IO, l’app dei servizi pubblici

18 novembre 2020
Tempo di lettura stimato: 7'
C’è stata l’emergenza Covid. Sui giornali e alla televisione si è parlato per settimane dell’app di tracciamento Immuni e nessuno si è accorto che intanto è uscita un’altra app: IO, l’app dei servizi pubblici. O meglio, se n’è accorto chi ha richiesto il Bonus Vacanze perché, per fare domanda e usarlo, bisogna per forza passare da IO e quindi avere anche lo SPID e la CIE, la Carta d’Identità Elettronica. Chiaramente l’app fa parte di un progetto più ampio, che è quello di rendere l’Italia più digitale.


App IO: cos’è

IO è una app, messa a disposizione dalla società PagoPA, che puoi scaricare dagli app store di Android e iOS. È un’interfaccia attraverso cui i cittadini possono comunicare con la pubblica amministrazione e accedere ai servizi della PA, digitalmente e da un’unica applicazione. Grazie a IO, per esempio, puoi pagare la retta della mensa scolastica, iscrivere i bambini al nido, pagare la multa della ZTL, la TARI, l’IMU, ricordarti di rinnovare la carta d’identità.

Rispetto al passato, IO rappresenta un cambio di paradigma: il cittadino è al centro. Non devi registrarti su ennemila portali, app e siti per fare le cose. Ma ti basta avere lo SPID (Sistema Pubblico di Identità Digitale) o la Carta d’Identità Digitale e accedere a IO per ricevere messaggi da tutti gli Enti pubblici: l’INPS, il Comune, la Regione, l’Agenzia delle Entrate, l’ordine professionale e così via. Poi tutti questi messaggi, aggregati, diventano un fascicolo: il fascicolo del cittadino. 
Il punto di accesso è unico. Così, nel lungo periodo, non ci sarà un’applicazione per ogni singolo ente, ma ci sarà una sola app – IO – in cui verranno erogati tutti i servizi da tutte le PA. La logica è la stessa di Immuni: c’è un’unica app per il tracciamento ed è Immuni. Punto.

Il codice è open-source, quindi è un codice che tutti possono conoscere e questo garantisce la trasparenza di IO. Inoltre, l’app è nata con un approccio agile - quindi secondo una programmazione che tiene conto delle evoluzioni della tecnologia e per questo è continuamente aggiornata - ed è stata testata direttamente sull’utilizzatore finale. Hanno fatto usare IO a persone che non lavorano nello sviluppo software, app o siti - Peppino che ha un bar, Antonio che fa l’impiegato, a Giulia che fa la maestra elementare, eccetera - per vedere se è usabile. Perché sia facile da usare per chiunque. E poi Peppino, Antonio e Giulia, se trovano che qualcosa non va bene, se il servizio non funziona, possono inviare una segnalazione o suggerire dei miglioramenti.
Il vantaggio per gli Enti è che non devono sviluppare nulla, perché l’app ha già tutta l’infrastruttura tecnologica. Va solo personalizzata, scegliendo quali servizi erogare in digitale e quali messaggi mandare ai cittadini. 

La rivoluzione, come nel GDPR, è che tutto ruota intorno al cittadino - l’interessato - non alla PA, che è il titolare del trattamento. 


IO è obbligatoria per gli Enti? E come aderire?

Per l’Ente, la digitalizzazione è un obbligo di legge. Quindi tutte le amministrazioni e le organizzazioni che erogano servizi pubblici dovranno aderire all’app IO. Quali? Ti basta andare su Indice PA e trovi l’elenco di tutti gli Enti che devono aderire: dai comuni agli ordini professionali. Perché la digitalizzazione non è una possibilità, ma è un obbligo di legge, già dal 2005 con il Codice dell’amministrazione digitale.
Sei un Ente e vuoi implementare IO? 
Ecco cosa devi fare:
1 Devi identificare i servizi da erogare attraverso l’app e personalizzare i messaggi
Per prima cosa devi capire quali sono i servizi che adesso gestisci in analogico e che puoi rendere anche in digitale. Sembra semplice, ma non lo è. Perché digitalizzare un servizio non vuol dire trasformarlo in digitale, ma ripensare un processo che in analogico avviene in un certo modo e in digitale avviene in modo diverso, e che quindi va reingegnerizzato. Poi devi personalizzare il messaggio. Online, sul sito dell’app, c’è già una tabella da cui puoi ricavare esempi di messaggi, da prendere e personalizzare. 
2 Devi integrare IO con le API 
Devi identificare il legale rappresentante e stipulare il contratto con PagoPA
Devi identificare un legale rappresentante del tuo Ente, che gestisca l’adesione al progetto e che sia referente per la privacy e la sicurezza. Per aderire devi sottoscrivere un accordo. È online, sul sito dell’app. In questo contratto, PagoPA, la società che mette a disposizione l’app IO, ti dice alcune cose importanti:
  • si autonomina responsabile del trattamento, mentre tu, Ente, resti titolare; a questo proposito ti invito a leggere l’articolo sulla gestione del responsabile esterno e quello sulla scelta degli strumenti
  • ti dice anche che, in quanto responsabile, si impegna a comunicarti eventuali Data Breach e a reindirizzare a te eventuali richieste di accesso ai dati, che l’interessato dovesse fare a pagoPA
  • però ti dice anche: “Caro titolare, io pretendo che tu mi comunichi chi sarà il tuo delegato, perché solo a lui darò certe informazioni. Se il delegato cambia, se cambia qualcosa, sei tu titolare a dovermelo comunicare.”
4 Comunicare alla collettività
Devi far sapere ai cittadini che hai implementato l’app IO. 


IO e GDPR: l’Ente è il titolare, PagoPA è responsabile esterno

Dal punto di vista tecnico, IO è un’interfaccia. Quindi non ha un proprio data base. I dati personali restano in capo alle PA che, come abbiamo visto, sono i titolari del trattamento perché sono loro che decidono quali servizi erogare digitalmente su IO, quali messaggi devono ricevere le persone e quindi quali sono le finalità, mentre la società che mette a disposizione l'app – PagoPA - è responsabile esterno del trattamento.
Ci sono anche altri aspetti importanti legati al GDPR e all’app IO, li elenco qui brevemente:
  • gli Enti, in quanto titolari, possono contrassegnare i messaggi che contengono dati particolari (ex sensibili) per non mostrarli via mail o con notifiche push
  • le attività di trattamento fatte con IO vengono sottoposte al Codice dell’amministrazione digitale e al vaglio del Garante per la protezione dei dati personali 
  • i documenti e i messaggi vengono conservati in un database all'interno dei data center europei che utilizza l’encryption at rest, e il contenuto è presente nei sistemi del provider esclusivamente per il tempo che serve a garantirne l’invio
  • l’autenticazione avviene al sicuro tramite SPID: è un unico accesso, universale

Cultura digitale e servizi della PA: una questione di consapevolezza

Perché tutto questo funzioni, i dati dei cittadini devono poter circolare in sicurezza. È il concetto di interoperabilità dei dati: ci siamo dimenticati che i dati personali devono essere protetti per poter garantire la libera circolazione, incentivare il mercato unico digitale e quindi l’economia, che sono le ragioni per cui il GDPR è nato. 

E serve anche una consapevolezza diversa nella PA.  
L’Italia è agli ultimi posti nella digitalizzazione e nell’alfabetizzazione digitale - però siamo cintura nera di YouPorn! – e l’alfabetizzazione digitale passa anche dalla consapevolezza della PA su come va erogato un servizio digitale. È un approccio culturale molto diverso. Non basta accendere un computer per accedere ai dati. Ed è una consapevolezza che dovrebbe essere sia in chi usa il servizio, sia in chi lo eroga. 
Il titolare – l’Ente - può dire finché vuole “Siamo digitalizzati e compliant”, ma se il cittadino non riesce ad accedere al servizio, vuol dire che il titolare non l’ha implementato in digitale. 

Dall’altro lato, se Peppino va sul sito del Comune e non trova un servizio erogato digitalmente con SPID, può fare una segnalazione. Perché l’Ente pubblico è obbligato. Non è una facoltà: digitalizzarsi è un obbligo. Se non trova il servizio in digitale, Peppino può scrivere gratuitamente al difensore civico digitale - perché come cittadini digitali abbiamo anche dei diritti digitali – e così l’Agenzia per l’Italia Digitale prende la domanda, la processa e scrive all’Ente interessato. 

Perché implementare l’app IO? Perché la digitalizzazione è un obbligo e perché si risparmia!

Risparmio PrivacyLab
Abbiamo detto che è un obbligo. Digitalizzare non è una facoltà. Devi farlo. Punto. C’è anche il fatto che praticamente è gratis, perché non devi sviluppare l’app a tue spese, c’è già. E poi c’è il protocollo d'intesa tra la Corte dei Conti ed il dipartimento di trasformazione digitale, perché il digitale è un canale che non solo migliora le performance ma aiuta a ridurre la spesa. Ecco perché l'intesa è proprio con la Corte dei Conti. 

Il punto è: se c’è un modo più snello e meno costoso, perché non passare al digitale? 
Se queste motivazioni non sono sufficientemente convincenti, considera che ci sono i presupposti per imputare un danno erariale. Il danno erariale derivante da una cattiva gestione delle spese può essere imputato all’Ente che, a sua volta, può rivalersi sul Dirigente che, pur avendo la responsabilità di fare la transizione al digitale, non la fa e quindi ne risponde col suo patrimonio. 
E allora, adesso che lo sai, se sei un Ente e vuoi comunicare con i cittadini, hai uno strumento che ti costa meno e ti dà delle garanzie, perché è l’Agid che lo sorveglia.
Invece di mettere su il canale WhatsApp, Telegram, la PeppinoApp sviluppata dal cugino appena laureato o dal tecnico della stampante che fa anche i siti, fai attenzione allo strumento che scegli. Blocca tutto e usa l’app IO.
Articolo tratto dall’intervento del Dottor Giuseppe Pacelli su RAISE Academy.


Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy