Camera dei deputati

Vai al contenuto

Sezione di navigazione

Menu di ausilio alla navigazione

Cerca nel sito

MENU DI NAVIGAZIONE PRINCIPALE

Vai al contenuto

Per visualizzare il contenuto multimediale è necessario installare il Flash Player Adobe e abilitare il javascript

Strumento di esplorazione della sezione Lavori Digitando almeno un carattere nel campo si ottengono uno o più risultati con relativo collegamento, il tempo di risposta dipende dal numero dei risultati trovati e dal processore e navigatore in uso.

salta l'esplora

Resoconti stenografici delle indagini conoscitive

Torna all'elenco delle indagini Torna all'elenco delle sedute
Commissione I
10.
Mercoledì 15 luglio 2009
INDICE

Sulla pubblicità dei lavori:

Bruno Donato, Presidente ... 3

INDAGINE CONOSCITIVA SULL'INFORMATIZZAZIONE DELLE PUBBLICHE AMMINISTRAZIONI

Audizione di rappresentanti dell'ANCI:

Bruno Donato, Presidente ... 3 4
Refrigeri Fabio, Coordinatore regionale unioni di comuni Lazio dell'ANCI ... 3 4
Volpi Raffaele (LNP) ... 4

Audizione del presidente dell'Autorità garante per la protezione dei dati personali, professor Francesco Pizzetti:

Bruno Donato, Presidente ... 4 8 10 12
Bernini Bovicelli Anna Maria (PdL) ... 9
Lanzillotta Linda (PD) ... 9
Mantini Pierluigi (UdC) ... 9
Pizzetti Francesco, Presidente dell'Autorità garante per la protezione dei dati personali ... 4 10
Sigle dei gruppi parlamentari: Popolo della Libertà: PdL; Partito Democratico: PD; Lega Nord Padania: LNP; Unione di Centro: UdC; Italia dei Valori: IdV; Misto: Misto; Misto-Movimento per l'Autonomia: Misto-MpA; Misto-Minoranze linguistiche: Misto-Min.ling.; Misto-Liberal Democratici-MAIE: Misto-LD-MAIE; Misto-Repubblicani; Regionalisti, Popolari: Misto-RRP.

COMMISSIONE I
AFFARI COSTITUZIONALI, DELLA PRESIDENZA DEL CONSIGLIO E INTERNI

Resoconto stenografico

INDAGINE CONOSCITIVA


Seduta di mercoledì 15 luglio 2009


Pag. 3


PRESIDENZA DEL PRESIDENTE DONATO BRUNO

La seduta comincia alle 15,15.

(La Commissione approva il processo verbale della seduta precedente).

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche attraverso l'attivazione di impianti audiovisivi a circuito chiuso e la trasmissione televisiva sul canale satellitare della Camera dei deputati.

Audizione di rappresentanti dell'ANCI.

PRESIDENTE. L'ordine del giorno reca, nell'ambito dell'indagine conoscitiva sull'informatizzazione delle pubbliche amministrazioni, l'audizione di rappresentanti dell'ANCI.
È presente, in rappresentanza dell'ANCI, il sindaco di Poggio Mirteto, Fabio Refrigeri, cui do la parola.

FABIO REFRIGERI, Coordinatore regionale unioni di comuni Lazio dell'ANCI. Nella mia relazione rappresenterò il quadro generale del livello di informatizzazione degli enti locali.
È del tutto evidente che tra grandi, medi e piccoli comuni esiste una differenza iniziale abbastanza leggibile, confermata dai dati disponibili. Soprattutto in anni recenti, lo Stato centrale ha compiuto investimenti, anche rilevanti, nell'innovazione, ma bisogna dire che - su ciò, come enti locali, non ci sottraiamo alle nostre responsabilità - non c'è stato un risultato per i cittadini e per le imprese così tangibile e percepibile, come magari si sperava.
Occorre un'analisi attenta e ci siamo interrogati molto, al riguardo. I motivi possono essere ricondotti essenzialmente alle categorie che ora citerò.
Indubbiamente, un coordinamento tra i vari livelli istituzionali è fondamentale, ma in queste situazioni è mancato. Spesso assistiamo ad una sorta di capacità, da parte degli enti locali, di rappresentare il front office anche attraverso l'informatizzazione, evidenziando un buon livello di comunicazione iniziale. Poi, però, quando si tratta di passare a erogare veri servizi ai cittadini e alle imprese, iniziano i problemi. Ciò deriva dal fatto che, probabilmente, manca un coordinamento tra regioni ed enti locali (quindi, anche comuni), e inoltre vige un basso livello di formazione degli operatori comunali. Soprattutto, si rileva una certa disomogeneità nella progettualità applicata: si evidenziano tante eccellenze, oppure tante criticità, comunque non basate su un progetto organico.
Sostanzialmente, chiediamo di essere coinvolti in un progetto un po' più ampio, con direttive più certe da parte dello Stato centrale, che indirizzino in maniera attenta anche le regioni. Spesso abbiamo assistito - una leggera autocritica le regioni, su questo, dovrebbero farla - a un utilizzo di fondi da parte delle regioni apparentemente improprio, con investimenti strutturali fatti in maniera diretta, senza instaurare una rete di comunicazione con gli enti locali.
Sarebbe molto importante, inoltre, operare una condivisione dell'innovazione, attorno a un unico punto centrale. È chiaro che se ogni ministero o banca dati adotta


Pag. 4

un proprio sistema di comunicazione e di contatto con il cittadino, una propria modalità di approccio e di comunicazione con l'utenza, ciò non aiuta. Cominciando a considerare i comuni come vero sportello della nostra Repubblica, costruendo su questo presupposto un'architettura e un progetto, sarebbe sicuramente più facile la lettura da parte del cittadino della capacità dello Stato di erogare servizi di qualità.
Chiediamo, in definitiva, una maggiore capacità di coordinamento e una maggiore capacità di collaborare insieme con le regioni, per un utilizzo migliore dei fondi impiegati.

PRESIDENTE. Avverto che l'ANCI ha consegnato alla presidenza una nota scritta, che verrà posta in distribuzione.
Do la parola agli deputati che intendano intervenire per porre quesiti o formulare osservazioni.

RAFFAELE VOLPI. Desidero porre una domanda brevissima, tra l'altro conseguente alle precedenti audizioni che abbiamo svolto.
Vorrei sapere se, nel quadro dei rapporti col ministero del Ministro Brunetta, abbiate avuto confronti in merito, se vi siano state sollecitazioni da parte del ministero o se da parte vostra ci sia stato il desiderio di sollecitare questi incontri.

FABIO REFRIGERI, Coordinatore regionale delle unioni di comuni Lazio dell'ANCI. Rispetto al piano E-government 2012 varato dal Ministro Brunetta, che fissava i termini di priorità e di sistema, ci siamo espressi in maniera positiva. Credo che questa sia una strada sulla quale poter continuare un proficuo lavoro di collaborazione.

PRESIDENTE. Ringrazio l'ANCI per il contributo dato e dichiaro conclusa l'audizione.
Sospendo brevemente la seduta.

La seduta, sospesa alle 15,25, è ripresa alle 15,30.

Audizione del presidente dell'Autorità garante per la protezione dei dati personali, professor Francesco Pizzetti.

PRESIDENTE. L'ordine del giorno reca, nell'ambito dell'indagine conoscitiva sull'informatizzazione delle pubbliche amministrazioni, l'audizione del presidente dell'Autorità garante per la protezione dei dati personali, professor Francesco Pizzetti.
Do la parola al professor Pizzetti, ringraziandolo per la sua presenza.

FRANCESCO PIZZETTI, Presidente dell'Autorità garante per la protezione dei dati personali. Ringrazio lei, signor presidente, e la Commissione per aver inserito anche l'audizione della nostra autorità nell'ambito di questa indagine che, credo, sia oggettivamente molto importante, forse persino di più di quanto generalmente si possa ritenere.
Non mi riferisco, ovviamente, alla Commissione stessa, che fin dall'inizio ha acquisito una sua specifica competenza; in generale, tuttavia, mi pare che dell'informatizzazione della pubblica amministrazione si parli molto, ma forse possono sfuggire alcuni aspetti della complessità del tema e anche dello stato dell'arte.
Naturalmente, come Autorità di protezione dati, riteniamo di essere esperti e di aver acquisito un'esperienza particolarmente significativa - specialmente negli ultimi tempi - su queste tematiche, anche se l'informatizzazione della pubblica amministrazione è di per sé un fenomeno molto ampio, che tocca la protezione dati e molti altri aspetti.
Da tre anni - come sicuramente i deputati presenti sanno - abbiamo volutamente aperto una particolare linea di attenzione riguardo alle banche dati e ai trattamenti dei dati in sede informatica, inclusi i flussi dei dati.
Su questo tema abbiamo accumulato una notevole esperienza, della quale si trova traccia nelle nostre relazioni e anche in molti provvedimenti. Cito solo per memoria - siamo ovviamente sempre in grado di fornire gli approfondimenti necessari -


Pag. 5

il grande lavoro che abbiamo svolto sulle banche dati telefoniche e sui flussi che avvengono, in gran parte con modalità informatiche, tra autorità giudiziaria e gestori telefonici per le attività di intercettazione, di acquisizione dei tabulati di traffico e quant'altro.
Lo stesso può dirsi riguardo alla conservazione dei dati di traffico, che riguardano non solo l'attività di comunicazione in telefonia, ma anche tutta l'attività in rete. Naturalmente, infatti, l'accesso alla rete passa sempre attraverso un gestore telefonico, che interconnette l'utente e la rete, trattenendo i dati necessari - in base alla legge - in parte per finalità di fatturazione e in parte (per tempi molto lunghi, oggi fortunatamente ricondotti, nel quadro europeo, a durate più ragionevoli) per mantenerli a disposizione dell'autorità giudiziaria.
Tuttavia, non è solo su questo che abbiamo accumulato esperienza. Voglio dire alla Commissione che abbiamo sviluppato un'importante attività anche in materia sanità. Abbiamo adottato una serie di provvedimenti e linee guida, che domani saranno definitivamente oggetto di un'approvazione finale da parte dell'Autorità, per dettare le regole sul fascicolo sanitario on line, o elettronico - quella che è chiamata la cartella sanitaria elettronica - acquisendo anche conoscenze effettive sui sistemi adottati dalla regione Lombardia e dalla regione Emilia - Romagna, sulle differenze fra queste regioni, sulla complessità dei problemi che il trattamento on line dei dati sanitari comporta.
Ci permettiamo di dire che, da questo punto di vista, siamo stati anche in qualche modo anticipatori, rispetto a un sistema centrale che fatica a fornire regole generali e che, quindi, favorisce o permette la cosiddetta «stagione dei mille fiori», a causa della quale abbiamo sistemi regionali destinati ad essere difficilmente interconnettibili.
Le misure del Garante, per quanto limitate alla protezione dei dati, costituiscono comunque un framework, un sistema di regole comuni.
Abbiamo adottato di recente il provvedimento sulla comunicazione on line dei referti fra le strutture sanitarie e i malati, con tutta una serie di norme che cercano di affrontare e risolvere problemi molto complessi.
Ancora, negli ultimi mesi, abbiamo fornito un parere sul regolamento che deve disciplinare il sistema informativo per le dipendenze da stupefacenti e alcol, il cosiddetto SIND nonché il sistema informativo sulla salute mentale, il cosiddetto SISM. Quindi, in materia sanitaria e di uso della rete per la trasmissione, l'archiviazione e lo scambio dati tra le strutture sanitarie nonché, molte volte, fra strutture sanitarie, medici curanti e malati, abbiamo maturato un'esperienza significativa.
Lo stesso è avvenuto in materia di banche dati dell'Anagrafe tributaria e non solo per la notissima posizione che abbiamo assunto, l'anno scorso, rispetto alla pubblicazione on line dei dati dei contribuenti italiani, da noi censurata non tanto per il mezzo scelto - che forse aveva una base normativa opinabile, sulla quale comunque si poteva discutere - quanto per le modalità adottate, che non garantivano la sicurezza dei dati e la loro immodificabilità da parte di coloro che accedevano alla rete, con una serie di potenziali pericolosità assai notevoli. Ebbene, quello non è stato il nostro unico intervento: da due anni e mezzo ci dedichiamo ad attività collaborative con l'Anagrafe tributaria e con la Sogei, che ci sono costate giornate e giornate di ispezioni. Sono oramai oltre quindici le attività ispettive, condotte nell'arco di più giorni, che i nostri uffici hanno svolto, adottando una serie di provvedimenti in collaborazione con l'Anagrafe tributaria, che stanno dando frutti. Non dico «buoni frutti», perché, purtroppo, il lavoro che ci aspetta è talmente enorme da costringerci a fare sempre meno di quanto sarebbe necessario.
In questo contesto, molte volte abbiamo riscontrato elementi di criticità notevoli, proprio sull'uso dei dati attraverso accessi informatici legittimi, ma di per sé privi di misure di sicurezza adeguate.


Pag. 6


Ancora, abbiamo acquisito notevole esperienza collaborando alla realizzazione del passaporto elettronico, del processo civile telematico, dei registri giudiziari telematici. In definitiva, ci permettiamo di affermare di avere un panorama di esperienze settoriali che può essere prezioso per il Paese.
Nella relazione annuale, tenuta due settimane fa, di questo abbiamo non solo doverosamente reso conto al Parlamento e all'opinione pubblica, ma abbiamo anche fatto tesoro per proporci come autorità che, mantenendo un ruolo di garanzia, si sente parte di un sistema. Dichiariamo fin da ora la nostra disponibilità a collaborare in questa forma: una collaborazione istituzionale assolutamente indipendente, ma preziosa, sui processi di riforma in corso.
Cito, per semplice rinvio alla relazione annuale, le grandi quattro attività di riforma che sono in atto. Il federalismo fiscale, che prevede già nel testo della legge delega un'impressionante quantità di interconnessioni fra banche dati centrali e periferiche, al fine di garantire il funzionamento di un sistema di governance multilivello, che implica necessariamente un rilevantissimo scambio di dati, rispetto ai quali è necessario - fin dall'inizio - adottare misure di sicurezza adeguate. Peraltro, ricordo per memoria che, nella legge delega, è attribuita un'interessante competenza, per la prima volta, a una Commissione bicamerale del Parlamento italiano affinché vigili sull'intero sistema di interconnessione della governance complessiva: comuni, province, regioni, città metropolitane e Stato. Alludo alla Commissione parlamentare di vigilanza sull'anagrafe tributaria: proprio una delle commissioni con le quali abbiamo collaborato e collaboriamo di più, in questi anni.
Lo stesso approccio vale - l'abbiamo detto - per l'insieme di misure di riforma note come «pacchetto sicurezza», che prevedono un impressionante interscambio dati fra polizie locali e banche dati centrali; il ricorso a videocamere, che si traduce in trasmissione on line di immagini di cittadini, particolarmente significative e incisive. A maggior ragione lo stesso approccio vale per le riforme in atto, annunciate, o progettate nel sistema del welfare, le quali, muovendo dall'idea presente nel libro bianco del cittadino, ricostruito nella sua unitarietà, obbligano necessariamente a ipotizzare uno scambio dati di enorme rilievo fra tutte le diverse banche dati che contengono informazioni su un unico cittadino. Infine, esso vale per le riforme della pubblica amministrazione note, dal nome del ministro, come «riforme Brunetta», alcune delle quali già oggi ci impegnano.
Proprio rispetto alla prima valutazione di una di queste innovazioni normative, stiamo per rendere - domani - un parere molto interessante, in cui per la prima volta, anche d'intesa con il Dipartimento per la funzione pubblica, isoliamo il problema di differenziare cosa significhi il curriculum di un funzionario pubblico, quando debba essere utilizzato in forma cartacea da parte dell'ufficio personale, nell'ambito dell'attività dell'amministrazione e quando invece debba essere messo in rete, come strumento di conoscenza da parte dei cittadini. Un'esperienza nuova, anche per noi, molto interessante.
Sono quindi molti, gli aspetti sui quali stiamo lavorando. In questo contesto, a mezza via tra l'attenzione alle banche dati e all'uso dei sistemi informatici di archiviazione dati (che ormai tendono a coincidere), avvieremo anche un'attività collaborativo-ispettiva sull'INPS, che, una volta a regime, sarà il punto di riferimento del contenitore di dati per il sistema di funzionamento del welfare, sanità a parte.
Prima di chiudere questa introduzione e mettermi a disposizione per qualsiasi approfondimento, vorrei richiamare l'attenzione sull'aspetto più importante. Tutti gli aspetti finora citati, sui quali abbiamo accumulato esperienze, sono settoriali e significativi. A parte le quattro riforme che ho citato, ne avrei potute richiamare altre, che riguardano settori nei quali si incrementerà enormemente il ricorso ai sistemi di informatizzazione della pubblica amministrazione, addirittura necessaria per un


Pag. 7

sistema di governo a molti livelli, come molti dei presenti - ex ministri del settore e quant'altro - sanno perfettamente.
Vorrei quindi richiamare l'attenzione sul «tema dei temi»: abbiamo da anni in vigore il codice dell'amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82,, che prevede regole per l'informatizzazione della pubblica amministrazione, e che rappresenta il cuore, credo, in larga misura, della vostra attività conoscitiva.
Questo codice digitale dà vita al sistema pubblico di connettività della pubblica amministrazione, il quale, a sua volta, come una «matrioska», dà vita ad accordi di servizio e di cooperazione, proprio per l'utilizzazione dei sistemi informatici di comunicazione dei dati e per l'organizzazione di servizi on line rivolti ai cittadini.
Questo enorme complesso normativo, che parte dal codice digitale, passa per il sistema pubblico di connettività. La sua applicazione, tramite accordi di cooperazione, in fondo era stata pensata - o almeno avrebbe dovuto esserlo - per dare organicità al sistema, cioè proprio per evitare la finora descritta parcellizzazione e differenziazione dei sistemi di trattamento dati informatici, a seconda dei diversi settori. Il codice digitale prevedeva, per noi in modo molto apprezzabile - non dico correttamente, perché non mi permetto un giudizio di valore - il parere del garante sulle regole tecniche da adottare, in particolare, per la trasmissione on line dei dati tipica dell'amministrazione digitale. Successive modifiche, in particolare il comma 1-ter dell'articolo 71 del citato decreto legislativo n. 82 del 2005, introdotto dall'articolo 29 del decreto legislativo 4 aprile 2006, n. 159, disciplinando le norme tecniche per il servizio pubblico di connettività, mentre hanno previsto un'intesa forte in sede di Conferenza unificata con le regioni (cosa del tutto corretta, poiché si tratta di costituire un sistema della pubblica amministrazione aggregata, quindi non solo della pubblica amministrazione statale) nonché tutta una serie di raccordi con ANCI, UPI (che avete audito prima di noi) e quant'altro, non prevedono, invece, il parere del Garante. In qualche modo, quindi, siamo rimasti non contemplati dalle strutture e dai passaggi necessari per determinare le regole tecniche in materia di sistema pubblico di connettività.
Individuiamo, in questa carenza, un problema obiettivo, poiché rimane affidata unicamente al CNIPA (che è organo tecnico importante, in quanto agenzia tecnica del Governo) la specificazione di tali regole. Forse sarebbe necessario prevedere anche un parere, un ruolo del Garante, non tanto per rivendicare competenze (francamente, dato il personale a nostra disposizione, abbiamo un carico di lavoro già al di sopra delle nostre forze), quanto perché lo riteniamo necessario e utile per il sistema, specialmente se vogliamo realizzare un'armonizzazione complessiva e coniugare insieme efficienza ed efficacia della pubblica amministrazione digitale, a tutela dei diritti dei cittadini e anche delle pubbliche amministrazioni. Il furto di dati, infatti, non danneggia solo i cittadini, ma anche la pubblica amministrazione.
Ancora di più vale il discorso per quanto riguarda il contenuto della «matrioska», cioè gli accordi di servizio e di cooperazione: due strutture diverse che prevedono una sorta di contratto per adesione, validato dal CNIPA, secondo il quale un'amministrazione mette a disposizione di chi intenda servirsi di altre strutture della pubblica amministrazione aggregata una determinata tipologia di trattamento dati, utile per fornire servizi digitalizzati ai cittadini.
Questi accordi di servizio oggi sono, in qualche modo, validati dal CNIPA senza che siano passati attraverso una verifica delle misure di sicurezza, relative alla protezione dei dati dei cittadini. Infatti - lo ripeto - se non siamo previsti nel sistema pubblico di connettività, a maggior ragione non siamo coinvolti in questi accordi di servizio.
La stessa cosa vale per gli accordi di cooperazione, per i quali non si dovrebbe trattare di una sorta di contratto per adesione, ma proprio di intese fra amministrazioni


Pag. 8

diverse, per mettersi insieme, magari in rete, e fornire servizi integrati ai cittadini.
Non intendiamo rivendicare ulteriori compiti, ma la doglianza che rappresentiamo al Parlamento - lo ribadisco, nell'interesse di quest'ultimo e del Paese, non della nostra Autorità - è che in queste strutture non si preveda anche il parere del Garante. Tutto ciò è solo un aspetto di quanto voglio comunicarvi: c'è qualcosa di ancora più importante.
A questa rete che vi ho descritto (e che, così descritta, appare affascinante: sembra definire infatti un Paese moderno, provvisto di un codice digitale, di un servizio pubblico di connettività, di accordi di cooperazione e di servizio, disciplinati e validati da un'agenzia governativa) mancherà il parere del Garante: si potrà provvedere, ma sembra che il sistema abbia già una sua organicità.
A ciò, tuttavia, corrisponde una scarsissima attuazione. Gli accordi di servizio non sono più di un paio; gli accordi di cooperazione praticamente sono ancora da strutturare; si moltiplicano, invece, gli accordi e le convenzioni parallele, che fuoriescono da questo quadro.
Abbiamo, infatti, convenzioni e accordi tra Ministero della giustizia e Ministero dell'interno, per determinati tipi di attività; abbiamo accordi fra Stato e regioni, o fra Stato e comuni, per altri tipi di attività.
Ebbene, credo che per il Paese sia giunto il momento di svolgere un ragionamento complessivo. Se dobbiamo procedere per accordi, per trattamenti di dati di settore, per strutture settoriali, noi, come Autorità, siamo a disposizione e siamo interessati a cooperare con il federalismo fiscale, con il welfare e quant'altro. Se invece dobbiamo puntare - conoscendo rischi e vantaggi di questa scelta - su un sistema come il codice digitale e il servizio pubblico di connettività, che pretende di dare regole uniformi (o meglio, adattate alle diverse situazioni, ma basate su una piattaforma complessiva unitaria) a realtà tra loro molto diverse, allora mi permetto di affermare che sarebbe opportuno che il Parlamento si interrogasse sull'opportunità di incentivare l'applicazione di un tale sistema pubblico di connettività.
Questo naturalmente interessa le strutture governative coinvolte, perché - lo ripeto - assistiamo alla «stagione dei mille fiori»: regioni che si danno sistemi di fascicolazione elettronica sanitaria diversi e non compatibili; un ministero che ritarda a dare regole unitarie; un federalismo fiscale che parte necessariamente moltiplicando le interconnessioni fra banche dati e livelli di Governo; un sistema di welfare (ho citato il caso del servizio per le tossicodipendenze e gli altri), su cui abbiamo dato i pareri, che procede per settorialità; un sistema pubblico di interconnettività sulla carta estremamente raffinato (salvo il «buco» del Garante), ma che stenta a decollare.
Il lancio di allarmi non fa parte del mio modo di operare, però occorre una riflessione importante - nel momento in cui credo che esista un accordo generale, nel Paese, a incentivare l'amministrazione on line - su quale tipo di amministrazione vogliamo e quale grado di uniformità o di differenziazione accettiamo. Se puntiamo sulle differenziazioni, occorre riflettere su come governare la protezione dei dati e dell'utilizzazione della rete. Se puntiamo sull'uniformità, dobbiamo decidere come governare un processo che, se volesse uniformare troppo, certamente rischierebbe di raggiungere scarsamente gli obiettivi che si propone. Naturalmente, una volta individuato il sistema, così come il codice digitale ha fatto, non è interesse del Paese lasciarlo quiescente, quasi come una sorta di cattedrale costruita a metà.
Da questo punto di vista, come ho già anticipato, ci permettiamo di offrire al Parlamento e a questa Commissione - innanzitutto nell'interesse del Paese - la nostra esperienza, quello che vediamo dal nostro punto di osservazione.

PRESIDENTE. Do ora la parola ai deputati che intendano intervenire per porre quesiti o formulare osservazioni.


Pag. 9

LINDA LANZILLOTTA. Voglio ringraziare il professor Pizzetti per averci fornito molti elementi di grande interesse e ne approfitto per chiedere, a proposito di questo suo giustissimo ragionamento - non conosco bene la disciplina - se ai fini della standardizzazione di alcune regole si proceda motu proprio, su iniziativa dell'Autorità. Chiedo, insomma, se vi siano alcuni procedimenti, o prodotti, che debbono essere identificati come oggetto di norme standardizzate, ai fini della tutela degli interessi presidiati dall'Autorità per la privacy. Mi riferisco, in particolare, ad alcuni «prodotti» del servizio sanitario.
Lei prima accennava alla questione, molto interessante, delle implicazioni che la trasparenza delle amministrazioni pubbliche ha sulla privacy dei funzionari. Vale a dire, in un regime di aumento della trasparenza, cosa debba essere accessibile e cosa no. Ricordo qui la famosa polemica sui dati dell'Anagrafe tributaria.
Dunque, presidente Pizzetti, le chiedo se non debbano esserci prodotti o informazioni che siano preventivamente oggetto di regole standard, a cui le amministrazioni devono adeguarsi; le chiedo se questo esercizio sia stato fatto, o se invece esso non rischi di dilatare eccessivamente l'intervento di regolazione a tutela, o di ridurre l'ambito di accessibilità alle banche dati pubbliche.
Vorrei inoltre chiederle se esista una qualche regolazione di carattere generale che obblighi, invece, a non sottoporre a vincolo di accessibilità dei dati, neppure a tutela dei singoli, laddove è interesse del singolo che una serie di dati siano accessibili. Le chiedo, in altri termini, se esistano degli standard al contrario: non a chiusura, bensì a disclosure.

PIERLUIGI MANTINI. Ringrazio anch'io il presidente Pizzetti per la sua relazione, come sempre stimolante.
Vorrei porre una domanda breve, classica. Lei, presidente, ha fatto un cenno iniziale al framework di garanzie che le autorità, in qualche modo, hanno posto nei sistemi informatici regionali. Un sistema «esploso», per usare la stessa espressione che lei in altra sede ha adoperato. Ebbene, le chiedo fino a che punto, nel nostro caso, il mezzo sia anche la sostanza, cioè il contenuto, come avrebbe detto Mc Luhan, e fino a che punto dovremo inseguire sistemi regionali che non comunicano. Le domando fino a che punto il tema della diversità dei sistemi e dei linguaggi - a suo avviso - rappresenti un problema, anche sul piano dell'evoluzione tecnica, per lo svolgimento dei compiti di istituto dell'autorità garante, che poi è espressione di una preoccupazione: un pari livello di garanzie della privacy, a prescindere dal sistema regionale in cui esse viaggiano.

ANNA MARIA BERNINI BOVICELLI. Anche da parte mia e del gruppo Popolo della Libertà, un ringraziamento al presidente Pizzetti per questa così esaustiva e informativa relazione.
I dati sono tutti molto interessanti e sono, peraltro, di raccordo con ambiti di operatività e di applicazione talmente ampi che è comprensibile che il presidente Pizzetti si sia posto il problema che poi è stato rivelato anche dai colleghi che mi hanno preceduto, in ordine al dilemma fra standardizzazione e parcellizzazione.
Il presidente ha fatto, ovviamente, riferimento agli accordi di servizio e di cooperazione, identificando già una patologia on hold.
Siamo in linea con quello che l'onorevole Lanzillotta ha anticipato, ossia la difficoltà di creare uno standard che sia veramente tale, poiché sono troppo diversi non solamente gli ambiti di operatività, ma anche i livelli. Per questo motivo, forse, come avviene per il contratto di diritto civile, sarebbe interessante identificare alcuni elementi essenziali da standardizzare, per poi lasciare alla determinazione del singolo ambito e del singolo livello la tracciatura delle specifiche.
A questo proposito, avrei una domanda di mera curiosità. A proposito dei dati, non solamente della loro informatizzazione e conservazione, ma anche del loro scambio tra le diverse autorità di garanzia, lei prima faceva alcuni esempi di contratti


Pag. 10

nella pubblica amministrazione che hanno toccato tratti di applicazione dell'Autorità garante della concorrenza nel mercato, dell'Autorità per le garanzie nelle comunicazioni e dell'Autorità per l'energia.
Vorrei chiedere se esistano standard, endogeni o esogeni, di comunicazione, riconoscimento e riconoscibilità dei dati; se esistano pratiche utili affinché nel contempo verifichiate, tracciate, ed eventualmente tuteliate dati che sono alla base dei pareri che vi vengono richiesti. Grazie ancora per l'informativa, veramente esaustiva.

PRESIDENTE. Do la parola al professor Pizzetti per la replica.

FRANCESCO PIZZETTI, Presidente dell'Autorità garante per la protezione dei dati personali. Ringrazio per le domande. Certamente, rispetto al tema della conoscibilità dell'attività della pubblica amministrazione - uno degli aspetti richiamati dall'onorevole Lanzillotta - credo che l'interesse generale meriti una riflessione approfondita. Vengo da una riunione proprio su questi temi, promossa anche da noi, che si è svolta alla Scuola superiore della pubblica amministrazione.
Intanto si tratta di capire se immaginiamo di fondare anche in Italia, come in Inghilterra, un diritto alla conoscenza dei cittadini, o se invece - come nella legge attuale - la trasparenza sia funzionale alla validazione della valutazione fatta dalla pubblica amministrazione sui propri funzionari, per cui si deve rendere noto ciò che serve a capire se la valutazione che la pubblica amministrazione ha fatto del rendimento di un funzionario sia credibile, corretta, convincente, o meno. Si tratta di cosa, quest'ultima, del tutto diversa dal diritto del cittadino a conoscere la pubblica amministrazione, e ancora di più dal diritto all'accesso. La tematica richiede, a mio giudizio, un approfondimento in sede di attuazione, al quale l'Autorità garante è interessata solo per un aspetto, però fondamentale.
La nostra regola di fondo è che si ha diritto di usare i dati in quanto necessari, pertinenti e non eccedenti rispetto alla finalità che si persegue. Quindi, per esempio, riteniamo infondata l'idea che la privacy si opponga alla conoscibilità dei dati dei funzionari. La pubblica amministrazione ha il diritto di usare i dati dei cittadini, anche senza il loro consenso e solo informandoli che lo farà, in quanto questi siano necessari per la finalità istituzionale che la pubblica amministrazione deve perseguire. Si tratta di un punto ovvio: ad esempio, se devo mandare una multa a casa di un cittadino, in quanto ho rilevato un'infrazione, non devo avere bisogno del suo consenso: non me lo darebbe mai. Quindi, se la legge stabilisce che fa parte delle attività istituzionali della pubblica amministrazione rendere conoscibili certi dati, questi dati saranno conoscibili anche senza il consenso dei funzionari.
Il problema è un altro: la pubblica amministrazione si deve interrogare su cosa sia necessario e utile e cosa non lo sia; cosa rendere conoscibile del cittadino, in base alla finalità che intende raggiungere. Le finalità possono essere diverse: posso voler fondare un diritto alla conoscenza, oppure un diritto alla trasparenza, intesa come il mettere in grado di capire se la valutazione che ho dato è coerente con gli elementi che avevo a disposizione e quant'altro.
Su tutta questa tematica, qualora la Commissione lo ritenesse opportuno, sarebbe sicuramente cosa molto gradita per noi esprimere la nostra opinione, sempre tenendo conto che si tratta di principi che regolano la protezione dati.
I dati sono utilizzabili in quanto necessari e pertinenti rispetto alla finalità che si vuole perseguire e non eccedenti rispetto alla stessa. Tutto è racchiuso in questa regola.
Per quanto riguarda la funzione pubblica, se il legislatore stabilisce che l'amministrazione deve perseguire una certa finalità, non è necessario il consenso, né dei cittadini, né dei funzionari.
Su alcuni aspetti, per esempio rispetto alla famosa vicenda dell'anagrafe tributaria, la nostra autorità non ha detto - tantomeno


Pag. 11

si sarebbe potuta permettere di dire - se sia cosa buona o meno mettere on line i dati dei contribuenti. Dire ciò spetta al legislatore, non certo a noi.
La nostra autorità ha solo sostenuto che se ciò si deve fare, occorre prevedere misure di sicurezza che garantiscano che quei dati non siano manipolabili e con modalità che garantiscano la finalità che voi legislatori avete fissato. Dovete decidere se volete che tutti conoscano i dati di tutti i contribuenti.
Una volta che il legislatore ha deciso, l'anagrafe tributaria deve applicare le misure di sicurezza idonee. Questo è il nostro compito: mai sostituirci a voi, ma sempre far rispettare regole che fanno riferimento, da un lato, alla legge sulla privacy e, dall'altro lato, alla nostra competenza tecnica.
Sul discorso relativo alla sanità e quant' altro sono molto preoccupato, come cittadino prima ancora che come autorità garante, della «stagione dei mille fiori», anche perché si va incontro a diseconomie notevolissime.
Pensate che un cittadino lombardo ha opportunità di valersi della carta sanitaria elettronica, cioè di un salvavita effettivo che i cittadini di altre regioni non hanno. Tuttavia, se questo cittadino lombardo si fa curare da una struttura non lombarda, la sua carta sanitaria elettronica non serve a niente, perché funziona solo all'interno delle strutture della regione Lombardia. Non mi porto dietro, quindi, questo diritto di cittadinanza regionale: da cittadino lombardo, non ho diritto ad avere la cartella sanitaria elettronica ovunque. Viceversa, se non sono cittadino lombardo, ma mi faccio curare in Lombardia, è possibile (entro certi limiti, non con le possibilità del cittadino lombardo che ha la carta specifica per la consultazione della cartella on line) il trattamento on line.
È chiaro che ciò non ha nulla a che fare con un regionalismo buono; è anche chiaro che abbiamo bisogno di una vision di carattere generale, che tra l'altro dovrebbe andare anche oltre il Paese-nazione. Abbiamo interesse che, se ci ammaliamo in Francia, piuttosto che in Austria, sia possibile l'accesso alla carta sanitaria elettronica.
Quindi, la differenziazione territoriale in certi casi è un valore; in certi altri casi è semplicemente una arretratezza, rispetto a un Paese che non ha ancora affrontato «a tutto tondo», almeno in chiave nazionale, il problema di settore.
Il dilemma fra settore o generalismo, fra servizio pubblico di connettività o trattamenti settoriali, rappresenta un problema delicatissimo.
Ben volentieri possiamo dialogare con voi legislatori e aiutarvi. Non vorrei essere nei vostri panni nel compiere le scelte, ma in qualche modo le avete fatte, poiché avete creato il codice digitale e il servizio pubblico di interconnettività. Nello stesso tempo, però, si sta andando avanti.
Ovviamente, se prendete la legge delega sul federalismo fiscale, la trovate piena di sistemi di interconnessione specifici, addirittura con una Commissione parlamentare bicamerale che vigilerà su quel trattamento dati. Da questo punto di vista, allora, c'è un «problema-Paese» da capire.
Devo dirvi, in base alla mia esperienza, che non mi sentirei di propendere per l'una o per l'altra ipotesi. Non è bene il massimo di accentramento, perché andremmo a creare un sistema che farebbe acqua da tutte le parti; non è però opportuno il massimo del settorialismo.
Non sono per il massimo di accentramento, come il codice digitale e i sistemi che ne derivano a cascata, come il sistema di interconnessione pubblica, gli accordi di cooperazione e di servizio, che erano il modo per avere le differenziazioni all'interno del codice generale. Si approva il codice generale e poi si fanno degli accordi di servizio, a seconda dei settori: questa era l'idea, che però non si è sviluppata, perché di accordi di settore ne abbiamo pochissimi, mentre si stanno creando molti sistemi a rete paralleli. Ho citato giustizia, interni, il processo civile elettronico e l'archivio giudiziario elettronico: ciascuno va per proprio conto.


Pag. 12


Sono qui a dirvi che questo è lo stato dell'arte. Non saprei neanch'io come affrontarlo, non so oggi dirvi quale sia la strada giusta. È una riflessione che si deve compiere.
L'ultima cosa che vi posso dire è che noi stiamo attenti al quadro nel suo complesso, proprio perché ciò fa parte del nostro dovere e della nostra missione. Essere stati tagliati fuori dalla possibilità di fornire un parere su un servizio pubblico di interconnettività e, quindi, sugli accordi di servizio e gli accordi di cooperazione, ci costringe a intervenire dopo, sempre che chi li si sta adottando abbia il buonsenso di chiedere anche la nostra cooperazione. Ma non abbiamo una protezione legislativa riguardante il nostro coinvolgimento.

PRESIDENTE. La ringrazio molto per il suo contributo.
Professor Pizzetti, sul resoconto stenografico sarà riprodotto il testo del suo intervento di cui le invieremo copia ai fini di correzioni di carattere formale. Qualora poi, lei prevedesse di arricchire ulteriormente i contenuti della sua relazione, potrà senz'altro trasmettere alla Commissione una nota integrativa che sarà inserita agli atti dell'indagine conoscitiva.
Dichiaro chiusa l'audizione.

La seduta termina alle 16,05.

Consulta resoconti delle indagini conoscitive
Consulta gli elenchi delle indagini conoscitive