g-docweb-display Portlet

Parere su uno schema di decreto del Presidente del Consiglio dei Ministri recante regole tecniche per l'identificazione, anche in via telematica, ...

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1870629]

Parere su uno schema di decreto del Presidente del Consiglio dei Ministri recante regole tecniche per l´identificazione, anche in via telematica, del titolare della casella di posta elettronica certificata - 24 novembre 2011

Registro dei provvedimenti
n. 449 del 24 novembre 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

Vista la richiesta di parere del Ministro per la pubblica amministrazione e l´innovazione;

Visto l´art. 154, comma 4 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1. Con nota dell´Ufficio legislativo del Ministro per la pubblica amministrazione e l´innovazione è stato richiesto il parere del Garante in ordine a uno schema di decreto del Presidente del Consiglio dei Ministri recante regole tecniche per l´identificazione, anche in via telematica, del titolare della casella di posta elettronica certificata.

L´odierno provvedimento è emanato ai sensi dell´articolo 65, comma 1, lettera c-bis), del Codice dell´amministrazione digitale (d.lgs. 7 marzo 2005, n. 82 e successive modificazioni; infra: CAD), che demanda appunto a un apposito provvedimento – da adottarsi, secondo quanto previsto dall´articolo 71 dello stesso codice, con decreto del Presidente del Consiglio dei Ministri o del Ministro delegato per la pubblica amministrazione e l´innovazione, di concerto con i Ministri competenti – la definizione delle regole tecniche inerenti le modalità di identificazione, anche per via telematica, del titolare della casella di PEC-ID valida per la presentazione on-line, alla pubblica amministrazione, di istanze e dichiarazioni.

In particolare, il decreto in oggetto precisa, all´articolo 2, il proprio ambito oggettivo di applicazione e le proprie finalità, specificando tra l´altro che qualora l´amministrazione destinataria dell´istanza o della dichiarazione aderisca al Sistema pubblico di connettività (SPC), si applicano – in quanto compatibili – le relative regole tecniche e di sicurezza.

L´articolo 3 riconduce nell´ambito soggettivo di applicazione del decreto il "gestore del servizio", cioè il soggetto, pubblico o privato, che eroga il servizio di posta elettronica certificata e che gestisce domini di posta elettronica certificata (secondo la definizione di cui all´articolo 2, comma 1, lett. d), del d.P.R. 11 febbraio 2005, n. 68); il "titolare", ovvero l´assegnatario di una casella di posta elettronica certificata (così definito dall´articolo 1, comma 1, lett. t), del decreto del Ministro per l´innovazione e le tecnologie del 2 novembre 2005), nonché le pubbliche amministrazioni di cui all´articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 e successive modificazioni.

L´articolo 4 disciplina gli obblighi cui sono tenuti i gestori, mentre l´articolo 5 precisa che l´identificazione del titolare della casella di PEC-ID (infra: titolare) possa avvenire mediante la sottoscrizione del modulo di adesione al servizio ed esibizione al gestore, da parte del titolare, di un valido documento d´identità e del codice fiscale; tramite la compilazione del modulo di adesione disponibile in rete, previa identificazione informatica mediante carta d´identità elettronica (CIE) o carta nazionale dei servizi (CNS); attraverso la sottoscrizione con firma digitale del modulo di adesione al servizio ovvero, infine, mediante apparecchiature che utilizzino necessariamente una SIM/USIM dotate di codici PIN/PUK o loro evoluzioni tecnologiche rilasciate previa identificazione del titolare delle medesime nel rispetto delle disposizioni vigenti.

L´articolo 6 impone al gestore di rilasciare o associare al titolare – ai fini dell´identificazione per l´accesso al servizio PEC-ID – una delle seguenti tipologie di credenziali d´accesso: quelle della CNS; quelle della CIE; user-id, password e password monouso trasmessa mediante sistemi di telefonia mobile; user-id, password e password generata dal token crittografico rilasciato dal gestore "nel rispetto di quanto previsto all´allegato B" del Codice.

L´articolo 7 disciplina le modalità di attestazione dell´identità del titolare (che, in particolare, viene rappresentata attraverso il codice fiscale), mentre l´articolo 8 sancisce il divieto di riassegnazione di indirizzo PEC-ID.

L´articolo 9 disciplina le modalità di estensione del servizio PEC-ID a caselle PEC già assegnate al titolare.

Infine, l´articolo 10 attribuisce a DigitPA specifiche funzioni di vigilanza e controllo sull´attività esercitata dai gestori ai sensi del decreto stesso.

RILEVATO

2. Ai sensi del comma 3 dell´articolo 5 il gestore del servizio è tenuto a verificare la corrispondenza dei dati forniti dal titolare con le generalità indicate nel documento d´identità o associate alla SIM/USIM ed a conservare la relativa documentazione per il periodo di durata del servizio PEC-ID "e comunque per un periodo non inferiore a 30 mesi".

Tale ultima disposizione solleva perplessità, in quanto prevede un termine di conservazione di dati personali delimitato solo nel minimo, laddove invece i principi sanciti dal Codice impongono la previsione di un termine di conservazione dei dati personali - in una forma che consenta l´identificazione dell´interessato - certo e determinato, oltre che proporzionato alle finalità per le quali i dati stessi sono stati raccolti o successivamente trattati (art.11, comma 1, lettere b) ed e).

Pertanto, al comma 3 dell´articolo 5, la previsione del termine minimo di conservazione della documentazione necessaria all´identificazione del titolare dovrebbe essere sostituita dalla previsione di un termine certo e determinato, proporzionato alle finalità del trattamento.

RITENUTO

3. Il decreto in oggetto si inserisce nel quadro rinnovato dalle recenti modifiche al CAD, che hanno previsto un sempre maggiore ricorso agli strumenti telematici per la comunicazione tra il cittadino e la pubblica amministrazione. La posta elettronica certificata (PEC) rappresenta uno degli strumenti principali scelti dal legislatore per attuare la semplificazione digitale, essendo uno strumento nato per dare garanzie di avvenuta spedizione e ricezione alle parti interessate, così sostituendo il corrispondente cartaceo quale, ad esempio, la posta raccomandata con avviso di ricevimento.

Il legislatore, tuttavia, non ha inizialmente previsto che la PEC potesse costituire uno strumento per l´identificazione del mittente di comunicazioni elettroniche, poiché lo strumento tecnico per sottoscrivere un qualsivoglia documento informatico è costituito dalla firma digitale. La PEC è quindi in sé inadeguata per quegli utilizzi, quali la presentazione di istanze e la resa di dichiarazioni, in cui è richiesta l´identificazione del cittadino che si rivolge alla pubblica amministrazione. Tale carenza, pur colmabile abbinando alla PEC ulteriori strumenti, quali la firma digitale, limita tuttavia l´efficacia semplificativa della posta elettronica certificata.

Il legislatore ha quindi provveduto a  introdurre,  tramite il decreto legislativo n.235 del 30 dicembre 2010 ,una serie di modifiche a norme preesistenti – tra cui quelle all´articolo 65 del decreto legislativo 7 marzo 2005, n. 82 e all´articolo 38 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 –  per consentire l´uso della posta elettronica certificata anche per la presentazione di istanze e la resa di dichiarazioni alle pubbliche amministrazioni "purché le relative credenziali di accesso siano state rilasciate previa identificazione del titolare", completando lo strumento di quelle proprietà di identificazione del mittente o del titolare di cui finora lo strumento risultava carente (perché volto, in realtà, a mere funzioni di "raccomandata elettronica").

In proposito, ai fini dell´identificazione del titolare, l´articolo 6 dello schema – descritto al punto 1) - elenca le modalità alternative di autenticazione che i gestori devono predisporre allo scopo di assicurare uno stretto legame tra la casella PEC e il legittimo utilizzatore.

L´articolo potrebbe essere perfezionato, a fini di maggiore chiarezza, come di seguito:

"Art. 6

(Autenticazione)

1.Ai fini dell´identificazione per l´accesso al servizio PEC-ID, il Gestore predispone una delle   seguenti modalità di autenticazione informatica:

a) autenticazione tramite Certificato di autenticazione CNS;

b) autenticazione tramite Certificato di autenticazione CIE;

c) autenticazione tramite Credenziali di accesso basate su identificativo-utente, parola d´ordine (password) e "parola d´ordine temporanea" (One-Time-Password) trasmessa attraverso sistemi di telefonia mobile;

d) autenticazione tramite Credenziali di accesso basate su identificativo-utente, parola d´ordine (password) e "parola d´ordine temporanea" (One-Time-Password) generata da token crittografico rilasciato dal gestore medesimo.".

IL GARANTE

esprime parere favorevole sullo schema di decreto del Presidente del Consiglio dei Ministri recante regole tecniche per l´identificazione, anche in via telematica, del titolare della casella di posta elettronica certificata valida per la presentazione on-line, alla pubblica amministrazione, di istanze e dichiarazioni, con la seguente condizione:

a) all´articolo 5, comma 3, la previsione del termine minimo di conservazione della documentazione necessaria all´identificazione del titolare sia sostituita dalla previsione di un termine certo e determinato, proporzionato alle finalità del trattamento (punto 2);

e la seguente raccomandazione:

b) si valuti l´opportunità di riformulare l´articolo 6 come proposto al punto 3.

Roma, 24 novembre 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli

Scheda

Doc-Web
1870629
Data
24/11/11

Argomenti


Tipologie

Parere del Garante

Vedi anche (10)