Garante per la protezione
    dei dati personali

Modifiche ed integrazioni al Codice dell'amministrazione digitale

PROVVEDIMENTO DEL 24 GIUGNO 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei Ministri;

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

La Presidenza del Consiglio dei ministri - Dipartimento per gli affari giuridici e legislativi ha chiesto il parere del Garante in ordine a uno schema di decreto legislativo recante "Modifiche ed integrazioni al decreto legislativo 7 marzo 2005, n. 82, recante Codice dell'amministrazione digitale, a norma dell'articolo 33 della legge 18 giugno 2009, n. 69".

Il decreto prevede significative innovazioni al Codice dell'amministrazione digitale (infra: CAD), in relazione ad alcune delle quali il Garante svolge, di seguito, le osservazioni di competenza al fine di adeguarne maggiormente il contenuto alla disciplina in materia di protezione dei dati personali.

RILEVATO

1. Misure di sicurezza.
1.1. L'articolo 1, comma 1, lettera a), dello schema di decreto legislativo, nel novellare l'art. 1, comma 1, lettera b) del CAD, riformula la definizione di "autenticazione informatica" in senso marcatamente oggettivistico: il riferimento dell'autenticazione, infatti, si polarizza ora sull'oggetto della validazione (il documento informatico) e non pi sull'identit del soggetto (alla cui validazione, invece, fa riferimento la nuova definizione di "identificazione informatica" di cui alla successiva lettera g). Al riguardo, poich anche il Codice in materia di protezione dei dati personali (infra: Codice) reca, fra le definizioni, quella di "autenticazione informatica", in senso, per, soggettivistico, quale l'insieme degli "strumenti elettronici e delle procedure per la verifica anche indiretta dell'identit" (art. 4, comma 3, lettera c) del Codice), si ritiene opportuno che per la nuova definizione in senso oggettivistico del CAD si ricorra alla locuzione "autenticazione del documento informatico" in luogo di "autenticazione informatica".

1.2. All'articolo 10, comma 1, lettera b), dello schema, in relazione all'articolo 17, comma 1, lettera c), del CAD, appare opportuno citare anche le disposizioni di cui all'Allegato B al Codice quale parametro normativo al cui rispetto vincolare le attivit di indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica.

1.3. L'articolo 30, comma 1, lettera b), dello schema, nel novellare l'articolo 51 del CAD, non sembra adeguare pienamente il contenuto della norma alle modifiche apportate alla rubrica, in quanto la disposizione continua a riferirsi a caratteristiche (quali l'esattezza, la disponibilit, l'accessibilit, etc.) relative soltanto ai dati e non anche ai sistemi e alle infrastrutture delle pubbliche amministrazioni. Pertanto, sarebbe auspicabile estendere il disposto di cui al comma 1 del citato articolo 51 del CAD alla sicurezza dei sistemi e delle infrastrutture, cos da adeguarlo alla rubrica e da rafforzare le garanzie previste.

2. Firme "elettroniche".
Le novelle apportate al CAD prevedono un incremento delle tipologie delle firme, che passano da tre a quattro: firma elettronica, firma elettronica avanzata, firma elettronica qualificata e firma digitale. Al fine di chiarirne l'ambito di utilizzo e scongiurarne un'adozione errata, sia da parte degli utenti sia delle pubbliche amministrazioni (con possibili pregiudizi in ordine al diritto alla protezione dei dati personali), opportuno che le regole tecniche di cui all'articolo 20, comma 3, del CAD, come modificato dall'articolo 11, comma 1, lettera c), dello schema, non restino limitate alla sola tipologia di firma digitale (come sembra prevedere la norma), ma siano individuate per tutti i tipi di firme. Pertanto, al citato articolo 20, comma 3, auspicabile sostituire le parole: "firme digitali" con la seguente: "firme" o comunque con un'altra locuzione che faccia riferimento in maniera inequivoca a tutte le tipologie di firme.

3. Conservazione dei dati.
L'articolo 19 dello schema, nel modificare il comma 1 dell'articolo 33 del CAD, dispone, in materia di pseudonimi, che, qualora il certificato sia qualificato, il certificatore ha l'obbligo di conservare le informazioni relative alla reale identit del titolare per "almeno" "venti anni decorrenti dall'emissione". Sul punto, per garantire il pieno rispetto dei principi in materia di protezione dei dati personali (art. 11, comma 1, lett. e, del Codice) appare opportuno prevedere non gi un termine minimo di conservazione dei dati, ma un termine certo.

4. Pertinenza dei dati.
L'articolo 24, comma 1, lettera a), dello schema, nell'inserire il comma 1-bis all'articolo 41 del CAD, impone di gestire i procedimenti amministrativi con modalit tali da garantire, attraverso il ricorso a strumenti informatici, il rispetto delle previsioni di cui ai commi 2-ter e 2-quater dell'articolo 54 del CAD, tra le quali, in particolare, quella relativa alla pubblicazione, da parte delle pubbliche amministrazioni, del registro dei processi automatizzati rivolti al pubblico, con modalit tali da consentire la verifica a distanza, da parte del cittadino, "dell'avanzamento delle pratiche". Sul punto, al fine di garantire anche il pieno rispetto del principio di pertinenza e non eccedenza del trattamento dei dati personali (art. 11 del Codice) fortemente auspicabile integrare la norma di cui al citato comma 1-bis – nonch, con disposizione di carattere pi generale, lo stesso comma 2-quater dell'articolo 54 – prevedendo espressamente che la verifica del cittadino pu riferirsi esclusivamente alle pratiche relative a dati personali che lo riguardano o in relazione alle quali abbia comunque un interesse e deve avvenire con modalit idonee ad assicurare il rispetto del principio di pertinenza dei dati di cui all'articolo 11 del Codice.

5. Provvedimenti di attuazione.
Talune norme del CAD, come modificate dal decreto in esame, rinviano a successivi provvedimenti (decreti ministeriali, interministeriali, decreti del Presidente del Consiglio dei Ministri) o atti recanti regole tecniche o linee-guida di Digit-PA la definizione di misure di dettaglio o comunque di attuazione di quanto sancito a livello primario. Sul punto, il Garante manifesta piena disponibilit a fornire ogni contributo utile alla stesura degli schemi di provvedimenti per i profili di propria competenza, al fine di elevare lo standard di garanzia del diritto alla protezione dei dati personali. Appare pertanto opportuno integrare – prevedendo espressamente l'acquisizione del parere del Garante – le seguenti norme dello schema di decreto:

5.1 articolo 4, comma 1, in relazione all'articolo 5, comma 3, del CAD, nella parte relativa al decreto interministeriale cui spetta stabilire talune modalit di attuazione della norma di cui al comma 1, con riferimento alla possibilit – riconosciuta alle pubbliche amministrazioni - di effettuare pagamenti in via informatica;

5.2 articolo 4, comma 2, in relazione all'articolo 5-bis, comma 2, del CAD, in ordine al dPCM cui spetta stabilire le modalit di attuazione della norma di cui al comma 1, che impone l'utilizzo esclusivo delle tecnologie dell'informazione e della comunicazione nella presentazione di documenti e atti tra imprese e pubbliche amministrazioni;

5.3 articolo 5, comma 1, lettera b), in relazione all'articolo 6, comma 1-bis, del CAD, in ordine alle regole tecniche emanate da DigitPA in merito alle modalit di consultazione degli indirizzi di posta elettronica certificata e di estrazione di elenchi dai suddetti indirizzi, da parte delle amministrazioni pubbliche;

5.4 articolo 10, comma 1, lettera d), in relazione all'articolo 17, comma 1-ter, del CAD, ove si attribuisce a DigitPA il coordinamento delle iniziative (di cui al comma 1, lettera c) che le pubbliche amministrazioni devono assumere in materia di sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture;

5.5 articolo 29, comma 3, lettera b), che nell'inserire nel CAD l'articolo 50-bis sancisce, in capo alle pubbliche amministrazioni, l'obbligo di definire il piano di disaster recovery, sulla base di linee-guida definite da DigitPA.

RITENUTO

6. Pubblicazione di dati sul sito delle pubbliche amministrazioni.
L'articolo 32, comma 2, dello schema inserisce nell'articolo 21 della legge 18 giugno 2009, n. 69, in materia di pubblicazione di taluni dati sul sito delle pubbliche amministrazioni (retribuzioni dei dirigenti, curricula vitae, ecc.), un comma 1-bis a tenore del quale le stesse amministrazioni devono comunicare tali dati alla Presidenza del Consiglio dei ministri – Dipartimento della funzione pubblica che li pubblica sul proprio sito istituzionale.

Al riguardo, nel disciplinare la materia, opportuno tenere conto delle osservazioni contenute nel parere reso dal Garante sullo schema di circolare della Presidenza del Consiglio dei ministri – Dipartimento della funzione pubblica recante "prime indicazioni operative" sulle misure di trasparenza previste dal comma 1 del predetto articolo 21. Ci, in particolare, per quanto riguarda l'esigenza di assicurare che le informazioni rese disponibili sul sito siano pubblicate in un formato e con modalit tali da non consentirne la modificazione da parte degli utenti della rete, nonch di chiarire se le informazioni pubblicate debbano essere accessibili anche mediante motori di ricerca esterni ovvero, come preferibile, soltanto interni al sito dell'Amministrazione di riferimento.

IL GARANTE

esprime parere favorevole sullo schema di decreto legislativo recante "Modifiche ed integrazioni al decreto legislativo 7 marzo 2005, n. 82, recante Codice dell'amministrazione digitale, a norma dell'articolo 33 della legge 18 giugno 2009, n. 69", con le seguenti osservazioni:

a) all'art. 1, comma 1, lettera b) del CAD, come novellato dall'articolo 1, comma 1, lettera a) dello schema di decreto, le parole: "autenticazione informatica" siano sostituite dalle seguenti: "autenticazione del documento informatico" (punto 1.1);

b) all'articolo  17, comma 1, lettera c), del CAD, come novellato dall'articolo 10, comma 1, lettera b), dello schema, siano citate anche le disposizioni di cui all'Allegato B al Codice quale parametro normativo al cui rispetto vincolare le attivit di indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica ivi previste (punto 1.2);

c) il disposto del comma 1 dell'articolo 51 del CAD, come novellato dall'articolo 30, comma 1, lettera b), dello schema, sia esteso conformemente alle modifiche apportate alla rubrica (punto 1.3);

d) all'articolo 20, comma 3, del CAD, come modificato dall'articolo 11, comma 1, lettera c), dello schema, le parole: "firme digitali" siano sostituite con la seguente: "firme" o comunque con un'altra locuzione che faccia riferimento in maniera inequivoca a tutte le tipologie di firme (punto 2);

e) al comma 1 dell'articolo 33 del CAD, come novellato dall'articolo 19 del provvedimento, sia previsto non gi un termine minimo di conservazione dei dati, ma un termine certo (punto 3);

f) l'articolo 41, comma 1-bis, del CAD, inserito dall'articolo 24, comma 1, lettera a), dello schema, o, preferibilmente, il comma 2-quater dell'articolo 54, siano modificati prevedendo espressamente che la verifica del cittadino pu riferirsi esclusivamente alle pratiche relative a dati personali che lo riguardano o in relazione alle quali abbia comunque un interesse, e deve avvenire con modalit idonee ad assicurare il rispetto del principio di pertinenza dei dati di cui all'articolo 11 del Codice (punto 4);

g) sia previsto espressamente il parere del Garante in relazione ai provvedimenti di attuazione del CAD di particolare interesse per la protezione dei dati personali, indicati al punto 5;

e con la seguente raccomandazione:

h) nella disciplina della pubblicazione dei dati di cui al comma 1-bis dell'articolo 21 della legge 18 giugno 2009, n. 69, introdotto dall'articolo 32, comma 2, dello schema, l'Amministrazione tenga conto delle osservazioni rese dal Garante sullo schema di circolare della Presidenza del Consiglio dei ministri – Dipartimento della funzione pubblica recante "prime indicazioni operative" sulle misure di trasparenza previste dal comma 1 del predetto articolo 21, concernenti le modalit di pubblicazione e di reperibilit dei dati sul sito (punto 6).

Roma, 24 giugno 2010

Il presidente
Pizzetti

Il relatore
Paissan

Il segretario generale
De Paoli