[doc. web n. 9921438]

Parere al Ministero della giustizia su uno schema di provvedimento in materia di volontaria giurisdizione e informatizzazione delle procedure - 22 giugno 2023

Registro dei provvedimenti
n. 278 del 22 giugno 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito: “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n.196, recante il Codice in materia di protezione dei dati personali, come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito: “Codice”);

VISTA la richiesta di parere del Ministero della Giustizia;

VISTE le osservazioni dell’Ufficio, formulate dal vice segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il Ministero della Giustizia ha trasmesso a questa Autorità uno schema di provvedimento del Direttore della DGSIA volto a definire le specifiche tecniche del Portale dedicato per il deposito di atti processuali e documenti per via telematica, nei procedimenti di volontaria giurisdizione, da parte delle persone fisiche che stanno in giudizio personalmente, da adottarsi ai sensi dell’articolo 36, comma 4, del decreto-legge 24 febbraio 2023, n. 13, convertito dalla legge 21 aprile 2023, n. 41, ai fini dell’acquisizione del previsto parere del Garante.

Al riguardo si esprimono le considerazioni di seguito evidenziate al fine di conformare pienamente il testo in esame ai principi e alle regole previste in materia di protezione dei dati personali dalla pertinente normativa nazionale ed eurounitaria.

RITENUTO

2. Il ruolo assunto dal Ministero e dagli uffici giudiziari.

Lo schema di provvedimento in esame non precisa il ruolo assunto dai diversi soggetti (Ministero e uffici giudiziari) coinvolti nei trattamenti di dati personali dallo stesso disciplinati. Ciò non assicura la trasparenza del trattamento nei confronti degli interessati e non consente una chiara ripartizione degli obblighi e delle responsabilità previste dalla disciplina in materia di protezione dei dati personali (artt. 5, par. 1, lett. a), 12 e ss., 24 e 28 del Regolamento).

Si ritiene quindi necessario integrare lo schema in esame fornendo indicazioni sul ruolo assunto dallo stesso Ministero e dagli uffici giudiziari nei trattamenti dei dati personali ivi disciplinati, relativi, in particolare:

al deposito di atti processuali e documenti, tramite il Portale, da parte di persone fisiche che stanno in giudizio personalmente nei procedimenti di volontaria giurisdizione;

alla gestione (accettazione/rifiuto) del deposito di atti processuali e documenti da parte del personale amministrativo degli uffici giudiziari;

all’effettuazione di comunicazioni e notificazioni inerenti ai procedimenti di volontaria giurisdizione, alle persone che ne facciano richiesta, tramite il Portale.

3. La sicurezza del trattamento.

Occorre premettere che dopo il parere reso nel 2013 sull’originario schema di provvedimento poi approvato in data 16 aprile 2014, recante “Specifiche tecniche previste dall'articolo 34, comma 1, del decreto del Ministro della giustizia in data 21 febbraio 2011 n. 44, recante regolamento concernente le regole tecniche per l'adozione, nel processo civile e nel processo penale, delle tecnologie dell'informazione e della comunicazione” (parere n. 584 del 18 dicembre 2013, reperibile, per comodità, sul sito dell’Autorità, doc. web n. 2898564), il Garante ha espresso parere sulle successive modifiche predisposte dal Ministero (da ultimo parere n. 134 del 15 aprile 2021, doc. web n. 9590273).

Lo schema di provvedimento in esame si limita a individuare le modalità di accesso al Portale (art. 5), il formato e le modalità di sottoscrizione degli atti processuali e dei documenti allegati (art. 6), e le modalità di cifratura della c.d. “busta telematica” utilizzata per la loro trasmissione all’ufficio giudiziario competente (artt. 2, comma 2, e 10, comma 1), rinviando, per taluni aspetti, a quanto previsto dagli articoli 12, 13 e 14 delle regole tecniche di cui al citato provvedimento del Direttore generale per i sistemi informativi automatizzati del Ministero della giustizia del 16 aprile 2014.

Ciò detto, lo schema risulta, allo stato, carente sotto il profilo della sicurezza dei trattamenti, sicché esso va integrato con misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dai trattamenti, da riesaminare e aggiornare sulla base di una valutazione d’impatto sulla protezione dei dati da effettuarsi ai sensi dell’art. 35 del Regolamento. Ciò, tenuto conto degli elevati rischi per i diritti e le libertà degli interessati derivanti da tali trattamenti, effettuati su larga scala, concernenti dati personali, potenzialmente appartenenti anche a categorie particolari o aventi carattere estremamente personale, relativi pure a soggetti vulnerabili (es. minori).

Le predette misure devono essere volte ad assicurare l’integrità e la riservatezza dei dati personali trattati – riducendo al minimo i rischi di accesso non autorizzato e di trattamento non consentito o non conforme alle finalità previste –, ad attuare in modo efficace i principi di protezione dei dati, a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento, a tutelare i diritti degli interessati, nonché a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (cfr. artt. 5, par. 1, lett. f), 24, 25 e 32 del Regolamento).

3.1. Da questo punto di vista si richiama l’attenzione dell’Amministrazione sulle misure tecniche indicate dal Garante nel citato parere del 2021 e in particolare (ma non in via esaustiva) sulle seguenti:

− l’utilizzo esclusivo di protocolli di rete sicuri e di cipher suite robuste (ossia l’insieme di algoritmi utilizzati per lo scambio delle chiavi crittografiche, la crittografia e la verifica dell’integrità e dell’autenticità dei messaggi scambiati), tenendo conto delle “Raccomandazioni in merito allo standard Transport Layer Security (TLS)” adottate dall’Agenzia per l’Italia Digitale con determinazione n. 471 del 5 novembre 2020, in particolare nell’ambito delle aree pubblica e riservata del Portale (cfr. par. 9, lett. a), del citato provvedimento del Garante del 15 aprile 2021);

− l’utilizzo di algoritmi crittografici allo stato dell’arte per le operazioni di crittografia asimmetrica delle c.d. “chiavi di sessione” e della crittografia simmetrica della c.d. “busta telematica” utilizzata per la trasmissione di documenti agli uffici giudiziari, in luogo di algoritmi vulnerabili non adeguati per assicurare su base permanente la riservatezza dei dati trattati (cfr. par. 9, lett. c), del citato provvedimento del Garante del 15 aprile 2021).

3.2. L’articolo 5, comma 3, dello schema di provvedimento prevede che “l’identificazione del soggetto che effettua il deposito è fatta tramite SPID, Carta d’identità elettronica o Carta nazionale dei servizi, in linea con quanto previsto all'art. 64 comma 3-bis del Decreto Legislativo 7 marzo 2005, n. 82”, senza specificare il livello di sicurezza utilizzato nell’ambito della procedura di autenticazione informatica.

Si ritiene, quindi, necessario integrare lo schema in esame specificando che l’accesso al Portale sarà consentito mediante l’utilizzo di identità digitali SPID o CIEid di livello 2 o superiore.

4. Perfezionamenti formali del testo.

Preliminarmente, si suggerisce di integrare il preambolo del decreto con i pertinenti riferimenti alla normativa in materia di protezione dei dati applicabile ai trattamenti di dati personali ivi disciplinati, ovvero: il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE; il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”).

Inoltre si suggerisce:

a) all’art. 1, comma 1, lett. f), dello schema, di modificare la definizione di “Provider di identità” come segue: “soggetto che rilascia e gestisce le identità digitali”;

b) all’art. 10, comma 3, di espungere il riferimento all’art. 2-ter, comma 1-bis, del Codice, in quanto inconferente rispetto ai trattamenti in esame e comunque non riguardante i diritti esercitabili dagli interessati.

TUTTO CIÒ PREMESSO IL GARANTE

in considerazione delle carenze strutturali e sostanziali descritte in premessa riguardanti, in particolare, la mancanza di indicazioni circa il ruolo assunto dai soggetti coinvolti nei trattamenti e adeguate misure di sicurezza, e della segnalata esigenza di riformulare lo schema di provvedimento in esame in merito:

a) al ruolo assunto dal Ministero e dagli Uffici giudiziari nell’ambito del sistema disciplinato, con particolare riferimento alle linee di responsabilità sotto il profilo della protezione dati, nei termini di cui al punto 2;

b) alle specifiche garanzie e misure sul piano organizzativo e tecnico necessarie in chiave di tutela degli interessati (punto 3);

c) ai riferimenti normativi evidenziati al punto 4;

ritiene che il presente parere – reso sullo schema di provvedimento del Direttore della Direzione generale dei Sistemi informativi automatizzati, volto a definire le specifiche tecniche del Portale dedicato per il deposito di atti processuali e documenti per via telematica, nei procedimenti di volontaria giurisdizione, da parte delle persone fisiche che stanno in giudizio personalmente, da adottarsi ai sensi dell’articolo 36, comma 4, del decreto-legge 24 febbraio 2023, n. 13, convertito dalla legge 21 aprile 2023, n. 41 - non possa essere positivo.

Roma, 22 giugno 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi