Dalla Newsletter del Garante del 29/11/2017
No all’accesso indiscriminato ai dati relativi al “domicilio digitale” dei cittadini. Maggiori tutele per chi invia segnalazioni al difensore civico digitale. Regole più specifiche per l’accesso ai servizi digitali delle PA e per l’utilizzo dei dati anagrafici.
Queste sono alcune delle osservazioni che il Garante per la protezione dei dati personali ha espresso in merito allo schema di decreto legislativo, predisposto dalla Presidenza del Consiglio dei ministri, per integrare e modificare alcune disposizioni del Codice dell’amministrazione digitale (CAD) [doc.web n. 7221785]. Il Garante, pur esprimendo parere positivo sul testo ha rilevato alcune criticità in merito alla protezione dei dati personali trattati. Nella bozza di decreto, ad esempio, si prevede che “chiunque” possa consultare gli elenchi dei “domicili digitali”, tramite sito web e senza necessità di autenticazione. Secondo l’Autorità, invece, rendere pubblici tali elenchi, peraltro in formato aperto e senza specificare quali dati personali contengano, rischia di favorire l’invio di spam e di aumentare considerevolmente il rischio di furti di identità.
Il domicilio digitale dovrebbe invece essere utilizzabile solo per l’invio di comunicazioni avente valore legale o connesse al conseguimento di finalità istituzionali.
Un’altra disposizione del decreto prevede che il difensore civico digitale pubblichi on line tutte le segnalazioni “fondate” ricevute dai cittadini, relative a violazioni della normativa sulla digitalizzazione della Pa. Tale obbligo – afferma il Garante – non solo comporta una diffusione sproporzionata dei dati di chi denuncia un problema, ma rischia di essere un deterrente all’esercizio di tale diritto per il timore dell’utente di subire eventuali ritorsioni. Sarebbe quindi auspicabile prevedere sempre l’oscuramento dei dati personali eventualmente presenti nei documenti oggetto di pubblicazione online sia nel caso di segnalazioni, sia nel caso delle decisioni sulle stesse.
Il Garante ribadisce, inoltre, come già indicato in un precedente parere sul Cad, che sarebbe opportuno tutelare meglio la riservatezza dei dati personali contenuti nelle “Basi dati di interesse nazionale”, chiarendone le modalità di utilizzo, nonché valutare la possibilità di concedere l’accesso ai servizi della PA in rete non esclusivamente tramite SPID, ma utilizzando anche altri sistemi disponibili quali la Carta di Identità Elettronica o la Carta Nazionale dei Servizi.
Il Garante sottolinea infine che le indicazioni tecniche che dovrà definire l’Agid in merito al CAD non dovrebbero avere natura di “linee guida”, ma di regole prescrittive, tali da garantire livelli più elevati di sicurezza e di protezione dei dati personali.