Sintesi del parere del Garante europeo della protezione dei dati sulla proposta della Commissione di regolamento del Parlamento europeo e del Consiglio relativa alla fiducia e alla sicurezza nelle transazioni elettroniche nel mercato interno (regolamento sui servizi fiduciari elettronici)

Sintesi del parere del Garante europeo della protezione dei dati sullaproposta della Commissione di regolamento del Parlamento europeo e delConsiglio relativa alla fiducia e alla sicurezza nelle transazioni elettronichenel mercato interno (regolamento sui servizi fiduciari elettronici)

(Il testo completo del presente parere è reperibile in EN, fR eDE sul sito web del GEPD http://www.edps.europa.eu)

(2013/C 28/04 –Pubblicato sulla GUUE n. C 28 del 30.1.2013)

I.Introduzione

I.1.La proposta

1.Il 4 giugno 2012 la Commissione ha adottato una proposta di regolamento del Parlamentoeuropeo e del Consiglio che modifica la direttiva 1999/93/CE del Parlamentoeuropeo e del Consiglio in materia di identificazione elettronica e servizifiduciari per le transazioni elettroniche nel mercato interno ("la proposta")⁽¹⁾.

2.La proposta si inserisce nel quadro delle misure presentate dalla Commissione perrafforzare la diffusione delle transazioni elettroniche nell'Unione europea. faseguito alle azioni previste nell'Agenda digitale europea ⁽²⁾ relative al miglioramentodella normativa sulla firma elettronica (Azione fondamentale 3) e volte afornire un quadro coerente per il riconoscimento reciproco dell'identificazionee dell'autenticazione elettronica (Azione fondamentale 16).

3.La proposta è destinata a migliorare la fiducia nelle transazionielettroniche paneuropee e garantire il riconoscimento legale transfrontalierodell'identificazione elettronica, dell'autenticazione elettronica, delle firmeelettroniche e dei servizi fiduciari connessi, nonché un livello elevatodi protezione dei dati e di responsabilizzazione degli utilizzatori nel mercatointerno.

4.Un livello elevato di protezione dei dati è essenziale per l'utilizzo deiregimi di identificazione elettronica e dei servizi fiduciari. Lo sviluppoe l'uso di tali mezzi elettronici deve fare affidamento sul trattamentoadeguato dei dati personali da parte dei prestatori di servizi fiduciari e deisoggetti che rilasciano le identità elettroniche. Ciò è tantopiù importante in quanto si farà affidamento su tale trattamento,tra l'altro, per identificare e autenticare persone fisiche (o giuridiche) nelmodo più affidabile.

I.2.Consultazione del GEPD

5.Prima dell'adozione della proposta, è stata data al GEPD la possibilitàdi formulare osservazioni informali. Molte di queste osservazioni sono stateprese in considerazione nella proposta, rafforzando di conseguenza le garanziedi protezione dei dati.

6.Il GEPD si compiace di essere stato altresi ̀ consultato formalmente dallaCommissione ai sensi dell'articolo 28, paragrafo 2, del regolamento (CE)n. 45/2001.

I.3.Contesto della proposta

7.La proposta si basa sull'articolo 114 del trattato sul funzionamento dell'Unioneeuropea e stabilisce le condizioni e i meccanismi per il riconoscimento e l'accettazionereciproci dell'identificazione elettronica e dei servizi fiduciari tra gliStati membri. In particolare, essa stabilisce i principi connessi allaprestazione di servizi di identificazione e di servizi fiduciari elettronici,comprese le norme applicabili al riconoscimento e all'accettazione. fissainoltre i requisiti per la creazione, la verifica, la convalida, la gestione ela conservazione di firme elettroniche, sigilli elettronici, validazionitemporali elettroniche, documenti elettronici, servizi elettronici di recapito,autenticazione dei siti web e certificati elettronici.

8.Inoltre, la proposta di regolamento stabilisce le norme per la vigilanza dellaprestazione di servizi fiduciari e impone agli Stati membri di istituire a talescopo organismi di vigilanza. Tali organismi, tra gli altri compiti,valuteranno la conformità delle misure tecniche e organizzative attuatedai prestatori di servizi fiduciari elettronici.

9.Il capo II tratta i servizi di identificazione elettronica, mentre il capo IIIè dedicato ad altri servizi fiduciari elettronici quali la firmaelettronica, i sigilli elettronici, la validazione temporale elettronica, idocumenti elettronici, i servizi elettronici di recapito, i certificati e l'autenticazionedei siti web. I servizi di identificazione elettronica sono collegati a schededi identificazione nazionali e possono essere utilizzati nell'accesso aiservizi digitali e, in particolare, ai servizi di e-government; ciòsignifica che un ente che emette l'identificazione elettronica agisce per contodi uno Stato membro e tale Stato membro è responsabile per stabilire inmodo corretto la correlazione tra un individuo concreto e i suoi mezzi diidentificazione elettronica. Per quanto riguarda altri servizi fiduciarielettronici, il prestatore/soggetto rilasciante è una persona fisica ogiuridica che è responsabile per la prestazione corretta e sicura diquesti servizi.

I.4.Questioni relative alla protezione dei dati sollevate dalla proposta

10.Il trattamento dei dati personali è inerente all'utilizzo di regimi diidentificazione e in qualche misura anche alla prestazione di altri servizifiduciari (ad esempio, nel caso delle firme elettroniche). Il trattamento deidati personali sarà necessario al fine di stabilire un collegamentoaffidabile tra l'identificazione elettronica e i mezzi di autenticazioneutilizzati da una persona fisica (o giuridica) e tale persona, al fine dicertificare che la persona dietro il certificato elettronico è veramentechi sostiene di essere. Per esempio, le identificazioni elettroniche o icertificati elettronici si riferiscono a persone fisiche e comprenderanno unaserie di dati che rappresentano in modo inequivocabile tali individui. In altreparole, la creazione, la verifica, la convalida e la gestione dei mezzielettronici di cui all'articolo 3, punto 12, della proposta comporteranno, inmolti casi, il trattamento di dati personali e, pertanto, la protezione deidati diventa rilevante.

11.È quindi essenziale che il trattamento dei dati nel contesto dellaprestazione di regimi di identificazione elettronica o di servizifiduciari elettronici avvenga in conformità con il quadro dell'UE per laprotezione dei dati, in particolare con le disposizioni nazionali di attuazionedella direttiva 95/46/CE.

12.Nel presente parere, il GEPD concentrera' la sua analisi su tre questioni principali:

a) come viene affrontata nella proposta laprotezione dei dati;

b) gli aspetti relativi alla protezione deidati dei regimi di identificazione elettronica da riconoscere e accettare alivello transfrontaliero; e

c) gli aspetti relativi alla protezione deidati dei servizi fiduciari elettronici da riconoscere e accettare a livellotransfrontaliero.

III.Conclusioni

50.Il GEPD accoglie con favore la proposta, in quanto può contribuire alriconoscimento reciproco (e all'accettazione) dei servizi fiduciari elettronicie dei regimi di identificazione a livello europeo. Si compiace inoltre dellacreazione di un insieme comune di requisiti che devono essere soddisfatti daisoggetti che rilasciano mezzi di identificazione elettronica e dai prestatoridi servizi fiduciari. Nonostante il suo sostegno generale della proposta, ilGEPD desidera fornire le seguenti raccomandazioni generali:

- le disposizioni diprotezione dei dati contenute nella proposta non dovrebbero essere limitate aipre statori di servizi fiduciari e dovrebbero essere applicabili anche altrattamento dei dati personali nei regimi di identificazione elettronica di cuial capo II della proposta,

- la proposta di regolamentodovrebbe stabilire un insieme comune di requisiti di sicurezza per i prestatoridi servizi fiduciari e i soggetti che rilasciano l'identificazione elettronica.In alternativa, potrebbe con sentire alla Commissione di definire, ovenecessario, attraverso un uso selettivo di atti delegati o misure diesecuzione, i criteri, le condizioni e i requisiti per la sicurezza nei servizifiduciari elettronici e nei regimi di identificazione elettronica,

- i prestatori di servizifiduciari elettronici e i soggetti che rilasciano l'identificazione elettronicadovreb bero essere tenuti a fornire agli utilizzatori dei loro servizi: i)informazioni adeguate sulla raccolta, la comunicazione e la conservazione deidati, nonché ii) un mezzo per controllare i loro dati personali edesercitare i loro diritti alla protezione dei dati,

- il GEPD raccomanda uninserimento più selettivo nella proposta delle disposizioni checonferiscono alla Commissione il potere di specificare o precisare, con attidelegati o di esecuzione, disposizioni concrete dopo l'adozione della propostadi regolamento.

51.Alcune disposizioni specifiche relative al riconoscimento reciproco dei regimi diidentificazione elettronica dovrebbero altresì essere migliorate:

- laproposta di regolamento dovrebbe specificare quali dati o categorie di datipersonali saranno trattati per l'identificazione transfrontaliera degliindividui. Tale specificazione dovrebbe contenere almeno lo stesso livello didettaglio fornito negli allegati per altri servizi fiduciari e dovrebbe tenerconto del rispetto del principio di proporzionalità,

- legaranzie richieste per la fornitura di regimi di identificazione dovrebberoessere almeno conformi ai requisiti previsti per i prestatori di servizifiduciari qualificati,

- laproposta dovrebbe istituire meccanismi appropriati al fine di stabilire unquadro per l'interoperabilità dei regimi nazionali di identificazione.

52.Infine, il GEPD esprime altresì le seguenti raccomandazioni in relazione ai requisitiper la prestazione e il riconoscimento dei servizi fiduciari elettronici:

- èopportuno precisare, in relazione a tutti i servizi elettronici, se sarannotrattati dati personali e, nei casi in cui avvenga tale trattamento, i dati ole categorie di dati che saranno elaborati,

- ilregolamento dovrebbe includere adeguate misure di salvaguardia al fine dievitare sovrapposizioni tra le competenze degli organismi di vigilanza per iservizi fiduciari elettronici e quelle delle autorità garanti per laprotezione dei dati,

- gliobblighi imposti ai prestatori di servizi fiduciari elettronici in materia diviolazioni dei dati e incidenti di sicurezza devono essere coerenti con irequisiti stabiliti nella direttiva riveduta sulla e-privacy e nellaproposta di regolamento sulla protezione dei dati,

- maggiorechiarezza andrebbe conferita alla definizione degli organismi pubblici oprivati che possono agire come terzi incaricati di effettuare le verifiche aisensi degli articoli 16 e 17 o abilitati a certificare i dispositivielettronici per la creazione di una firma elettronica ai sensi dell'articolo23, nonché riguardo ai criteri in base ai quali sarà valutata l'indipendenzadi tali organismi,

- ilregolamento dovrebbe essere più preciso nel fissare un limite di tempoper la conservazione dei dati di cui all'articolo 19, paragrafi 2 e 4 ⁽³⁾.

fattoa Bruxelles, il 27 settembre 2012

Giovanni BUTTARELLI

Garante europeo aggiunto della protezione dei dati

NOTE

(1) COM(2012) 238 final.

(2) COM(2010) 245 del 19.5.2010.

(3) Ai sensi dell'articolo 19, paragrafo 2,lettera g), i prestatori di servizi fiduciari qualificati registrano per uncongruo periodo di tempo tutte le informazioni pertinenti relative a dati daessi rilasciati e ricevuti. Ai sensi dell'articolo 19, paragrafo 4, iprestatori di servizi fiduciari qualificati trasmettono alle parti facentiaffidamento sulla certificazione informazioni sulla situazione di validitào revoca dei certificati qualificati da essi rilasciati.