| Garante per la protezione dei dati personali Parere su unoschema di decreto del Presidente del Consiglio dei Ministri in materia diseparati certificati di firma PROVVEDIMENTO DEL 24NOVEMBRE 2011 Registro dei provvedimenti n. 447 del 24novembre 2011 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale; Vista la richiesta di parere del Ministro per la pubblicaamministrazione e l'innovazione; Visto l'art. 154, comma 4 del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196); Vista la documentazione in atti; Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Giuseppe Chiaravalloti; PREMESSO Con nota dell'Ufficio legislativo del Ministro per la pubblicaamministrazione e l'innovazione è stato richiesto il parere del Garante inordine a uno schema di decreto del Presidente del Consiglio dei Ministri inmateria di separati certificati di firma. L'Amministrazione intende disciplinare la materia in questione anchemediante un altro decreto del Presidente del Consiglio dei Ministri - recanteregole tecniche in materia di generazione, apposizione e verifica delle firmeelettroniche avanzate, qualificate e digitali - il cui schema è stato anch'essotrasmesso, per completezza ed analogia di materia, a questa Autorità e inordine al quale si esprime separato parere. Il provvedimento in esame è adottato ai sensi dell'articolo 28, comma3-bis, del Codice dell'amministrazione digitale (d.lgs. 7 marzo 2005, n.82 e successive modificazioni; infra: CAD), che rimette appunto a un decretodel Presidente del Consiglio dei Ministri la definizione - anche in riferimentoalle pubbliche amministrazioni e agli ordini professionali – dellemodalità con le quali talune informazioni confluiscono in un separatocertificato elettronico e sono rese disponibili, eventualmente, anche in rete. In questo quadro, il decreto disciplina segnatamente le modalità diemissione del certificato di attributo anche da parte del terzo, che operiquale certificatore accreditato o si avvalga di certificatori accreditati (art.3, comma 1); sancisce in capo alle Autorità di attributo l'obbligo dicomunicare la propria attività a DigitPA e fornire i certificati dicertificazione (sic) utilizzati allo scopo (art. 3, comma 5); demanda adappositi provvedimenti di DigitPA la definizione delle modalità operative edelle specifiche tecnologiche per l'esercizio delle attività di Autorità diattributo (art.3, comma 7). L'articolo 4 del decreto disciplina gli adempimenti cui il "titolare"e il "terzo interessato" sono tenuti, in presenza di modifiche osopravvenuta insussistenza delle circostanze oggetto delle informazioni sulcertificato qualificato, sancendo in capo al certificatore il conseguenteobbligo di revocare il certificato di attributo. L'articolo 5 regola condizioni e limiti cui è subordinata ladisponibilità in rete di qualifiche, abilitazioni professionali o poteri dirappresentanza, precisando in particolare le finalità per le quali leasserzioni emesse dalle Autorità di attributo possono essere utilizzate (comma2) e le modalità con le quali il terzo interessato può rendere disponibili inrete le asserzioni (commi 3 e 4); attribuisce a DigitPA il compito di gestire –nell'ambito delle infrastrutture nazionali condivise del SPC – ilRegistro delle Autorità di attributo, di cui si specifica il contenuto (commi 6e 8). L'articolo 6 disciplina il formato dell'asserzione rinviando, per lespecificazioni e i dettagli tecnici, all'allegato tecnico al decreto, inmateria di "Specifiche dell'Attribute Authority". In particolare, il comma 2 dell'articolo 6 prevede che per i soggettiappartenenti a ordini o collegi professionali, l'asserzione debba indicarel'identificativo univoco dell'interessato, corrispondente al codice fiscale, ilcodice relativo alla professione e l'eventuale numero di iscrizione all'albo. Il comma 3 del medesimo articolo prevede infine che per i soggettititolari di poteri di rappresentanza ovvero della qualifica di pubblicoufficiale, l'asserzione debba indicare l'identificativo univocodell'interessato, corrispondente al codice fiscale e la specifica qualifica. RILEVATO L'odierno provvedimento, riguardando aspetti strettamente tecnicidella certificazione digitale relativi alle modalità di attestazione di determinatequalità del titolare (appartenenza a ordini professionali, ruoli aziendali,poteri di firma o rappresentanza) tramite strumenti elettronici, dal punto divista del trattamento informatizzato di dati personali non presenta particolaricriticità. Esso non introduce infatti alcuna innovazione sostanziale rispetto aquanto già previsto dall'attuale quadro normativo, fornendo solo delleindicazioni di dettaglio, anche tramite l'allegato tecnico, relative allemodalità concrete di realizzazione delle attestazioni delle informazioni. Il Garante pertanto non ha osservazioni da formulare. IL GARANTE esprime parere favorevole sullo schema di decreto del Presidente delConsiglio dei Ministri in materia di separati certificati di firma. Roma, 24 novembre 2011
|