Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Parere su uno schema di decreto legislativo in tema di integrazioni e modifiche al Codice dell'amministrazione digitale - 26 ottobre 2017 [7221785]

VEDI ANCHE Newsletter del 29 novembre 2017

 

[doc. web n. 7221785]

Parere su uno schema di decreto legislativo in tema di integrazioni e modifiche al Codice dell'amministrazione digitale - 26 ottobre 2017

Registro dei provvedimenti
n. 436 del 26 ottobre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici, componente e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere pervenuta dalla Presidenza del Consiglio dei Ministri-Dipartimento affari giuridici e legislativi;

Visto l'articolo 154 del d.lgs. 30 giugno 2003, n.196, recante Codice in materia di protezione dei dati personali (di seguito Codice);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n.1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Il Dipartimento affari giuridici e legislativi della Presidenza del Consiglio dei Ministri, con nota del 4 ottobre 2017, ha richiesto il parere del Garante, sullo schema di decreto legislativo recante "Disposizioni integrative e correttive al decreto legislativo 26 agosto 2016, n.179, recante modifiche e integrazioni al Codice dell'amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n.82, ai sensi dell'articolo 1 della legge 7 agosto 2015, n.124, in materia di riorganizzazione delle amministrazioni pubbliche".

Il presente schema di decreto legislativo si propone di integrare e modificare alcune disposizioni del Codice dell'amministrazione digitale (infra: CAD) – di recente novellato con il decreto legislativo 22 agosto 2016, n. 179 - in base a quanto previsto dal comma 3 dell'art. 1 della citata legge n. 124 del 2015, nella parte in cui prevede che entro dodici mesi dalla data di entrata in vigore di ciascuno dei decreti legislativi di cui al comma 1 il Governo possa adottare, nel rispetto dei principi e criteri direttivi e della procedura di cui al precitato articolo, uno o più decreti legislativi recanti disposizioni integrative e correttive.

RILEVATO

1. Il testo si compone di 63 articoli, mediante i quali si interviene sulla disciplina del CAD,  modificandone alcune disposizioni.

In particolare il nuovo intervento legislativo, come espressamente indicato nelle Relazioni illustrativa allo schema, si pone lo scopo di:

- proseguire nell'opera di razionalizzazione delle disposizioni contenute nel Codice dell'amministrazione digitale e di deregolamentazione già avviata con il precedente intervento regolatorio del 2016;

- definire con maggiore precisione la natura della carta di cittadinanza digitale, e affermare il diritto, di cittadini e imprese ad avere una identità e un domicilio digitale, permettendo una più facile fruizione di servizi pubblici online, una agevole ed effettiva partecipazione al procedimento amministrativo per via elettronica e, un facile accesso ai pagamenti online;

- promuovere l'integrazione e l'interoperabilità tra i servizi pubblici erogati dalle diverse pubbliche amministrazioni, al fine di garantire a cittadini e imprese il diritto a fruirne in maniera semplice e al passo con l'evoluzione delle tecnologie;

- garantire maggiore certezza giuridica in materia di formazione, gestione e conservazione dei documenti digitali;

- garantire la corretta applicazione delle norme che riconoscono i diritti di cittadinanza digitale, accrescendo il livello di qualità dei servizi pubblici e fiduciari in digitale sia istituendo presso l'AgID un ufficio  del difensore civico sia aumentando la misura delle sanzioni che la stessa AgID potrà erogare qualora i fornitori di servizi fiduciari violino le regole vigenti esponendo a rischio i diritti di cittadini e imprese;

- promuovere un processo di autentica valorizzazione del patrimonio informativo pubblico riconducendo tale obiettivo tra le finalità istituzionali di ogni amministrazione e disegnando un contesto normativo che, nel rispetto della disciplina in materia protezione dei dati personali, garantisca un utilizzo più efficace dei dati pubblici attraverso moderne soluzioni di data analysis.

RITENUTO

Esaminato lo schema di decreto, il Garante fornisce le proprie osservazioni, segnalando l'esigenza di apportare a taluni articoli del testo le modiche di seguito indicate, al fine di adeguarne maggiormente il contenuto alla disciplina in materia di protezione dei dati personali.

1. Definizioni

L'articolo 1 apporta modifiche all'articolo 1 ("Definizioni") del CAD, aggiungendo alcune definizioni e modificandone altre.

In particolare, vengono introdotte le definizioni di "formato aperto", di "dati di tipo aperto" e, alla lettera n-ter), viene inserita una nuova definizione di "domicilio digitale", ritenuta "maggiormente in linea con la normativa europea e con i diritti di cittadinanza digitale".

La nuova definizione di domicilio digitale, tuttavia, non sembra allineata con quella prevista dal successivo art. 3-bis, comma 1 ter, dove vengono specificate le caratteristiche che il domicilio digitale deve possedere.

Si ritiene  pertanto opportuno coordinare la nuova definizione di "domicilio digitale" con le successive disposizioni dello schema.

2. Soggetti

L'articolo 2 dello schema, che modifica l'articolo 2 del CAD, prevede al suo comma 2 un elenco dettagliato dei soggetti a cui si applicano le disposizioni del presente codice.

Si legge nella Relazione illustrativa al decreto, che "tra gli obiettivi dell'intervento normativo vi è anche quello di semplificare le condizioni di esercizio dei diritti e l'accesso ai servizi di interesse dei cittadini, obiettivo che si persegue ampliando il novero dei soggetti tenuti ad applicare le norme del CAD". Tra questi ultimi, anche "a fini di coordinamento con la disciplina della trasparenza contenuta del decreto legislativo n. 33 del 2013", il legislatore ha deciso di indicare anche "….le autorità di sistema portuale, nonché alle autorità amministrative indipendenti di garanzia, vigilanza e regolazione".

Viene, inoltre, specificato al comma 6, del citato art. 2, che le previsioni del CAD continuano ad applicarsi "agli atti di liquidazione, rettifica, accertamento e di irrogazione delle sanzioni di natura tributaria" mentre si demanda ad uno specifico decreto del Presidente del Consiglio dei Ministri la definizione delle modalità e dei termini di applicazione del Codice anche alle attività e funzioni ispettive e di controllo fiscale.

L'ampliamento dei soggetti operato dal comma 2, lett. a), dell'art. 2, per la parte che concerne le Autorità amministrative indipendenti, evidenzia delle criticità, in quanto fra le Autorità "di garanzia, vigilanza e regolazione", quelle assistite da una specifica previsione normativa dell'Unione uropea sono contraddistinte da caratteristiche di indipendenza che non si conciliano pienamente con eventuali forme di controllo –ad opera dei soggetti a cui il testo assegna la vigilanza sulla sua attuazione-  derivate da  una generalizzata applicazione del Codice ad esse.

Con riferimento poi, al comma 6-bis, vista l'incidenza anche in materia di trattamento dei dati personali, si ritiene opportuno, nella parte in cui si demanda ad un dPCM la definizione delle modalità e dei termini di applicazione del CAD anche alle attività e funzioni ispettive e di controllo fiscale, prevedere che sul tema venga acquisito un preventivo parere del Garante.

3. Utilizzo del domicilio digitale – Consultazione e accesso

L'art. 9, dello schema, introduce nel CAD gli articoli 6-quater ("Indice nazionale dei domicili digitali delle persone fisiche e degli altri enti di diritto privato non tenuti all'iscrizione in albi professionali o nel registro delle imprese") e 6- quinquies ("Consultazione e accesso"). Quest'ultimo articolo, in particolare prevede la possibilità per "chiunque" di consultare i suddetti elenchi, realizzati in formato aperto, tramite sito web e senza necessità di autenticazione.

L'articolo 6-quinquies, dunque, apre ad un accesso generalizzato, la disposizione, infatti, al suo comma 1, prevede che la consultazione degli elenchi dei domicili digitali dei cittadini sia consentita a chiunque tramite sito web, senza alcuna autenticazione.

La previsione, che peraltro non specifica quali ulteriori dati personali sarebbero accessibili in tale elenco, risulta eccedente rispetto alle finalità legate al domicilio digitale. Tali domicili, infatti, non sono utilizzabili "per finalità diverse dall'invio di comunicazioni aventi valore legale o comunque connesse al conseguimento di finalità istituzionali dei soggetti di cui all'articolo 2, comma 2," pertanto, renderli pubblici, peraltro in formato aperto, comporta un elevato rischio di comunicazioni indesiderate oltre che  l'aumento del rischio di furti di identità.

Il domicilio digitale viene espressamente previsto solo per le comunicazione con i soggetti di cui all'art. 2, comma 2, ogni altra forma di accesso da parte di soggetti diversi deve pertanto considerata vietata, non essendo funzionale ad alcun adempimento in adesione al principio di finalità.

Nel medesimo articolo, viene inoltre affermato che l'utilizzo dei domicili digitali per finalità diverse dall'invio di comunicazioni avente valore legale o connesse al conseguimento di finalità istituzionali,  "in assenza di preventiva autorizzazione del titolare, costituisce comunicazione indesiderata ai sensi dell'art. 130 del decreto legislativo 30 giugno 2003, n. 196",

Al riguardo, si ritiene che il riferimento all'art. "130 del decreto legislativo 30 giugno 2003, n. 196", operato nell'articolo 6-quinqies, comma 3, non risulta corretto, quindi si ritiene opportuno venga espunto dal testo, introducendo al suo posto un espresso divieto "l'utilizzo dei domicili digitali per finalità diverse dall'invio di comunicazioni avente valore legale o connesse al conseguimento di finalità istituzionali"

4. Responsabile per la transizione digitale e difensore civico digitale

L'articolo 15, oltre a sostituirne la rubrica, titolata ora "Responsabile per la transizione digitale e difensore civico digitale", apporta modifiche al comma 1 dell'articolo 17 del CAD, prevedendo tra i compiti del responsabile per la transizione al digitale anche quello di favorire l'integrazione e l'interoperabilità tra i sistemi dell'amministrazione e il punto di accesso telematico attivato presso la Presidenza del Consiglio dei ministri, di cui all'articolo 64-bis.

Con il comma 1-quater viene prevista l'istituzione, presso l'AgID, dell'Ufficio del difensore civico per il digitale, a cui è preposto un soggetto in possesso di requisiti di terzietà, autonomia  e imparzialità e a cui chiunque può presentare online segnalazioni relative a presunte violazioni del CAD e di ogni altra norma in materia di digitalizzazione e innovazione da parte dei soggetti di cui all'articolo 2, comma 2. E' auspicabile adottare i dovuti accorgimenti al fine di evitare possibili sovrapposizioni di competenze tra l'Ufficio del difensore civico per il digitale e questa Autorità, in ragione della stretta interrelazione sussistente tra la disciplina di protezione dati e l'ambito normativo sottoposto alla cognizione del citato Ufficio, la cui istituzione non pare peraltro direttamente riconducibile, almeno nei termini detti, ad alcuno specifico criterio di delega.

Al medesimo comma, viene espressamente previsto che le segnalazioni presentate al difensore civico che risultino fondate, "sono pubblicate in una apposita area del sito internet istituzionale".

Al riguardo si ritiene che la diffusione di tali segnalazioni, recanti i dati degli stessi segnalanti sia da ritenersi sproporzionata, risultando più opportuno pubblicare le decisioni del difensore civico digitale piuttosto che le segnalazioni. La diffusione online delle segnalazioni inoltre  potrebbe costituire un deterrente per i cittadini a segnalare per paura di ritorsioni.

Nel rispetto del principio di proporzionalità, sarebbe auspicabile prevedere sempre l'oscuramento dei dati personali eventualmente presenti nei documenti oggetto di pubblicazione online, sia nel caso di segnalazioni sia nel caso di decisioni.

5. Qualificazione e accreditamento

L'articolo 26 modifica l'articolo 29 del CAD, prevedendo  che i soggetti che intendono avviare la prestazione di servizi fiduciari qualificati  o svolgere l'attività di gestore di posta elettronica certificata, di gestore dell'identità digitale, di conservatore di documenti informatici devono presentare all'AgID domanda di qualificazione o di accreditamento  secondo le modalità  fissate  dalle  linee  guida  di  cui  all'articolo  71  del  CAD.

Il suddetto articolo espressamente prevede che, il richiedente  oltre  a  dover rispettare le condizioni previste dal Regolamento eIDAS, "deve avere natura giuridica di società di capitali  e deve disporre  dei requisiti  di onorabilità, tecnologici  e organizzativi, nonché  delle garanzie assicurative e di eventuali certificazioni, adeguate rispetto al volume dell'attività svolta e alla responsabilità assunta nei confronti dei propri utenti e dei terzi".

Oltre alle condizioni indicate sarebbe opportuno aggiungere,  subito dopo "dei propri utenti e dei terzi" la frase "anche con riferimento al trattamento dei dati personali".

6. Gestione e ricerca documentale

L'articolo 35 dello schema, prevede l'introduzione di un nuovo articolo 40 ter ("Sistema di ricerca documentale") con cui si attribuisce alla Presidenza del Consiglio dei Ministri il compito di sviluppare e sperimentare un sistema volto a facilitare la ricerca dei documenti soggetti a registrazione di protocollo.

Il sistema, quindi, si pone come un modulo aggiuntivo che non altera in maniera significativa il funzionamento delle piattaforme esistenti; in particolare, come si legge nella relazione illustrativa al decreto,  "le Amministrazioni devono solo aggiungere metadati nel processo preesistente di caricamento dei documenti presso i conservatori, potendo comunque ciascuna continuare a utilizzare le proprie piattaforme".

Il successivo art. 36 dello schema, poi, modificando l'articolo 41 ("Procedimento e fascicolo informatico") del CAD, amplia la platea dei soggetti aventi diritto a consultare il fascicolo informatico - includendovi non solo le pubbliche amministrazioni, come in precedenza previsto, ma anche gli "interessati", nei limiti e alle condizioni previste dalla disciplina vigente - e precisa che il fascicolo informatico deve essere indicizzato attraverso il sistema di cui al citato art. 40 ter.
Si ritiene opportuno, anche al fine di meglio comprendere il ruolo e le funzioni che dovrà avere il  citato "sistema volto a facilitare la ricerca dei documenti soggetti a registrazione di protocollo", precisare, in particolare, quali siano le modalità (facilitate) previste per la ricerca, quali siano le funzioni assegnate al nuovo sistema e quali i dati e/o metadati che in esso confluiranno.

7. Responsabile della conservazione

L'articolo 38 dello schema sostituisce i commi 1 e 1-ter dell'articolo 44 del CAD, stabilendo rispettivamente che il sistema di gestione informatica dei documenti informatici delle pubbliche amministrazioni sia organizzato e gestito, anche in modo da assicurare l'indicizzazione e la ricerca dei documenti e fascicoli informatici e che il sistema di conservazione dei documenti informatici assicura, per gli oggetti in esso conservati, caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità, secondo le modalità indicate nelle linee guida di cui all'art. 71 del CAD.

Viene aggiunto il comma 1-quater in cui si stabilisce che "il responsabile della conservazione, che opera d'intesa con il responsabile del trattamento dei dati personali, insieme al responsabile della sicurezza e a quello dei sistemi informativi, può affidare la conservazione dei documenti informatici ad altri soggetti, pubblici o privati, che offrono idonee garanzie organizzative e tecnologiche"

Sarebbe opportuno aggiungere, dopo le "garanzie organizzative e tecnologiche" anche "le  garanzie di protezione dei dati personali".

8. Soluzioni tecniche

L'articolo 44 dello schema, introduce modifiche all'articolo 51 del CAD.  In particolare al suo comma 1, si stabilisce espressamente che  "con le linee guida adottate ai sensi dell'articolo 71 sono individuate le soluzioni tecniche idonee a garantire la protezione, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati  e la continuità operativa dei sistemi e delle infrastrutture".

Si ritiene opportuno aggiungere dopo la parola "l'integrità" anche "la qualità".

9. Basi dati di interesse nazionale

L'articolo 48 dello schema,  modifica l'articolo 60 del CAD, inserendo i commi 2-bis e 2-ter in cui si prevede, rispettivamente, che le pubbliche amministrazioni responsabili delle basi dati di interesse nazionale consentono il pieno utilizzo delle informazioni ai soggetti di cui all'articolo 2, comma 2, secondo standard e criteri di sicurezza e di gestione definiti nelle linee guida di cui all'articolo 71.

Il medesimo articolo, inoltre, sostituisce il comma 3-ter, prevedendo che "AgID, tenuto conto delle esigenze delle pubbliche amministrazioni e degli obblighi derivanti dai regolamenti comunitari, individua e pubblica l'elenco delle basi di dati di interesse nazionale".

Dalla disposizione emerge che, ai sensi dell'art. 60, ad Agid viene attribuita la competenza di stabilire quali sono le banche dati accessibili a tutte le altre pp.aa., società partecipate e gestori di servizi di interesse pubblico. Al riguardo, si richiamano integralmente le osservazioni già formulate al punto 6 del parere adottato il 9 giugno 2016, richiamato sopra.

10. Utilizzazione dei dati  da parte dei Comuni

Attraverso l'articolo 49 dello schema, viene riformulato il secondo periodo del comma 3 dell'articolo 62 del CAD, secondo cui l'ANPR è tenuta ad assicurare ai Comuni la disponibilità dei dati, degli atti e degli strumenti per lo svolgimento delle funzioni di competenza statale attribuite al sindaco; è tenuta a mettere a disposizione dei comuni un sistema di controllo, gestione e interscambio di dati, servizi e transazioni necessario ai sistemi locali per lo svolgimento delle funzioni istituzionali di competenza comunale.

Al fine di evitare che le basi di dati anagrafici detenute localmente possano essere utilizzate per "erogare " a terzi funzionalità non fornite da ANPR, si ritiene opportuno che l'articolo venga rivisto, facendo precedere al periodo "Il Comune può quindi utilizzare i dati anagrafici eventualmente detenuti localmente e costantemente allineati con ANPR al fine esclusivo di erogare o usufruire di servizi o funzionalità non fornite da ANPR" la frase presente nella precedente formulazione dell'art. 62, comma 3, "Al fine dello svolgimento delle proprie funzioni".

Con riferimento al comma 5, dell'art. 62, invece, nella parte in cui si prevede che "ai fini della gestione e della raccolta informatizzata di dati dei cittadini,  i soggetti di cui all'articolo 2, comma 2, lettere a) e b) si avvalgono esclusivamente dell'ANPR, che viene integrata con gli ulteriori dati a tal fine necessari",  sarebbe opportuno chiarire, quali siano questi dati ulteriori a cui si fa riferimento, quali le finalità di tali raccolte, e la modalità attraverso cui si procede all'aggiunta dei relativi campi in ANPR.

11. Identificazione mediante SPID - esclusività

L'articolo 53 modifica l'articolo 64 del CAD prevedendo in particolare che le amministrazioni consentono di accedere ai servizi in rete da esse erogati, che richiedono identificazione, mediante SPID e riconoscendo ai soggetti privati la facoltà di avvalersi di SPID per la gestione dell'identità digitale. Si inserisce, infine, il comma 3-bis che demanda a un decreto del Presidente del Consiglio dei ministri o del Ministro per la semplificazione e la pubblica amministrazione, la fissazione della data a decorrere dalla quale tutte le pubbliche amministrazioni, i gestori di servizi pubblici e le società a controllo pubblico "utilizzano esclusivamente le identità digitali ai fini dell'identificazione degli utenti dei propri servizi on-line".

Da tale disposizione, emerge chiaramente che l'intento del legislatore è quello di rendere obbligatorio l'uso di SPID, limitando la possibilità che si usino altri strumenti di identificazione. Al riguardo, si richiamano le osservazioni già formulate sul punto dal Garante nel richiamato parere del 9 giugno 2016, al punto 8.

12. Linee guida AgID

L'articolo 59 dello schema, infine, modifica l'articolo 71 del CAD prevedendo che  "l'AgID, sentite le amministrazioni competenti, la Conferenza Unificata, nonché il Garante per la protezione dei dati personali nelle materie di competenza e previa consultazione pubblica, da svolgersi entro il termine di trenta giorni, adotti le linee guida contenenti le regole tecniche e di indirizzo per l'attuazione del Codice".

Come si legge nella Relazione illustrativa, "la nuova formulazione della disposizione risponde all'esigenza di semplificazione di cui allo  specifico criterio di delega dettato dall'articolo 1, comma 1, lettera m), della legge n. 124 del 2015, affidando l'adozione delle regole tecniche di attuazione direttamente all'AGID, titolare dei poteri regolatori e di controllo di cui all'articolo 14-bis, in luogo del decreto di natura non regolamentare affidato al Presidente  del  Consiglio  dei  Ministri" .

La sostituzione delle regole tecniche, previste in precedenza dall'art. 71 del CAD con "linee guida" che devono essere adottate dall'AgID -previa consultazione pubblica e sentite le amministrazioni competenti, la Conferenza Unificata ed il Garante per la privacy- desta talune perplessità con particolare riferimento alla capacità di queste ultime di fornire prescrizioni di natura cogente in tema di sicurezza e protezione dei dati personali. Lo strumento delle "regole tecniche", di certo, risulta più adeguato alla regolazione di un ambito come quello della sicurezza dei dati e della loro concreta protezione, anche e soprattutto innanzi alla rapidissima evoluzione tecnologica e ai rischi ad essa connessa

TUTTO CIO' PREMESSO IL GARANTE:

esprime parere favorevole sullo schema di decreto legislativo recante le "Disposizioni integrative e correttive al decreto legislativo 26 agosto 2016, n.179, recante modifiche e integrazioni al Codice dell'amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n.82, ai sensi dell'articolo 1 della legge 7 agosto 2015, n.124, in materia di riorganizzazione delle amministrazioni pubbliche", con le osservazioni di cui ai punti da 1 a 12.

Roma, 26 ottobre 2017

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia