[doc. web n. 9471575]

Parere al MEF sullo schema di decreto direttoriale contenente le regole tecnico-operative per lo svolgimento delle udienze da remoto - 15 ottobre 2020

Registro dei provvedimenti
n. 187 del 15 ottobre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

Visto il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE” (di seguito “Codice”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

Con nota del 6 agosto 2020, il Ministero dell’economia e delle finanze ha richiesto, ai sensi dell’articolo 16, comma 4, del decreto-legge 23 ottobre 2018, n. 119, convertito con modificazioni dalla legge 17 dicembre 2018, n. 136, il parere del Garante in ordine ad uno schema di decreto direttoriale, con relativo allegato recante le regole tecnico-operative per lo svolgimento delle udienze da remoto.

A tale fonte, infatti, l’art. 16, comma 4, del decreto-legge n. 136 del 2018, come da ultimo modificato dall’art. 135, comma 2, del decreto-legge 19 maggio 2020, n. 34, convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77, contenente misure urgenti in materia di Giustizia tributaria digitale, demanda la disciplina, tra l’altro, delle regole tecnico-operative per consentire la partecipazione all'udienza a distanza, prevista come una modalità ordinaria di partecipazione alle udienze di cui agli articoli 33 e 34 del decreto legislativo 31 dicembre 1992, n. 546.

L'art. 16, comma 4, ha, infatti, previsto che “la partecipazione da remoto all'udienza di cui all'articolo 34 del decreto legislativo 31 dicembre 1992, n. 546, può essere richiesta dalle parti processuali nel ricorso o nel primo atto difensivo ovvero con apposita istanza da depositare in segreteria e notificata alle parti costituite prima della comunicazione dell'avviso di cui all'articolo 31, comma 2, del decreto legislativo 31 dicembre 1992, n. 546”.

Il testo del decreto in esame sostituisce, in ragione del mutato quadro normativo di riferimento, il testo del decreto direttoriale adottato ai sensi dell’art. articolo 83, comma 7, lettera f), del decreto-legge 17 marzo 2020, n. 18, convertito dalla legge 24 aprile 2020, n. 27, recante “Misure di potenziamento del Servizio sanitario nazionale e di sostegno economico per famiglie, lavoratori e imprese connesse all’emergenza epidemiologica da COVID-19”, pervenuto al Garante con nota del 19 maggio2020.

Le valutazioni di seguito riportate hanno ad oggetto, pertanto, il testo del decreto adottato ai sensi del citato art. 16, comma 4,, nonché la relazione illustrativa del testo del decreto direttoriale adottato ai sensi del citato art. 83, comma 7, non essendo pervenuta una nuova relazione illustrativa del testo di decreto in esame, il cui testo è sostanzialmente invariato rispetto al precedente.

Nella predetta relazione si rappresenta che “l’adozione del provvedimento s’inserisce nel contesto dello stato di necessità ed urgenza creato dall’emergenza epidemiologica Covid-19 e dall’esigenza di contenerne gli effetti negativi anche sullo svolgimento dell’attività giudiziaria garantendo, mediante misure contingenti, la continuità e l’efficienza del servizio” (cfr. nota del 19.05.2020). Si evidenzia che, “seppure di natura emergenziale”, il decreto “si colloca nel più ampio percorso di informatizzazione del contenzioso tributario che ha visto in primis l’adozione del decreto ministeriale del 23 dicembre 2013, n. 163, concernente il regolamento sul processo tributario telematico (PTT) e del decreto direttoriale del 4 agosto 2015 (c.d. allegato tecnico) come modificato dal decreto direttoriale del 28 novembre 2017, che ha digitalizzato le notifiche e i depositi telematici degli atti e dei documenti processuali” (cfr. nota del 19.05.2020), tutti provvedimenti sui quali il Garante ha già espresso parere favorevole, ai quali è seguita una ulteriore richiesta di parere (nota dell’8.06.2020, sullo schema di decreto che individua le regole tecnico-operative per la redazione e il deposito di provvedimenti giurisdizionali previsti dal citato articolo 3, comma 3, del D.M. n. 163/2013.

Il decreto in esame, pertanto, “si limita a definire le modalità operative dirette alla preparazione del collegamento e allo svolgimento dell’udienza da remoto, fermo restando gli applicativi già in uso nel PTT” (cfr. nota del 19.05.2020).

RILEVATO

1. La piattaforma tecnologica individuata per lo svolgimento dell’udienza a distanza

L’art. 2 dello schema in esame prevede che “le udienze possono svolgersi mediante collegamenti da remoto utilizzando il programma informatico Skype for Business” (comma 1) e che “i collegamenti sono effettuati con il programma di cui al comma 1, tramite dispositivi che utilizzano infrastrutture e spazi di memoria collocati all’interno del sistema informativo della fiscalità (SIF) del Ministero dell’Economia e delle Finanze, nei limiti delle risorse e apparati assegnati ai singoli uffici” (comma 2).

Il MEF ha altresì evidenziato che “la piattaforma informatica individuata, Skype for Business, […] è offerta mediante infrastrutture hardware e software contenute all’interno del Sistema Informativo della Fiscalità ed utilizzate su licenza da SOGEI S.p.A.; fanno parte di queste infrastrutture anche i servizi di connettività SPC2 acquisiti dal Dipartimento delle Finanze per collegare, in tecnologia VPN/MPLS, le Commissioni Tributarie ai CED SOGEI S.p.A.” (v. nota del 19.05.2020).

Sulla base di quanto rappresentato dal Ministero, la piattaforma tecnologica individuata dallo stesso per lo svolgimento dell’udienza a distanza utilizza infrastrutture gestite da SOGEI per conto del MEF, evitando così il ricorso a soluzioni di tipo cloud che potrebbero comportare trasferimenti di dati personali verso Paesi terzi, anche alla luce della decisione della Corte di giustizia dell’Unione europea del 16 luglio 2020 nella causa C-311/18.

Al riguardo, si suggerisce al MEF di riformulare il comma 2 dell’art. 2, al fine di rendere più chiara la circostanza che la piattaforma tecnologica individuata per lo svolgimento dell’udienza da remoto utilizza esclusivamente infrastrutture collocate all’interno del sistema informativo della fiscalità (SIF) del Ministero, nonché di individuare i requisiti tecnici e di sicurezza che devono essere rispettati dai dispositivi utilizzati dalle parti per il collegamento a distanza.

2. I dati personali oggetto di trattamento

Il MEF ha rappresentato che “previa decisione del Presidente e conseguente accettazione delle parti attraverso l’apposito atto di adesione l’udienza possa svolgersi da remoto attraverso il collegamento audiovisivo delle stesse con l’aula d’udienza. Pertanto, gli unici dati personali diversi da quelli già trattati nel PTT e richiesti per lo svolgimento dell’udienza da remoto sono contenuti nel summenzionato atto di adesione e sono: gli indirizzi di posta elettronica ordinaria (PEO) e i recapiti telefonici dei difensori. È evidente, quindi, che i dati personali trattati non hanno natura di dati “giudiziari” ovvero penali, ma riguardano il professionista nella sua qualità di difensore, e sono resi disponibili in quanto funzionali all’esercizio della propria attività professionale. Trattasi infatti di informazioni strumentali allo svolgimento delle udienze da remoto ed esclusivamente utilizzabili per rendere fruibile l’accesso e la partecipazione dell’udienza in modalità telematica; in particolare consentono il collegamento alla piattaforma Microsoft Skype for Business 2015 (Enterprise Edition), nonché la reperibilità del difensore ove nel corso dell’udienza si verifichino difficoltà tecniche” (cfr. nota del 19.05.2020-all. 4, pag. 3). Inoltre, il Ministero, nel rappresentare alcune delle misure adottate per assicurare la sicurezza dei trattamenti effettuati attraverso la piattaforma tecnologica in questione, ha dichiarato che “tutto il traffico di messaggistica istantanea è criptato” e che “tutto il traffico audio/video è criptato” (cfr. nota del 19.05.2020).

Sulla base degli elementi sopra riportati, deve quindi ritenersi che, diversamente a quanto sostenuto dal Ministero, lo svolgimento delle udienze del processo tributario telematico da remoto dia luogo a trattamento di dati personali ulteriori rispetto a quelli esplicitamente indicati dal Ministero (“gli indirizzi di posta elettronica ordinaria (PEO) e i recapiti telefonici dei difensori”).

In primo luogo, si evidenzia che non viene presa in considerazione la possibilità che la parte stia in giudizio personalmente, ovvero priva di assistenza tecnica, come previsto dalle pertinenti norme del processo tributario.  In tali casi, il Ministero tratterà verosimilmente anche i dati di contatto (indirizzo di posta elettronica ordinaria e recapiti telefonici) delle parti che stanno in giudizio senza assistenza tecnica, alle quali sono quindi riferibili le cautele di seguito indicate per quanto riguarda le modalità di partecipazione alle udienze a distanza.

In secondo luogo, occorre osservare che la gestione di una piattaforma di videoconferenza, come quella prospettata dal Ministero, comporta inevitabilmente il trattamento di dati relativi alle comunicazioni elettroniche (contenuto e “metadati”) che vengono realizzate tramite la stessa.

In tale contesto, la circostanza che i flussi delle informazioni scambiate o trasmesse tra i soggetti che prendono parte all’udienza da remoto (“traffico di messaggistica istantanea” e “traffico audio/video”) siano cifrati che, senza escludere il trattamento dei dati in parola, può essere considerata come una scelta progettuale del Ministero che, al momento di determinare i mezzi del trattamento, ha inteso adottare tale misura tecnica in attuazione del principio di “integrità e riservatezza” dei dati e in ottemperanza agli obblighi di sicurezza del trattamento (artt. 5, par. 1, lett. c), e 32 del Regolamento).

3. Le modalità di partecipazione all’udienza a distanza

L’art. 3, comma 2, dello schema in esame prevede che “la decisione del Presidente di svolgere l’udienza a distanza è comunicata alle parti a mezzo posta elettronica certificata, ai sensi dell’articolo 16 del decreto legislativo 31 dicembre 1992, n. 546. Prima dell’udienza l’ufficio di segreteria della Commissione tributaria invia all’indirizzo di posta elettronica ordinaria, previamente comunicato dalla parte, il link di collegamento da remoto per la partecipazione all’udienza a distanza”.

La relazione illustrativa (cfr. nota del 19.05.2020) rappresenta che “si prevede che, previa decisione del Presidente e conseguente accettazione delle parti attraverso l’apposito atto di adesione l’udienza possa svolgersi da remoto attraverso il collegamento audiovisivo delle stesse con l’aula d’udienza […] nell’atto di adesione, che contiene PEO e numero di cellulare, il professionista presta il proprio consenso al trattamento dei suddetti dati limitatamente alle finalità soprarichiamate”.

Nel caso in esame, non essendo previsto un sistema di autenticazione informatica per le parti che partecipano all’udienza a distanza, il collegamento da remoto è consentito a chiunque sia in possesso del link generato dall’ufficio di segreteria della Commissione tributarie e comunicato alle parti.

Al riguardo, si rappresenta al Ministero l’esigenza di riformulare il comma 2 dell’art. 3, specificando che verrà generato un link diverso per ciascuna udienza a distanza e che lo stesso sarà strettamente personale e non cedibile a terzi, nonché valutando l’adozione di misure tecniche e organizzative volte ad accertare l’identità dei soggetti all’atto del collegamento per la partecipazione all’udienza a distanza.

Inoltre, la norma non prevede che sia resa l’informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento e che andrebbe fornita agli interessati in una fase precedente a quella di cui all’art. 3, comma 2, al fine di consentire alle parti una consapevole valutazione, anche sotto il profilo della protezione dati, in ordine alla scelta sull’opportunità di presentare o meno “accettazione attraverso l’apposito atto di adesione” all’udienza da remoto, come rappresentato nella relazione illustrativa (v. nota del 19.05.2020), ma non espressamente previsto nell’art. 3.

4. Le misure adottate per la sicurezza del trattamento

Il MEF ha rappresentato le caratteristiche principali della piattaforma individuata per la partecipazione all’udienza a distanza, fornendo una descrizione dell’architettura dei sistemi e della rete (back-end server, front-end server, edge server, load balancer) e di alcune misure volte ad assicurare la disponibilità e la resilienza dei sistemi di trattamento (v. nota del 19.05.2020).

Tuttavia, dall’esame dello schema di decreto e delle informazioni fornite con la predetta relazione (cfr. nota del 19.05.2020), non si evince quali siano le misure tecniche e organizzative adottate dal MEF al fine di garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento in esame.

Si ritiene, pertanto, necessario prevedere che le predette misure tecniche e organizzative siano individuate in un apposito disciplinare tecnico sulla base di un’adeguata valutazione d’impatto sulla protezione dei dati da effettuarsi ai sensi dell’art. 35 del Regolamento. In particolare, il predetto disciplinare tecnico dovrà individuare misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato, nonché altre misure atte a ridurre al minimo i rischi di accesso non autorizzato e di trattamento non consentito o non conforme alle finalità previste (anche con riferimento alla possibilità, comunemente offerta da piattaforme come quella in esame, di effettuare una registrazione audio/video della sessione di videoconferenza). Si segnala, infine, che l’effettiva consapevolezza del funzionamento dei sistemi è indispensabile per il loro corretto utilizzo, anche per evitare inconvenienti quali ad esempio l’ascolto delle udienze o delle camere di consiglio, da parte di soggetti aventi titolo a partecipare, invece, ad udienze o camere di consiglio precedenti o successive. Al fine di garantire il migliore uso di tali sistemi è, dunque, necessario adottare ogni opportuna iniziativa volta alla formazione del personale, con particolare riferimento alle misure tecniche e organizzative previste a protezione dei dati personali.

5. Le modalità di sottoscrizione del verbale di udienza

L’art. 4, comma 1, dello schema in esame prevede che “il verbale di udienza, redatto come documento informatico, è sottoscritto ai sensi dell’articolo 20, comma 1-bis, del decreto legislativo 7 marzo 2005, n. 82, e delle linee guida AGID del 23 marzo 2020, pubblicate in Gazzetta ufficiale il 4 aprile 2020, dal Presidente o dal giudice monocratico e dal segretario dell’udienza”.

Preliminarmente si evidenzia che non appare appropriato il riferimento alle linee guida adottate dall’AgID con determinazione n. 157 del 23 marzo 2020, che disciplinano le modalità con cui un fornitore di servizi online (c.d. service provider), pubblico o privato, può permettere a uno o più utenti di sottoscrivere un documento informatico attraverso la propria identità digitale SPID (Sistema Pubblico di Identità Digitale, di cui all’art. 64 del d.lgs. 7 marzo 2005, n. 82). Invero, il ricorso alla sottoscrizione tramite identità SPID (siano esse identità digitali di persone fisiche o identità digitali per uso professionale) comporta il trattamento dei dati personali contenuti nel documento da sottoscrivere (nel caso in esame, il verbale di udienza) anche da parte di altri soggetti, diversi dai destinatari dello stesso documento, quali i gestori delle identità (cc.dd. identity provider).

Considerato che, sulla base di quanto previsto nell’art. 4, comma 1, dello schema in esame, il verbale di udienza deve essere sottoscritto esclusivamente “dal Presidente o dal giudice monocratico e dal segretario dell’udienza”, si ritiene che per la sottoscrizione del predetto documento possa essere utilizzata una delle modalità previste dal D.P.C.M. 13 novembre 2014, contenente “Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici” (su cui il Garante ha espresso il proprio parere il 24 aprile 2013, doc. web n. 2460830) ovvero dalle “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici” (su cui il Garante ha espresso il proprio parere il 13 febbraio 2020, doc. web n. 9283921), recentemente pubblicate sul sito dell’AgID, quando le stesse diventeranno pienamente applicabili (a partire dal duecentosettantesimo giorno successivo alla loro entrata in vigore).

TUTTO CIO’ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. c), del Regolamento, esprime parere favorevole, con le osservazioni di cui in motivazione, sullo schema di decreto direttoriale contenente le regole tecnico-operative per lo svolgimento delle udienze da remoto, ai sensi dell’art. 16, comma 4, del d.l. n. 119/2018, da ultimo modificato dall’art. 135, comma 2, del d.l. 19 maggio 2020, n. 34, convertito, con modificazioni, dalla l. 17 luglio 2020, n. 77.

Roma, 15 ottobre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi