VEDI ANCHE Newsletter del 9 marzo 2026

[doc. web n. 10226904]

Parere sullo schema di decreto del Presidente del Consiglio dei Ministri concernente la disciplina delle modalità di funzionamento della Piattaforma di gestione deleghe - 12 febbraio 2026

Registro dei provvedimenti
n. 66 del 12 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTO il d.lgs. 7 marzo 2005, n. 82 (di seguito, CAD), che, all’art. 64-ter, recante “Piattaforma di gestione deleghe” – nella versione oggetto di rilevanti modifiche, da ultimo, ad opera dell’art. 20, comma 1, lett. d), del d.l. 2 marzo 2024, n. 19, convertito, con modificazioni, dalla l. 29 aprile 2024, n. 56 – stabilisce, in particolare, che:

“1. Il cittadino iscritto nell’ANPR può delegare l’accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono l’identificazione informatica a non più di due soggetti iscritti nell’ANPR, titolari dell’identità digitale di cui all’articolo 64, comma 2-quater, con livello di sicurezza almeno significativo.

2. Il cittadino presenta la delega di cui al comma 1 tramite la piattaforma di cui al comma 5, mediante una delle modalità previste dall’articolo 65, comma 1, o recandosi presso gli uffici del comune di residenza. La delega è revocabile in ogni momento. Il delegante viene puntualmente informato dalla piattaforma di cui al comma 5 dell’esercizio della delega da parte del delegato.

3. Per i soggetti sottoposti alle forme di tutela previste dal codice civile nei casi di incapacità totale o parziale a provvedere ai propri interessi, il Ministero della giustizia rende disponibile nella piattaforma di cui al comma 5, per il tramite della piattaforma di cui all’articolo 50-ter, le informazioni, ove disponibili in formato digitale idoneo, relative alla qualifica di tutore, di curatore o di amministratore di sostegno del soggetto che richiede l’accesso ai servizi in rete quale rappresentante del soggetto tutelato.

4. I gestori di identità digitale, tramite la piattaforma di cui al comma 5, verificano l’esistenza di eventuali deleghe conferite al cittadino che effettua l’accesso ai servizi in rete erogati dalle pubbliche amministrazioni.

5. Ai fini di cui al comma 1, l’Istituto Poligrafico e Zecca dello Stato S.p.A. realizza, gestisce e cura la manutenzione della piattaforma per la gestione delle deleghe. L’accesso ai dati attraverso la piattaforma non modifica la disciplina relativa alla titolarità del trattamento, ferme restando le specifiche responsabilità ai sensi dell’articolo 28 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, in capo all’Istituto Poligrafico e Zecca dello Stato S.p.A., nonché le responsabilità dei soggetti che trattano i dati in qualità di titolari autonomi del trattamento. La realizzazione della piattaforma di cui al primo periodo rientra nel programma «Servizi digitali e cittadinanza digitale» del PNC di cui all’articolo 1, comma 2, lettera a), numero 1), del decreto-legge 6 maggio 2021, n. 59, convertito, con modificazioni, dalla legge 1° luglio 2021, n. 101.

6. Con decreto del Presidente del Consiglio dei ministri ovvero dell’Autorità politica delegata in materia di innovazione tecnologica, ove nominata, adottato di concerto con il Ministro della giustizia, sentiti il Garante per la protezione dei dati personali e l’Agenzia per la cybersicurezza nazionale, sono definiti le caratteristiche tecniche, l’architettura generale, i requisiti di sicurezza, le modalità di funzionamento della piattaforma di cui al comma 5, nonché le tipologie di dati oggetto di trattamento e, in generale, le modalità e le procedure per assicurare il rispetto dell’articolo 5 del regolamento (UE) 2016/679 […]”;

VISTE le note inviate, da ultimo, il 4 febbraio 2026, con cui il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri (di seguito, DTD) ha trasmesso all’Autorità, ai fini dell’acquisizione del parere di competenza, lo schema di decreto del Presidente del Consiglio dei Ministri di cui all’art. 64-ter, comma 6, del CAD, comprensivo di cinque allegati, unitamente alla valutazione d’impatto sulla protezione dei dati effettuata dal titolare del trattamento e alla relazione illustrativa e tecnica, evidenziando altresì che “si tratta di un provvedimento monitorato per l’attuazione del programma di Governo e del PNRR”;

RILEVATO che lo schema di decreto in esame disciplina le modalità di funzionamento della Piattaforma di gestione deleghe (di seguito, Piattaforma), definendone le caratteristiche tecniche, l’architettura generale, i requisiti di sicurezza, le tipologie di dati oggetto di trattamento, le categorie di interessati e, in generale, le modalità e le procedure per assicurare il rispetto dell’art. 5 del Regolamento, prevedendo, in particolare, che:

- la delega di cui all’art. 64-ter del CAD faccia riferimento ai Servizi in rete erogati dalle pubbliche amministrazioni, inclusa l’abilitazione all’accesso del soggetto munito di procura generale o speciale (cioè quella rilasciata in forma di atto pubblico o scrittura privata autenticata relativa all’accesso ai Servizi in rete in questione) dell’esercente la responsabilità genitoriale, del tutore del minore, del tutore dell’interdetto, del curatore dell’inabilitato e dell’amministratore di sostegno, con esclusione, invece, delle deleghe professionali e dei mandati conferiti a soggetti che operano quali professionisti o intermediari abilitati, ivi compresi gli incarichi conferiti ai sensi di contratti d’opera intellettuale o di servizi oppure a istituti di patronato e assistenza sociale (art. 1, lett. i), dello schema);

- i Servizi in rete per i quali è possibile usare la menzionata delega siano i servizi digitali destinati esclusivamente ai cittadini; sono esclusi i servizi e le funzionalità destinati a professionisti, lavoratori, dipendenti, professionisti e collaboratori a vario titolo, per lo svolgimento di attività professionali, per compito di interesse pubblico o in attuazione di un obbligo di legge (art. 1, lett. m), dello schema). È previsto un piano di graduale rilascio dei servizi di presentazione della delega (art. 14 dello schema);

- la delega in questione possa essere presentata secondo tre modalità, e cioè tramite l’apposito Portale (art. 3 dello schema), con l’assistenza remota del Gestore della Piattaforma (art. 4 dello schema e allegato 1) o tramite il Comune di residenza del delegante (art. 5 dello schema); nello specifico, è stabilito che:

• presentazione della delega tramite il Portale. Premesso che il cittadino iscritto nell’ANPR può delegare l’accesso ai Servizi in rete erogati dalle pubbliche amministrazioni che richiedono l’identificazione informatica in favore di non più di due soggetti iscritti nell’ANPR, e che il delegato non può subdelegare l’accesso ai Servizi in rete erogati dalle pubbliche amministrazioni che richiedono l’identificazione informatica del delegante (fatto salvo per il caso previso dall’art. 3, comma 2, lett. e), dello schema di seguito descritto), la presentazione della delega tramite Portale (eventualmente anche per il tramite del Punto di accesso telematico per i dispositivi mobili di cui all’art. 64-bis del CAD) è consentita secondo una delle seguenti modalità:

il delegante accede al Portale (tramite identità digitale con livello di sicurezza almeno significativo) e presenta la delega in favore di un soggetto, che la accetta, entro trenta giorni, previo accesso al Portale tramite le medesime modalità; in tale caso, la delega è registrata nella Piattaforma al momento dell’accettazione da parte del delegato (art. 3, comma 2, lett. a), dello schema);

il delegato accede al Portale (tramite identità digitale con livello di sicurezza almeno significativo) e presenta la delega ricevuta dal delegante tramite documento informatico sottoscritto con firma digitale o altro tipo di firma elettronica qualificata o avanzata generata tramite CIE dal delegante o comunque dal notaio o da altro pubblico ufficiale autorizzato ad autenticare la firma ai sensi dell’art. 25 del CAD; in tale caso, la delega è registrata nella Piattaforma al momento della verifica dei documenti e della validità delle sottoscrizioni (art. 3, comma 2, lett. b), dello schema);

il genitore esercente la responsabilità genitoriale o il tutore del minore accede al Portale (tramite identità digitale con livello di sicurezza almeno significativo) e presenta la delega al fine di accedere ai servizi per conto del minore, previo esito positivo delle relative verifiche (quella concernente le informazioni rese disponibili dall’ANPR e quella concernente le informazioni rese disponibili dal Ministero della giustizia in riferimento all’assenza di provvedimenti che prevedono la perdita della responsabilità genitoriale, la decadenza dalla stessa o la sospensione dal suo esercizio) svolte dalla Piattaforma collegandosi ai corrispondenti servizi tramite PDND; in tale caso, la delega è registrata nella Piattaforma all’esito positivo delle predette verifiche. Fino alla messa a disposizione delle informazioni di competenza da parte del Ministero della giustizia, il genitore esercente la responsabilità genitoriale dichiara la propria qualità ai sensi del d.P.R. 28 dicembre 2000, n. 445 (art. 3, comma 2, lett. c), dello schema);

il tutore, il curatore dell’inabilitato o l’amministratore di sostegno accede al Portale (tramite identità digitale con livello di sicurezza almeno significativo) e presenta la delega al fine di accedere ai servizi per conto dell’interdetto, dell’inabilitato o del beneficiario, previo esito positivo della verifica delle informazioni rese disponibili dal Ministero della giustizia, svolta dalla Piattaforma collegandosi ai corrispondenti servizi tramite PDND; in tale caso, la delega è registrata nella Piattaforma all’esito positivo della predetta verifica (art. 3, comma 2, lett. c), dello schema);

il genitore esercente la responsabilità genitoriale, il tutore, il curatore dell’inabilitato o l’amministratore di sostegno accede al Portale (tramite identità digitale con livello di sicurezza almeno significativo) e presenta la delega ad operare per conto del minore, dell’interdetto, dell’inabilitato o del beneficiario dell’amministrazione di sostegno in favore di un altro soggetto, che la accetta previo accesso al Portale tramite le medesime modalità; in tale caso, la delega è registrata nella Piattaforma al momento dell’accettazione da parte del delegato, previo esito positivo della verifica svolta dalla Piattaforma in ordine alla qualifica rivestita dal soggetto delegante, collegandosi ai corrispondenti servizi tramite PDND (art. 3, comma 2, lett. e), dello schema);

• presentazione della delega con l’assistenza remota del Gestore della Piattaforma in favore di cittadino iscritto nell’ANPR di età pari o superiore ai 65 anni o in possesso di certificazione rilasciata ai sensi dell’art. 3, comma 3, della l. 5 febbraio 1992, n. 104 (persona con disabilità grave) – con esclusione delle deleghe presentate da esercenti la responsabilità genitoriale, tutori, curatori e amministratori di sostegno di cui all’art. 3, comma 2, lettere c) e d), dello schema. In questo caso, il delegato accede allo specifico servizio del Portale (tramite identità digitale con livello di sicurezza almeno significativo), inserisce il numero identificativo della carta di identità del delegante e richiede l’assistenza del Gestore della Piattaforma – che, per questa attività, eventualmente si avvale di un soggetto terzo in qualità di responsabile del trattamento – per effettuare la registrazione della delega ricevuta dal soggetto delegante iscritto nell’ANPR, selezionando una tra le date e orario disponibili indicate dal Gestore per lo svolgimento della seduta volta al conferimento della delega, durante la quale delegante e delegato (necessariamente compresenti) vengono informati sul trattamento e assentono alla registrazione; in tale caso, l’erogazione del servizio è confermata all’esito positivo della verifica della validità del numero identificativo della carta di identità del delegante svolta dalla Piattaforma collegandosi ai corrispondenti servizi tramite PDND. L’operatore addetto del Gestore della Piattaforma, opportunamente selezionato e formato sulle responsabilità inerenti al servizio, anche qualora appartenente a soggetti terzi di cui il Gestore si avvalga per l’erogazione del servizio, registra la volontà della delega insieme alla copia informatica per immagine del documento d’identità del delegante e del delegato che dovranno essere esibiti anche in originale a video; il Gestore della Piattaforma effettua controlli, anche a campione, sul corretto svolgimento delle operazioni di cui al presente comma in relazione a una percentuale non inferiore al 5 percento delle deleghe così registrate nella Piattaforma. A seguito della conclusione delle operazioni e all’esito della positiva verifica dei requisiti previsti, il Gestore della Piattaforma registra la delega nella Piattaforma;

• presentazione della delega tramite il Comune di residenza. Il delegante si reca presso il Comune di residenza e sottoscrive la relativa richiesta (utilizzando gli appositi moduli conformi all’allegato 3) con firma autografa apposta in presenza del dipendente addetto al procedimento, esibendo anche il proprio documento d’identità. Anche il delegato può avvalersi della medesima modalità, in luogo del delegante, purché esibisca copia della procura generale o speciale e dichiari, ai sensi del d.P.R. 445/2000, che la propria qualità è tuttora sussistente e che non sono intervenute modifiche o revoche. Nel caso di delegante allettato per lunga durata, ricoverato o impossibilitato per motivi sanitari a recarsi presso il Comune di residenza, la delega può essere presentata direttamente dal delegato (che esibisce il proprio documento d’identità) anche mediante acquisizione, da parte del dipendente addetto al procedimento del Comune di residenza del delegante, della delega sottoscritta dal delegante unitamente alla copia del proprio documento d’identità e di una attestazione sanitaria (basata sul formato standard di cui all’allegato 2) redatta da un medico del Servizio sanitario nazionale attestante l’impossibilità del delegante di recarsi presso lo sportello, o di una certificazione rilasciata al delegante ai sensi dell’art. 3, comma 3, della l. 104/1992.

Il dipendente addetto al procedimento del Comune di residenza, opportunamente formato sulle responsabilità inerenti al servizio in esame, inserisce nel Portale la delega contestualmente alla ricezione della richiesta o comunque entro tre giorni dalla ricezione della stessa, allegando copia su supporto informatico della documentazione presentata: in questo modo viene soddisfatto l’obbligo di conservazione dell’originale ai sensi degli artt. 22, comma 4, e 23-ter, comma 3, del CAD, venendo meno il conseguente obbligo di conservazione da parte del Comune dei documenti originali analogici.

A seguire, il delegato accede al Portale (tramite identità digitale con livello di sicurezza almeno significativo) e accetta la delega inserita; in tale caso, la delega è registrata nel Portale al momento dell’accettazione da parte del delegato e di tale registrazione è data notizia al Comune di residenza competente, che informa il delegante dell’esito della pratica.

La registrazione della delega presentata da esercenti la responsabilità genitoriale, tutori, curatori e amministratori di sostegno di cui all’art. 3, comma 2, lettere c) e d), dello schema può essere effettuata dal delegato che si reca presso il Comune di residenza del delegante e, previa esibizione del proprio documento d’identità, sottoscrive la relativa richiesta con firma autografa apposta in presenza del dipendente addetto al procedimento;

- la verifica dell’iscrizione dei cittadini deleganti e delegati avvenga per il tramite di servizi offerti al Gestore della Piattaforma dall’ANPR (art. 6, dello schema). La verifica della qualità di tutore, curatore o amministratore di sostegno e dell’assenza di provvedimenti che prevedono la perdita, la sospensione o la decadenza dalla responsabilità genitoriale del soggetto che presenta la delega avvenga per il tramite di servizi offerti al Gestore della Piattaforma dal Ministero della giustizia mediante PDND, attraverso i quali vengono rese disponibili le relative informazioni, unitamente ai dati identificativi e al codice fiscale dei soggetti interessati; a seguito di perdita, sospensione o decadenza dalla responsabilità genitoriale si procede all’immediata revoca della delega stessa, e i dati della stessa sono conservati per il tempo strettamente necessario all’esecuzione delle relative operazioni (art. 7 dello schema);

- per ciascun delegato possano essere registrate fino ad un massimo di cinque deleghe, senza contare quelle presentate da esercenti la responsabilità genitoriale, tutori, curatori e amministratori di sostegno ai sensi dell’art. 3, comma 2, lett. c) e d), dello schema, nonché dai procuratori generali e speciali; all’atto di richiesta di registrazione della delega, il soggetto delegato dichiara, ai sensi del d.P.R. 445/2000, di agire a titolo personale e non nell’esercizio di attività professionale o d’impresa, e che la delega conferita non costituisce mandato professionale né è connessa a compenso o fatturazione (art. 8, comma 2, dello schema);

- al fine di consentire ai cittadini di avere evidenza dell’uso della delega registrata e di tutelarli dall’uso illecito da parte di terzi, il Gestore della Piattaforma conservi le registrazioni delle richieste di utilizzo della delega da parte del delegato. I dati contenuti nel registro sono sempre consultabili su richiesta del delegante e o del delegato, anche previo accesso al Portale (tramite identità digitale con livello di sicurezza almeno significativo) ovvero recandosi presso il Comune di residenza; l’accesso da parte del delegato può concernere esclusivamente informazioni riferite alle deleghe dallo stesso ricevute, con esclusione, quindi, di informazioni riferite alle deleghe che il medesimo delegante ha eventualmente conferito ad altro soggetto. Inoltre, i dati contenuti nel registro, compresi quelli personali, possono essere estratti dal registro esclusivamente su richiesta dell’autorità giudiziaria e delle autorità vigilanti, tramite personale espressamente incaricato ed appositamente dotato di credenziali di accesso personali; l’accesso a tali informazioni è registrato in appositi log. Della registrazione della delega nonché di ogni richiesta di utilizzo della stessa da parte del delegato (escluso che nei casi di esercenti la responsabilità genitoriale, tutori, curatori, amministratori di sostegno e terzi da loro delegati ai sensi dell’art. 3, comma 2, lett. c), d) ed e), dello schema) viene data comunicazione al delegante tramite il proprio domicilio digitale, ove disponibile, o all’eventuale recapito di contatto indicato dal delegante al momento della presentazione della delega (art. 8, commi 3-6, dello schema);

- per quanto concerne l’utilizzo della delega, in occasione dell’accesso da parte del cittadino ai Servizi in rete erogati dalle pubbliche amministrazioni che richiedono l’identificazione informatica, l’Identity provider abiliti la possibilità per il cittadino di scegliere se operare per conto di un soggetto delegante: in quel caso, tale Identity provider consente l’accesso previa interrogazione della Piattaforma per verificare la sussistenza, in capo al cittadino medesimo, di una delega valida, registrata nella Piattaforma (art. 9, commi 1-3, dello schema);

- i dati relativi alle deleghe registrate nella Piattaforma siano resi disponibili dal Gestore della Piattaforma anche al Sistema di portafoglio digitale italiano – Sistema IT-Wallet di cui all’art. 64-quater del CAD, al fine di consentirne l’utilizzo come attestato elettronico del portafoglio digitale del soggetto delegato per l’accesso ai servizi in rete e per l’attestazione dei poteri esercitabili per conto del soggetto delegante (art. 9, comma 4, dello schema);

- ciascuna pubblica amministrazione classifichi e mantenga aggiornato l’elenco dei propri Servizi in rete ai fini dell’accesso mediante delega, valutati i presupposti normativi, il contesto, le finalità e le tipologie di dati trattati dai servizi, secondo talune categorie (servizi delegabili a tutti, servizi delegabili nell’ambito delle deleghe di cui all’articolo 3, comma 2, lettera c) e d), dello schema ovvero al procuratore generale o speciale, servizi non delegabili); resta ferma la responsabilità delle pubbliche amministrazioni in ordine alla verifica di compatibilità dei Servizi in rete con l’accesso in delega e alla determinazione delle conseguenti logiche di autorizzazione, inclusa l’eventuale limitazione delle funzionalità fruibili in delega, coerentemente con le informazioni messe a disposizione dai servizi della Piattaforma. In caso di servizi classificati quali delegabili a tutti che comportano il trattamento dei dati personali di cui agli artt. 9 e 10 del Regolamento, le pubbliche amministrazioni effettuano o aggiornano la valutazione d’impatto sulla protezione dei dati di cui all’art. 35 del Regolamento medesimo (art. 9, comma 5, dello schema).

Spetta alle pubbliche amministrazioni la determinazione delle logiche di autorizzazione all’accesso ai servizi erogati, in particolare: l’individuazione di eventuali servizi che non siano compatibili con l’accesso tramite delega, valutato il contesto, le finalità, le tipologie dei dati trattati e gli eventuali impatti sulla sfera giuridica del delegante e/o di terzi e, di conseguenza, non consentirne l’accesso, anche non accettando gli attributi trasmessi dalla Piattaforma; la limitazione funzionale del servizio in rete erogato (ad esempio, consentendo la sola consultazione inibendo le funzionalità dispositive) sulla base degli attributi ricevuti dalla Piattaforma (tipologia di delega, perimetro di utilizzo, validità); il tracciamento delle attività di sistema mediante la definizione di una policy formale che garantisca la conservazione sicura dei log, incluse modalità di accesso per la loro consultazione, per almeno 24 mesi, documentando le procedure tecniche a tutela dell’integrità e disponibilità del dato, inclusa la registrazione obbligatoria della motivazione sottesa a qualsiasi accesso alle da parte degli operatori (allegato 5);

Il DTD, nonché le Regioni e le Province autonome con riferimento agli ambiti di competenza, promuovono iniziative volte a favorire la corretta e uniforme classificazione dei Servizi in rete da parte delle pubbliche amministrazioni (art. 9, comma 7, dello schema);

- per i Servizi in rete relativi al Fascicolo sanitario elettronico, all’Ecosistema dati sanitari e alla Piattaforma nazionale di telemedicina, l’integrazione con i servizi della Piattaforma sia realizzata con riferimento alle fattispecie che riguardano l’esercente la responsabilità genitoriale e il tutore del minore, il tutore dell’interdetto, il curatore dell’inabilitato, l’amministratore di sostegno e il soggetto munito di procura generale o speciale per i quali è consentito al delegato l’accesso completo ai predetti servizi e funzionalità; con riferimento al c.d. delegato generico l’ambito di operatività per l’accesso ai predetti servizi e funzionalità è limitato a quanto ricompreso dal delegante all’atto di conferimento della delega, conformemente a quanto previsto nell’allegato 5, fermo restando che in nessun caso il delegato accede ai dati soggetti a maggiore tutela di cui all’art. 6 del decreto del Ministro della salute 7 settembre 2023 (art. 9, comma 6, dello schema);

- il delegante, al momento del conferimento, definisca il periodo di validità della delega che, in ogni caso, non può essere superiore a due anni, decorsi i quali la delega non può più essere esercitata e deve essere nuovamente presentata, e ferma restando la facoltà di revoca della stessa. A sua volta, il delegato può rinunciare in qualsiasi momento alle deleghe precedentemente accettate utilizzando una specifica funzionalità resa disponibile nel Portale. La delega può essere nuovamente presentata anche prima della scadenza, sostituendo così la precedente (art. 10, commi 1, 2 e 7, dello schema).
Inoltre, la delega prevista dall’art. 3, comma 2, lett. d), dello schema cessa al momento della cessazione, per qualunque causa, della qualità di tutore, curatore o amministratore di sostegno; la delega dei procuratori cessa in caso di revoca o di estinzione della procura; la delega dell’esercente la responsabilità genitoriale e del tutore del minore prevista dall’art. 3, comma 2, lett. c), dello schema cessa al raggiungimento della maggiore età del minore stesso. La delega può essere altresì revocata su ordine dell’autorità giudiziaria tramesso al Gestore della Piattaforma (art. 10, commi 3, 4 e 6, dello schema);

- le caratteristiche tecniche e i requisiti di sicurezza della Piattaforma siano descritti nell’allegato 4, mentre le specifiche tecniche di integrazione siano descritte nell’allegato 5; laddove si rendessero necessari aggiornamenti dovuti alle continue evoluzioni tecnologiche o alla normativa di settore, questi saranno oggetto di apposito decreto del Capo del DTD, sentito il Garante, e pubblicati nell’apposita sezione dedicata del Portale (art. 11 dello schema);

- per quanto concerne i ruoli assunti sul piano dei trattamenti dei dati personali (art. 13 dello schema), il Gestore della Piattaforma assuma la veste di titolare del trattamento dei dati personali necessari per l’implementazione, la gestione e la manutenzione della Piattaforma medesima e, laddove decida di affidare a soggetti terzi, a qualunque titolo, lo svolgimento di attività inerenti al servizio di assistenza remota nella presentazione della delega, provveda alla loro nomina quali responsabili del trattamento ai sensi dell’art. 28 del Regolamento, adottando misure idonee a garantire un’adeguata selezione e formazione degli operatori addetti al servizio e l’efficacia dei controlli sul corretto svolgimento delle operazioni svolte da questi ultimi. Il Comune è titolare del trattamento dei dati personali necessari per la presentazione della delega nei casi di all’art. 5 dello schema o per la consultazione dei dati sul registro nei casi di cui all’art. 8, comma 5, dello schema;

RITENUTO necessario, in primo luogo, rilevare che il sistema delle deleghe disciplinato dallo schema di decreto in esame è stato profondamente ridisegnato rispetto a quello progettato nel 2022 – sulla base dell’art. 64-ter del CAD all’epoca in vigore – su cui il Garante si era pronunciato criticamente con i pareri di cui ai provv. n. 74 del 24 febbraio 2022 e n. 330 del 6 ottobre 2022 (disponibili sul sito istituzionale www.garanteprivacy.it, doc. web n. 9752853 e n. 9823221), in considerazione della mancata mitigazione dei rischi elevati per i diritti e le libertà dell’interessato connessi all’attribuzione a un terzo della possibilità di accedere ai servizi online per proprio conto; ciò, in particolare, alla luce del panorama dei servizi disponibili online, attraverso ai quali il delegato potrebbe, per conto del delegante, non solo consultare i dati personali di quest’ultimo (anche sanitari o economici, reddituali o bancari, o comunque strettamente personali), ma altresì effettuare operazioni che producono significativi effetti sulla sfera giuridica del delegante (ad esempio, azioni di carattere dispositivo, anche patrimoniali, o la richiesta di benefici o agevolazioni di vario genere), favorendo altresì la possibilità di comportamenti fraudolenti a danno della finanza pubblica;

CONSIDERATO che lo schema di decreto in esame, unitamente ai suoi allegati e alla valutazione di impatto, tiene conto delle numerose osservazioni fornite dall’Ufficio nel corso delle apprezzabili interlocuzioni informali, intercorse con rappresentanti del DTD, al fine di individuare soluzioni per rendere conformi alla normativa in materia di protezione dei dati personali, in ossequio ai principi di privacy by design e privacy by default (art. 25 del Regolamento), i trattamenti disciplinati nell’ambito della Piattaforma di gestione deleghe, che hanno riguardato, in particolare:

- la puntuale individuazione dell’ambito soggettivo e oggettivo di applicabilità della delega in esame – con l’esclusione, da un lato, delle deleghe professionali e i mandati conferiti a soggetti che operano quali professionisti o intermediari abilitati (ivi compresi gli incarichi conferiti ai sensi di contratti d’opera intellettuale o di servizi oppure a istituti di patronato e assistenza sociale), e dall’altro, dei servizi e delle funzionalità destinati a professionisti, lavoratori dipendenti e collaboratori a vario titolo per lo svolgimento di attività professionali, per compito di interesse pubblico o in attuazione di un obbligo di legge – al fine di evitare che, per tramite della stessa, si renda possibile accedere a servizi offerti dalle pubbliche amministrazioni in deroga ai presupposti di liceità e alle misure di sicurezza stabiliti dalle rispettive norme settoriali (in ossequio dell’art. 5, par. 1, lett. a) e f), e degli artt. 6, 9, 10 e 32 del Regolamento e degli artt. 2-ter, 2-sexies e 2-octies del Codice);

- l’introduzione di un numero massimo di deleghe accumulabili in capo al delegato, al fine di assicurare il corretto utilizzo del sistema di cui alla Piattaforma in esame (con esclusione, dal conteggio, di quelle attribuite a esercenti la responsabilità genitoriale, tutori, curatori e amministratori di sostegno, nonché procuratori generali e speciali);

- la corretta articolazione delle modalità di esercizio dei poteri di rappresentanza conferiti ai sensi dell’art. 1392 c.c. nell’ambito della Piattaforma in esame, con particolare riferimento alla possibilità per il procuratore di compiere gli atti giuridici (nel rispetto dell’art. 5, par. 1, lett. a), del Regolamento);

- la responsabilizzazione di ciascuna pubblica amministrazione nell’individuazione – anche con il contributo del DTD, delle Regioni e delle Province autonome – dei servizi delegabili ai sensi dello schema di decreto in esame in ragione del contesto, delle finalità, dei rischi sottesi al trattamento e delle conseguenze giuridiche per gli interessati, nonché dei limiti eventualmente previsti dalle specifiche normative di settore (impedendo, ad esempio, che un servizio rivolto a medici, avvocati o dipendenti di enti pubblici possa essere reso accessibile a persone di fiducia da loro delegate). Ciò, considerata, inoltre, la necessità di declinare le diverse esigenze delle distinte categorie di delegati (come gli esercenti la responsabilità genitoriale, i tutori, i curatori, gli amministratori di sostegno e i procuratori generali e speciali, in raccordo con la disciplina civilistica in materia di rappresentanza), ma anche la peculiarità di alcuni servizi che, per loro natura, non sono compatibili con l’impiego della delega in esame, in relazione, ad esempio, al compimento di atti personalissimi (nel rispetto dell’art. 5, parr. 1, lett. a) e f), e 2, e degli artt. 6, 9, 24 e 32 del Regolamento, nonché degli artt. 2-ter e 2-sexies del Codice), attraverso l’introduzione delle seguenti garanzie:

a) la classificazione dei servizi online in servizi delegabili a tutti, servizi delegabili solo ad alcune tipologie di delega, nonché servizi non delegabili tramite i servizi della Piattaforma;

b) l’adozione di misure tecniche adeguate ad assicurare che l’accesso al delegato sia consentito soltanto per i servizi online appositamente configurati (o riconfigurati in caso di servizi già in essere) da ciascuna pubblica amministrazione e compatibili con il nuovo sistema di cui alla Piattaforma in esame, con l’utilizzo di elementi volti a consentire l’attivazione in maniera controllata dell’accesso ai propri servizi;

c) l’introduzione di diversi livelli di operatività della delega, prevedendo l’opzione di sola consultazione o l’opzione di accesso completo (per la quale il delegato può operare con i medesimi privilegi del delegante), nonché la specificazione negli attributi della tipologia di delega utilizzata per l’accesso (delegato generico, esercente la responsabilità genitoriale, tutore del minore o dell'interdetto, curatore, amministratore di sostegno, procuratore generale o speciale) per una corretta qualificazione dei poteri di rappresentanza;

d) la conduzione di una valutazione di impatto di cui all’art. 35 del Regolamento in caso di servizi online classificati quali delegabili a tutti che comportano il trattamento dei dati personali di cui agli artt. 9 e 10 del Regolamento;

e) la previsione di un regime speciale per i servizi erogati attraverso il Fascicolo sanitario elettronico (FSE 2.0), l’Ecosistema dei dati sanitari (EDS) e la Piattaforma nazionale telemedicina (PNT) al fine di confermare le garanzie già previste nella normativa di settore in considerazione della categoria e mole dei dati trattati e della qualificazione degli interessati come soggetti vulnerabili;

- più in generale, misure volte ad assicurare l’integrità e la riservatezza dei dati, sia in capo al Gestore della Piattaforma e agli Identity provider che alle pubbliche amministrazioni che rendono accessibili i propri servizi con la delega in esame, quali, in particolare, quelle concernenti gli obblighi di tracciamento delle operazioni compiute, la registrazione della motivazione dell’accesso ai log conservati dal Gestore della Piattaforma e meccanismi di informazione tempestiva e reciproca tra il Gestore e gli altri titolari del trattamento coinvolti in caso di violazioni di sicurezza o di qualsiasi minaccia che, nell’ambito del complessivo utilizzo della Piattaforma, comporti un rischio per la sicurezza e per i diritti e le libertà degli interessati (nel rispetto dell’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento);

- l’esatta individuazione dei ruoli assunti dai diversi soggetti coinvolti nei trattamenti in esame (nel rispetto dell’art. 5, par. 1, lett. a), e degli artt. 6 e 28 del Regolamento);

- l’adozione di misure per assicurare garantire la liceità, la correttezza e la sicurezza dei trattamenti in caso di affidamento a terzi, da parte del Gestore della Piattaforma, del servizio di assistenza remota alla presentazione delle delega (nel rispetto degli dell’art. 5, par. 1, lett. f), e degli artt. 28, 29 e 32 del Regolamento);

RITENUTO, pertanto, che sullo schema di decreto in esame non vi siano rilievi da formulare, ferma restando, in ogni caso, ogni valutazione in merito ai profili concernenti i trattamenti di dati personali concretamente posti in essere nell’ambito della Piattaforma di gestione deleghe, da parte di tutti i soggetti coinvolti, che il Garante si riserva di effettuare una volta che la Piattaforma medesima sarà entrata a regime;

CONSIDERATO il carattere di urgenza del parere in esame, trattandosi di schemi di decreto che, come rappresentato dal DTD, rientrano nel programma di attuazione del PNRR, tenendo altresì conto di quanto previsto nell’art. 9, comma 3, del d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, nonché dell’art. 64-ter, comma 6, del d.lgs. 7 marzo 2005, n. 82, esprime parere favorevole sullo schema di decreto del Presidente del Consiglio dei Ministri concernente la disciplina delle modalità di funzionamento della Piattaforma di gestione deleghe.

Roma, 12 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori