, cittadinanza e stato civile: tutti dati che la PA già conosce.

Ad esempio, oggi mi sono imbattuta nella prenotazione di un appuntamento per fare il passaporto. Accedo con SPID al portale della polizia di Stato convinta di non ripetere lo stillicidio, e invece no, il modulo mi impone di inserire data e luogo di nascita, residenza, dati numerici di carte etc… Come dicevo, non ci voleva un’indagine conoscitiva a certificare il fallimento nell’applicazione delle leggi sul digitale, basta l’esperienza quotidiana di ciascuno di noi. Ma facciamo un passo indietro.

Una soluzione radicale

È l’indagine stessa che ci ricorda che attraverso il progetto di interoperabilità insito nella Piattaforma Digitale nazionale dati (PDND), si dovrebbe arrivare a ”una soluzione radicale”. Il progetto PDND è stato proposto da Diego Piacentini come integrazione al Modello Strategico di Evoluzione dei Sistemi Informativi della PA definito dal Comitato di indirizzo AgID. L’idea era quella di raccogliere tutti i dati delle PA e metterli in un gigantesco data lake.

dal 14 al 17 giugno 2022
FORUM PA 2022. Valorizzare il patrimonio informativo per abilitare il principio once only
Big Data
Business Analytics

C’è ovviamente un tema “privacy”. Il regolamento europeo GDPR, all’articolo 6, ci dice che il trattamento dati della PA è legittimo, ma sempre nel rispetto dei principi di minimizzazione, trasparenza, esattezza, aggiornamento, integrità e riservatezza. Secondo l’idea di Piacentini, questo enorme database avrebbe assunto il ruolo di centro di interoperabilità. Poi arriva la ministra Pisano che prende atto dei vincoli relativi alla riservatezza e cambia il ruolo della PDND a centro di gestione delle interfacce fornite dagli enti pubblici, in gergo tecnico API (application program interface). Secondo il Modello Strategico, recepito nel piano triennale, le amministrazioni devono esporre le API dei backend, che saranno poi pubblicate nella piattaforma nazionale dati, che sarà anche responsabile di mantenere il controllo degli accessi, ovvero “chi può accedere a cosa”, mantenendo i log correlati agli accessi.

Perché ancora non vediamo una piena attuazione del principio once only?

Se dal punto di vista tecnico è stato tutto definito, perché ancora non vediamo una piena attuazione del principio once only? All’origine della mancanza troviamo l’art. 7 del CAD, che parla proprio del diritto a servizi on-line semplici e integrati: “chiunque ha diritto di fruire dei servizi erogati dai soggetti di cui all’articolo 2, comma 2, in forma digitale e in modo integrato, tramite gli strumenti telematici messi a disposizione dalle pubbliche amministrazioni e il punto di accesso di cui all’articolo 64-bis, anche attraverso dispositivi mobili”. In altre parole, le PA possono usare altri strumenti telematici, anch’essi previsti dal CAD, quali la PEC, oppure predisporre API senza condividerle, rendendo vano il lavoro fatto con la Piattaforma Digitale Nazione Dati.

Dunque, resta il tema del mancato rispetto del “once only”. Come siamo messi a sanzioni per l’ente inadempiente?

Sanzioni, una normativa ambigua

Sulle sanzioni la normativa è ambigua, e nell’ambiguità pochi denunciano. L’articolo 18 bis del CAD attribuisce all’AgID poteri di vigilanza, verifica, controllo e monitoraggio sul rispetto delle disposizioni del Codice e di ogni altra norma in materia di innovazione tecnologica e digitalizzazione della pubblica amministrazione. AgID procede d’ufficio ovvero su segnalazione del difensore civico digitale e acquisisce dati e documenti per la valutazione. L’art. 41 del D.L. 77/2021 convertito in legge 108/2021 ha previsto conseguenze severe per i dirigenti delle P.A. che non applicano il CAD e ogni altra normativa in materia di digitalizzazione dei servizi pubblici e di adeguamento al Piano Triennale dell’AgID.

I regolamenti che aggiornano la procedura di ricezione delle segnalazioni delle presunte violazioni da parte del Difensore Civico Digitale e disciplinano i meccanismi sanzionatori per le PA inadempienti sono stati pubblicati dall’AgID a tempo record per la PA, ovvero a inizio dicembre scorso

Se l’amministrazione non risponde è prevista la sanzione da 10.000 a 100.000 euro. Una volta che AgID acquisisce gli elementi necessari, assegna un termine perentorio all’amministrazione, che può mandare una difesa e chiedere di essere ascoltata (ha 30 giorni di tempo per spiegare l’accaduto). Se dopo questo lasso di troppo viene accertata la violazione, si chiede all’ente, entro 120 giorni, di conformare la condotta. Le violazioni accertate dall’AgID rilevano ai fini della misurazione e della valutazione della performance individuale dei dirigenti responsabili e comportano responsabilità dirigenziale e disciplinare. Una volta comminata la multa parte una comunicazione al ministro competente che diffida ulteriormente il soggetto responsabile, e se ancora una volta egli non pone rimedio, il ministro potrà nominare un commissario (lo farà ?).

Sulla carta, comunque, tutto ha una sua logica. Con l’introduzione delle sanzioni, il Governo ha completato un percorso iniziato con la profonda riforma del CAD del 2016 in cui fu definito il percorso sanzionatorio ma che, per volontà politica di allora, non fu dotato dell’ultimo miglio, ovvero delle sanzioni.

Il vero problema

Il problema, ora come allora, rimangono le risorse: su questa testata online abbiamo più volte posto l’accento sulle conseguenze di un sottodimensionamento di Agid, che anche in questo ambito emerge come fattore cruciale. Lo stesso discorso vale per il difensore civico che andrebbe potenziato. Se non allarghiamo questi organi, responsabili di vigilanza, verifica, controllo e monitoraggio sull’attuazione dell’agenda digitale, e se non troviamo meccanismi incentivanti migliori delle sole sanzioni, salvo casi episodici più o meno diffusi, difficilmente si alzerà l’asticella del digitale nel Paese. C’è anche da dire che incide su questo percorso di consapevolezza e attuazione, anche l’organizzazione della nostra pubblica amministrazione. Abbiamo una frammentarietà eccessiva, e una dimensione degli enti che determina scarsità di risorse umane, e conseguentemente, di risultati. Come possiamo pensare che enti locali sotto gli 5.000 abitanti (sono 5.500 i Piccoli Comuni, il 69% dei comuni italiani), con meno di 5 funzionari nell’organico totale, possano rispondere a tutti gli adempimenti che sono loro richiesti?

Tutto parte da qui, dalle famose nozze coi fichi secchi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4