[doc. web n. 9823221]

Parere sullo schema di manuale operativo in materia di Sistema di gestione deleghe, di cui all'art. 64-ter, comma 7, del d.lgs. 82/2005 - 6 ottobre 2022

Registro dei provvedimenti
n. 330 del 6 ottobre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

Il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri (di seguito, “Dipartimento”), con nota del 28 giugno 2022, ha chiesto il parere del Garante sullo “schema del Manuale operativo redatto dal gestore del Sistema di gestione delle deleghe, d’intesa con il Dipartimento per la Trasformazione digitale, sentiti il Garante per la protezione dei dati personali e la Conferenza unificata - Articolo 3, comma 3, del decreto del Ministro per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell’interno, adottato ai sensi dell’articolo 64-ter, comma 7, del decreto legislativo 7 marzo 2005, n. 82” (di seguito, “CAD”), evidenziando che “si tratta di un provvedimento monitorato per l’attuazione del programma di Governo e del PNRR”. Al riguardo, con provvedimento n. 74 del 24 febbraio 2022 (disponibile su www.garanteprivacy.it, doc. web n. 9752853), l’Autorità aveva espresso il proprio parere sullo schema di decreto del Presidente del Consiglio dei Ministri in materia di Sistema di gestione deleghe (di seguito, “SGD”), da adottare ai sensi dell’art. 64-ter, comma 7, del CAD, ponendo una serie di condizioni e osservazioni.

Con nota del 25 luglio 2022 il Dipartimento ha fornito la nuova versione del predetto schema di manuale operativo, con le integrazioni apportate a seguito delle osservazioni della Conferenza unificata, unitamente al “testo definitivo” del predetto decreto di cui all’art. 64-ter, comma 7, del CAD, alla nomina del gestore del SGD quale responsabile del trattamento ai sensi dell’art. 28 del Regolamento e alla valutazione d’impatto sulla protezione dei dati.

Nella Gazzetta ufficiale n. 180 del 3 agosto 2022 è stato pubblicato il decreto del Ministro per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell’interno, 30 marzo 2022, recante “Disciplina delle modalità di funzionamento del Sistema di Gestione Deleghe («SGD»)”, attuativo del richiamato art. 64-ter, comma 7, del CAD.

Infine, con nota del 7 settembre 2022 il Dipartimento per la trasformazione digitale ha fornito gli allegati allo schema del manuale operativo (due documenti recanti “Componente Attribute Authority del Sistema di Gestione Deleghe (SGD AA)” e “Specifiche tecniche OAuth2 OAS3”).

1. Il quadro normativo

1.1. Il richiamato art. 64-ter del CAD istituisce “il Sistema di gestione deleghe (SGD), affidato alla responsabilità della struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la transizione digitale” (comma 1), stabilendo che “Per la realizzazione, gestione e manutenzione del SGD e per l'erogazione del servizio, la struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la transizione digitale si avvale dell'Istituto Poligrafico e Zecca dello Stato S.p.A.” – con rapporti “regolati, anche ai sensi dell'articolo 28 del regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, con apposita convenzione” (comma 5) – e che “La struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la transizione digitale è il titolare del trattamento dei dati personali, ferme restando, ai sensi dell'articolo 28 del regolamento (UE) 2016/679, le specifiche responsabilità spettanti all'Istituto Poligrafico e Zecca dello Stato S.p.A.” (comma 6).

Nel merito, si prevede che “Il SGD consente a chiunque di delegare l'accesso a uno o più servizi a un soggetto titolare dell'identità digitale di cui all'articolo 64, comma 2-quater, con livello di sicurezza almeno significativo. La presentazione della delega avviene mediante una delle modalità previste dall'articolo 65, comma 1, ovvero presso gli sportelli di uno dei soggetti di cui all'articolo 2, comma 2, presenti sul territorio” (art. 2, primo e secondo periodo).

Infine, il comma 7 del medesimo art. 64-ter prevede che, “Fermo restando quanto previsto dal decreto di cui all'articolo 64, comma 2-sexies, relativamente alle modalità di accreditamento dei gestori di attributi qualificati, con decreto del Presidente del Consiglio dei ministri, adottato di concerto con il Ministro dell'interno, sentiti l'AgID, il Garante per la protezione dei dati personali e la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, sono definiti le caratteristiche tecniche, l'architettura generale, i requisiti di sicurezza, le modalità di acquisizione della delega e di funzionamento del SGD nonché le modalità di adozione di un manuale operativo contenente le specifiche tecniche di funzionamento del SGD e di attuazione del decreto. Con il medesimo decreto, inoltre, sono individuate le modalità di adesione al sistema nonché le tipologie di dati oggetto di trattamento, le categorie di interessati e, in generale, le modalità e procedure per assicurare il rispetto dell'articolo 5 del regolamento (UE) 2016/679”.

Al riguardo, si evidenzia che le parole “nonché le modalità di adozione di un manuale operativo contenente le specifiche tecniche di funzionamento del SGD e di attuazione del decreto”, riportate nel summenzionato comma 7 dell’art. 64-ter del CAD, sono state introdotte successivamente all’espressione del citato parere del Garante del 24 febbraio 2022, mediante l’art. 32, comma 1, lett. b), del d.l. 30 aprile 2022, n. 36, convertito, con modifiche, dalla l. 29 giugno 2022, n. 79.

1.2. Il decreto 30 marzo 2022, attuativo dell’art. 64-ter del CAD, all’art. 3, comma 3, stabilisce che “Le caratteristiche tecniche, le regole tecniche e i requisiti di sicurezza del SGD, che utilizza il protocollo OpenID Connect, sono descritti nel manuale operativo pubblicato sul sito web del gestore e sul portale e redatto dallo stesso gestore d’intesa con il Dipartimento, sentiti il Garante per la protezione dei dati personali e la Conferenza unificata. Nello stesso manuale sono individuati i casi in cui può essere autorizzato, in via transitoria e per un periodo limitato di tempo, l’utilizzo del protocollo SAML 2.0 nonché le metriche di successo e fallimento delle operazioni eseguite, unitamente a metriche prestazionali e di qualità, nonché di assistenza agli utenti. Tali metriche sono utilizzate per monitorare l’operatività del SGD”.

Inoltre, il manuale operativo in questione dovrebbe altresì prevedere specifiche funzionalità volte a consentire: la sottoscrizione, da parte del service provider (di seguito, SP), con la firma digitale o con altra firma elettronica qualificata del legale rappresentante o del dirigente competente, del modulo di adesione automaticamente acquisito dal gestore all’esito della sottoscrizione (art. 5, comma 3); a seguito del perfezionamento del procedimento di adesione da parte del SP, il controllo tecnico funzionale, da parte del gestore, al fine di abilitare il SP a fruire del SGD (art. 5, comma 4); il conferimento della delega (art. 6, commi 2 e 16); il conferimento della delega nei confronti di professionisti iscritti a ordini, albi o collegi e di persone giuridiche dotate di specifiche autorizzazioni previste dalla legge, nonché, la designazione, in quest’ultimo ambito, nei confronti dei dipendenti (art. 6, commi 14 e 15); l’attivazione della delega da parte di tutore, curatore o amministratore di sostegno e dell’esercente la potestà genitoriale (art. 6, commi 17, 18 e 19); la verifica, in fase di acquisizione della delega, della correttezza dei dati del delegante e del delegato a cui la stessa delega si riferisce, compresi gli indirizzi di contatto, nonché del venir meno dei poteri di rappresentanza (artt. 1, comma 1, lett. n), e 6, comma 20); al SP di fornire al SGD prova dell’avvenuta autenticazione e, conseguentemente, all’utente di selezionare la delega con la quale intende agire, fornendo al SP le informazioni afferenti al delegante o, comunque, al rappresentato (art. 7, commi 2 e 3); la revoca della delega da parte del delegante e la rinuncia alla delega da parte del revocato (artt. 6, comma 11, e 8, commi 2 e 3); l’annullamento della delega generale in caso di revoca della tutela, della curatela o dell’amministrazione di sostegno, di rimozione o sostituzione del tutore, del curatore o dell’amministratore di sostegno, o in caso di emancipazione, decadenza o di sospensione della responsabilità genitoriale, o, ancora, di raggiungimento della maggiore età del minore rappresentato (art. 8, commi 5, 7 e 8); l’annullamento della delega qualora, dalla verifica automatica del SGD, risulti il decesso del delegante o del delegato ovvero altra causa oggettiva di cessazione della delega (art. 8, comma 9); di informare il titolare del trattamento e i SP, in maniera tempestiva, circa le violazioni di sicurezza o di qualsiasi minaccia che comporti un rischio per la sicurezza e per i diritti e le libertà degli interessati al trattamento (art. 11, comma 11).

Infine, l’art. 11, comma 9, del decreto prevede che “Il titolare del trattamento effettua, prima dell’inizio dell’attività di trattamento, la valutazione d’impatto ai sensi dell’articolo 35 del Regolamento (UE) 679/2016 e consulta il Garante per la protezione dei dati personali ai sensi dell’art. 36 dello stesso Regolamento. Nella valutazione d’impatto sono indicate, tra l’altro, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonché le eventuali misure poste a tutela dei diritti e delle libertà degli interessati”.

2. Lo schema di manuale operativo

Scopo del manuale operativo è quello di “[descrivere], in linea con il DPCM di cui al comma 7 dell’art. 64-ter del D.lgs. 7 marzo 2005, n. 82: le principali caratteristiche e funzionalità del sistema Gestione Deleghe (SGD); le modalità di gestione delle deleghe; il processo di federazione al sistema; le regole tecniche sul funzionamento del Sistema Gestione Deleghe (SGD) - nel seguito indicate come Regole Tecniche - con lo scopo di definire i requisiti e le modalità di integrazione con gli erogatori di servizi (RP)” (cap. 1).

Lo schema di manuale operativo sottoposto all’esame dell’Autorità, in particolare, individua le seguenti componenti del SGD (cap. 4): Portale utente; Portale di sportello; Portale di backoffice; Portale di federazione; Portale di helpdesk; Data provider. Per ciascuna di esse, sono individuate le specifiche funzionalità consentite ai soggetti preposti ad accedervi.

È altresì prevista l’integrazione con alcune basi dati nazionali, prevedendo la cooperazione, “in linea con il principio “once-only”, […] con i sistemi informativi e le banche dati nazionali (PDND, ANPR, RGS) al fine di semplificare gli adempimenti dei cittadini, utilizzando il patrimonio informativo detenuto per finalità istituzionali dalle pubbliche amministrazioni e dai gestori di servizi pubblici (soggetti di cui all’articolo 2, comma 2 del CAD)”, a questo fine consentendo le “seguenti verifiche e funzionalità: 1. verifica della correttezza dei dati anagrafici del delegante e del delegato, immessi nel sistema in fase di creazione di una delega digitale; 2. verifica di appartenenza alla stessa famiglia anagrafica; 3. verifica di paternità/maternità; 4. verifica del possesso della qualità di tutore, curatore o amministratore di sostegno ovvero dall’esercente la responsabilità genitoriale ed i poteri esercitabili, in fase di creazione di una delega digitale generale; 5. verifica della revoca della tutela, della curatela o dell’amministrazione di sostegno ovvero la rimozione o la sostituzione del tutore, del curatore o dell’amministratore di sostegno in fase di richiesta di annullamento di una delega digitale generale; 6. verifica della emancipazione, decadenza o della sospensione della responsabilità genitoriale in fase di richiesta di annullamento di una delega digitale generale; 7. annullamento automatico delle deleghe (semplici e generali) qualora risulti il decesso del delegante o del delegato ovvero altra causa oggettiva di cessazione della delega” (cap. 5).

Dopodiché, lo schema descrive le modalità di creazione e gestione delle deleghe digitali (cap. 6), occupandosi, in particolare: della verifica della documentazione a supporto e dei periodi di conservazione delle deleghe digitali e dei log; della verifica degli indirizzi di contatto; della creazione della delega, secondo le varie modalità consentite dal decreto; della gestione delle situazioni di revoca, rinuncia o annullamento della delega.

È altresì prevista la possibilità per i SP (altrimenti definiti RP, ossia relying party – erogatori di servizi digitali registrati su SGD), federati con CIE e SPID, che intendono offrire servizi “delegabili” (cioè, servizi digitali rivolti a utenti che vogliono fruire di tali servizi in nome e per conto di soggetti terzi), di registrarsi al SGD tramite una particolare procedura (cap. 7).

Infine, sono descritte le regole tecniche di funzionamento del SGD (cap. 8) e le metriche per il monitoraggio del sistema dal punto di vista del successo e fallimento delle operazioni eseguite (cap. 9).

3. La valutazione d’impatto sulla protezione dei dati

La valutazione d’impatto, anzitutto, chiarisce che “Il Sistema Gestione Deleghe di cui all’art. 64-ter del D.Lgs. 7 marzo 2005, n. 82 (CAD) consente a un soggetto delegante - persona fisica o giuridica - di delegare altro soggetto titolare di identità digitale di cui all’art. 64, comma 2-quater, del CAD con livello di sicurezza almeno significativo, a richiedere, in nome e per conto del soggetto delegante, l’erogazione dei servizi erogati dai Service Provider aderenti al Sistema Gestione Deleghe e oggetto della delega. Il Sistema Gestione Deleghe consente, altresì, di esercitare - per effetto di apposito decreto di nomina - i poteri riconosciuti a tutori, curatori e amministratori di sostegno, nonché a soggetti esercenti la responsabilità genitoriale. Le modalità di conferimento della delega sono molteplici, fruibili online, mediante il portale web del Sistema Gestione Deleghe o presso gli sportelli fisici dei soggetti pubblici o privati aderenti. […] Il Sistema Gestione Deleghe è realizzato e gestito dalla società Istituto Poligrafico e Zecca dello Stato S.p.A., adeguatamente nominato responsabile del trattamento per conto del Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri, titolare del trattamento dei dati”.

Inoltre, viene reso evidente che “La valutazione di impatto del SGD si rende necessaria in quanto richiesta dall’art. 11, c. 9 del DPCM”.

La valutazione d’impatto, nel seguire la medesima impostazione già utilizzata nello schema di manuale operativo, si occupa di “[dare] conto in maniera schematica degli specifici casi di conferimento delle deleghe, per i quali si rimanda al manuale operativo allegato al fine di una spiegazione tecnica più approfondita”, indicando, per ciascuno dei predetti casi, le tipologie di dati personali trattati, riferiti sia al delegante che al delegato; la medesima descrizione viene effettuata in relazione alle “Casistiche di revoca, rinuncia ed annullamento”.

Successivamente, viene ritenuto che “Nel rispetto dei principi di necessità, proporzionalità e adeguatezza del trattamento, la piattaforma SGD [sia] progettata in modo tale da contenere e trattare solo le informazioni essenziali al perseguimento delle finalità e in modo tale che sia protetta la riservatezza, l’integrità e la disponibilità dei dati personali trattati”, e vengono identificati i periodi di conservazione delle tipologie di dati trattati, indicando la motivazione e il meccanismo di cancellazione al termine degli stessi periodi.

All’interno della valutazione d’impatto viene effettuata un'analisi dei rischi volta all'identificazione e valutazione delle minacce e degli eventi potenzialmente afferenti ai trattamenti di dati personali effettuati nell’ambito delle attività svolte dall’Istituto Poligrafico e Zecca dello Stato S.p.A. (di seguito, “IPZS”), tanto che “Le misure si riferiscono all’organizzazione dell’Istituto Poligrafico e Zecca dello Stato S.p.A., società fornitrice del Sistema Gestione Deleghe” (quindi, gestore del SGD), nonché responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, per conto del Dipartimento.

OSSERVA

Preliminarmente, si evidenzia che la disciplina specifica del SGD è contenuta nell’art. 64-ter del CAD, attuato con il decreto adottato dal Ministro per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell’interno, il 30 marzo 2022 e pubblicato in Gazzetta ufficiale il 3 agosto 2022, sentito anche il Garante (con il citato parere del 24 febbraio 2022), e, per quanto concerne le specifiche tecniche sul funzionamento, con un manuale operativo (comma 7).

Il decreto, a sua volta, prevede i contenuti del manuale operativo, che deve essere redatto dal gestore d’intesa con il Dipartimento, sentito anche il Garante (art. 3, comma 3), e dispone che il titolare del trattamento effettui la valutazione d’impatto ai sensi dell’art. 35 del Regolamento e consulti il Garante ai sensi dell’art. 36 del Regolamento medesimo (art. 11, comma 9).

In questa sede, quindi, il manuale operativo e la valutazione d’impatto, alla luce dei profili che li accomunano in ragione del quadro giuridico descritto e della stretta interrelazione tra l’uno e l’altro, vengono esaminati congiuntamente, osservando quanto segue.

4. Le criticità del SGD

Giova premettere, in sintesi, che, tramite il SGD, un soggetto (delegante) può delegare un altro soggetto (delegato), in possesso dell’identità digitale di cui all’art. 64 del CAD, a richiedere, in nome e per conto suo, l’erogazione dei servizi online, individuati nella delega, offerti dai SP aderenti al SGD. Tramite SGD viene altresì consentito a tutori, curatori e amministratori di sostegno, nonché a soggetti esercenti la responsabilità genitoriale, di esercitare i poteri loro attribuiti.

Come già illustrato, e come stabilito dall’art. 64-ter, comma 7, del CAD, è il decreto 30 marzo 2022 a definire le caratteristiche tecniche, l’architettura generale, i requisiti di sicurezza, le modalità di acquisizione della delega e di funzionamento del SGD, le modalità di adozione del manuale operativo (contenente le specifiche tecniche di funzionamento del SGD e di attuazione del decreto) e le modalità di adesione al SGD, nonché le tipologie di dati oggetto di trattamento, le categorie di interessati e, in generale, le modalità e procedure per assicurare il rispetto dell'art. 5 del Regolamento.

Ciò significa che lo schema di manuale operativo non può che specificare, dal punto di vista tecnico e operativo, i contenuti già stabiliti nel richiamato decreto che, in più parti, vi rinvia per la definizione puntuale delle varie funzionalità sviluppate (cfr. par. 1.2 del presente provvedimento).

Analogamente, la valutazione d’impatto, presupposto per l’individuazione di misure tecniche e organizzative adeguate a ridurre i rischi per i diritti e le libertà fondamentali degli interessati, non può che tenere conto delle scelte già effettuate nel decreto, rimandando al manuale operativo per alcuni aspetti tecnici (cfr. par. 3 del presente provvedimento).

Come sopra evidenziato, il Garante ha espresso il proprio parere sullo schema del menzionato decreto, cui si rinvia integralmente, formulando una serie di condizioni e osservazioni. Ciò, tenendo conto del fatto che “l’attribuzione a un terzo della possibilità di accedere ai servizi online per proprio conto comporta un inevitabile innalzamento dei rischi per i diritti e le libertà dell’interessato, poiché lo espone, in caso di utilizzi impropri, a possibili trattamenti illeciti o non autorizzati mediante lo strumento della delega”, in quanto, “alla luce del panorama dei servizi online accessibili mediante SPID, CIE o CNS, il delegato potrebbe accedere alla parte riservata del portale del SP, per conto del delegante, non solo per effettuare operazioni di consultazione dei dati personali di quest’ultimo (anche sanitari o economici, reddituali o bancari, o comunque strettamente personali), ma altresì per effettuare operazioni che producono significativi effetti sulla sfera giuridica del delegante (ad esempio, azioni di carattere dispositivo, anche patrimoniali, o la richiesta di benefici o agevolazioni di vario genere), favorendo altresì la possibilità di comportamenti fraudolenti a danno della finanza pubblica” (cfr. par. 3.2 del richiamato parere del 24 febbraio 2022).

Tuttavia, dall’esame del testo del decreto adottato, talune criticità rilevate a suo tempo dal Garante tuttora persistono, e le soluzioni individuate in relazione ad alcune di esse non risultano adeguate a superare i rilievi mossi dall’Autorità sul piano della conformità alla disciplina in materia di protezione dei dati personali.

In particolare, le condizioni che non risultano soddisfatte sono le seguenti:

“a) verificare la compatibilità del sistema delle deleghe semplici e deleghe generali con gli istituti già disciplinati dall’Ordinamento in tema di rappresentanza anche in relazione al quadro di responsabilità e garanzie a tutela dei soggetti a vario titolo coinvolti (cfr. par. 3.1)”;

“b) aggiungere la possibilità di accedere al SGD e utilizzare tale sistema anche tramite la CNS (cfr. par. 3.1)”;

“e) prevedere che i SP individuino, e dimostrino di aver attentamente valutato, i servizi online che possono essere resi accessibili mediante le diverse tipologie di delega digitale del SGD, tenendo conto del contesto, delle finalità, dei rischi sottesi al trattamento e delle conseguenze giuridiche per gli interessati, nonché dei limiti eventualmente previsti dalle specifiche normative di settore (cfr. par. 4)”;

“f) limitare la delega conferita con la modalità di cui all’art. 6, comma 2, lett. e), dello schema solamente in relazione a quei servizi online che consentono la presentazione di istanze e dichiarazioni alle pubbliche amministrazioni per via telematica, ai sensi dell’art. 65, comma 1, del CAD, ovvero, in caso di erogazione di altri servizi, prevedere altresì la richiesta di ulteriori elementi di riscontro per la verifica della delega (cfr. par. 5.1)”;

“g) applicare la limitazione di cui alla lett. e) [(rectius, lett. f))] del presente dispositivo anche nel caso della delega semplice di cui all’art. 6, comma 6, dello schema (cfr. par. 5.2)”, cui si collega l’osservazione “t) richiedere un’attestazione sanitaria con un formato standard rilasciabile solo dal medico di medicina generale dell’interessato (cfr. par. 5.2)”;

“h) espungere la possibilità di conferire la delega semplice a professionisti iscritti a ordini, albi o collegi e alle persone giuridiche dotate di specifiche autorizzazioni previste dalla legge quando tali soggetti ricevono la delega relativamente a servizi rientranti nell’ambito dell’attività svolta professionalmente o istituzionalmente (cfr. par. 6)”;

“i) individuare adeguate misure volte ad assicurare la delimitazione dell’operatività della delega in conformità ai poteri attribuiti a tutori, curatori e amministratori di sostegno (cfr. par. 7.1)”;

“j) introdurre misure tecniche e organizzative adeguate a mitigare i rischi di accessi abusivi o non autorizzati ai servizi in caso di revoca della tutela, della curatela o dell’amministrazione di sostegno (ovvero di rimozione o sostituzione dei predetti soggetti), nonché di eventuale decadenza o sospensione della responsabilità genitoriale (cfr. par. 7.2)”.

Pertanto, inevitabilmente, tali insolute criticità (di seguito approfondite) si riflettono anche sul manuale operativo e sulla valutazione d’impatto con la conseguenza che su tali documenti l’Autorità esprime parere negativo.

4.1. Compatibilità con l’ordinamento (condizioni a) e h) del parere del 24 febbraio 2022)

In generale, richiamando quanto già osservato nel citato parere del 24 febbraio 2022 ” (cfr. parr. 3 e 6), si ribadisce, come, in specifici ambiti dell’ordinamento, l’attribuzione di poteri di rappresentanza e la delega a terzi per accedere a servizi offerti dalla pubblica amministrazione sono regolamentate da un complesso di norme di legge di matrice pubblicistica e privatistica, nonché da disposizioni di settore, che stabiliscono presupposti, modalità e garanzie a tutela degli interessati, ma anche degli stessi soggetti pubblici, altrimenti esposti a elevati rischi di trattamenti illeciti.

4.2. Delega generale (condizioni i) e j) del parere del 24 febbraio 2022)

In relazione alla prevista possibilità per il tutore, il curatore o l’amministratore di sostegno di chiedere l’attivazione della delega in favore dei propri assistiti, al fine di superare le criticità formulate nel citato parere del 24 febbraio 2022, il decreto è stato integrato prevedendo che, nella richiesta di attivazione della delega, siano “[indicati] contestualmente una o più classi di servizio censite nel SGD alla data di creazione della delega ovvero i singoli servizi erogati dai Service Provider aderenti al sistema tra quelli delegabili in virtù del provvedimento di nomina” (art. 6, comma 16). Inoltre, è stato aggiunto che “il SGD verifica automaticamente, altresì, tramite una specifica funzionalità descritta nel manuale operativo di cui all’articolo 3, comma 3, il venir meno dei poteri di rappresentanza ove tale circostanza sia rilevabile mediante interoperabilità con la PDND ovvero con basi dati nazionali eventualmente disponibili” (art. 6, comma 20).

Sul punto, lo schema di manuale operativo prevede che la delega generale “ha per oggetto una o più classi di servizio censite nel SGD alla data di creazione della delega ovvero i singoli servizi erogati dai Service Provider aderenti al sistema delegabili in virtù del provvedimento di nomina o della qualità del delegato e in conformità ai poteri a questo attribuiti” (par. 3.2). Inoltre, stabilisce che “Il SGD, in linea con il principio “once-only”, coopera con i sistemi informativi e le banche dati nazionali (PDND, ANPR, RGS) al fine di semplificare gli adempimenti dei cittadini, utilizzando il patrimonio informativo detenuto per finalità istituzionali dalle pubbliche amministrazioni e dai gestori di servizi pubblici (soggetti di cui all’articolo 2, comma 2 del CAD)”, aggiungendo che, tra le verifiche e funzionalità previste a questo fine, vi sono quelle di: “4. verifica del possesso della qualità di tutore, curatore o amministratore di sostegno ovvero dall’esercente la responsabilità genitoriale ed i poteri esercitabili, in fase di creazione di una delega digitale generale; 5. verifica della revoca della tutela, della curatela o dell’amministrazione di sostegno ovvero la rimozione o la sostituzione del tutore, del curatore o dell’amministratore di sostegno in fase di richiesta di annullamento di una delega digitale generale” (cap. 5).

A sua volta, dall’esame della valutazione d’impatto non emergono né misure volte a consentire la verifica sulla sussistenza e sul mantenimento della qualità di tutore, curatore o amministratore di sostegno e sull’ampiezza dei relativi poteri, né la valutazione dei rischi connessi a tali aspetti, relativi anche al trattamento, in tale contesto, dei dati sulla salute del delegante.

Al riguardo, si osserva, inoltre, che, allo stato, non risulta chiaro quali siano le banche dati presso le quali si intendono effettuare le operazioni di verifica delle informazioni sul possesso o sul venir meno, in particolare, della qualità di tutore, curatore o amministratore di sostegno, nonché sui relativi poteri di rappresentanza, atteso che lo schema di manuale operativo si limita ad accennare alla cooperazione “con i sistemi informativi e le banche dati nazionali (PDND, ANPR, RGS)”.

4.3. Modalità di conferimento della delega (condizioni f) e g) e osservazione t) del parere del 24 febbraio 2022)

4.3.1. Al fine di superare i rilievi del Garante in relazione alla presentazione telematica della delega da parte del delegato, il decreto pubblicato ha previsto che “la trasmissione della copia informatica per immagine della delega analogica sottoscritta dal delegante nonché della copia informatica per immagine del documento d’identità dello stesso delegante” sia integrata prevedendo, l’“inserimento del numero identificativo della tessera sanitaria del delegante”, con l’acquisizione della delega “solo all’esito della verifica della validità del numero identificativo della tessera sanitaria del delegante mediante una specifica funzionalità” (art. 6, comma 2, lett. e)).

Tale caso viene poi dettagliato sia nello schema di manuale operativo che nella valutazione d’impatto.

Al riguardo, si ritiene che l’inserimento del numero identificativo della tessera sanitaria del delegante e la sua verifica presso il Sistema Tessera sanitaria possa contribuire a rafforzare tale modalità di presentazione della richiesta di delega da parte del delegato, ma non risulti, tuttavia, adeguato ad assicurare il medesimo livello di sicurezza delle altre misure previste dal decreto, e che - in assenza di ulteriori misure tecniche e organizzative - non possa ritenersi idoneo a consentire l’accesso a tutte le tipologie di servizi online offerti dalle pubbliche amministrazioni.

4.3.2. Nel testo del decreto pubblicato è rimasta inalterata, rispetto alla versione sottoposta al parere del Garante, la disposizione secondo cui, nell’ipotesi in cui il delegato si presenta allo sportello per conto di una persona allettata per lunga durata, ricoverata o impossibilitata per motivi sanitari a farlo, la delega semplice possa essere conferita “anche mediante acquisizione da parte dell’operatore di sportello della delega sottoscritta dal delegante e presentata direttamente dal delegato unitamente alla copia del documento d’identità dello stesso delegante e all’attestazione sanitaria redatta da un medico del servizio sanitario nazionale attestante l’impossibilità del delegante di recarsi presso lo sportello. Il delegato, inoltre, esibisce il proprio documento d’identità e ne consegna copia all’operatore di sportello” (art. 6, comma 6).

Tale caso viene poi dettagliato sia nello schema di manuale operativo che nella valutazione d’impatto, senza alcuna valutazione dei rischi elevati sottesi a tale trattamento, riferibile anche a dati sullo stato di salute, in violazione dell’art. 35 del Regolamento.

Al riguardo, si ribadisce quanto già osservato al par. 5.2 del menzionato parere del 24 febbraio 2022.

Analogamente a quanto evidenziato al par. 4.3.1 del presente provvedimento, si rileva che tale meccanismo di conferimento della delega non risulta adeguato ad assicurare il medesimo livello di sicurezza delle altre misure previste dal decreto, e che - in assenza di ulteriori misure tecniche e organizzative - non possa ritenersi idoneo a consentire l’accesso a tutte le tipologie di servizi online offerti dalle pubbliche amministrazioni.

4.4. Autenticazione informatica mediante CNS (condizione b) del parere del 24 febbraio 2022)

Nel testo del decreto pubblicato viene specificato che il SGD consente di “delegare, nel rispetto delle vigenti disposizioni normative in materia di rappresentanza, l’accesso a servizi erogati dai Service Provider aderenti al sistema, a soggetti in possesso di un’identità digitale di cui all’articolo 64, comma 2-quater, del CAD, con livello di sicurezza almeno significativo o, comunque, di un’identità digitale basata su credenziali di livello almeno significativo nell’ambito di un regime di identificazione elettronica oggetto di notifica, conclusa con esito positivo, ai sensi dell’articolo 9 del Regolamento (UE), n. 910/2014” (art. 4, comma 1, lett. a)). La medesima modalità di autenticazione viene richiesta per i soggetti incaricati dei SP che aderiscono al SGD (art. 5, comma 1). Tale circostanza è stata replicata nello schema di manuale operativo e nella valutazione d’impatto che prevedono il ricorso a SPID o CIE con livello 2 o superiore, ma l’autenticazione attraverso CNS non viene menzionata.

Al riguardo, si evidenzia che il Garante, nell’esercizio della sua funzione consultiva, ha peraltro più volte sollecitato le amministrazioni a consentire l’autenticazione anche mediante CNS per l’accesso ai servizi resi disponibili online (cfr., ex multis, i provv. n. 144 del 28 aprile 2022 e n. 192 del 26 maggio 2022, rispettivamente, doc. web nn. 9775708 e 9776692; il provv. n. 188 del 19 maggio 2022, doc. web n. 9774696; il provv. n. 194 del 26 maggio 2022, doc. web n. 9784610). Inoltre, si aggiunge che, recentemente, anche la Conferenza unificata, nell’atto n. 135/CU del 3 agosto 2022 con cui sancisce l’intesa sullo schema di decreto recante le modalità d’impiego della CIE, ha recentemente raccomandato ai Ministeri coinvolti di “valorizzare la Carta Nazionale dei Servizi (CNS) quale strumento di profilazione al pari di SPID e CIE essendo la stessa prevista e definita dal CAD”.

4.5. Valutazioni dei SP sui servizi da rendere accessibili mediante delega digitale (condizione e) del parere del 24 febbraio 2022)

Nel menzionato parere del 24 febbraio 2022 si è ritenuto necessario evidenziare che, al fine di rispettare il principio di accountability (artt. 5, par. 2, e 24 del Regolamento), i SP devono individuare e dimostrare “di aver attentamente valutato, nel rispetto del principio di accountability (artt. 5, par. 2, e 24 del Regolamento), i servizi online che possono essere resi accessibili mediante le diverse tipologie di delega digitale operanti nell’ambito del SGD, tenendo conto del contesto, delle finalità, dei rischi sottesi al trattamento e delle conseguenze giuridiche per gli interessati, nonché dei limiti eventualmente previsti dalle specifiche normative di settore” (cfr. par. 4 del richiamato parere del 24 febbraio 2022).

Nel testo del decreto pubblicato, tuttavia, viene semplicemente stabilito che la delega “può avere a oggetto, nel rispetto delle vigenti disposizioni in materia di rappresentanza e trattamento dei dati personali: a. uno specifico servizio erogato dal Service Provider; b. tutti i servizi erogati dal Service Provider; c. una o più classi di servizio erogato dal medesimo Service Provider; d. specifici servizi erogati da differenti Service Provider; e. tutti i servizi erogati da tutti i Service Provider, nel caso di procura generale rilasciata nel rispetto delle vigenti disposizioni in materia di rappresentanza; f. differenti classi di servizio erogato da differenti Service Provider” (art. 6, comma 3)).

Sul punto, lo schema di manuale operativo e, parimenti, la valutazione d’impatto si limitano a precisare che “le deleghe digitali possono avere per oggetto una o più classi di servizio censite nel SGD” (par. 3), prevedendo, infine, che “i soggetti RP [(o SP)] che già sono federati con CIE e SPID possono offrire alcuni dei loro servizi digitali a utenti (cd. delegati) che vogliono fruire di tali servizi in nome e per conto di soggetti terzi (cd. deleganti). Tali servizi sono perciò detti delegabili. I RP che intendono offrire servizi delegabili si registrano presso il SGD tramite una procedura amministrativa e una procedura tecnica” (cap. 7), senza effettuare una ponderazione dei connessi rischi per i diritti e le libertà degli interessati, né individuare adeguate misure volte a imporre ai SP, nel momento in cui decidono quali servizi rendere accessibili a terzi mediante SGD, una valutazione in concreto circa la compatibilità dei meccanismi di delega in esame con le specifiche discipline di settore che regolano le modalità di accesso ai servizi, nel rispetto dei presupposti e dei limiti normativamente vigenti, in un quadro di garanzie a tutela dei dati personali degli interessati, ma anche dei medesimi SP (sul punto, cfr. altresì il par. 4.1 del presente provvedimento), in violazione dell’art. 35 del Regolamento.

Pertanto, si ritiene che consentire l’accesso a servizi online, mediante i meccanismi di delega digitale operanti nell’ambito del SGD, in assenza di misure che, in relazione alle caratteristiche del singolo servizio, tengano conto del contesto, delle finalità, dei rischi sottesi al trattamento e delle conseguenze giuridiche per gli interessati, nonché senza considerare quanto previsto al riguardo dalle specifiche normative di settore, comporti una violazione dei principi di liceità, correttezza e trasparenza, di integrità e riservatezza, di accountability e di privacy by design e by default, nonché degli obblighi di sicurezza di cui all’art. 5, parr. 1, lett. a) e f), e 2, e agli artt. 24, 25, 32 e 35 del Regolamento.

RITENUTO

Alla luce di quanto sopra osservato, si ritiene che il SGD, essendo prefigurato per consentire l’accesso da parte di terzi a servizi online offerti dalle pubbliche amministrazioni ai cittadini, presenti elevati rischi per i diritti e le libertà fondamentali degli interessati derivanti da possibili accessi non autorizzati, non adeguatamente valutati e gestiti attraverso le misure individuate nello schema di manuale operativo e nella valutazione di impatto. Ciò, tenendo anche conto dei problemi di compatibilità con l’Ordinamento che il nuovo istituto della delega digitale pone (sia nella versione “semplice” che nella versione “generale”), in relazione a quei settori che già prevedono una specifica disciplina volta a consentire l’accesso a soggetti terzi appositamente autorizzati.

In particolare, taluni rilievi formulati dall’Autorità nel parere del 24 febbraio 2022 sullo schema di decreto non sono stati superati dalle modifiche apportate nella versione pubblicata e - come osservato nel cap. 4 del presente provvedimento - si riflettono inevitabilmente sul manuale operativo e sulla valutazione di impatto su cui, pertanto, si esprime parere negativo. Ciò, anche in considerazione dell’inadeguatezza della valutazione di rischi e delle misure previste per affrontarli.

Su tale base, si ritiene necessario, altresì, avvertire il Dipartimento che i trattamenti di dati personali effettuati nell’ambito del SGD, così come configurati nel decreto e negli atti in esame, possono verosimilmente comportare una violazione dei principi di liceità, correttezza e trasparenza, di minimizzazione dei dati, di integrità e riservatezza, di accountability e di privacy by design e by default, nonché degli obblighi di sicurezza, di cui all’art. 5, parr. 1, lett. a), c) e f), e 2, e agli artt. 24, 25, 32 e 35 del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi degli artt. 36, parr. 2, 4 e 5, e 58, par. 3, lett. a), b) e c), del Regolamento e degli artt. 3, comma 3, e 11, comma 9, del decreto 30 marzo 2022, del Ministro per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell’interno, esprime parere negativo sullo schema di manuale operativo relativo al Sistema di gestione deleghe e sulla relativa valutazione d’impatto sulla protezione dei dati;

2) ai sensi dell’art. 58, par. 2, lett. a), del Regolamento, avverte il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri che i trattamenti di dati personali effettuati nell’ambito del SGD, così come configurati nel decreto e negli atti in esame, possono verosimilmente comportare una violazione dei principi di liceità, correttezza e trasparenza, di minimizzazione, di integrità e riservatezza, di accountability e di privacy by design e by default, nonché degli obblighi di sicurezza, di cui all’art. 5, parr. 1, lett. a), c) e f), e 2, e agli artt. 24, 25, 32 e 35 del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del decreto legislativo 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 6 ottobre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei