Circa il 14% dei siti istituzionali della pubblica amministrazione italiana trasferisce, direttamente o indirettamente, dati personali degli utenti verso domini al di fuori dello spazio economico europeo. 

Questi trasferimenti, che coinvolgono colossi tecnologici come Amazon, Google e altri operatori globali, avvengono spesso senza adeguata informativa e senza il consenso consapevole del cittadino. Ciò espone a rischi di violazione della normativa GDPR, indebolisce la fiducia tra cittadini e istituzioni e crea potenziali vulnerabilità sul piano della sovranità digitale. 

Negli ultimi anni l’Unione Europea ha predisposto strumenti giuridici come le clausole contrattuali standard e i data transfer impact assessment per ridurre i rischi nei trasferimenti di dati. L’Italia ha avviato la transizione digitale con il piano Italia Digitale 2026 e con l’istituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN). Anche il Garante della Privacy ha più volte richiamato enti pubblici e privati all’uso responsabile di strumenti digitali che rispettino la normativa europea. 

Tuttavia, manca ancora un quadro organico e vincolante che obblighi tutte le amministrazioni locali e centrali a verificare, monitorare e garantire l’assenza di trasferimenti illeciti di dati verso Paesi terzi. Non esiste un protocollo nazionale unico per la configurazione sicura dei siti istituzionali e non c’è un sistema di monitoraggio sistematico: ogni ente è lasciato a se stesso nella gestione dei servizi digitali, con forti disuguaglianze tra realtà più strutturate e quelle più piccole. I responsabili della transizione digitale degli enti spesso non hanno formazione tecnica adeguata su GDPR, interoperabilità e cyber risk. Questo vuoto normativo e formativo genera un’asimmetria di tutela per i cittadini, che a seconda del comune o dell’ente possono vedere i propri dati trattati in modo più o meno sicuro.

Meritocrazia Italia propone:

– audit periodici obbligatori per tutti i siti della p.a., gestiti dall’ACN (Agenzia per la Cybersicurezza Nazionale) in collaborazione con il Garante Privacy, per verificarne la conformità al GDPR e al principio di “data localization” (obbligo di conservare e trattare i dati entro i confini nazionali o europei);

– un protocollo nazionale di sicurezza per i siti istituzionali, con linee guida tecniche vincolanti su hosting, analytics, cookie e plugin di terze parti;

– un registro pubblico di conformità: ogni ente deve pubblicare annualmente un “Rapporto di Conformità Digitale” accessibile ai cittadini;

– formazione obbligatoria per i Responsabili della transizione digitale, con un sistema di microcredenziali nazionali su privacy, sicurezza informatica e digitalizzazione, valide per tutte le amministrazioni;

– un sistema di premialità meritocratica che colleghi parte dei fondi destinati alla digitalizzazione al rispetto degli standard: chi dimostra maggiore trasparenza e conformità riceve più risorse e incentivi.

Solo così sarà possibile costruire una p.a. digitale capace di coniugare innovazione, sicurezza e fiducia, garantendo ai cittadini italiani diritti uniformi e pienamente tutelati anche nello spazio digitale.

Stop war.