Piattaforma Digitale Nazionale Dati (PDND): le linee guida della determinazione 225 del 2 agosto 2024

Introduzione

La Piattaforma Digitale Nazionale Dati (PDND) è diventata una componente essenziale dell’ecosistema di interoperabilità della Pubblica Amministrazione italiana. Nata con l’obiettivo di garantire la completa interoperabilità dei dataset e dei servizi, ha contributo a valorizzare il capitale informativo delle pubbliche amministrazioni, semplificando drasticamente i processi di adesione ai servizi e assicurando standardizzazione nelle linee guida tecniche e di sicurezza. Il successo della piattaforma, e una crescente richiesta di ulteriore evoluzione dello strumento, hanno portato l’Agenzia per l’Italia Digitale, con Determinazione 225 del 2 agosto 2024, ad aggiornare le linee guida di interoperabilità della PDND introducendo una serie di importanti novità che avranno una significativa ripercussione nell’ecosistema.

Principali novità introdotte

Attraverso l’aggiornamento delle Linee Guida della PDND, la Determinazione 225 del 2 agosto 2024 ha introdotto svariate migliorie incrementali e nuove funzionalità alla piattaforma. Tuttavia, tali modifiche richiederanno un profondo sforzo di adeguamento per gli enti coinvolti, che si troveranno a dover aggiornare i propri sistemi e processi per garantirne la piena adozione. Gli elementi innovativi di maggior rilevanza possono essere ricondotti a due principali categorie:

Modelli di governance e gestione operativa: espansione degli scenari di utilizzo della PDND tramite l’introduzione di nuovi ruoli e responsabilità;

Dati, sicurezza ed efficienza tecnica: arricchimento dei modelli di interoperabilità e nuovi strumenti a rinforzo della gestione dei dati e sicurezza.

Modelli di governance e gestione operativa

PARTECIPAZIONE DI SOGGETTI PRIVATI

Soggetti privati vengono introdotti nella lista dei destinatari delle Linee Guida ed esplicitamente menzionati all’interno dell’ambito di applicazione della PDND, sia con ruoli di soggetti fruitori che di soggetti erogatori. Vengono inoltre introdotti specifici adempimenti, come ulteriori requisiti nella gestione del GDPR, e l’aggiunta del Registro delle Imprese, oltre che al già presente indice nazionale dei domini digitali, come fonte certificante per l’adesione dei soggetti privati.

MODELLI DI COLLABORAZIONE: CAPOFILA E INCARICATO

Nell’evoluzione dei modelli di collaborazione tra enti, vengono introdotti due ruoli chiave, il Capofila e l’Incaricato, per agevolare la collaborazione tra Pubbliche Amministrazioni (PA) e semplificare la gestione degli e-service:

Il Capofila è una PA che assume il compito di gestire l’erogazione di un e-service per conto di altre amministrazioni deleganti. Le responsabilità del Capofila includono la pubblicazione, gestione e modifica degli e-service sul Catalogo API e l’accettazione delle richieste di fruizione (in caso di Erogazione Ordinaria) o la compilazione delle analisi del rischio (in caso di Erogazione Inversa). Il Capofila viene scelto tramite un processo di candidatura e delega, con la possibilità di accettare o rifiutare la nomina.

L’Incaricato è una PA delegata, tramite candidatura, per gestire la fruizione di un eservice per conto della Pubblica Amministrazione delegante. Questo ruolo permette all’Incaricato di effettuare richieste di fruizione e compilare l’analisi del rischio. L’Erogatore dell’e-service deve essere informato della nomina per garantire trasparenza nelle interazioni.

EROGAZIONE INVERSA

Estendendo significativamente gli scenari applicativi della PDND, viene introdotto il concetto di “Erogazione Inversa”, un flusso in cui l’Erogatore riceve dati dal Fruitore, contrariamente al flusso standard in cui il Fruitore accede ai dati dell’Erogatore (i.e. “Erogazione Ordinaria”). L’introduzione di questo scenario trasformativo ha però importanti conseguenze nella gestione dei dati personali. Invertendo i ruoli più tradizionali nella gestione dei dati, l’Erogatore diventa responsabile di condurre e compilare un’analisi del rischio sulla protezione dei dati personali per ogni finalità specifica per cui dichiara di avere il diritto di ricevere i dati dal Fruitore. In fase di Erogazione Inversa, il Fruitore dovrà selezionare fra quelle rese disponibili l’analisi del rischio correlata alla specifica finalità per cui intende comunicare i dati.

OPERATORE VALUTATORE E OPERATORE CONSULTAZIONE

Tra le categorie degli utenti, vengono complementati i già presenti ruoli di Operatore API, Operatore Sicurezza e Operatore Amministrativo con due nuovi profili, l’Operatore Valutatore e l’Operatore Consultazione:

Operatore Valutatore: utente che, operando come Erogatore o Fruitore, è abilitato a compilare le analisi del rischio;

Operatore Consultazione: utente che, operando come Fruitore, può consultare il Catalogo API e visualizzare documentazione specifica (e.g. e-service, richiesta di fruizione, analisi del rischio).

Dati, sicurezza ed efficienza tecnica

RACCOLTA DELLE INFORMAZIONI A FINE STATISTICO

Al fine dell’osservazione delle interazioni tra Erogatori e Fruitori tramite PDND, viene introdotta una nuova funzionalità di tracciamento che raccoglie informazioni quantitative sulle transazioni avvenute, come il numero di richieste, i tempi di risposta e l’esito delle chiamate. Gli Erogatori saranno quindi tenuti a inviare le informazioni di tracciamento alla piattaforma, garantendo che i dati siano aggregati con un definito livello di granularità (e.g. tempi, ruoli degli aderenti coinvolti, esito delle transazioni).

SEGNALE DI VARIAZIONE

La PDND si arricchisce con un sistema di comunicazione tra gli aderenti, definito Segnale di Variazione. Questo sistema permette agli Aderenti Produttori di notificare agli Aderenti Consumatori variazioni rilevanti di stati o fatti all’interno del proprio dominio di dati. Il Produttore invia segnali di variazione attraverso un servizio di deposito sulla piattaforma (canale push), mentre il Consumatore può ricevere tali notifiche tramite un servizio di recupero (canale pull).

SCAMBIO DATI ASINCRONO CON CALL-BACK

Viene previsto lo scambio di dati asincrono con call-back, permettendo una comunicazione tra Erogatore e Fruitore che non richiede un’immediata risposta. In questo nuovo scenario, il Fruitore invia una richiesta all’Erogatore e fornisce un endpoint di call-back, cioè un indirizzo dove ricevere la risposta. Quando l’Erogatore ha predisposto la risorsa o i dati richiesti, invia un riferimento o la risorsa stessa tramite il servizio di call-back al Fruitore.

PROOF-OF-POSSESSION (POP)

Nelle nuove Linee Guida viene introdotto il concetto di “Proof-of-Possession” (PoP) a garanzia, in alcuni casi specifici, di un livello aggiuntivo di sicurezza. In alcuni scenari, infatti, potrebbe essere richiesto che il Client Fruitore dimostri il possesso del materiale crittografico utilizzato per l’Access Token Request, assicurando che solo il Client che ha generato la richiesta possa utilizzare l’Access Token emesso per accedere a un e-service. Questo meccanismo previene quindi l’uso del token da parte di terzi non autorizzati, migliorando la protezione nelle interazioni.

TEMPLATE E-SERVICE

Al fine di supportare le standardizzazione e il riutilizzo delle interfaccie API, viene introdotta la possibilità di creare template di e-service. Questi definiscono come un servizio deve essere erogato, specificando la tecnologia utilizzata (come REST o SOAP) e le modalità di comunicazione, ma senza entrare nel dettaglio delle implementazioni interne del servizio.

Conclusioni

Le nuove Linee Guida introdotte con la Determinazione 225 del 2 agosto 2024 rappresentano un passo avanti significativo nell’evoluzione dell’interoperabilità della Pubblica Amministrazione italiana. Le novità mirano a espandere gli scenari di utilizzo della PDND, migliorando la collaborazione tra enti pubblici e privati e garantendo maggiore sicurezza nella gestione dei dati. Queste innovazioni, sebbene apportino benefici rilevanti, richiederanno un significativo impegno di adeguamento da parte degli enti coinvolti. La loro capacità di adattarsi rapidamente a questi cambiamenti sarà cruciale per garantire che la PDND continui a essere uno strumento fondamentale per la trasformazione digitale del settore pubblico italiano.