| Garante per la protezione dei dati personali Parere su unoschema di decreto del Presidente del Consiglio dei Ministri recante regoletecniche in materia di generazione, apposizione e verifica delle firmeelettroniche avanzate, qualificate e digitali PROVVEDIMENTO DEL 24NOVEMBRE 2011 Registro dei provvedimenti n. 448 del 24novembre 2011 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale; Vista la richiesta di parere del Ministro per la pubblicaamministrazione e l'innovazione; Visto l'art. 154, comma 4 del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196); Vista la documentazione in atti; Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Giuseppe Chiaravalloti; PREMESSO 1. Con nota dell'Ufficio legislativo del Ministro per la pubblicaamministrazione e l'innovazione è stato richiesto il parere del Garante inordine a uno schema di decreto del Presidente del Consiglio dei Ministrirecante regole tecniche in materia di generazione, apposizione e verifica dellefirme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli20, comma 3; 24, comma 4; 28, comma 3; 32, comma 3, lettera b); 35, comma 2;36, comma 2 e 71, del codice dell'amministrazione digitale (d.lgs. 7marzo 2005, n. 82 e successive modificazioni; infra: CAD). L'Amministrazione intende disciplinare la materia in questione anchemediante un altro decreto del Presidente del Consiglio dei Ministri - adottatoai sensi dell'articolo 28, comma 3-bis, del CAD e volto a definire le modalitàcon le quali le informazioni sul certificato qualificato confluiscono in unseparato certificato elettronico e sono rese disponibili, eventualmente, anchein rete - il cui schema è stato anch'esso trasmesso, per completezza edanalogia di materia, a questa Autorità e in ordine al quale si esprime separatoparere. Il provvedimento in oggetto definisce, in particolare, le regoletecniche cui devono conformarsi le attività di generazione, apposizione everifica delle firme elettroniche avanzate, qualificate e digitali, per lavalidazione temporale e per lo svolgimento, da parte dei certificatoriqualificati, dei propri compiti. In particolare, il Titolo I reca le disposizioni generali, contiene ledefinizioni utilizzate nel prosieguo del testo e disciplina l'ambito diapplicazione del provvedimento. Il Titolo II contiene le disposizioni applicabili alle firmeelettroniche qualificate e digitali, disciplinandone segnatamentecaratteristiche generali, modalità di generazione e conservazione, prevedendo irequisiti che devono possedere i dispositivi sicuri per la generazione dellefirme e dettando altresì specifiche disposizioni in ordine alla generazione, alcontenuto e alla revoca e sospensione dei certificati qualificati, nonché, piùin generale, al servizio di certificazione. Il Titolo III contiene disposizioni relative ai certificatoriaccreditati, disciplinandone segnatamente gli obblighi. In particolare, l'articolo 42, al comma 10, impone ai certificatori direndere disponibile a DigitPA un servizio che consenta di conoscere se, per undeterminato codice fiscale, sia stato rilasciato un certificato qualificato ela relativa scadenza. A tal fine, DigitPA è tenuta a definire con proprioprovvedimento– sentito, tra l'altro, il Garante – lecaratteristiche del servizio, le modalità e i vincoli per la sua fruizione. Il Titolo IV detta specifiche prescrizioni per la validazionetemporale mediante marca, appunto, temporale, disciplinando segnatamente irequisiti di precisione e sicurezza dei relativi sistemi di validazione. Il Titolo V contiene disposizioni in materia di firma elettronicaavanzata, prevedendo in particolare le caratteristiche, il grado di affidabilitàe i limiti d'uso di tali soluzioni. Il Titolo VI – oltre a disposizioni finali e transitorie –reca infine prescrizioni in materia di valore delle firme elettronichequalificate e digitali nel tempo. RILEVATO 2. Lo schema di decreto contiene delle specificazioni di aspettitecnici di alcuni degli strumenti più innovativi introdotti dal CAD e utilialla dematerializzazione dei flussi documentali, quali i diversi tipi di firmaelettronica (avanzata, qualificata, digitale, remota). Il decreto cura aspetti modali della generazione delle chiavicrittografiche, della conservazione dei dati per la creazione della firma, perla generazione delle chiavi di sottoscrizione al di fuori del dispositivo difirma. Le fasi tecniche della generazione delle chiavi appaiono assistite damisure di sicurezza adeguate anche tramite il ricorso a certificazioni disicurezza quali quelle rilasciate dall'OCSI (Organismo certificatore dellasicurezza informatica in Italia) e previste dall'articolo 35 del CAD, e dall'introduzionedi profili di protezione dei dispositivi sicuri per la generazione della firmaelettronica qualificata e digitale (artt. 12 e 13 dello schema di decreto). Anche le previsioni in materia di sospensione, sostituzione e revoca dei certificati appaiono in linea con i livelli di sicurezza necessari alledelicate attività connesse alla gestione dei certificati. Infine, è condivisibile il contenuto dell'articolo 34 dello schema, aisensi del quale è necessario il consenso del titolare del certificato perrendere i certificati accessibili al pubblico, al fine di verificare le firmedigitali (comma 2), e i dati dei certificati resi accessibili e le liste deicertificati revocati e sospesi possono essere utilizzati per le sole finalitàdi applicazione delle norme del presente decreto che disciplinano la verificadelle firme elettroniche (comma 3), in coerenza con il principio di finalitànel trattamento dei dati personali (art. 11 del Codice in materia di protezionedei dati personali, infra "Codice"). RITENUTO 3. L'articolo 35 dello schema disciplina, in particolare, il contenutominimo del piano per la sicurezza che il certificatore è tenuto a definire, prevedendo peraltro che tale piano debba attenersi "almeno alle misureminime di sicurezza per il trattamento dei dati personali emanate ai sensi dell'articolo33 del decreto legislativo 30 giugno 2003, n. 196" (corsivo aggiunto). Tale previsione appare riduttiva della portata degli obblighi sancitidal Codice a tutela della sicurezza dei dati e dei sistemi, nella misura in cuiimpone al certificatore il rispetto delle sole misure minime di cui all'articolo33. Pertanto, al fine di garantire la piena conformità della suddettaprevisione agli standard di sicurezza sanciti dal Codice (che, all'articolo 31,richiede l'adozione di misure di sicurezza "idonee" a ridurre al minimoi rischi di distruzione dei dati o di accesso abusivo ai sistemi), al comma 5dell'articolo 35, le parole da: "almeno", fino a: "33",devono essere sostituite dalle seguenti: "alle misure di sicurezzapreviste dal Titolo V della Parte I". CONSIDERATO 4. Alla luce di quanto considerato al punto 2) e ferme restando leosservazioni di cui al punto 3), può in conclusione affermarsi che l'odiernoprovvedimento presenta un contenuto prevalentemente tecnico, di carattere noninnovativo sotto il profilo della protezione dei dati personali e comunquecoerente con il quadro normativo vigente in materia. Il Garante pertanto non ha ulteriori osservazioni da formulare. IL GARANTE esprime parere favorevole sullo schema di decreto del Presidente delConsiglio dei Ministri recante regole tecniche in materia di generazione,apposizione e verifica delle firme elettroniche avanzate, qualificate edigitali, ai sensi degli articoli 20, comma 3; 24, comma 4; 28, comma 3; 32,comma 3, lettera b); 35, comma 2; 36, comma 2 e 71, del CAD, con la seguentecondizione: a) all'articolo 35, comma 5, le parole da: "almeno",fino a: "33", siano sostituite dalle seguenti: "alle misure disicurezza previste dal Titolo V della Parte I" (punto 3). Roma, 24 novembre 2011
|