[doc. web n. 1822296]

Regole tecniche per l´adozione nel processo civile e nel processo penale delle tecnologie dell´informazione e della comunicazione - 10 giugno 2011

Registro dei provvedimenti
n. 226 del 10 giugno 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

Vista la richiesta di parere del Ministero della giustizia;

Visto l´art. 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

Con nota della Direzione generale per i sistemi informativi automatizzati del Ministero della giustizia è stato chiesto il parere del Garante in ordine a uno schema di provvedimento del responsabile per i sistemi informativi automatizzati di quel dicastero (infra: Responsabile S.I.A) concernente specifiche tecniche del decreto del Ministro della giustizia in data 21 febbraio 2011 n. 44, recante il regolamento sulle regole tecniche per l´adozione nel processo civile e nel processo penale delle tecnologie dell´informazione e della comunicazione (infra: Regolamento).

L´odierno provvedimento – che attua il disposto di cui all´articolo 34 del Regolamento – dovrebbe tra l´altro sostituire, secondo quanto asserito dall´Amministrazione richiedente il parere nella lettera di trasmissione, il decreto del Ministro della giustizia 10 luglio 2009, recante "Nuova strutturazione dei modelli informatici relativa all´uso di strumenti informatici e telematici nel processo civile e introduzione dei modelli informatici per l´uso di strumenti informatici e telematici nelle procedure esecutive individuali e concorsuali" e "consentire l´attivazione dei flussi di comunicazione tramite PEC a mente dell´art. 35 del decreto del Ministro della giustizia in data 21 febbraio 2011, n. 44".

Il preambolo dell´odierno provvedimento non richiama tuttavia il suddetto articolo 35, i cui commi 3 e 4 prevedono, rispettivamente: che, per ciascun ufficio giudiziario, la data di attivazione dell´indirizzo di PEC sia stabilita con "apposito decreto dirigenziale" del Responsabile S.I.A che attesta la funzionalità del sistema di posta elettronica certificata del medesimo dicastero; che con decreto sempre del Responsabile S.I.A siano definite "le caratteristiche specifiche della strutturazione dei modelli informatici", dalla cui emanazione cessa, ai sensi dell´articolo 35, comma 5, del Regolamento, l´efficacia del citato decreto del Ministro della giustizia 10 luglio 2009.

Al riguardo si ritiene opportuno chiarire l´ambito applicativo del presente schema di provvedimento – almeno con un esplicito riferimento nel preambolo – in particolare in relazione al disposto di cui al comma 3 del citato articolo 35, che non pare essere attuato dall´odierno provvedimento.

RILEVATO

1. Infrastrutture informatiche.

1.1. L´articolo 3 dello schema disciplina l´articolazione delle infrastrutture informatiche di cui è costituito il sistema informatico del Ministero della giustizia, distinguendo, in particolare, tra infrastrutture di livello distrettuale, infrastrutture di livello interdistrettuale, "infrastrutture unitarie e comuni". Il comma 2 del medesimo articolo indica poi – peraltro in maniera meramente esemplificativa – le predette infrastrutture unitarie e comuni, tra le quali sono annoverate, in particolare, le "banche dati nazionali".

Sul punto, sono auspicabili un´elencazione non già meramente esemplificativa, ma tassativa di tali infrastrutture unitarie e comuni, nonché l´indicazione specifica delle banche dati nazionali, al fine di chiarire con maggiore precisione la loro funzionalità alla realizzazione del processo telematico e, quindi, al perseguimento delle finalità cui è preordinato il presente provvedimento.

Tale rilievo dispiega peraltro effetti anche in ordine al disposto di cui al comma 6 dell´articolo 3, che impone, tra l´altro, l´allocazione dei "dati" "in corrispondenza delle componenti di cui ai commi precedenti". Al riguardo, si osserva come l´articolo 3, comma 3, del Regolamento, preveda che i "dati sono custoditi in infrastrutture informatiche di livello distrettuale o interdistrettuale", mentre l´articolo 3, comma 6, dello schema di provvedimento sembra consentirne l´allocazione anche nelle infrastrutture unitarie e comuni indicate al comma 2.

Fermo restando che non è chiaro cosa si intenda per allocazione "in corrispondenza", il disposto di cui all´articolo 3 dello schema (in particolare, i commi 2 e 6) dovrebbe essere meglio coordinato con quanto sancito dall´articolo 3 del Regolamento, richiamandosi, in ogni caso, l´attenzione dell´Amministrazione sulla necessità di prevedere, eventualmente, la possibilità di condivisione dei soli dati effettivamente pertinenti e necessari all´espletamento di funzioni comuni, in ossequio ai principi di finalità e pertinenza dei dati trattati rispetto allo scopo (art. 11, comma 1, lettere b) e d) del Codice in materia di protezione dei dati personali).

1.2. Il comma 4 dell´articolo 3 dello schema impone la conformità di "detti sistemi" (dunque, come pare debba intendersi, anche delle strutture comuni) alle prescrizioni di cui al decreto del Ministro della giustizia del 27 aprile 2009, recante "regole procedurali per la gestione del sistema informatico del Ministero della giustizia e per la tenuta informatizzata dei registri informatizzati". Al riguardo, si rileva come il preambolo dello schema di provvedimento richiami il decreto emanato in pari data dal Ministro della giustizia, avente un titolo parzialmente diverso da questo. Si invita pertanto l´Amministrazione a chiarire quale sia effettivamente il decreto cui rinviano il comma 4 dell´articolo 3 e diverse altre disposizioni dello schema, in ragione dell´importanza che il suddetto provvedimento riveste ai fini della disciplina in esame.

1.3. Il comma 5 dell´articolo 3 attribuisce al Responsabile S.I.A. il potere di emanare e aggiornare periodicamente, con proprio decreto, le linee-guida per l´organizzazione e la gestione del sistema informatico del Ministero della giustizia. In ragione della particolare rilevanza di tale provvedimento ai fini del funzionamento del sistema informatico e dello standard di tutela dei dati personali trattati mediante il sistema stesso, è auspicabile prevedere il parere del Garante in ordine a tali linee-guida.

2. Il Registro generale degli indirizzi elettronici.
Gli articoli 7 e 8 dello schema disciplinano funzioni e struttura del Registro generale degli indirizzi elettronici (infra: ReGIndE), gestito dal Ministero della giustizia e contenente i dati identificativi e l´indirizzo PEC dei soggetti abilitati esterni, ovvero dei difensori delle parti private, degli avvocati iscritti negli elenchi speciali, degli esperti e degli ausiliari del giudice (soggetti abilitati esterni privati: art. 2, comma 1, lett. m), n. 3 del Regolamento), nonché degli avvocati, dei procuratori dello Stato e degli altri dipendenti di amministrazioni statali, regionali, metropolitane, provinciali e comunali.

Il comma 4 dell´articolo 7 annovera, tra le categorie di soggetti il cui profilo anagrafico alimenta il ReGIndE, anche i "professionisti iscritti in albi ed elenchi istituiti con legge".

Il successivo comma 5 dispone peraltro che il ReGIndE – non dovendo gestire informazioni già contenute in registri disponibili alle pubbliche amministrazioni, tra cui "il registro delle imprese, delle pubbliche amministrazioni e dei cittadini" - recupera gli indirizzi di PEC e CEC-PAC rispettivamente delle imprese e dei cittadini dai predetti registri.

I dati identificativi e l´indirizzo PEC dei professionisti iscritti in albi ed elenchi istituiti con legge dello Stato sono compresi negli elenchi riservati, ma accessibili in via telematica da parte delle pubbliche amministrazioni, costituiti ai sensi del comma 7 dell´articolo 16 del decreto-legge 29 novembre 2008, n. 185, convertito, con modificazioni, dalla legge, 28 gennaio 2009, n. 2.

In effetti la previsione di esclusiva alimentazione del ReGindE mediante invio dell´albo tramite PEC, contenuta nell´art. 8 comma 1 del provvedimento in esame, appare limitativa poiché esistono nell´ambito del Sistema pubblico di connettività (SPC) possibilità di consultazione, tramite cooperazione applicativa, delle stesse informazioni. Questa seconda soluzione, che dovrebbe quantomeno essere contemplata e non esclusa, consentirebbe di semplificare la gestione della fase di aggiornamento dei dati (evitando, fra l´altro, la comunicazione PEC e i conseguenti oneri di apposizione di firma in capo al mittente e di verifica in capo al ricevente).

Si chiede pertanto di valutare la possibilità di estendere la previsione di cui al comma 5 dell´articolo 7 dello schema anche ai dati relativi ai professionisti iscritti in albi ed elenchi istituiti con legge. La prospettata soluzione avrebbe il pregio di evitare un´inutile duplicazione di banche dati e di garantire la disponibilità, ai fini del processo telematico, di dati aggiornati, in ossequio ai principi di non eccedenza ed esattezza dei dati trattati (art. 11, comma 1, lettere c) e d), del Codice).

Analoghe considerazioni valgono per gli indirizzi di posta elettronica destinatari di notificazioni per via telematica (art. 19, comma 5, del provvedimento, art. 17, comma 4, del Regolamento), che ben potrebbero essere resi disponibili al sistema informativo della Giustizia tramite cooperazione applicativa.

L´accesso a elenchi di indirizzi PEC da parte di soggetti pubblici è stato peraltro recentemente disciplinato con provvedimento emanato da DigitPA ai sensi dell´articolo 6, comma 1-bis, del Codice dell´amministrazione digitale, previo parere del Garante.

3. Disposizioni particolari relative alla fase delle indagini preliminari.
L´articolo 4, comma 9, del provvedimento dispone che le comunicazioni di atti e documenti tra l´ufficio del pubblico ministero e gli ufficiali ed agenti di polizia giudiziaria nella fase delle indagini preliminari avvengono mediante i gestori di posta elettronica certificata delle forze di polizia, le cui caselle sono rese disponibili unicamente agli utenti abilitati. In tal caso, si prevede che il gestore dei servizi telematici utilizzi un canale di comunicazione cifrata con i gestori di PEC delle forze di polizia, "ai sensi di quanto previsto all´articolo 21".

Dal momento che tale ultima disposizione non contiene riferimento alcuno al carattere cifrato della comunicazione, contenuto invece nell´articolo 20 (che più correttamente impone meccanismi di "crittografia", richiamati dall´articolo 19, comma 1, del Regolamento), è opportuno sostituire, al comma 9 dell´articolo 4, le parole da: "canale di comunicazione cifrata", fino alla fine, con le seguenti: "canale sicuro protetto da un meccanismo di crittografia ai sensi di quanto previsto dall´articolo 20".

4. L´ "area pubblica" del portale dei servizi telematici.

4.1. L´articolo 5, comma 2, del provvedimento, nel disciplinare la composizione dell´"area pubblica" del portale dei servizi telematici, richiama, tra l´altro, i servizi del portale "disponibili ad accesso libero". In ragione della scarsa precisione di tale nozione e dell´importanza dell´esatta definizione delle condizioni di accesso a tale area del portale, è opportuno sostituire la suddetta nozione con quella, maggiormente determinata, contenuta nell´articolo 6, comma 6, del Regolamento, che descrive un "accesso senza l´impiego di apposite credenziali, sistemi di identificazione e requisiti di legittimazione".

4.2. Inoltre, il medesimo comma 2 dell´articolo 5 contiene un´elencazione meramente esemplificativa delle tipologie di informazioni rese disponibili nell´area pubblica del portale. Anche in tal caso, al fine di evitare che siano resi accessibili dati personali a soggetti non legittimati, è opportuno, da un lato, elencare tassativamente le tipologie d´informazione rese disponibili e, dall´altro, precisare ulteriormente che i dati identificativi dei procedimenti di cui alla lettera c), non solo non devono contenere riferimenti "in chiaro" ai nomi o ai dati personali delle parti, ma non devono neppure consentire di risalire all´identità degli interessati.

5. Identificazione informatica.
L´articolo 6, comma 5, del provvedimento, ai fini dell´identificazione informatica (nozione da intendersi secondo la definizione di cui all´articolo 2, comma 1, lettera f), del Regolamento), consente l´utilizzo di dispositivi crittografici anche non conformi alle prescrizioni sancite nei commi precedenti, purchè emessi entro il 30 giugno 2011. In ragione della particolare importanza che i dispositivi crittografici rivestono ai fini della garanzia della legittimazione all´accesso al sistema dei soli soggetti abilitati e, quindi, ai fini della tutela dei dati personali trattati nell´ambito dello stesso sistema, è opportuno precisare che i suddetti dispositivi ammessi, pur non conformi alle specifiche di cui all´articolo 6, devono comunque garantire un livello equivalente di sicurezza per i dati e per il sistema.

6. Sistemi informatici per i soggetti abilitati interni.

6.1. L´articolo 10, comma 1, disciplina le funzioni rese disponibili dai sistemi informatici ai soggetti abilitati interni e ai loro "assistenti". Dal momento che tale ultima figura non è prevista dall´articolo 8 del Regolamento (significativamente rubricato "sistemi informatici per i soggetti abilitati interni"), appare opportuno sopprimerla, tenuto peraltro conto che la nozione di "soggetti abilitati interni" di cui all´articolo 2, comma 1, lettera m), n.1, del Regolamento, già comprende, tra l´altro, l´ampia categoria del "personale degli uffici giudiziari e degli UNEP".

6.2. L´articolo 10 comma 2 del provvedimento prevede l´utilizzo di semplici credenziali basate su "username" e "password". In questo modo viene escluso il possibile ricorso a strumenti più sicuri che potrebbero rendersi utilizzabili in una fase più avanzata di dispiegamento degli strumenti informatici previsti nel sistema informativo. Sarebbe quindi preferibile riformulare il comma 2 citato in modo che l´indicazione non sia tassativa e resti aperta la possibilità di dotare anche i soggetti abilitati interni di sistemi di "autenticazione forte".

7. Conservazione dei log.

7.1. Diverse disposizioni del provvedimento (articoli 4, comma 6; 11, comma 3; 18, comma 4; 25, comma 3) disciplinano modalità, condizioni e termine di conservazione dei log relativi agli accessi al sistema informatico del Ministero o ai servizi da esso resi disponibili.
Sul punto, è opportuno in primo luogo richiamare l´attenzione sulla necessità di prevedere la conservazione dei soli dati effettivamente necessari a identificare l´autore dell´accesso ai dati e al sistema, al fine di impedire ogni forma di abuso.

Per altro verso, la tracciabilità degli accessi richiesta dal Regolamento (articoli 9, comma 6, in relazione al fascicolo informatico e 16, comma 6, in ordine agli atti contenenti dati sensibili) suggerirebbe di conservare i log inerenti non solo al prelievo di documenti, ma anche alla loro mera consultazione. In tal senso, gli articoli 11, comma 3, lettera b) e 18, comma 4, lettere a), b) e d) dello schema di provvedimento, dovrebbero essere modificati in parte qua.

7.2. In secondo luogo, le disposizioni su richiamate prevedono diversi termini di conservazione dei log. In particolare, mentre l´articolo 4, comma 6, prevede (correttamente: cfr. articolo 4, comma 3 del Regolamento) un termine di conservazione pari a cinque anni, le altre disposizioni contemplano unicamente termini minimi di conservazione (almeno cinque anni ai sensi degli articoli 11, comma 3 e 18, comma 4; almeno dieci ai sensi dell´articolo 25, comma 3). Nel ribadire in ogni caso l´esigenza di fissare termini congrui e proporzionati rispetto alle finalità perseguite, si sottolinea come appaia preferibile la previsione di un termine certo e non già del solo limite minimo di conservazione.

IL GARANTE

esprime parere favorevole sullo schema di provvedimento recante "Specifiche tecniche del decreto del Ministro della giustizia in data 21 febbraio 2011 n. 44, recante Regolamento concernente le regole tecniche per l´adozione nel processo civile e nel processo penale delle tecnologie dell´informazione e della comunicazione, in attuazione dei principi pervisti dal decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni, ai sensi dell´articolo 4, commi 1 e 2, del decreto-legge 29 dicembre 2009, n. 193, convertito nella legge 22 febbraio 2010, n. 24", con le seguenti condizioni:

a) l´articolo 3 sia riformulato prevedendo, al comma 2, un´elencazione non già meramente esemplificativa, ma tassativa delle infrastrutture unitarie e comuni nonché l´indicazione specifica delle banche dati nazionali (punto 1.1); al comma 5, il parere del Garante in ordine ai decreti del Responsabile S.I.A. volti ad emanare (e quindi aggiornare periodicamente) le linee-guida per l´organizzazione e la gestione del sistema informatico del Ministero della giustizia (punto 1.3.); al comma 6, un miglior coordinamento con quanto sancito dall´articolo 3 del Regolamento circa l´"allocazione" dei dati, valutandosi comunque l´opportunità di consentire la condivisione dei soli dati effettivamente pertinenti e necessari all´espletamento di funzioni comuni (punto 1.1.);

b) sia valutata la possibilità di estendere la previsione di cui al comma 5 dell´articolo 7 anche ai dati relativi ai professionisti iscritti in albi ed elenchi istituiti con legge, nei termini di cui in motivazione (punto 2);

c) al comma 9 dell´articolo 4, le parole da: "canale di comunicazione cifrata", fino alla fine, siano sostituite dalle seguenti: "canale sicuro protetto da un meccanismo di crittografia ai sensi di quanto previsto dall´articolo 20" (punto 3);

d) all´articolo 5, comma 2, le parole: "accesso libero" siano sostituite dalle seguenti: "accesso senza l´impiego di apposite credenziali, sistemi di identificazione e requisiti di legittimazione" (punto 4.1); siano elencate tassativamente le tipologie d´informazione rese disponibili e si precisi ulteriormente che i dati identificativi dei procedimenti di cui alla lettera c) del medesimo comma 2, non solo non devono contenere riferimenti "in chiaro" ai nomi o ai dati personali delle parti, ma non devono neppure consentire di risalire all´identità dell´interessato (punto 4.2.);

e) all´articolo 6, comma 5, si precisi che i dispositivi ammessi, pur non conformi alle specifiche disciplinate dai commi precedenti, devono comunque garantire un livello equivalente di sicurezza per i dati e per il sistema (punto 5);

f) all´articolo 10, al comma 1, sia soppresso il riferimento agli assistenti dei soggetti abilitati interni (punto 6.1) e, al comma 2, sia prevista la possibilità di dotare anche i soggetti abilitati interni di sistemi di "autenticazione forte" (punto 6.2.);

g) agli articoli 4, comma 6; 11, comma 3; 18, comma 3; 25, comma 3, sia prevista la conservazione dei soli dati effettivamente necessari a identificare l´autore dell´accesso ai dati e al sistema e agli articoli 11, comma 3, lettera b) e 18, comma 4, lettere a), b) e d), si disponga la conservazione dei log inerenti non solo al prelievo di documenti, ma anche alla loro mera consultazione (punto 7.1);

h) agli articoli 11, comma 3; 18, comma 4; 25, comma 3, sia previsto un termine certo e non già il solo limite minimo di conservazione dei dati (punto 7.2).

Roma, 10 giugno 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
De Paoli