La società dei dati si pone, tra l’altro, l’obiettivo di fornire servizi in rete a cittadini, imprese e professionisti. I dati sono messi a disposizione nelle modalità più utili allo scopo e gestiti secondo principi di immodificabilità, integrità e sicurezza.
Negli ultimi anni, nell’ambito della transizione e trasformazione digitale, queste tematiche sono state affrontate e almeno formalmente risolte.
Le pagine dei siti delle amministrazioni sono state normalizzate con uno schema di design comune e standard. In questo modo la pubblica amministrazione si presenta all’utente con la stessa interfaccia. L’identità dell’utente è gestita con la CNS, in generale associata alla Tessera Sanitaria, SPID e la CIE.
Il numero di servizi in rete disponibili è diventato significativo e soprattutto le grandi amministrazioni centrali hanno un’offerta di servizi elevata e di adeguata utilità.
Come al solito non tutto va bene. Nel seguito vengono descritte alcune situazioni, a vario titolo, non corrette, di poca utilità per l’utente o addirittura non conformi alla norma.
Tutto quanto illustrato nel seguito, deriva direttamente dall’esperienza e dalla conoscenza diretta dell’autore.
Iniziamo con il problema della limitazione dell’accesso al servizio.
Il servizio in rete deve essere raggiungibile tramite (almeno) CIE e SPID. Questi sono schemi di identificazione notificati ai sensi del Regolamento Europeo eIDAS e quindi con dei vincoli normativi comunitari. L’accesso tramite CNS, per come è formulato nel CAD, viene spesso considerato facoltativo ma lo è quello con CIE e SPID.
Ci sono dei servizi offerti in rete con il solo accesso CNS o SPID o addirittura con il PIN che non dovrebbe più esistere.
Un altro aspetto è nella corretta formazione dei documenti informatici derivanti dalla elaborazione dei dati. Quello che abbiamo emesso è un documento firmato digitalmente da un soggetto giuridico (dichiarazione scritta nel documento) e non predisposto per la copia analogica di documento informatico.
Vediamo più chiaramente di cosa si tratta.
Un soggetto giuridico non ha titolo legale a firmare digitalmente, quindi scrivere nel documento emesso dal servizio “firmato digitalmente dalla “persona giuridica” è errato. Succede anche che il sottoscrittore dichiarato non sia nemmeno una persona giuridica ma un server generico. Poi, per loro natura, alcuni documenti vengono esibiti in forma cartacea, quindi devono essere emessi con il contrassegno elettronico stabilito nell’articolo 23, comma 2-bis del CAD. Questa operazione è stabilita per la conformità della stampa all’originale.
Un altro problema è quello del servizio in rete sostanzialmente “inutile”.
In questi casi l’elemento prevalente è la carenza di informazioni associata al servizio che è erogato con un approccio di adempimento piuttosto che di utilità. Il non perfetto disegno del servizio porta anche alla violazione di norme critiche come quelle sulla protezione dei dati personali.
Vediamo un esempio reale.
Si deve svolgere un’operazione amministrativa e ci si collega correttamente con SPID. Per completare l’operazione si richiede il consenso al trattamento di tutti i possibili dati che il gestore dell’identità ha a disposizione.
Questo appare non conforme ai principio di proporzionalità e minimizzazione.
Nella proporzionalità possono essere trattati i soli dati pertinenti e non eccedenti in relazione alle finalità perseguite, nella minimizzazione, salvo poche eccezioni, un titolare deve trattare solo i dati di cui ha realmente bisogno per raggiungere le finalità del trattamento.
Ma non si hanno alternative e allora si prosegue.
A questo punto un problema comune è quello di chiedere nuovamente il codice fiscale o altri dati già trasmessi nella transazione SPID.
Poi il servizio non promette quello che si aspetta, le informazioni di limitazioni allo stesso non sono preventive, non sono complete o addirittura non ci sono. Ogni limitazione o non offerta di servizio dovrebbe poi essere fornita prima dell’accesso.
Un ultimo aspetto è poi sulla poca organizzazione dei dati di base che ha ovvi effetti negativi sul servizio finale reso.
La conclusione finale non può che essere la solita. Se non si organizza il back office per tutto quello che serve, il rapporto con l’utente non potrà mai essere qualitativamente valido.
L’obiettivo finale è quindi quello di mettere in rete servizi utili e non di adempimento generico alle normative di settore, anche comunitarie.
Naturalmente il numero di servizi di qualità è elevato e dovrebbe essere preso come buona pratica.
