g-docweb-display Portlet

Parere su uno schema di decreto legislativo recante Modifiche ed integrazioni al Codice dell’amministrazione digitale - 9 giugno 2016 [5177397]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE NEWSLETTER DEL 21 GIUGNO 2016

 

[doc. web n. 5177397]

Parere su uno schema di decreto legislativo recante Modifiche ed integrazioni al Codice dell´amministrazione digitale - 9 giugno 2016

Registro dei provvedimenti
n. 255 del 9 giugno 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei Ministri - Dipartimento per gli affari giuridici e legislativi;

Visto l´art. 154, comma 4, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito Codice);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

La Presidenza del Consiglio dei ministri ha chiesto il parere del Garante in ordine ad uno schema di decreto legislativo recante "Modifiche ed integrazioni al Codice dell´amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, ai sensi dell´articolo 1 della legge 7 agosto 2015, n. 124, in materia di riorganizzazione delle amministrazioni pubbliche".

Il suddetto schema di decreto intende attuare la delega recata dall´art. 1 della citata legge n. 124 del 2015 - volta a promuovere e rendere effettivi i diritti di cittadinanza digitale di cittadini e imprese - ed, inoltre, mira a coordinare la disciplina nazionale in materia di documenti informatici e firme elettroniche con quella europea e, in particolare, con il Regolamento (UE) n. 910/2014 del Parlamento e del Consiglio del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE.

Il presente parere è reso sullo schema di decreto in esame il quale si propone di riconoscere e affermare i diritti digitali di cittadini e imprese oltre che di costituire le basi giuridiche per consentire un più facile accesso alla rete internet e ai servizi pubblici erogati in rete da parte di "chiunque". In esso sono previste, a tal fine, significative innovazioni al Codice dell´amministrazione digitale (infra: CAD), in relazione ad alcune delle quali il Garante formula, di seguito, le osservazioni di competenza al fine di adeguarne maggiormente il contenuto alla disciplina in materia di protezione dei dati personali.

RILEVATO

Il testo si compone di sessantacinque articoli, mediante i quali si modifica la disciplina recata dal CAD, segnatamente in relazione ai seguenti profili:

- ampliamento dell´ambito di applicazione soggettivo ed oggettivo del CAD, estendendolo da un lato alle società a controllo pubblico, dall´altro al processo civile e penale;

- ampliamento del riconoscimento dei diritti di cittadinanza digitale e rafforzamento della tutela in caso di violazione degli stessi;

- introduzione dell´obbligo per le pubbliche amministrazioni di rendere disponibili agli utenti presso i propri uffici idonee risorse di connettività ad Internet in modalità wi-fi; e anche per le società a controllo pubblico di accettare pagamenti spettanti a qualsiasi titolo mediante i servizi di pagamento elettronici;

- affermazione del c.d. principio del "digital first" ("innanzitutto digitale"), anche in relazione al procedimento amministrativo, e rafforzamento del principio dell´ "open data by default";

- istituzione del Punto unico telematico di accesso ai servizi pubblici;

- riordino e razionalizzazione della governance del digitale;

- razionalizzazione e semplificazione della disciplina in materia di identità digitale, di Sistema pubblico di connettività, nonché di trasmissione di dati e documenti informatici e abrogazione dell´obbligo conservare il documento informatico se già in possesso della PA o dei gestori di pubblici servizi;

- coordinamento della disciplina nazionale in materia di documenti informatici e firme elettroniche con quella europea e, in particolare, con il citato Regolamento (UE) n. 910/2014.

Preme evidenziare che il Garante ha avuto modo di pronunciarsi sul CAD anche in occasione delle modifiche ed integrazioni introdotte a suo tempo dal decreto legislativo 4 aprile 2006, n. 159 e dal decreto legislativo 30 dicembre 2010, n. 235, rispettivamente con i pareri del 21 dicembre 2005 (in www.gpdp.it; doc. web. n. 1210058) e del 24 giugno 2010 (doc. web n. 1737729). In tale occasione, l´Autorità ha formulato una serie di osservazioni in merito a vari profili, tra i quali le misure di sicurezza, le firme elettroniche, la conservazione dei dati e la pertinenza dei dati.

RITENUTO

Giusta tale sintetica descrizione del contenuto, esaminato lo schema di decreto, il Garante segnala l´esigenza di apportare allo stesso le modifiche di seguito indicate per conformare i contenuti ai principi e alle regole in materia di protezione dei dati personali.

1. Definizioni, destinatari ed ambito di applicazione

Considerata la particolare incidenza del decreto in esame sui diritti delle persone e la complessità del quadro giuridico in cui le modifiche proposte si collocano, è opportuno preliminarmente rilevare la necessità di garantire effettiva e piena coerenza con altri strumenti in itinere o appena adottati (in primis il ricordato regolamento eIDAS, ma anche i decreti relativi a SPID ed a trasparenza ed anticorruzione) e di introdurre una disciplina chiara e di pronta ed agevole applicazione. In particolare è essenziale che sia assicurata chiarezza nelle definizioni dei processi e delle responsabilità, evitando confusioni anche terminologiche.

1.1 Definizioni

L´art. 1 dello schema di decreto dispone talune "modifiche all´art. 1 del decreto legislativo n. 82 del 2005", recante le definizioni più rilevanti nel settore al fine di coordinare le definizioni del vigente CAD alla nuova disciplina europea in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE dettata dal Regolamento (UE) 23 luglio 2014, n. 910, del Parlamento europeo e del Consiglio, di seguito "Regolamento eIDAS".

Al riguardo, considerando che il suddetto regolamento ha introdotto regole di diretta applicabilità nell´ordinamento interno, pur prendendo atto del meritevole sforzo di coordinamento operato dal legislatore delegato, si rileva che purtuttavia l´articolo in esame contiene formulazioni che in parte non risultano coerenti ovvero si sovrappongono o rischiano di sovrapporsi con le definizioni previste dall´art. 3 del "Regolamento eIDAS" sopra citato. Al fine di garantire la coerenza giuridica, logica e sistematica delle disposizioni del nuovo CAD con la normativa europea in materia di identificazione elettronica e servizi fiduciari, il Garante segnala la necessità di adeguare i termini utilizzati nel testo della novella alle definizioni adottate dall´art. 3 del Regolamento eIDAS; ciò, in linea con il rinvio alle stesse operato dal comma 2 dell´art. 1.

In particolare, questo concerne, con riferimento all´art. 1 del provvedimento in esame:

• il comma 1, lett. b) che fa riferimento ad "altro servizio qualificato di recapito certificato" laddove la corrispondente definizione presente nel Regolamento eIDAS è quella di "servizio elettronico di recapito qualificato certificato";

• il comma 2 dello stesso articolo, che introduce all´art. 1 CAD un comma 1-ter. Tale nuova disposizione ammette l´uso di altro "servizio elettronico qualificato di recapito certificato" in luogo della PEC, che tuttavia non è (nè potrebbe essere, in assenza tuttora delle norme tecniche per la qualificazione) essa stessa un servizio "qualificato". Occorrerebbe quindi chiarire se in luogo della PEC possa essere utilizzato altro "servizio elettronico di recapito certificato". Al riguardo va inoltre rilevato che l´uso di questo servizio dovrebbe essere ammesso ove la legge "richiede" l´utilizzo della PEC, e non solo "consente", posto che l´uso della PEC appare in generale consentito al pari della normale posta elettronica "non certificata";

•  il comma 1, lett. c), che modifica il comma 1, lett. s) dell´art. 1 CAD, prevedendo che la "firma digitale" sia definita come "un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l´integrità di un documento informatico o di un insieme di documenti informatici". Tale definizione appare totalmente coincidente, al netto delle differenti locuzioni utilizzate, con quella di "firma elettronica qualificata" di cui al Regolamento eIDAS. La duplicazione di tale definizione, sembra comportare che ogni occorrenza nell´ordinamento di riferimento alla "firma digitale", così come qui definita, non sarebbe in linea con il Regolamento eIDAS, se non accompagnata dalla locuzione "o firma elettronica qualificata";

•  il comma 1, lett. d), che modifica l´art. 1 dell´attuale CAD inserendo al comma 1 una lettera u-quater recante la definizione di "identità digitale". Tale definizione non appare del tutto coerente con quella contenuta nell´art. 1, comma 1), lett. o) del d.P.C.M. 24 ottobre 2014, che prevede una "corrispondenza biunivoca";

Sempre con riferimento alle definizioni introdotte nel nuovo CAD, concernenti altri articoli del provvedimento in esame, si aggiunge che:

• all´art. 4 dello schema, con riferimento al novellato comma 4-bis, si ritiene che la nozione di "documento informatico" debba essere coordinata con la definizione di "documento elettronico" di cui all´art. 3, par.1.35 del Regolamento eIDAS;

• per quanto concerne l´uso del termine "firma qualificata" in luogo di "firma elettronica qualificata" e di "firma avanzata" in luogo di "firma elettronica avanzata" (comma 2-ter, inserito nell´art. 21 dall´art. 18, comma 1, lett. d), si richiede una maggiore conformità rispetto alle definizioni di cui all´art. 3 del Regolamento eIDAS;

• in relazione all´art. 29 dello schema di decreto, con particolare riferimento alle modifiche apportate all´art. 32, comma 1 del CAD, si ritiene opportuno usare alla lett. b), in luogo di "dispositivo di firma" la formulazione "dispositivo per la creazione della firma" e in luogo di "autenticazione informatica" la locuzione "identificazione elettronica".

1.2. Destinatari

Principio di trasparenza e diritto all´uso delle tecnologie dell´informazione e della comunicazione – La cittadinanza digitale

L´art. 3 dello schema, che modifica l´art. 3 del CAD, al comma 1, lett. a) riconosce a chiunque il principio di partecipazione ai procedimenti della pubblica amministrazione oltre che del principio di libero accesso ai servizi pubblici. Lo stesso articolo dispone, alla lett. b), l´introduzione del comma 1-quinques, il quale recita che "tutti i cittadini e le imprese hanno il diritto all´assegnazione di un´identità digitale attraverso la quale accedere e utilizzare i servizi erogati in rete dai soggetti di cui all´articolo 2, comma 2, alle condizioni di cui all´articolo 64". Tale nuovo comma, sembra porsi in contrasto con il principio generale di cui al precedente art. 3, comma 1, in quanto limita in maniera ingiustificata l´ambito soggettivo del diritto di utilizzare un´identità digitale ai soli cittadini (ed alle imprese).

Andrebbe, quindi, valutata l´opportunità di modificare la previsione in esame in modo da estendere tale diritto ai soggetti legalmente residenti in Italia (e ad altri soggetti giuridici, come anche osservato dal Consiglio di Stato nei pareri del 17 marzo e dell´11 maggio 2016). Tale modifica, sarebbe in linea con quanto già affermato nel comma 1, dell´art. 3 del nuovo testo del CAD, ai sensi del quale "chiunque ha il diritto di usare le soluzioni e gli strumenti di cui al presente Codice nei rapporti con i soggetti di cui all´articolo 2, comma 2 …" oltre che, con la previsione del comma successivo che riconosce il diritto a essere identificati da una pubblica amministrazione a "tutti gli iscritti all´Anagrafe della popolazione residente" e, quindi, anche ai non cittadini legalmente residenti in Italia.

Al fine di facilitare le comunicazione tra le pubbliche amministrazioni, l´art. 4 dello schema, nel modificare l´art. 3-bis del CAD, introduce, inoltre, il concetto di "domicilio digitale delle persone fisiche" quale "mezzo esclusivo di comunicazione da parte dei soggetti di cui all´art. 2, comma 2". In proposito, non risulta chiaro dalla disposizione se avvalersi del c.d. "domicilio digitale" debba ritenersi una mera facoltà degli interessati ovvero se non si tratti in ultima analisi di un obbligo. Si richiama in proposito l´attenzione sulle criticità suscettibili di derivare, in relazione al diritto all´autodeterminazione informativa del cittadino, da tale disposizione, se interpretata come volta a qualificare l´elezione o l´assegnazione del domicilio digitale come un obbligo e non già una mera facoltà.

2. La gestione dell´identità digitale

2.1. Compiti dei gestori

Nell´intento di una semplificazione dei compiti che sono chiamati a svolgere i gestori di identità digitale, l´art. 7 dello schema dispone, alla sua lett. b), l´introduzione del comma 2-bis all´art. 6-bis del CAD, secondo il quale "L´INI-PEC acquisisce dagli ordini e dai collegi professionali gli attributi qualificati dell´identità digitale ai fini di quanto previsto dal decreto di cui all´articolo 64". La ratio di tale ultima disposizione non sembra coerente con quanto prevede l´art. 16 del decreto di cui all´art. 64 del nuovo CAD (d.P.C.M. del 24 ottobre 2014) in base al quale il Ministero dello sviluppo economico, presso cui viene istituito l´INI-PEC, è accreditato di diritto presso l´Agid, come gestore di attributi qualificati limitatamente però "ai dati contenuti nell´indice nazionale degli indirizzi PEC delle imprese e dei professionisti di cui all´ art. 6-bis del CAD" e non anche rispetto ai dati relativi "all´attestazione dell´iscrizione agli albi professionali". I gestori di questi ultimi attributi qualificati sono infatti i rispettivi "consigli, … ordini e… collegi delle professioni regolamentate", i quali "hanno il potere, in base alle norme vigenti, di attestar(li)" e, quindi, le conseguenti responsabilità, derivanti dalla normativa sulla protezione dei dati, di garantirne l´esattezza e l´aggiornamento (art. 11, comma 1, lett. e) del Codice. Inoltre, la disposizione stabilisce che l´accesso all´INI-PEC è consentito alle pubbliche amministrazioni, ai professionisti, alle imprese, ai gestori o esercenti di pubblici servizi ed a tutti i cittadini tramite sito web e senza necessità di autenticazione. In proposito si rileva che il termine "autenticazione" è qui utilizzato impropriamente in luogo, presumibilmente, di quello più appropriato di "identificazione elettronica" (o di "autenticazione informatica" ai sensi del Codice).

2.2. Disponibilità servizi, standard e livelli di qualità

Si rileva, infine che, al fine di dare effettività ai principi di cittadinanza digitale l´articolo 8 dello schema, sostituisce l´art. 7 del CAD, stabilendo che "i soggetti di cui all´articolo 2, comma 2, rendono disponibili i propri servizi per via telematica nel rispetto delle disposizioni del presente Codice e degli standard e livelli di qualità anche in termini di fruibilità, accessibilità, usabilità e tempestività, stabiliti con le regole tecniche di cui all´articolo 71", aggiungendo, inoltre, che "gli standard e i livelli di qualità siano periodicamente aggiornati da Agid". Il Garante, al riguardo, suggerisce di utilizzare il termine "individuati" in luogo di "periodicamente aggiornati", per non ingenerare l´errata convinzione che l´Agid possa essere competente a definire standard internazionali in materia tecnologica.

Sempre all´art. 8 dello schema, inoltre, nel quale viene espressamente prevista "l´alfabetizzazione informatica" e l´estensione massima della connettività alla rete internet, il Garante non comprende il motivo dell´esclusione, tra gli "strumenti di autenticazione", di quelli previsti dall´art. 64 del CAD quali CIE e CNS.

Ritiene, infine, opportuno sottolineare che la parte in cui la disposizione prescrive l´utilizzo di "porzione di banda" (trasmissiva) da parte di altri soggetti, qualora non utilizzata dagli uffici pubblici, potrebbero determinare rilevanti problemi di sicurezza e, pertanto, suggerisce che le relative decisioni siano adottate previa "necessaria consultazione del Garante".

2.3. Referenti interni

Con riferimento, all´art. 15 dello schema, nella parte in cui si prevede la modifica dell´art. 17, comma 1, del CAD, e l´introduzione un "ufficio dirigenziale generale", rispetto al quale viene a mancare il riferimento prima esistente alle sole pubbliche amministrazioni centrali, si evidenzia la difficile collocazione presso le strutture organizzative delle amministrazioni di piccole dimensioni. Si fa inoltre notare il mancato coordinamento, della figura del responsabile di questo ultimo ufficio (che svolge anche funzioni di "difensore civico digitale") con la figura del "responsabile dei sistemi informativi automatizzati" che ha invece compiti operativi in materia di ITC.

A tal fine, si suggerisce di valutare la necessità di coordinare tale previsione con quanto previsto dalla normativa in materia di dati personali, e ciò anche alla luce delle previsioni del nuovo Regolamento europeo (UE) 2016/679, in base al quale si sancisce l´obbligatorietà della designazione di un responsabile dalla protezione dei dati negli organismi pubblici (cfr. artt. 37 ss.). In particolare, si invita l´Amministrazione a esaminare l´opportunità che il suddetto responsabile coincida con il responsabile della protezione dei dati. Si ritiene opportuno, inoltre, nel precisare cosa si intenda per "diritti digitali", aggiungere al comma 1-quinques la specificazione che si tratta dei "diritti digitali previsti dal presente Codice".

3. Prestatori di servizi fiduciari qualificati, gestori di posta elettronica certificata, gestori dell´identità digitale

L´art. 25 dello schema, nel modificare l´art. 27 del CAD, fissa i requisiti che devono essere posseduti dai prestatori di servizi fiduciari qualificati, dai gestori di posta elettronica certificata, dai gestori dell´identità digitale di cui all´art. 64 e dai conservatori di cui all´art. 44-bis. La novella, in particolare, prevede che i certificatori di firma digitale divengano fornitori di servizi fiduciari ai sensi del regolamento eIDAS, mentre i gestori di posta elettronica certificata, i gestori dell´identità digitale e i soggetti conservatori risultino, al momento, fornitori di servizi nazionali. Tenendo conto che la novella del CAD si pone l´obiettivo di coordinare le norme nazionali proprio con il Regolamento eIDAS, si ritiene opportuno considerare, alla luce del considerando 25 del suddetto Regolamento, se la PEC e lo SPID, che non rientrano nell´elenco dei servizi fiduciari previsti dallo stesso, possano essere qualificati e riconosciuti a livello nazionale come servizi fiduciari qualificati.

Assume inoltre rilevanza ai fini dell´applicazione delle disposizioni in materia di protezione dei dati, il disposto dell´art. 26 dello schema di decreto, il quale, nel modificare l´art. 28, comma 2 del CAD, prevede di includere il codice fiscale nel certificato di firma elettronica qualificata, quale attributo specifico aggiuntivo. Nel far ciò, tuttavia, non predispone al contempo adeguate garanzie per i dati personali, quali il rispetto del principio di "pertinenza" e "non eccedenza" rispetto allo scopo per cui si richiede il certificato (art. 11 del Codice).

Tale previsione, inoltre, rischia di contribuire a rendere di fatto il codice fiscale un identificatore unico a livello nazionale, ratificandone l´utilizzo generalizzato al di fuori del settore fiscale. Peraltro, in base al considerando 54 del Regolamento eIDAS, non possono essere aggiunti requisiti obbligatori a quelli già previsti dal suddetto regolamento ed in particolare gli identificatori unici attribuiti a livello nazionale, laddove aggiunti non devono ostacolare "l´interoperabilità transfrontaliera e il riconoscimento dei certificati e delle firme elettroniche qualificati". Più in generale, questa equiparazione di fatto, in assenza di apposite previsioni legislative che determinino le condizioni alle quali questo possa essere usato, è in contrasto con la direttiva 95/46/CE (art. 8, par. 7) e con il nuovo Regolamento europeo sulla protezione dei dati (Regolamento UE 2016/679) (art. 87). Inoltre, la disposizione in esame non tiene in considerazione il fatto che non è sempre necessario rendere noti i dati identificativi fiscali del firmatario di un documento firmato con firma elettronica qualificata (si pensi ad esempio ad un atto firmato con firma elettronica qualificata dal rappresentante legale di un´azienda, per verificare la validità della quale basterebbe rendere nota al destinatario dell´atto la specifica qualifica del firmatario e non anche il suo codice fiscale). Al riguardo il Gruppo dei Garanti europei il 13 marzo 2014 si era espresso in tal senso nella fase di discussione dell´allora proposta del Regolamento eIDAS con lettera inviata alla Commissione europea pubblicata in http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2013/20130311_a29_wp_letter_to_vp_kroes.pdf).

Con riferimento, infine, alla novella dell´art. 28, al comma 3, il Garante, conformemente a quanto disposto dall´art. 11 del Codice, invita ad aggiungere nell´articolo accanto al principio di "pertinenza" anche il rispetto del principio di "non eccedenza", all´uopo modificando la frase iniziale nel modo seguente: "il certificato di firma elettronica qualificata può contenere, ove richiesto dal titolare o dal terzo interessato, se pertinenti e non eccedenti rispetto allo scopo per il quale il certificato è richiesto: […]" 

Inoltre, considerato che la disposizione in esame prevede la disponibilità in rete delle informazioni contenute nel certificato e che questo potrebbe comportare una diffusione on line di dati personali, occorre garantire il rispetto delle disposizioni in materia di protezione dei dati personali. Si ritiene pertanto che il testo del comma 3-bis sempre del medesimo art. 28 vada integrato prevedendo, in attuazione dell´art. 154, comma 4, del Codice, che il decreto del Presidente del Consiglio che fisserà le modalità di attuazione del comma 3-bis sia adottato "previo parere del Garante per la protezione dei dati personali".

Con riferimento all´art. 32 dello schema di decreto, al comma 1, lett. a), si suggerisce di adeguare il linguaggio alla terminologia utilizzata dal regolamento eIDAS ed indicata al precedente punto 1.1 relativo alle "definizioni" e, pertanto, fare riferimento a "firma elettronica qualificata" in luogo di "firma qualificata".

4. Conservazione dei documenti informatici e interoperabilità

All´art. 40, invece, si ritiene di dover includere, almeno opzionalmente, per la trasmissione telematica di comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna, qualunque altro "servizio elettronico di recapito qualificato certificato", venendosi altrimenti a determinare  un´ingiustificata restrizione alla prestazione di servizi fiduciari in violazione, tra l´altro, dell´art. 4 del Regolamento eIDAS.

L´art. 41 dello schema introduce un nuovo comma, 3-bis all´art. 50 del CAD, ai sensi del quale "Il trasferimento di un dato da un sistema informativo a un altro non modifica la titolarità del dato". Viene riproposta in questo comma la stessa disposizione già presente nell´art. 58 del vigente CAD che è risultata di difficile interpretazione dal momento che non viene specificato cosa si intenda in questo contesto per "titolarità del dato" né si rinviene nel testo del CAD alcuna specificazione della predetta nozione. Tale nozione è inoltre suscettibile di generare molteplici ambiguità con riferimento al diverso istituto giuridico previsto dalla disciplina sulla protezione dei dati personali di "titolarità del trattamento" (cfr. artt. 4, comma 1, lett. f) e 28 del Codice). Peraltro, la regola che qui viene esplicitata, in base alla quale il trasferimento di dati da un sistema informativo all´altro non ne modifica la titolarità, è contraria al Codice in base al quale, invece, il destinatario di una comunicazione di dati personali (art. 4, comma 1, lett. l) del Codice) diventa "titolare" (del trattamento del dato personale) con le conseguenti responsabilità derivanti dal trattamento di tali dati, ivi compreso il profilo della sicurezza. Il Garante, pertanto, suggerisce di espungere definitivamente la previsione o di specificarne meglio il significato per evitare ogni ambiguità con la disciplina sulla protezione dei dati personali.

L´art. 42 dello schema nel sostituire il comma, 1-bis, alinea, dell´art. 51 del CAD, prevede espressamente che "Agid attua, per quanto di competenza, il Quadro strategico nazionale per la sicurezza dello spazio cibernetico e il Piano nazionale per la sicurezza cibernetica e la sicurezza informatica" (…). In tale particolare contesto sarebbe opportuno inserire anche un richiamo al necessario coordinamento con il Garante per la protezione dei dati personali nel caso di incidenti alla sicurezza che abbiano impatto sui dati personali (come peraltro indicato nel considerando 31 del Regolamento eIDAS). Ciò, anche in vista dell´entrata in vigore del nuovo Regolamento sulla protezione dei dati che nel definire in via generale il concetto di "violazione dei dati personali" fa riferimento proprio a violazioni "di sicurezza che comporta(no) accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l´accesso ai dati personali trasmessi, conservati o comunque trattati" (cfr. considerando 85 ss. e art. 4, par. 1.12 Regolamento (UE) 2016/679.

Con riferimento all´articolo 44 dello schema che inserendo il nuovo comma 1-bis, all´art. 53, prevede la pubblicazione anche dei "metadati definitivi", non risulta chiaro, in tale articolo, cosa si intenda per "definitivi".

Si ritiene inoltre opportuno che, laddove si verta in materia di riutilizzo dei dati, sia nello stesso art. 44 e in altri articoli del CAD, venga effettuato un richiamo alla pertinente "normativa nazionale ed europea in materia di riutilizzo delle informazioni del settore pubblico" che, peraltro, fa salva la disciplina sulla protezione dei dati personali (v., al riguardo, l´art. 50, comma 1, dello stesso CAD).

5. "Anonimizzazione" e pubblicazione delle sentenze e decisioni giudiziarie - Modifica dell´articolo 52 del Codice

L´art. 46 dello schema nel sostituire il comma, 2-bis dell´art. 56 del CAD, prevede espressamente che "alla pubblicazione delle sentenze e delle altre decisioni di cui al comma 2 si provvede nel rispetto di quanto previsto all´articolo 52 del decreto legislativo n. 196 del 2003". Questa disposizione deve essere letta in combinato disposto con quanto previsto dall´art. 62, comma 5, lett. b) del d.lgs. di modifica del CAD.

L´art. 62 infatti reca "disposizioni di coordinamento" dello schema di decreto e prevede anche la modifica dell´art. 52 del Codice, in particolare sopprimendo la necessità da parte dell´interessato di specificare i "motivi legittimi" per la richiesta di soppressione delle generalità in corso di giudizio e introducendo la possibilità di presentare tale richiesta successivamente alla pubblicazione della sentenza, anche al gestore del sito internet o all´editore della rivista giuridica, anche on-line, che abbia proceduto alla pubblicazione. L´articolo dispone, inoltre, l´anonimizzazione dei dati personali delle parti e di terzi, contenuti nelle sentenze adottate successivamente al 1 gennaio 2016, prima della loro pubblicazione.

Al riguardo, considerato quanto osservato dal Consiglio di Stato, secondo cui l´introduzione nel CAD di nuove disposizioni in materia di tutela dei dati personali o in materia di pubblicazione dei provvedimenti dell´autorità giudiziaria sarebbe da considerare fuori delega, si prende atto, come riportato nel parere dell´11 maggio del citato Consiglio, dell´impegno dell´Amministrazione a verificare la compatibilità di tale disposizione: "La Commissione speciale (…) ritiene di esprimere il proprio favorevole avviso sulla decisione, assunta dall´Amministrazione, di procedere a una nuova valutazione in merito alla compatibilità di quanto disposto dall´art. 62, comma 5, lettera b) del decreto - relativo alla "anonimizzazione" dei dati personali contenuti nelle sentenze e negli altri atti dell´autorità giudiziaria" - con i criteri di delega recati dall´art. 1 della legge n. 124 del 2015, "in vista di una eventuale espunzione" della disposizione de qua dall´articolato."

Il Consiglio di Stato rappresenta il rischio che "la generalizzata "anonimizzazione" delle decisioni dell´autorità giudiziaria, svincolata da una valutazione caso per caso da parte degli organi giudicanti già prevista dalla vigente normativa, potrebbe comportare - come esposto nel parere interlocutorio in epigrafe - un "ingiustificato" appesantimento dell´attività amministrativa connessa con l´esercizio della funzione giurisdizionale, con conseguenti effetti negativi sull´efficacia e sulla speditezza della stessa.". Tuttavia in proposito, il Garante rappresenta che l´appesantimento dell´attività potrebbe derivare più da una valutazione caso per caso dell´esigenza di anonimizzare, che dalla generalizzata anonimizzazione, anche perché le sentenze da anonimizzare verrebbero redatte seguendo opportune tecniche.

Peraltro, come noto, e da ultimo rappresentato alla Camera arbitrale per i contratti pubblici presso l´A.N.A.C., anche il comma 7 dell´art. 52 del Codice è apparso a questa Autorità suscettibile di una interpretazione cauta ed orientata ad esigenze di protezione della sfera giuridica delle persone interessate, sicché anche per le sentenze di legittimità, pubbliche e con funzioni nomofilattiche, il Garante ha evidenziato l´esigenza di bilanciare le finalità di promozione della conoscenza, da parte dei cittadini, delle decisioni della Corte di cassazione con quella di rispettare la sfera privata delle persone interessate anche alla luce dei rischi inevitabilmente connessi alla loro indiscriminata accessibilità via web, ben indicati dalla sentenza della Corte di giustizia dell´Unione europea del 13 maggio 2014, C-131/12 (Google Spain SL e Google Inc. c/ Agencia Española de Protección de Datos (AEPD) e Mario Costeja González), quali quelli di indicizzazione, decontestualizzazione, finanche alterazione dei dati stessi.

In questo quadro, si consideri altresì, per una migliore determinazione dei principi propri dell´ordinamento di cui lo Stato italiano fa parte, che in sistemi per vari profili paragonabili, quello tedesco e quello francese, le sentenze sono anonimizzate.

Pertanto, laddove sia considerata rientrante nella delega, la modifica proposta sembra possa essere considerata favorevolmente.

6. Basi dati di interesse nazionale

L´art. 48 dello schema abrogando il comma, 3 dell´art. 60 del CAD, abolisce di conseguenza anche la precedente procedura per l´individuazione delle basi dati d´interesse nazionale (alla quale era chiamato a partecipare anche il Garante), dal momento che l´Agid sembrerebbe avere solo il compito di pubblicarne l´elenco sul proprio sito istituzionale (v. il successivo comma 3-ter). In proposito, si invita a considerare la necessità di un coinvolgimento dell´Autorità sulla procedura di definizione delle stesse e delle relative regole di accesso e di utilizzo dei dati. Inoltre, a parte l´individuazione di tali banche dati, operata, "in sede di prima applicazione", dal legislatore al comma 3-bis, si segnala l´assenza di criteri precisi per l´individuazione di ulteriori banche dati di questo tipo.

Infatti il comma 3-ter introdotto dal suddetto articolo, assegna all´Agid il compito di "pubblicare l´elenco" delle basi dati di interesse nazionale, ma nulla dice sull´individuazione, oltre quella iniziale fatta nella stessa norma, delle medesime basi dati che, si presume, saranno soggette a variazioni nel tempo.

7. Misure di sicurezza

Relativamente all´articolo 50-bis CAD, che viene abrogato dall´art. 64, comma 1, lett. g), dello schema di decreto, si ritiene che la sua soppressione, non accompagnata da una norma transitoria o dall´introduzione di una norma con analoghe finalità, possa costituire un grave vulnus alla protezione dei dati personali trattati dai soggetti pubblici precedentemente tenuti all´adozione di procedure di disaster recovery e di continuità operativa. Se è vero che l´art. 50-bis prevede una procedura piuttosto complessa e certamente suscettibile di semplificazione e di alleggerimento, le finalità sono del tutto condivisibili e in linea con le previsioni in tema di misure di sicurezza di cui agli artt. 31 – 36 del Codice e al Disciplinare tecnico allegato al medesimo Codice. In particolare, le previsioni sul disaster recovery si applicano a qualsiasi banca dati, ai sensi dell´art. 34 del Codice e della Regola 18 del Disciplinare tecnico, mentre procedure di continuità operativa sono richieste, nel caso di trattamento di dati sensibili o giudiziari, dalla regola 23 secondo la quale "sono adottate idonee misure per garantire il ripristino dell´accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni."

Si ritiene quindi opportuno non abrogare l´art. 50-bis, semplificandone eventualmente la formulazione ma mantenendo in capo ai soggetti pubblici l´obbligo di provvedere alla conservazione sicura dei dati come specifico adempimento nel contesto più ampio delle misure di sicurezza che saranno poi dettagliate in sede di attuazione dell´art. 71 del CAD novellato.

L´eventuale abrogazione di questo articolo creerebbe una situazione di vuoto normativo che durerà sino all´adozione delle regole tecniche previste dall´art. 71 con la conseguenza che per un lasso di tempo di durata non stimabile ma sicuramente non trascurabile non vi sarebbero più obblighi di conservazione sicura e garanzie sulla disponibilità dei dati in caso di incidente informatico. Resterebbero applicabili le sole previsioni del Codice e di misure minime di sicurezza nel caso di trattamenti di dati in banche dati (norme assistite da sanzioni penali).

8. Modalità di accesso ai servizi erogati in rete dalle Pubbliche Amministrazioni e requisiti per la presentazione di istanze e dichiarazioni

L´art. 52 dello schema di decreto che modifica l´art. 64 del CAD dettando una disciplina organica del Sistema pubblico di identità digitale (SPID) e delle modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni, mira a coordinare e razionalizzare la disciplina vigente in materia di strumenti di identificazione, comunicazione e autenticazione on-line, garantendo la coerenza con la disciplina europea della materia dettata, tra l´altro, dal già citato Regolamento eIDAS.

Ai sensi del DPCM 24 ottobre 2014 di cui all´art. 64, comma 2-sexies, le pubbliche amministrazioni hanno due anni per aderire al sistema SPID (art. 14 comma 2). Essendo stata abrogata la previsione di cui all´art. 64, comma 2, del CAD vigente, nelle more di tale adeguamento le pp.aa. possono consentire l´accesso ai propri servizi in rete solo con la CIE e la CNS. Considerata la limitata diffusione di tali strumenti, il Garante ritiene opportuno che si preveda, in tale periodo transitorio, che le PA possano utilizzare strumenti diversi dallo SPID per l´accesso ai servizi in rete.

Il comma 1, lett. b) dell´art. 65, novellato dall´art. 53 dello schema, fa riferimento al concetto di "autore" nel contesto della presentazione di un´istanza per via telematica. Considerato che la nozione si presta a diverse interpretazioni, sarebbe opportuno che la disposizione indicasse chiaramente se con il detto termine si intende far riferimento a colui/colei che sottopone o presenta l´stanza (istante) o se ci si intenda riferire all´autore del documento informatico che costituisce l´istanza trasmessa per via telematica.

Siccome le modalità di presentazione delle istanza per via telematica potranno essere diverse (interattive, offline, con compilazione di moduli, con trasmissione di documenti informatici in formato pdf…) sarebbe preferibile far riferimento a colui/colei che presenta l´istanza interagendo per via telematica, mantenendo distinta questa fattispecie dall´autorialità di un documento informatico.

Si fa, inoltre, presente in coerenza con quanto già rilevato supra, l´opportunità di completare il comma 1, lett. c-bis, aggiungendo al riferimento alla posta elettronica certificata, le parole "o di altro servizio elettronico di recapito certificato o di recapito qualificato certificato".

9. Regole tecniche

L´art. 57, nell´apportare modifiche al comma 1 dell´art. 71, prevede che le regole tecniche per l´attuazione del nuovo CAD vengano adottate "con decreto del Ministro delegato per la semplificazione e la pubblica amministrazione, su proposta dell´Agid, di concerto con il Ministro della giustizia e con i Ministri competenti, sentita la Conferenza unificata di cui all´articolo 8 del decreto legislativo 28 agosto 1997, n. 281, e il Garante per la protezione dei dati personali nelle materie di competenza".

In considerazione del fatto che gran parte dei flussi informativi nell´ambito della pubblica amministrazione riguardano dati personali, rispetto ai quali il Garante ha una maggiore e specifica competenza tecnica, si ritiene opportuno suggerire di modificare la suddetta previsione, prevedendo invece che tali regole tecniche vengano adottate "su proposta di Agid, d´intesa con il Garante".

10. Sistema pubblico di connettività (SPC)

L´art. 58 modifica l´art. 73 del CAD, con l´intento di semplificare e razionalizzare la vigente disciplina sul Sistema pubblico di connettività (SPC). Al riguardo si rappresenta che al comma 2 della presente novella sarebbe opportuno richiamare anche il "rispetto della normativa in materia di protezione dei dati personali", così da ricomprendere il quadro unitario di misure e accorgimenti tecnici fissato dal Codice in materia di protezione dei dati personali per garantire la riservatezza e la sicurezza dei dati.

L´art. 60 modifica l´art. 76 del CAD recando norme di coordinamento sistematico, al fine di raccordare l´ambito soggettivo di applicazione della disposizione in materia di scambio di documenti informatici nell´ambito dell´SPC al Codice.

L´articolo è apparentemente in sovrapposizione o andrebbe opportunamente integrato con l´art. 45 (Valore giuridico della trasmissione) e l´art. 47 (Trasmissione dei documenti attraverso la posta elettronica tra le pubbliche amministrazioni), in tema di comunicazione/trasmissione di documenti (informatici) tra soggetti pubblici e con l´art. 65 (Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica).

IL GARANTE

esprime parere nei termini di cui in motivazione sullo schema di decreto legislativo trasmesso dalla Presidenza del Consiglio dei ministri - Dipartimento per gli affari giuridici e legislativi e recante "Modifiche ed integrazioni al Codice dell´amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, ai sensi dell´articolo 1 della legge 7 agosto 2015, n. 124, in materia di riorganizzazione delle amministrazioni pubbliche", con le seguenti condizioni:

1. adeguare i termini utilizzati nel testo della novella alle definizioni adottate dall´art. 3 del Regolamento eIDAS mediante rinvio alle stesse, al fine di garantire la coerenza giuridica, logica e sistematica delle disposizioni del nuovo CAD con la normativa europea in materia di identificazione elettronica e servizi fiduciari, secondo quanto in particolare indicato al punto 1.1.;

2. allineare il comma 1-quinquies dell´art. 3 al principio del riconoscimento a chiunque del diritto di partecipazione e libero accesso ai servizi pubblici, in linea con quanto rilevato al punto 1.2, chiarendo che la previsione in esame si applica ai soggetti legalmente residenti in Italia;

3. all´art. 8 dello schema, prevedere che le decisioni relative all´utilizzo di "porzione di banda" non utilizzata dagli uffici pubblici da parte di altri soggetti siano adottate con la necessaria consultazione del Garante (punto 2.2);

4. disporre adeguate garanzie per i dati personali, quali il rispetto del principio di pertinenza e non eccedenza rispetto allo scopo del certificato di firma elettronica qualificata, in particolare espungendo dalla novella dell´art. 28, comma 2, del Cad, apportata dall´art. 26 dello schema di decreto, la previsione relativa alla possibilità di includere il codice fiscale nel certificato di firma elettronica qualificata, quale attributo specifico aggiuntivo (punto 3);

5. inserire, sempre al medesimo articolo 28, al comma 3-bis, le parole "previo parere del Garante per la protezione dei dati personali" dopo le parole "Con decreto del Presidente del Consiglio dei Ministri" (punto 3);

6. espungere dall´art. 50 del CAD, comma 3-bis, così come novellato dall´art. 41 dello schema di decreto, il riferimento alla "titolarità del dato", essendo tale nozione suscettibile di generare molteplici ambiguità con riferimento al diverso istituto giuridico previsto dalla disciplina sulla protezione dei dati personali di "titolarità del trattamento" (cfr. artt. 4, comma 1, lett. f), e 28, del Codice) (punto 4);

7. all´art. 42 dello schema, che sostituisce il comma, 1-bis, alinea, dell´art. 51 del CAD, sarebbe opportuno inserire anche un richiamo al necessario coordinamento con il Garante per la protezione dei dati personali nel caso di incidenti alla sicurezza che abbiano impatto sui dati personali (cfr. considerando 31 del Regolamento eIDAS) (punto 4);

8. l´art. 48 dello schema abrogando il comma, 3 dell´art. 60 del CAD, abolisce di conseguenza anche la precedente procedura per l´individuazione delle basi dati d´interesse nazionale (alla quale era chiamato a partecipare anche il Garante): si invita a considerare la necessità di un coinvolgimento dell´Autorità sulla procedura di definizione delle stesse e delle relative regole di accesso e di utilizzo dei dati (punto 6);

9. riconsiderare la proposta abrogazione dell´art. 50-bis, eventualmente valutando l´ipotesi di semplificarne la formulazione, mantenendo in capo ai soggetti pubblici l´obbligo di provvedere alla conservazione sicura dei dati come specifico adempimento nel contesto più ampio delle misure di sicurezza che saranno poi dettagliate in sede di attuazione dell´art. 71 del CAD novellato (punto 7);

10. prevedere che le regole tecniche/organizzative, di cui all´art. 71, comma 1, in considerazione del fatto che gran parte dei flussi riguardano dati personali, rispetto ai quali il Garante ha una maggiore e specifica competenza tecnica, vengano adottate "su proposta di Agid, d´intesa con il Garante" e non invece "sentito" il Garante (punto 9);

e con le seguenti osservazioni:

a) coordinare le disposizioni in materia di INI-PEC di cui all´art. 7 dello schema con l´art. 16 del DPCM 24 ottobre 2014 e modificare il riferimento ad "autenticazione" contenuto nella stessa disposizione, sostituendolo con "identificazione elettronica" ovvero "autenticazione informatica", secondo quanto indicato al punto 2.1;

b) come rilevato al punto 2.2., si suggerisce di utilizzare il termine "individuati" in luogo di "periodicamente aggiornati", trattandosi di standard internazionali in materia tecnologica;

c) andrebbe chiarito, come rilevato sempre al punto 2.2, il motivo dell´esclusione, tra gli "strumenti di autenticazione", di quelli previsti dall´art. 64 del CAD quali CIE e CNS;

d) come rilevato al punto 2.3., valutare l´opportunità di coordinare la previsione di cui all´art. 15 dello schema con quanto previsto dalla normativa in materia di dati personali, anche alla luce del nuovo Regolamento europeo (UE) 2016/679, in base al quale si sancisce l´obbligatorietà della designazione di un responsabile dalla protezione dei dati negli organismi pubblici. In particolare, si invita l´Amministrazione a esaminare l´opportunità che il suddetto responsabile coincida con il responsabile della protezione dei dati personali;

e) valutare, come rilevato al punto 2.3, l´opportunità di aggiungere al comma 1-quinques introdotto dallo stesso articolo la specificazione "diritti digitali previsti dal presente Codice";

f) rispetto all´uso del termine "firma qualificata" in luogo di "firma elettronica qualificata" e di "firma avanzata" in luogo di "firma elettronica avanzata" (inserito nell´art. 21, comma 2-ter dall´art.18, comma 1, lett. d, dello schema di decreto), si suggerisce di uniformare i riferimenti ai diversi tipi di firma presenti nello schema di decreto alle definizioni di cui all´art. 3 del Regolamento eIDAS (punto 1.1);

g) aggiungere all´art. 28, comma 3, così come modificato dallo schema di decreto, dopo le parole "se pertinenti" le parole "e non eccedenti rispetto" allo scopo per cui è richiesto il certificato (punto 3);

h) come rilevato al punto 3 ed in relazione all´art. 25 dello schema, si suggerisce l´opportunità di chiarire, alla luce del considerando 25 del Regolamento eIDAS, che la PEC e lo SPID possano essere qualificati e riconosciuti a livello nazionale come servizi fiduciari qualificati;

i) all´art. 40 dello schema andrebbe incluso, tra le opzioni, qualunque altro "servizio elettronico di recapito qualificato certificato", venendosi altrimenti a determinare un´ingiustificata restrizione alla prestazione di servizi fiduciari in violazione, tra l´altro, dell´art. 4 del Regolamento eIDAS (punto 4);

j) all´art. 44 dello schema chiarire cosa si intende per "metadati definitivi". Si suggerisce inoltre laddove si faccia riferimento al riutilizzo di dati ed informazioni del settore pubblico, come nello stesso art. 44, venga effettuato un richiamo alla pertinente "normativa nazionale ed europea in materia di riutilizzo delle informazioni del settore pubblico" che, peraltro, fa salva la disciplina sulla protezione dei dati personali (punto 4);

k) si ritiene opportuno un coordinamento tra le disposizioni del d.P.C.M. 24 ottobre 2014 e la previsione di cui all´art. 64, comma 2, del CAD vigente, che viene abrogata dallo schema in oggetto nel senso di prevedere, nel periodo transitorio, che le PA possano utilizzare strumenti diversi dallo SPID per l´accesso ai servizi in rete (punto 9);

l) occorrerebbe chiarire la nozione di "autore" contenuta al comma 1, lett. b) dell´art. 65, novellato dall´art. 53 dello schema, specificando che si fa riferimento a colui/colei che sottopone o presenta l´istanza (istante) piuttosto che all´autore del documento informatico che costituisce l´istanza trasmessa per via telematica (punto 8);

m) il comma 1, lett. c-bis dello stesso articolo cita la posta elettronica certificata: si suggerisce pertanto di aggiungere per coerenza "o di altro servizio elettronico di recapito qualificato certificato"(punto 9);

n) prevedere che nel periodo transitorio previsto ai sensi del d.P.C.M. 24 ottobre 2014 di cui all´art. 64, comma 2-sexies, le pp.aa. possano utilizzare strumenti diversi dallo SPID per l´accesso ai servizi in rete (punto 8);

o) l´art. 58 dello schema andrebbe completato, inserendo al comma 2 un richiamo al "rispetto della normativa in materia di protezione dei dati personali"(punto 10).

Roma, 9 giugno 2016

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia