Circa il 14% dei siti istituzionali della pubblica amministrazione italiana trasferisce, direttamente o indirettamente, dati personali degli utenti verso domini al di fuori dello spazio economico europeo.
Questi trasferimenti, che coinvolgono colossi tecnologici come Amazon, Google e altri operatori globali, avvengono spesso senza adeguata informativa e senza il consenso consapevole del cittadino.
Ciò espone a rischi di violazione della normativa GDPR, indebolisce la fiducia tra cittadini e istituzioni e crea potenziali vulnerabilità sul piano della sovranità digitale.
Serve una strategia nazionale per una PA digitale e sicura
Negli ultimi anni l’Unione Europea ha predisposto strumenti giuridici come le clausole contrattuali standard e i data transfer impact assessment per ridurre i rischi nei trasferimenti di dati.
L’Italia ha avviato la transizione digitale con il piano Italia Digitale 2026 e con l’istituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Anche il Garante della Privacy ha più volte richiamato enti pubblici e privati all’uso responsabile di strumenti digitali che rispettino la normativa europea.
Tuttavia, manca ancora un quadro organico e vincolante che obblighi tutte le amministrazioni locali e centrali a verificare, monitorare e garantire l’assenza di trasferimenti illeciti di dati verso Paesi terzi.
Non esiste un protocollo nazionale unico per la configurazione sicura dei siti istituzionali e non c’è un sistema di monitoraggio sistematico: ogni ente è lasciato a se stesso nella gestione dei servizi digitali, con forti disuguaglianze tra realtà più strutturate e quelle più piccole.
I responsabili della transizione digitale degli enti spesso non hanno formazione tecnica adeguata su GDPR, interoperabilità e cyber risk.
Stop ai trasferimenti illeciti di dati all’estero
Questo vuoto normativo e formativo genera un’asimmetria di tutela per i cittadini, che a seconda del comune o dell’ente possono vedere i propri dati trattati in modo più o meno sicuro.
Il movimento politico Meritocrazia Italia propone:
- – audit periodici obbligatori per tutti i siti della p.a., gestiti dall’ACN (Agenzia per la Cybersicurezza Nazionale) in collaborazione con il Garante Privacy, per verificarne la conformità al GDPR e al principio di “data localization” (obbligo di conservare e trattare i dati entro i confini nazionali o europei);
- – un protocollo nazionale di sicurezza per i siti istituzionali, con linee guida tecniche vincolanti su hosting, analytics, cookie e plugin di terze parti;
- – un registro pubblico di conformità: ogni ente deve pubblicare annualmente un “Rapporto di Conformità Digitale” accessibile ai cittadini;
- – formazione obbligatoria per i Responsabili della transizione digitale, con un sistema di microcredenziali nazionali su privacy, sicurezza informatica e digitalizzazione, valide per tutte le amministrazioni;
- – un sistema di premialità meritocratica che colleghi parte dei fondi destinati alla digitalizzazione al rispetto degli standard: chi dimostra maggiore trasparenza e conformità riceve più risorse e incentivi. Solo così sarà possibile costruire una p.a. digitale capace di coniugare innovazione, sicurezza e fiducia, garantendo ai cittadini italiani diritti uniformi e pienamente tutelati anche nello spazio digitale.