g-docweb-display Portlet

WP 73 - Documento di lavoro sull'amministrazione elettronica - 8 maggio 2003 [1609338]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1609338]

Documento di lavoro sull´amministrazione elettronica
8 maggio 2003 - WP 73

In questo documento i Garanti europei hanno analizzato la situazione corrente e le prospettive di sviluppo in tema di e-government, sottolineandone le implicazioni in chiave di protezione dei dati personali e richiamando l´attenzione sui possibili rischi del mancato coordinamento fra governi nazionali e autorità di protezione dati.

Il documento dei Garanti prende spunto dalle indicazioni del piano di azione "e-Europe" approvato nel giugno 2000 durante il Consiglio europeo di Feira, in Portogallo. In esso lo sviluppo di forme di e-government era citato fra le priorità di intervento dei governi europei, e si forniva anche una lista di 20 procedure che nei prossimi anni dovranno essere disponibili on-line: dalla creazione di "portali" unificati di accesso alla pubblica amministrazione, alla possibilità di effettuare pagamenti online o ottenere certificati e copie di documenti ufficiali, fino all´introduzione di veri e propri "documenti di identità elettronici".

Attraverso un questionario diffuso fra tutte le autorità nazionali di protezione dati, si è cercato di capire quale fosse lo stato dell´arte in Europa, quali di queste iniziative fossero già state realizzate o fossero in via di realizzazione, e quali fossero i principali problemi evidenziati dalle autorità nazionali – non sempre consultate così come previsto dalla legislazione interna.

  • Un primo punto da sottolineare è proprio l´attenzione non sempre elevata che i governi dei 15 prestano al tema della protezione dei dati in questo contesto. Per quanto l´obbligo di consultare l´autorità competente sia previsto per legge nella quasi totalità dei Paesi UE, si è verificato che alcune iniziative di e-government siano state attuate senza avere sentito l´autorità nazionale per la protezione dei dati.
  • Un altro punto fermo è l´esistenza di un grande numero di progetti in via di realizzazione in tutti i Paesi UE, molti dei quali hanno implicazioni significative sui trattamenti di dati personali dei cittadini. In questi casi le autorità consultate hanno sottolineato, naturalmente, l´esigenza di specifiche misure di sicurezza (identificazione e autenticazione, cifratura dei dati trasmessi) e di un´adeguata informazione dei cittadini – in particolare, rispetto ai diritti riconosciuti dalla direttiva e dalle leggi nazionali (accesso, rettifica, cancellazione).
  • Nella maggioranza dei Paesi UE sono già disponibili (o lo saranno presto) veri e propri portali della pubblica amministrazione. Ciò comporta l´esigenza di raccogliere e conservare dati personali, e nei Paesi ove queste iniziative sono in fase più avanzata (ad esempio, nei Paesi Bassi) l´autorità ha richiamato l´attenzione sull´esigenza di specificare chiaramente compiti e responsabilità delle singole amministrazioni che accedono al portale, e di garantire idonee misure di sicurezza. Un´altra questione spinosa riguarda la possibilità di servirsi di soggetti privati per la gestione di alcune di queste procedure amministrative. Sul tema le opinioni divergono. Ad ogni modo, i requisiti individuati da varie autorità per consentire il coinvolgimento di soggetti privati nella gestione dei portali della pubblica amministrazione comprendono la previsione di adeguate garanzie contrattuali, l´indicazione precisa dei compiti affidati, la definizione di misure di sicurezza, il divieto di utilizzare i dati per finalità diverse da quelle per cui sono stati raccolti e di comunicarli a terzi, la specificazione dei dati conservati, e l´eventuale previsione di una commissione indipendente di controllo.
  • Il problema dell´identificatore unico: in molti paesi esiste già un identificatore unico utilizzato dai cittadini per i contatti con la pubblica amministrazione. Può trattarsi di un identificatore settoriale (codice fiscale italiano) oppure di un numero unico nazionale (Svezia, Finlandia). La riflessione dei Garanti si è concentrata su due temi fondamentali: a) il fatto che l´impiego su scala generale di identificatori originariamente settoriali necessita di adeguate garanzie (in pratica, di un fondamento di legge così come richiesto dalla direttiva 95/46). È il caso dell´Italia e del previsto ampliamento delle possibilità di utilizzazione del codice fiscale; inoltre ricordiamo che, ad esempio, in Portogallo esiste un divieto costituzionale di introdurre un identificatore unico nazionale. b) I rischi di un´interconnessione "selvaggia" fra database diversi attraverso, appunto, l´identificatore unico. Anche in questo caso devono esistere idonee garanzie legislative che vietino ai soggetti pubblici di utilizzare per finalità diverse i dati raccolti e conservati, tranne nei casi previsti specificamente dalla legge.
  • Per quanto riguarda, più in generale, i rischi connessi all´interconnessione fra banche dati della pubblica amministrazione, tutte le Autorità si oppongono a forme indiscriminate di interconnessione. Tutte hanno sottolineato che le opportunità di semplificazione e razionalizzazione offerte dallo sviluppo dell´e-government non devono tradursi in un aumento dei controlli sui cittadini. In molti Paesi sono stati istituiti specifici gruppi di lavoro, ai quali partecipa l´autorità di protezione dati per valutare esattamente questi aspetti. Ancora una volta, i principi che devono essere fatti valere ai fini dell´interconnessione (regolamentata per legge) sono quelli della qualità dei dati (i dati personali devono essere adeguati, pertinenti, non eccedenti), della legittimità dei trattamenti, dell´informazione agli interessati e di un elevato livello di sicurezza.
  • Piuttosto limitata risulta nei 15 Paesi europei l´esperienza legata all´attuazione della firma digitale, per motivi di vario genere (costi elevati, assenza di norme regolamentari, complessità dei sistemi esistenti). Ad ogni modo, tutti i Garanti hanno giudicato positivamente la firma digitale in quanto possibile ausilio per offrire una migliore tutela dell´identità personale; hanno però sottolineato che è fondamentale prevedere un´adeguata e chiara informazione degli utenti da parte dei servizi di certificazione (destinatari delle informazioni raccolte, misure di sicurezza…).
  • Carta di identità elettronica: nella maggior parte dei Paesi UE esistono carte elettroniche di identità di natura settoriale, utilizzate per servizi specifici (generalmente di tipo sanitario). In tutti questi Paesi è previsto un ampliamento dell´uso di tali carte, anche se non sempre esse serviranno ai fini dell´identificazione dei cittadini su base generalizzata. Le autorità nazionali sono state consultate in varia misura rispetto a tali progetti, ed hanno segnalato alcuni aspetti problematici: definizione delle categorie di dati registrabili sulla carta, procedure da utilizzare per il trattamento di tali dati, definizione dei soggetti autorizzati ad accedere alle diverse categorie di dati, rispetto dei diritti delle persone, possibilità di utilizzare la carta elettronica per finalità commerciali (pagamenti online, "portafogli elettronico"). L´Italia risulta essere, insieme alla Finlandia, il Paese nel quale la sperimentazione di questo tipo di carta di identità è maggiormente avanzata.

 

Documento  Documento di lavoro sull´amministrazione elettronica - 8 maggio 2003 Documento di lavoro sull´amministrazione elettronica - 8 maggio 2003 (230 Kb)