In questo inizio di 2026, sento il bisogno di mettere da parte i tecnicismi per condividere con voi una riflessione nata da una lettura attenta del Decreto-Legge 19 febbraio 2026, n. 19.
Come DPO e osservatore della transizione digitale, mi accorgo che l’Italia sta ultimando una “cattedrale” normativa di rara bellezza e precisione, ma le piattaforme tecnologiche su cui questa struttura poggia iniziano a mostrare crepe che non possiamo ignorare. Analizzando il testo del decreto, la mia attenzione si è soffermata in particolare su quegli articoli dove l’esperienza sul campo mi ha permesso di toccare con mano le criticità quotidiane, muovendosi costantemente tra il “dire” normativo e il “fare” digitale.
“La tecnologia è solo uno strumento. Le persone sono il cuore del cambiamento, ma senza fondamenta solide, anche il cuore più grande rischia di vacillare.”
Tra il monitoraggio perpetuo e il rischio del dato instabile
Il sistema ReGiS, nato come strumento di emergenza per il PNRR, è ufficialmente diventato parte del panorama ordinario. L’Articolo 1 del nuovo decreto stabilisce infatti che le amministrazioni centrali e i soggetti attuatori espletano gli adempimenti di competenza riguardanti il monitoraggio e il controllo:
“anche oltre la data del 31 dicembre 2026 e fino al completamento degli obblighi connessi con l’attuazione del PNRR per ciascuna misura e intervento, continuando ad avvalersi delle funzionalità del sistema informatico ReGiS” (Art. 1, comma 2).
Il mio commento: È evidente l’intenzione del Governo di trasformare uno strumento nato per l’urgenza in un pilastro della gestione ordinaria per i prossimi anni. Tuttavia, un monitoraggio rigoroso è sacrosanto solo se il dato di partenza è pulito. L’esperienza concreta insegna che, purtroppo, i dati spesso non si allineano correttamente con altre banche dati essenziali come il CUP; il loro aggiornamento asincrono genera frequentemente problemi di duplicazione dei record, alimentando una confusione informativa che rischia di minare la responsabilità dei soggetti attuatori su fondamenta instabili. La domanda sorge spontanea: basterà un decreto a migliorare davvero l’architettura tecnica della piattaforma?
Piccole imprese e grandi rischi sulla protezione dei dati
Una delle novità più discusse riguarda la procedura semplificata per le notifiche di violazione dedicata alle microimprese. L’Articolo 12 del D.L. 19/2026 introduce nel Codice Privacy l’Art. 2-quaterdecies.1, il quale prevede che:
“Le imprese con meno di cinque dipendenti si avvalgono, per l’adempimento dell’obbligo di cui all’articolo 33 del regolamento [GDPR], di una specifica procedura di notifica […] prevedendo il ricorso a strumenti di autovalutazione guidata” (Art. 12, comma 1).
Qui ravviso un limite: basare la semplificazione solo sul numero dei dipendenti è rischioso. Esistono micro-realtà che gestiscono masse enormi di dati sensibili. La “corsia preferenziale” non dovrebbe prescindere dalla reale superficie di rischio. L’autovalutazione è utile, ma non deve sostituire la consapevolezza della complessità del dato.
Interoperabilità e trasparenza: i nuovi diritti del cittadino
Il legislatore spinge con forza verso l’interoperabilità delle banche dati. L’Articolo 11 introduce nel CAD il nuovo Art. 3-ter, sancendo il diritto alla trasparenza:
“Il cittadino può accedere alle informazioni relative ai propri strumenti digitali, attraverso un servizio dedicato reso disponibile in modalità sicura dal portale dell’Anagrafe nazionale della popolazione residente (ANPR)” (Art. 11, comma 1).
Questo si affianca alle misure per il diritto allo studio (Art. 21) e all’obbligo per i fornitori internet di cui all’Articolo 13, che devono fornire al consumatore:
“informazioni puntuali circa le diverse tecnologie di rete di accesso disponibili all’indirizzo di utenza del consumatore, specificando le relative prestazioni” (Art. 13, comma 1, lett. b).
Mentre la norma è un passo avanti, resta il nodo della velocità e dell’effettiva disponibilità di questi portali, come dimostra lo storico singhiozzo della piattaforma “Soldi Pubblici” (prevista dal D.Lgs 33/2013), che fatica ancora a garantire un allineamento perfetto.
Appalti digitali e cybersecurity delle PAD
Un ambito dove la digitalizzazione produce effetti immediati è quello degli appalti. Il decreto consolida il passaggio alle Piattaforme di Approvvigionamento Digitale (PAD). Ma cosa sono esattamente? Le PAD sono l’infrastruttura tecnologica certificata attraverso cui le stazioni appaltanti gestiscono l’intero ciclo di vita di un contratto pubblico: dalla pubblicazione del bando fino alla rendicontazione finale. Non sono semplici portali web, ma ecosistemi che devono garantire l’interoperabilità con la Banca Dati Nazionale dei Contratti Pubblici (BDNCP) e la Piattaforma Digitale Nazionale Dati (PDND).
Entro il 2026, i gestori delle PAD devono possedere certificazioni di sicurezza rilasciate da organismi terzi, superando il vecchio sistema delle autodichiarazioni. In questo contesto, viene introdotto il divieto di delegare decisioni con impatti giuridico-economici rilevanti a sistemi automatizzati privi di supervisione umana, in linea con l’AI Act europeo. L’uomo deve restare al centro del processo di aggiudicazione.
L’eredità della transizione digitale 2026
Il Decreto-Legge 19 febbraio 2026, n. 19, rappresenta l’atto conclusivo di un ciclo di riforme iniziato con il PNRR. La sfida post-2026 sarà garantire la sostenibilità di queste innovazioni. La migrazione al cloud, l’IT-Wallet e l’interoperabilità via PDND non sono traguardi raggiunti, ma basi di partenza per un’evoluzione continua.
“La vera innovazione non è nel bit che viaggia veloce, ma nel diritto che quel bit riesce a proteggere.”
La strada è ancora lunga, ma insieme possiamo trasformare queste sfide in opportunità concrete per costruire un futuro digitale più sicuro e trasparente per tutti.
Un caro saluto e buon lavoro a tutti noi,
Marco La Diega
(Team Oltrecode.it)
