Garante per la protezione
    dei dati personali

REGOLE TECNICHE PERLA FIRMA DIGITALE

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componentie del dott. Giovanni Buttarelli, segretario generale;

Vista la richiesta di parere dellaPresidenza del Consiglio dei ministri;

Visto l'articolo 154, commi 4 e 5, delCodice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficioformulate dal segretario generale ai sensi dell'art. 15 del regolamento delGarante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

La Presidenza del Consiglio dei ministriha chiesto il parere del Garante in ordine a uno schema di d.P.C.M. recante leregole tecniche per la generazione, apposizione, verifica delle firme digitalie della validazione temporale, adottato ai sensi dell'articolo 71, comma 1, delCodice dell'amministrazione digitale (d.lg. n. 82/2005) e destinato asostituire integralmente il vigente d.P.C.M. 13 gennaio 2004.

OSSERVA

Il Garante rileva che sul complesso delledisposizioni dello schema non vi sono osservazioni di fondo da formulare.

Si richiama, tuttavia, l'attenzione sualcune integrazioni e precisazioni che si ritiene necessario apportare altesto. In questo quadro:

0.     come per talune disposizionidello schema, anche in altre ipotesi dovrebbero essere espressamenteindividuate le specifiche finalitˆ per le quali alcune informazioni possonoessere rese accessibili, anche per via telematica (si tratta dei casi di cuiagli artt. 11, comma 2, 30, comma 2, in riferimento alla comunicazione a terzi,e 38, commi 1 e 3, dello schema);

0.     nel comma 1 dell'articolo 11andrebbe precisato che i dati che i certificatori devono comunicare al Cnipasono riferiti ai certificatori medesimi;

0.     come previsto per le liste deicertificati revocati e sospesi, nonchŽ per i certificati qualificatieventualmente resi accessibili alla consultazione del pubblico (art. 30, comma3, dello schema), le altre informazioni che possono essere rese accessibili invia telematica dovrebbero essere utilizzate, da chi le consulta, solo perfinalitˆ di applicazione della disciplina in questione (artt. 11, comma 2, 38,commi 1 e 3, 39, comma 2, dello schema);

0.     il manuale operativo recante leprocedure che i certificatori devono adottare dovrebbe contenere, come previstodal decreto vigente (art. 38, comma 1, lett. q), d.P.C.M. 13 gennaio 2004),informazioni sulle "modalitˆ di protezione della riservatezza", da individuare secondo criteri di omogeneitˆ;

0.     per assicurare il rispetto delprincipio di conservazione dei dati per il tempo necessario al raggiungimentodelle finalitˆ perseguite, si ritiene necessaria una rivalutazione sullacongruitˆ del periodo "non inferiore a 20 (venti) anni" individuato nello schema per la conservazione ditalune informazioni (art. 32, comma 3, lett. j), d. lg. n. 82/2005; artt. 15,comma 7, 16, comma 2, 32, comma 6, dello schema). In proposito, si rileva lanon praticabilitˆ di un termine di conservazione sostanzialmente indefinito,quale quello che deriva, allo stato, dall'impiego dell'espressione "noninferiore a" che, per esigenzedi certezza, va sostituita prevedendo chiari termini finali di conservazione.

Infine, a titolo di collaborazione, sirichiama l'attenzione sulla necessitˆ di modificare la disposizionedell'articolo 30, comma 2, dello schema, inserendo prima delle parole "comunicatia terzi" la parola "ovvero", come previsto dal corrispondente articolo deldecreto vigente (art. 29, comma 2, d.P.C.M. 13 gennaio 2004).

TUTTO CIñ PREMESSO ILGARANTE

esprime parere favorevole sullo schema did.P.C.M. recante le regole tecniche per la generazione, apposizione, verificadelle firme digitali e della validazione temporale, a condizione che lo schemasia modificato, nei termini di cui in motivazione:

a) individuando espressamente lespecifiche finalitˆ per le quali alcune informazioni possono essere rese accessibili,anche per via telematica (punto 1);

b) precisando, nel comma 1dell'articolo 11 dello schema, che i dati che i certificatori devono comunicareal Cnipa sono riferiti ai certificatori medesimi (punto 2);

c) precisando che tutte leinformazioni che possono essere rese accessibili in via telematica devonoessere utilizzate da chi le consulta solo per finalitˆ di applicazione delladisciplina in questione (punto 3);

d) integrando il manuale operativocon le informazioni sulle "modalitˆ di protezione dellariservatezza", da individuaresecondo criteri di omogeneitˆ (punto 4);

e) individuando con termine certo ladurata della conservazione dei dati (punto 5).

Roma, 15 aprile 2008

Il presidente
Pizzetti

Il relatore
Chiaravalloti

Il segretario generale
Buttarelli