I messaggi a contenuto remoto rispondono alla necessità di veicolare tramite IO comunicazioni contenenti dati personali e/o dati sensibili dei cittadini, garantendone una gestione conforme alle normative sulla privacy. Infatti, scegliendo questa modalità di invio le informazioni non vengono memorizzate su IO, ma recuperate dai tuoi sistemi ogni volta che l'utente accede al messaggio in app.
Per un messaggio, i contenuti remotizzabili sono:
titolo;
corpo;
precondizioni di apertura (opzionali, es.: disclaimer);
allegati (Premium).
A differenza dell'invio tradizionale, in cui è prevista la trasmissione dei contenuti del messaggio ai sistemi di IO, i messaggi remoti prevedono che tali contenuti risiedano esclusivamente presso i tuoi sistemi e sarà IO a recuperarli ogni volta che l'utente destinatario vorrà visualizzarli in app.
In questo modo, IO fa da canale di comunicazione in tempo reale tra te e il tuo utente e detiene unicamente le informazioni necessarie per consentire il recupero del messaggio e verificarne lo stato.
La gestione dei messaggi remotizzati implica che la tua organizzazione è responsabile dei contenuti veicolati tramite IO, con particolare riferimento alla loro accuratezza e disponibilità verso l'utente.
Come specificato, i messaggi remotizzati sono pensati per garantire un invio privacy compliant di informazioni personali/sensibili riferite al destinatario, ove necessarie per l’erogazione del servizio.
Ti ricordiamo che tale modalità d'invio lascia invariati i tuoi obblighi ai sensi della normativa vigente, in particolare ai sensi dell'art. 7.3 delle Linee Guida IO.
le notifiche push sui dispositivi del destinatario mostreranno un generico invito ad aprire il messaggio, senza riportare il contenuto del titolo;
i messaggi non verranno inoltrati via email a prescindere dalla preferenza impostata dall'utente destinatario.
Puoi anche impostare il flag require_secure_channels
direttamente sul servizio, così non devi preoccuparti di farlo per ogni singolo messaggio.
A differenza dei messaggi tradizionali, i messaggi a contenuto remoto possono essere modificati anche dopo l'invio: potrai ad esempio correggere un refuso, o aggiornare dinamicamente informazioni non più valide o fuorvianti (es.: a seguito della cancellazione di un appuntamento).
Nel considerare tale possibilità, è bene ricordare che:
L'utente destinatario non riceverà alcun avviso in caso di aggiornamento del contenuto di un messaggio precedentemente ricevuto. Infatti, il contenuto può essere riattualizzato, richiamandolo dai tuoi sistemi, solo quando e se l'utente apre il messaggio in app;
La responsabilità delle informazioni trasmesse tramite IO rimane in ogni caso in capo all'ente mittente.
In linea di principio, quando il contesto che ha prodotto un messaggio cambia o devono essere trasmesse nuove informazioni, è sempre preferibile inviare un nuovo messaggio per informare il destinatario.
In caso di dubbi, prediligi sempre il mantenimento della coerenza informativa nei confronti della tua utenza: i messaggi su IO sono un importante biglietto da visita per la tua organizzazione, assicurane la qualità!
Per dare contezza al destinatario del fatto che i contenuti potrebbero essere aggiornati nel tempo, in calce al dettaglio di tutti i messaggi con contenuto remoto è stato incluso il seguente avviso, nella sua versione breve ed estesa:
IO non effettua alcun controllo sull'invariabilità nel tempo dei contenuti di un messaggio a contenuto remoto. L'accuratezza e la disponibilità delle informazioni contenute nel messaggio sono sempre di responsabilità esclusiva dell'Ente mittente.
In qualità di titolare del trattamento, dovrai garantire direttamente agli utenti l'esercizio dei diritti degli interessati ai sensi del GDPR, e ogni richiesta in tal senso verrà reindirizzata a te. Ad esempio, il diritto di accesso ai sensi dell'art. 15 GDPR dovrà essere garantito agli interessati che ne fanno richiesta, anche tramite i recapiti presenti nella scheda servizio.
Prima di poter inviare messaggi a contenuto remoto è necessario seguire la procedura illustrata in Condivisione configurazione remota
Il ciclo di vita di un messaggio a contenuto remoto si compone di due momenti principali:
L'invio (creazione) da parte dei sistemi della tua organizzazione;
La fruizione (visualizzazione) da parte del destinatario.
Entrambe le fasi richiedono un'integrazione tra i tuoi sistemi e quelli di IO.
In questa fase, sono i tuoi sistemi integrati con IO a richiedere la creazione (e quindi l'invio) di un nuovo messaggio a uno specifico destinatario. Per maggiori informazioni sull'invio di un messaggio su IO fai riferimento a Inviare un messaggio.
La tabella che segue riepiloga le principali componenti remotizzabili di un messaggio IO:
precondizioni
Si tratta di informazioni opzionali, che vengono mostrate prima dell'apertura del dettaglio del messaggio.
titolo (subject)
Si tratta del titolo visibile all'apertura del messaggio, che differisce da quello visibile nella lista messaggi (non remotizzabile).
corpo (markdown)
Si tratta del contenuto testuale del messaggio.
dettagli di un avviso di pagamento
Sono già remotizzati grazie all'integrazione con il nodo pagoPA.
allegati (PDF)
Sono contenuti gestibili solo in remoto. Puoi inserirli se hai sottoscritto l'Accordo Premium. Il formato accettato è PDF.
Nota sugli allegati (Premium) Se hai sottoscritto l’Accordo Premium, i tuoi messaggi potranno includere anche allegati in formato PDF: anch'essi saranno quindi trasmessi direttamente dai tuoi sistemi all’app quando il destinatario apre il messaggio. Per maggiori informazioni fai riferimento a Aggiungere allegati
Questo è l'identificativo di correlazione remota, che identifica univocamente uno specifico messaggio indirizzato a uno specifico destinatario. Tale identificativo, determinato da te, consiste in una stringa che consente alle API di recuperare i contenuti remoti per tale specifico messaggio.
NEVER
(default)
ONCE
(le precondizioni sono mostrate solo la prima volta che il destinatario cerca di aprire il messaggio)
ALWAYS
(le precondizioni sono mostrate tutte le volte, anche se il messaggio era stato già letto in precedenza)
In questa fase, IO verifica le informazioni necessarie per il recupero del messaggio presso gli endpoint da te esposti.
Se il destinatario seleziona "Continua", IO procederà con la visualizzazione del messaggio in app; in caso contrario, l'utente verrà riportato all'elenco dei messaggi.
Come ulteriore misura a protezione della privacy, il flag ti consente di marcare un messaggio come contenente informazioni sensibili, con i seguenti effetti:
A seconda del valore del flag che specificherai in (vedi più avanti in questo capitolo) il titolo del messaggio presenterà comportamenti differenti:
se =true
, il campo indicato al momento della creazione del messaggio è usato da IO solo nell'elenco dei messaggi ricevuti.
L'intestazione visibile all'interno del dettaglio del messaggio è invece recuperata successivamente (vedi #cosa-succede-quando-il-destinatario-apre-un-messaggio-remotizzato).
Questo significa che i due campi potrebbero differire. Consigliamo di non modificare il titolo in modo sostanziale, in modo da mantenere la coerenza informativa tra i due testi. Inoltre, ti ricordiamo che ai sensi delle Linee Guida IO, non è possibile inserire informazioni sensibili nel titolo del messaggio.
se =false
oppure se non includi il flag, il campo presenta il funzionamento standard di un messaggio tradizionale (non remoto): lo stesso contenuto testuale è usato in elenco messaggi e nel dettaglio del messaggio.
Per i messaggi a contenuto remoto, è obbligatorio inserire le seguenti informazioni aggiuntive nel blocco :
Imposta questo campo solo se vorrai che, al momento dell' apertura del messaggio in app, al destinatario sia mostrato un testo (con relativo titolo) recante informazioni di contesto che indicherai in quel momento (per maggiori informazioni fai riferimento a ): letto il testo, il destinatario potrà scegliere se continuare con l'apertura del messaggio o se tornare alla lista dei messaggi ricevuti; i valori possibili per questo campo sono:
Imposta il campo col valore true
se vuoi che il titolo (soggetto) e il corpo del messaggio siano remotizzati; quando IO te li richiederà tramite l'apposita API che avrai esposto, dovrai rispondere con una stringa di testo per il titolo e un markdown per il corpo, come li avresti specificati in fase di creazione di un messaggio tradizionale; il default per questo campo è il valore false
.
Per maggiori informazioni e per comprendere il ruolo del titolo in un messaggio con contenuto remoto fai riferimento a
Imposta il campo col il valore true
se al messaggio vuoi che siano allegati uno o più documenti in formato PDF: come illustrato in , quando IO ti richiederà i dettagli del messaggio dovrai indicare i metadati degli allegati (nome e relativa URL); quando il destinatario selezionerà un allegato in app, IO recupererà i byte presso i tuoi sistemi, tramite l'apposita API descritta in .
Se il messaggio veicola informazioni sensibili, devi impostare il flag =true
Ogni chiamata da IO verso i tuoi sistemi è identificata dall' di correlazione remota che avevi indicato in fase di #creazione-del-messaggio-remotizzato e, come header, il del destinatario.
In particolare, se in fase di #creazione-del-messaggio-remotizzato avevi indicato con valore ONCE
o ALWAYS
, non appena il destinatario seleziona il messaggio dall'elenco messaggi in app per la prima volta (=ONCE
) o tutte le volte (=ALWAYS
) IO recupererà l'endpoint da richiamare dalle informazioni di configurazione, e invocherà i tuoi sistemi per ottenere in risposta il titolo e il testo del messaggio da mostrare nel pannello a comparsa delle #precondizioni-allapertura.
A fronte della chiamata API all' dovrai rispondere come nell'esempio:
Se in fase di #creazione-del-messaggio-remotizzato avevi indicato =true
, titolo e corpo del messaggio saranno recuperati al momento dell'apertura tramite una chiamata che IO farà all'API da te esposta (per i dettagli fai riferimento a ).
Come nel modello tradizionale, anche a un messaggio con contenuto remoto puoi aggiungere una data di scadenza () e i dati riferiti a una posizione debitoria (); tali informazioni sono già remotizzati grazie all'integrazione con il nodo pagoPA.