L’importanza di procedere alla redazione degli accordi di fruizione e di accedere ad ANPR

L'articolo 62 comma 3 del decreto legislativo 7 marzo 2005 n. 82 del CAD, come recentemente riformato, stabilisce che i Comuni accedono alle informazioni anagrafiche contenute nell'ANPR, nel rispetto delle disposizioni in materia di protezione dei dati personali e delle misure di sicurezza previste, per l'espletamento, anche con modalita' automatiche, delle verifiche necessarie all'erogazione dei propri servizi e allo svolgimento delle proprie funzioni istituzionali.

Come noto, diversi uffici del Comune hanno necessità di accedere ai dati della Banca dati Anagrafe per svolgere le loro funzioni istituzionali. Si pensi all’Ufficio Polizia Locale, all’Ufficio Tributi ecc.. Le finalità possono essere quelle delle notificazioni, degli accertamenti sulle autocertificazioni ecc.

Per raggiungere le suddette finalità e quindi acquisire i dati necessari, gli uffici diversi dall’Ufficio Anagrafe (che è già collegato all’ANPR (Anagrafe Nazionale Persone Residenti), possono accedere ai dati ANPR tramite la Piattaforma Digitale Nazionale Dati (PDND)

Tale accesso, reso disponibile solo da alcuni mesi per gli Uffici del Comune diversi dall’Anagrafe, deve essere completato perché, come chiarito dal Ministero degli interni con nota di risposta del Ministero dell'Interno, pubblicata in data 20 maggio 2020 , “il Sindaco è titolare esclusivamente del trattamento dei dati di propria competenza registrati in ANPR (art.3, comma 3 del DPCM n. 194/2014) e non può consentire agli operatori comunali che non svolgono funzioni anagrafiche o a terzi convenzionati, l'accesso ai dati registrati nella base dati nazionale da parte di altri comuni. L'art. 5, comma 4 del DPCM n.194/2014 prevede infatti che "Il comune, anche mediante le convenzioni previste dall'articolo 62, comma 3, del decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, consente la fruizione dei dati anagrafici della popolazione residente nel proprio territorio". I Comuni che hanno necessità di accedere a dati dell'ANPR per servizi diversi dall'Anagrafe e, in genere, le Pubbliche amministrazioni e gli enti erogatori di pubblici servizi devono sottoscrivere uno specifico Accordo con il Ministero dell'interno, titolare del trattamento dei dati registrati nella base dati (art.3, comma 2 DPCM n. 194/2014)”.

Se fino ad alcuni mesi fa, tuttavia, i Comuni non erano in grado di concludere l’accordo di Fruizione per l’accesso dei propri uffici diversi da quelli dell’Anagrafe ai dati di ANPR, ora, a seguito della pubblicazione della CIRCOLARE del Ministero degli interni N. 73/2023 del 31 maggio 2023, sono state pubblicate le “Linee guida per l'accesso dei Comuni ai dati ANPR attraverso la PDND - Piattaforma Digitale Nazionale Dati”

(link: https://dait.interno.gov.it/servizi-demografici/circolari/circolare-dait-n73-del-31-maggio-2023)

Istruzioni operative: quali uffici possono concludere gli accordi e per quali finalità

I Comuni che intendono fruire dei dati ANPR devono preliminarmente registrarsi sulla PDND stipulando uno specifico Accordo di adesione con la Societa' PagoPA e sviluppare le interfacce applicative (c.d. API), necessarie per interrogare la banca dati ANPR, seguendo le istruzioni fomite nell'allegato 2 della circolare 73/2023 del Ministero dell’Interno di cui si è fornito il link.

Ma quali uffici possono procedere all’accordo di fruizione?

L’allegato 1 alla circolare specifica gli Uffici e le funzioni che possono accedere:

• Scuola e Pubblica Istruzione
• Sociali/Socio sanitari - Welfare
• Biblioteche
• Governo del Territorio – Sportelli Edilizia
• Tributi
• Cimiteri
• Ambiente
• Segreteria Generale – Organi Istituzionali - Circoscrizioni, Decentramento, Quartieri, Istituti di partecipazione
• Avvocatura e Uffici competenti per Ordinanze – Ingiunzioni Notifiche e Spedizioni
• Personale – Risorse Umane
• Patrimonio mobiliare ed immobiliare
• Espropri
• Igiene e Sanita' Pubblica – Animali d’affezione
• Sportello Unico Attivita' Produttive, Commercio, Attivita' Economiche, Turismo
• Stazione Unica Appaltante
• Manutenzioni Lavori Pubbliche, Strade, Infrastrutture
• Ragioneria e Servizi Finanziari
• Economato
• Polizia Locale – Attivita' di Polizia Giudiziaria
• Polizia Locale – Attivita' Amministrative

I suddetti uffici, nella richiesta di accordo di adesione da stipulare tramite la società PagoPA, possono richiedere l’accesso per una delle suddette attività (denominate e-service):

a) Notifiche;

b) Comunicazioni;

c) Verifiche di autocertificazione: per uno specifico caso d’uso l’utente inserisce i dati da verificare ed il sistema risponde confermando o meno la correttezza dell’informazione;

d) Accertamenti: per uno specifico caso d’uso l’utente ricerca un determinato nominativo tramite parametri di ricerca standard - CF oppure dati anagrafici completi (nome, cognome, sesso, data e luogo di nascita) ricevendo il dettaglio della risposta. Il dettaglio delle informazioni anagrafiche collegate al singolo caso d’uso è stato individuato dal Ministero dell’interno e validato dal Garante per la protezione dei dati personali).

Infine, si sottolinea dopo la stipula dell’accordo di adesione l’Ente diventa Responsabile del Trattamento rispetto al Ministero dell’Interno sicché è necessario predisporre il Registro del Responsabile del Trattamento dei dati del Comune specifico per tali funzioni. Per completare il Registro la circolare, nell’allegato 3, riporta un elenco delle finalità e della base giuridica del trattamento dei dati da riportare nel registro del trattamento.

La sicurezza informatica

L’accesso alla banca dati ANPR si PDND e il trattamento dei dati informatici trattati richiede, come più volte evidenziato, che l’ente abbia attuato le misure minime per la sicurezza informatica indicate da AGID (Agenzia per l’Italia Digitale) https://www.agid.gov.it/it/sicurezza/misure-minime-sicurezza-ict.

Le misure minime di sicurezza ICT emanate dall’AgID, sono un riferimento pratico per valutare e migliorare il livello di sicurezza informatica delle amministrazioni, al fine di contrastare le minacce informatiche più frequenti.

Ai fini di tutelare la sicurezza dei dati personali di cui l’Ente è Titolare o Responsabile (come nel caso dell’accesso e trattamento dei dati di cui è titolare il Ministero) è necessario attuare o aggiornare le suddette misure minime facendo attenzione al fatto che, come chiarito dalla stessa AGID, deve essere attuato il livello standard delle misure e non solo il livello minimo.

A seconda della complessità del sistema informativo a cui si riferiscono e della realtà organizzativa dell’Amministrazione, le misure minime possono essere implementate in modo graduale seguendo tre livelli di attuazione.

Minimo: è quello al quale ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme.

Standard: è il livello, superiore al livello minimo, che ogni amministrazione deve considerare come base di riferimento in termini di sicurezza e rappresenta la maggior parte delle realtà della PA italiana.

Avanzato: deve essere adottato dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati), ma anche visto come obiettivo di miglioramento da parte di tutte le altre organizzazioni.