[doc. web n. 9123455]

Parere sullo schema di Linee guida predisposte da AgID contenenti le “Regole tecniche e raccomandazioni afferenti la generazione di certificati qualificati, firme e sigilli elettronici qualificati e validazione temporale elettronica qualificata” - 12 giugno 2019

Registro dei provvedimenti
n. 142 del 12 giugno 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;

Visto il decreto legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

Visto il Codice in materia di protezione dei dati personali, decreto legislativo 30 giugno 2003, n. 196, così come modificato dal predetto decreto legislativo n. 101 del 2018;

Visti gli artt. 14-bis e 71 del decreto legislativo 7 marzo 2005, n. 82, recante il “Codice dell’amministrazione digitale” (di seguito CAD) e la determinazione dell’Agenzia per l’Italia digitale (AgID) n. 160 del 2019, recante il “Regolamento per l’adozione di linee guida per l’attuazione del Codice dell’Amministrazione Digitale”, che disciplinano le procedure per l’adozione di linee guida contenenti le regole tecniche e di indirizzo, previa consultazione pubblica e sentiti l’amministrazione interessata e il Garante per la protezione dei dati personali, nonché l’acquisizione del parere della Conferenza unificata;

Vista la richiesta di parere dell’AgID, sullo schema di Linee guida contenenti le “Regole tecniche e raccomandazioni afferenti la generazione di certificati qualificati, firme e sigilli elettronici qualificati e validazione temporale elettronica qualificata”, che danno attuazione al Regolamento (UE) 23 luglio 2014 n. 910 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (di seguito Regolamento eIDAS), in particolare agli artt. 32, 40 e 42;

Rilevato che le predette regole tecniche, rivolte ai prestatori di servizi fiduciari qualificati, individuano alcune caratteristiche tecniche delle chiavi crittografiche, specificamente relative alla loro dimensione, atte a garantirne la robustezza almeno fino al 2021, sia per l’emissione di certificati di marcatura temporale e di certificati qualificati sia per l’emissione di certificati di certificazione;

Considerato che le predette regole tecniche impartiscono, altresì, raccomandazioni sui certificati di marcatura temporale, sui certificati qualificati e sui certificati di certificazione e validazione temporale, sul formato di firme e sigilli elettronici qualificati nonché sulle caratteristiche dei processi di loro convalida, orientate a garantire la robustezza e l’interoperabilità, anche in ambito europeo, dei certificati rilasciati;

Rilevato che, al fine di garantire l’utilizzabilità dei certificati nell’ambito nazionale, le regole tecniche in esame prevedono l’inserimento -nel campo “SubjectDN” del certificato qualificato per firme e sigilli elettronici (indicante i Distinguished Names ovvero i dati identificativi del titolare)- del codice fiscale del titolare del certificato o, in alternativa, laddove il titolare del certificato non disponga di un codice fiscale, di altri codici identificativi quali il codice di identificazione rilasciato da un altro Stato membro o gli estremi di un documento di riconoscimento;

Considerato che la scelta di utilizzare in ambito nazionale, in via preferenziale, il codice fiscale, al fine di individuare il titolare del certificato, risulta dettata dalla necessità di garantire, in assenza di un altro codice univoco nazionale, la piena utilizzabilità dei certificati qualificati;

Rilevato che, ai sensi della vigente normativa in materia di protezione dei dati personali, “gli Stati membri possono precisare ulteriormente le condizioni specifiche per il trattamento di un numero di identificazione nazionale o di qualsiasi altro mezzo d’identificazione d’uso generale” (art. 87 del Regolamento);

Ritenuto, tuttavia, che, per i profili di competenza, nelle more dell’individuazione delle condizioni specifiche per il trattamento di un numero di identificazione nazionale previste dal citato art. 87 del Regolamento, il prospettato utilizzo del codice fiscale non presenta criticità;

Ritenuto, pertanto che, stanti le misure di sicurezza poste a protezione dell’infrastruttura di generazione dei certificati, si ritiene che le regole tecniche in esame individuino misure adeguate a tutela dei diritti e delle libertà degli interessati, nell’ambito dei processi di generazione di certificati qualificati, firme e sigilli elettronici qualificati e validazione temporale elettronica qualificata;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIO’ PREMESSO, IL GARANTE:

ai sensi dell’art. 36, par. 4, del Regolamento, esprime parere favorevole sullo schema di Linee guida predisposte da AgID, ai sensi dell’art. 71 del decreto legislativo 7 marzo 2005, n. 82, Codice dell’amministrazione digitale contenenti le “Regole tecniche e raccomandazioni afferenti la generazione di certificati qualificati, firme e sigilli elettronici qualificati e validazione temporale elettronica qualificata”.

Roma, 12 giugno 2019

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia