| Garante per la protezione dei dati personali Parere su unoschema di decreto del Presidente del Consiglio dei Ministri recante regoletecniche per l'identificazione, anche in via telematica, del titolare dellacasella di posta elettronica certificata PROVVEDIMENTO DEL 24NOVEMBRE 2011 Registro dei provvedimenti n. 449 del 24novembre 2011 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale; Vista la richiesta di parere del Ministro per la pubblicaamministrazione e l'innovazione; Visto l'art. 154, comma 4 del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196); Vista la documentazione in atti; Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Giuseppe Fortunato; PREMESSO 1. Con nota dell'Ufficio legislativo del Ministro per la pubblicaamministrazione e l'innovazione è stato richiesto il parere del Garante inordine a uno schema di decreto del Presidente del Consiglio dei Ministrirecante regole tecniche per l'identificazione, anche in via telematica, deltitolare della casella di posta elettronica certificata. L'odierno provvedimento è emanato ai sensi dell'articolo 65, comma 1,lettera c-bis), del Codice dell'amministrazione digitale (d.lgs. 7 marzo 2005,n. 82 e successive modificazioni; infra: CAD), che demanda appunto a un appositoprovvedimento – da adottarsi, secondo quanto previsto dall'articolo 71dello stesso codice, con decreto del Presidente del Consiglio dei Ministri odel Ministro delegato per la pubblica amministrazione e l'innovazione, diconcerto con i Ministri competenti – la definizione delle regole tecnicheinerenti le modalità di identificazione, anche per via telematica, del titolaredella casella di PEC-ID valida per la presentazione on-line, alla pubblicaamministrazione, di istanze e dichiarazioni. In particolare, il decreto in oggetto precisa, all'articolo 2, ilproprio ambito oggettivo di applicazione e le proprie finalità specificandotra l'altro che qualora l'amministrazione destinataria dell'istanza o delladichiarazione aderisca al Sistema pubblico di connettività (SPC), si applicano –in quanto compatibili – le relative regole tecniche e di sicurezza. L'articolo 3 riconduce nell'ambito soggettivo di applicazione deldecreto il "gestore del servizio", cioè il soggetto, pubblico oprivato, che eroga il servizio di posta elettronica certificata e che gestiscedomini di posta elettronica certificata (secondo la definizione di cuiall'articolo 2, comma 1, lett. d), del d.P.R. 11 febbraio 2005, n. 68); il"titolare", ovvero l'assegnatario di una casella di posta elettronicacertificata (così definito dall'articolo 1, comma 1, lett. t), del decreto delMinistro per l'innovazione e le tecnologie del 2 novembre 2005), nonché lepubbliche amministrazioni di cui all'articolo 1, comma 2, del decretolegislativo 30 marzo 2001, n. 165 e successive modificazioni. L'articolo 4 disciplina gli obblighi cui sono tenuti i gestori, mentrel'articolo 5 precisa che l'identificazione del titolare della casella di PEC-ID(infra: titolare) possa avvenire mediante la sottoscrizione del modulo diadesione al servizio ed esibizione al gestore, da parte del titolare, di unvalido documento d'identità e del codice fiscale; tramite la compilazione delmodulo di adesione disponibile in rete, previa identificazione informaticamediante carta d'identità elettronica (CIE) o carta nazionale dei servizi(CNS); attraverso la sottoscrizione con firma digitale del modulo di adesioneal servizio ovvero, infine, mediante apparecchiature che utilizzinonecessariamente una SIM/USIM dotate di codici PIN/PUK o loro evoluzionitecnologiche rilasciate previa identificazione del titolare delle medesime nelrispetto delle disposizioni vigenti. L'articolo 6 impone al gestore di rilasciare o associare al titolare –ai fini dell'identificazione per l'accesso al servizio PEC-ID – una delleseguenti tipologie di credenziali d'accesso: quelle della CNS; quelle dellaCIE; user-id, password e password monouso trasmessa mediante sistemi ditelefonia mobile; user-id, password e password generata dal token crittograficorilasciato dal gestore "nel rispetto di quanto previsto all'allegatoB" del Codice. L'articolo 7 disciplina le modalità di attestazione dell'identità deltitolare (che, in particolare, viene rappresentata attraverso il codicefiscale), mentre l'articolo 8 sancisce il divieto di riassegnazione diindirizzo PEC-ID. L'articolo 9 disciplina le modalità di estensione del servizio PEC-IDa caselle PEC già assegnate al titolare. Infine, l'articolo 10 attribuisce a DigitPA specifiche funzioni divigilanza e controllo sull'attività esercitata dai gestori ai sensi del decretostesso. RILEVATO 2. Ai sensi del comma 3 dell'articolo 5 il gestore del servizio ètenuto a verificare la corrispondenza dei dati forniti dal titolare con legeneralità indicate nel documento d'identità o associate alla SIM/USIM ed aconservare la relativa documentazione per il periodo di durata del servizioPEC-ID "e comunque per un periodo non inferiore a 30 mesi". Tale ultima disposizione solleva perplessità in quanto prevede untermine di conservazione di dati personali delimitato solo nel minimo, laddoveinvece i principi sanciti dal Codice impongono la previsione di un termine diconservazione dei dati personali - in una forma che consenta l'identificazionedell'interessato - certo e determinato, oltre che proporzionato alle finalitàper le quali i dati stessi sono stati raccolti o successivamente trattati(art.11, comma 1, lettere b) ed e). Pertanto, al comma 3 dell'articolo 5, la previsione del termine minimodi conservazione della documentazione necessaria all'identificazione deltitolare dovrebbe essere sostituita dalla previsione di un termine certo edeterminato, proporzionato alle finalità del trattamento. RITENUTO 3. Il decreto in oggetto si inserisce nel quadro rinnovato dallerecenti modifiche al CAD, che hanno previsto un sempre maggiore ricorso aglistrumenti telematici per la comunicazione tra il cittadino e la pubblicaamministrazione. La posta elettronica certificata (PEC) rappresenta uno deglistrumenti principali scelti dal legislatore per attuare la semplificazionedigitale, essendo uno strumento nato per dare garanzie di avvenuta spedizione ericezione alle parti interessate, così sostituendo il corrispondente cartaceoquale, ad esempio, la posta raccomandata con avviso di ricevimento. Il legislatore, tuttavia, non ha inizialmente previsto che la PECpotesse costituire uno strumento per l'identificazione del mittente dicomunicazioni elettroniche, poiché lo strumento tecnico per sottoscrivere unqualsivoglia documento informatico è costituito dalla firma digitale. La PEC èquindi in sé inadeguata per quegli utilizzi, quali la presentazione di istanzee la resa di dichiarazioni, in cui è richiesta l'identificazione del cittadinoche si rivolge alla pubblica amministrazione. Tale carenza, pur colmabileabbinando alla PEC ulteriori strumenti, quali la firma digitale, limitatuttavia l'efficacia semplificativa della posta elettronica certificata. Il legislatore ha quindi provveduto a introdurre, tramiteil decreto legislativo n.235 del 30 dicembre 2010 ,una serie di modifiche anorme preesistenti – tra cui quelle all'articolo 65 del decretolegislativo 7 marzo 2005, n. 82 e all'articolo 38 del decreto del Presidentedella Repubblica 28 dicembre 2000, n. 445 – per consentire l'uso dellaposta elettronica certificata anche per la presentazione di istanze e la resadi dichiarazioni alle pubbliche amministrazioni "purché le relativecredenziali di accesso siano state rilasciate previa identificazione deltitolare", completando lo strumento di quelle proprietà di identificazionedel mittente o del titolare di cui finora lo strumento risultava carente (perchévolto, in realtà a mere funzioni di "raccomandata elettronica"). In proposito, ai fini dell'identificazione del titolare, l'articolo 6dello schema – descritto al punto 1) - elenca le modalità alternative diautenticazione che i gestori devono predisporre allo scopo di assicurare unostretto legame tra la casella PEC e il legittimo utilizzatore. L'articolo potrebbe essere perfezionato, a fini di maggiore chiarezza,come di seguito: "Art. 6 (Autenticazione) 1.Ai fini dell'identificazione per l'accesso al servizio PEC-ID, ilGestore predispone una delle seguenti modalità di autenticazioneinformatica: a) autenticazione tramite Certificato di autenticazione CNS; b) autenticazione tramite Certificato di autenticazione CIE; c) autenticazione tramite Credenziali di accesso basate suidentificativo-utente, parola d'ordine (password) e "parola d'ordinetemporanea" (One-Time-Password) trasmessa attraverso sistemi di telefoniamobile; d) autenticazione tramite Credenziali di accesso basate suidentificativo-utente, parola d'ordine (password) e "parola d'ordinetemporanea" (One-Time-Password) generata da token crittografico rilasciatodal gestore medesimo.". IL GARANTE esprime parere favorevole sullo schema di decreto del Presidente delConsiglio dei Ministri recante regole tecniche per l'identificazione, anche invia telematica, del titolare della casella di posta elettronica certificatavalida per la presentazione on-line, alla pubblica amministrazione, di istanzee dichiarazioni, con la seguente condizione: a) all'articolo 5, comma 3, la previsione del termine minimo diconservazione della documentazione necessaria all'identificazione del titolaresia sostituita dalla previsione di un termine certo e determinato,proporzionato alle finalità del trattamento (punto 2); e la seguente raccomandazione: b) si valuti l'opportunità di riformulare l'articolo 6 comeproposto al punto 3. Roma, 24 novembre 2011
|