Stop allo stalking digitale: il principio once only

di ANTONIO CICCIA MESSIMA (da Italia Oggi)

Le PA devono scambiarsi telematicamente i dati di cui hanno bisogno peri procedimenti amministrativi: così si evita di importunare imprese e cittadini con la richiesta di fornirei dati, che le Pubbliche Amministrazioni hanno già in loro possesso. È questo il principio detto “once only“, in base al quale i dati forniti dall’interessato alla PA saranno inseriti nella Pdnd (Piattaforma digitale nazionale dati) e circolarizzati tra tutte le PA.

A rafforzare questo principio è il nuovo comma 2-ter dell’articolo 50 del Cad (codice dell’Amministrazione digitale, dlgs n. 82/2005) inserito dal decreto legge “PNRR”, approvato dal Consiglio dei ministri del 29 gennaio 2026. Perché la norma non rimanga lettera morta, l’Agid (Agenzia per l’Italia digitale) dovrà vigilare e, in specifico, controllare che le p.a. alimentino la piattaforma con i dati di loro pertinenza, a pena di sanzioni amministrative.

Ma non bisogna dimenticare la privacy: la raccolta, l’acquisizione e la divulgazione di un numero enorme e sempre crescente di informazioni necessità di salvaguardie per la riservatezza delle persone. La norma non è una primizia. Il principio “once only” è previsto fin dalla sua versione originaria dall’articolo 18 della legge 241/1990, dedicato all’autocertificazione, nella parte in cui si impone alle p.a. l’obbligo di acquisire d’ufficio i “documenti” necessari per l’istruttoria dei procedimenti. Allora, la prospettiva era “cartacea” e si parlava di documenti, mentre oggi, in un’era di digitalizzazione tendenzialmente universale, si parla di “dati e informazioni”. L’articolo 43 del Testo unico della documentazione amministrativa (dpr 445/2000) ha una formulazione simile all’articolo 50 del Cad, parla esplicitamente di acquisizione telematica e, per rispettare la normativa sulla privacy, si preoccupa di dare una base giuridica allo scambio di dati.

Collegata al tema, inoltre, anche se collocata su un piano parallelo, è la disciplina dei portafogli digitali o e-wallet, che sono lo strumento tecnologico per consentire a cittadini e imprese di avere a portata di smartphone o altro dispositivo tutti i documenti che li riguardano. Gli interessati possono mettere a disposizione il proprio wallet elettronico anche di Enti pubblici e così favoriscono l’acquisizione delle informazioni anche attraverso questo canale, sempre digitale. La normativa italiana (articolo 64-quater del Cad introdotto dal d-l 19/2024) e quella europea (regolamento (Ue) 2024/1183 e, per le imprese, Proposta di regolamento Com(2025)838) sono nel loro complesso ancora in via di definizione, ma si viaggia nella direzione della circolarità digitale universale delle informazioni. La circolarità delle informazioni. La nuova disposizione è strutturata in più punti, che vanno analizzati separatamente.

Primo punto: le Pubbliche Amministrazioni, in attuazione del principio dell’unicità dell’invio, non devono richiedere ai cittadini e alle imprese dati e informazioni già detenuti da un’amministrazione. La disposizione esprime il divieto a carico di tutte le pubbliche amministrazioni di chiedere dati e informazioni già in possesso di una amministrazione. Il divieto a carico delle PA riguarda “dati e informazioni”, con ciò intendendo qualsiasi notizia utile ai fini dell’azione amministrativa.

Secondo punto: le Pubbliche Amministrazioni devono assicurare, fin dalla progettazione dei servizi, la circolarità delle informazioni mediante una piattaforma ufficiale, la Pdnd (articolo 50-ter del Cad). Al di là degli aspetti prettamente tecnici, si tratta di un obbligo riguardante la predisposizione della struttura dei singoli servizi. Durante l’erogazione del singolo servizio si producono dati, destinati ad alimentare la piattaforma, con lo scopo di arricchire un patrimonio informativo attingibile dal sistema delle pubbliche amministrazioni. Il rispetto della privacy.

Terzo punto: la norma afferma che si considera operata per finalità di rilevante interesse pubblico la consultazione diretta delle banche dati pubbliche da parte di pubbliche amministrazioni (Garanti compresi), gestori di servizi pubblici (società quotate comprese) e società a controllo pubblico (escluse alcune società). La norma significa che tutti gli enti individuati, per il perseguimento degli scopi istituzionali e societari, possono scambiarsi i dati personali, anche quelli più delicati, definiti dal regolamento Ue sulla privacy n. 2016/679 (Gdpr) “particolari” e cioè i dati sensibili, genetici e biometrici. Anche se la norma è di importanza decisiva, essa, beninteso, non è una liberatoria incondizionata. Al contrario, la disposizione è la rimozione di un impedimento preliminare: senza la declaratoria normativa che una certa azione della PA è di “rilevante interesse pubblico”, infatti, le PA non possono trattare al loro interno e tanto meno scambiarsi tra loro le informazioni “particolari”. La dichiarazione dell’appartenenza di determinate attività all’ambito dell’interesse pubblico rilevante apre, invece, la strada al compimento dei trattamenti. Questi ultimi devono, però, rispettare misure tecniche, organizzative e di sicurezza idonee a impedire accessi abusivi o malevoli. Risposte a stretto giro. Quarto punto: i servizi di accertamento d’ufficio di atti, fatti, qualità e stati soggettivi devono essere resi immediatamente o automaticamente disponibili mediante la piattaforma Pdnd a semplice richiesta per pubbliche amministrazioni, gestori di servizi pubblici e società a controllo pubblico. La norma definisce una modalità operativa che incide sui tempi dei procedimenti amministrativi. Essa detta, infatti, i tempi di risposta, esigendo che siano immediati, alla richiesta di una PA finalizzata a ottenere dati e informazioni. Inoltre, le risposte devono essere automaticamente disponibili a semplice richiesta: ciò significa che l’ente richiedente non deve giustificare espressamente le ragioni della richiesta, presumendosi che la stessa sia giustificata dall’attività istituzionale/societaria. Tutto ciò non esclude, peraltro, controlli sulla legittimità degli accessi, i quali, tuttavia, non devono essere frenati a monte da procedure di verifica e validazione della richiesta. Vigilanza su più livelli. Quinto punto: la nuova disposizione specifica che la vigilanza sugli accessi è effettuata secondo quanto previsto dalle linee guida adottate dall’Agid (Agenzia per l’Italia digitale). Gli accessi alla piattaforma da parte di funzionari pubblici e dipendenti degli enti, abilitati a fruire della circolarità delle informazioni, sono dunque controllati.

Un primo livello di controlli è, dunque, quello espressamente citato dalla norma in esame e cioè quello dell’Agid. D’altra parte, quando non è giustificato da ragioni di ufficio, l’accesso alle informazioni relative a un individuo costituisce una violazione della riservatezza e, quindi, diventa un trattamento illecito di dati personali. In questi frangenti entra in campo il Garante della privacy, che potrà contestare le violazioni del Gdpr e infliggere le relative sanzioni. Sesto punto: la norma garantisce l’effettività del sistema rafforzando l’obbligo di alimentare i contenuti della piattaforma. Lo fa prevedendo sanzioni dirette e indirette. Il decreto legge, in particolare, sostituisce il comma 3-ter dell’articolo 50 del Cad.

Nella nuova formulazione, il comma 3-ter dichiara che non solo l’inadempimento dell’obbligo di rendere disponibili i dati ad altre Pubbliche Amministrazioni, ma anche il ritardo nell’abilitazione dell’accesso ai servizi della piattaforma Pdnd comporta la riduzione, non inferiore al 30%, della retribuzione di risultato e del trattamento accessorio collegato alla performance individuale dei dirigenti responsabili, oltre al divieto di attribuire premi o incentivi nell’ambito delle medesime strutture. La nuova versione aggiunge l’attribuzione espressa all’Agid del compito di effettuare controlli annuali sul rispetto degli obblighi dell’articolo 50 del Cad. Al riguardo si rileva che i controlli devono riguardare tutti gli obblighi inclusi nell’articolo 50 Cad, tra cui quello di non chiedere dati a imprese e cittadini e quello di assicurare la circolarità delle informazioni. Il nuovo comma 3-ter si chiude precisando che, in caso di violazione degli obblighi dello stesso articolo 50, si applica l’articolo 18-bis del Cad, che commina anche sanzioni pecuniarie.

* Articolo integrale pubblicato su Italia Oggi del 2 febbraio 2026 (In collaborazione con Mimesi s.r.l.)