| Garante per la protezione dei dati personali Parere del Garante su uno schema didecreto del Presidente del Consiglio dei Ministri recante regole tecniche peril protocollo informatico PROVVEDIMENTO DEL 24 APRILE 2013 Registro dei provvedimenti n. 215 del 24 aprile 2013 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale; Vistala richiesta di parere del Ministro per la pubblica amministrazione e lasemplificazione; Vistol'articolo 154, commi 4 e 5, del Codice in materia di protezione dei dati personali(d.lgs. 30 giugno 2003, n. 196); Vistala documentazione in atti; Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; Relatoreil dott. Antonello Soro; PREMESSO Connota del Capo dell'ufficio legislativo del Ministro per la pubblicaamministrazione e la semplificazione è stato richiesto il parere del Garante suuno schema di decreto del Presidente del Consiglio dei Ministri recante regoletecniche per il protocollo informatico. Ildecreto è adottato ai sensi dell'articolo 71 del Codice dell'amministrazionedigitale di cui al decreto legislativo n. 82 del 2005 (infra "CAD"),e stabilisce le regole tecniche, i criteri e le specifiche delle informazionipreviste nelle operazioni di registrazione di protocollo ai sensi degliarticoli 40-bis, 41, e 47, del predetto CAD, nonché delle informazioni previstenelle operazioni di registrazione e segnatura di protocollo di cui agliarticoli 53, 55 e 66 del d.P.R. 28 dicembre 2000, n. 445, recante il testounico delle disposizioni legislative e regolamentari in materia didocumentazione amministrativa (infra "testo unico") (art. 2 delloschema). L'Amministrazioneintende disciplinare la materia anche mediante altri due decreti recanti, rispettivamente,la disciplina delle regole tecniche sul documento informatico e in materia disistema di conservazione di documenti informatici, i cui schemi sono statianch'essi trasmessi, per completezza ed analogia di materia, a questa Autoritàe in ordine ai quali si esprime separato parere. RILEVATO Loschema di decreto si compone di un articolato e di 5 allegati che fanno parteintegrante del decreto stesso, recanti il glossario (all. 1) e le pertinentispecifiche tecniche riguardanti i formati (all. 2), gli standard tecnici (all.3), il pacchetto di archiviazione (all. 4) e i metadati (all. 5). Le predettespecifiche tecniche sono aggiornate con delibera dell'Agenzia per l'Italiadigitale (art. 1 dello schema). Lepubbliche amministrazioni di cui all'articolo 2, comma 2, del CAD, nominano edefiniscono le attribuzioni del "responsabile della gestionedocumentale", a cui è assegnata, tra l'altro, la predisposizione delloschema del manuale di gestione (pubblicato poi dalle pp. aa. nel sitoistituzionale) nonché del piano per la sicurezza informatica (riportato nelmanuale di gestione) (artt. 3 e 4 dello schema). Ilmanuale di gestione delinea il sistema di gestione anche ai fini dellaconservazione, fornendo, al contempo, istruzioni per il funzionamento delservizio per la tenuta del protocollo informatico, della gestione dei flussidocumentali e degli archivi (art. 5 dello schema). Ilpiano per la sicurezza informatica, invece, è relativo alla formazione, allagestione, alla trasmissione, all'interscambio, all'accesso e alla conservazionedei documenti informatici. Il piano deve essere predisposto nel rispetto dellemisure minime di sicurezza previste dal disciplinare tecnico pubblicato inallegato B al Codice in materia di protezione dei dati personali (di seguito"Codice") e d'intesa con il responsabile della conservazione, ilresponsabile dei sistemi informativi e per quanto di specifico interesse con ilresponsabile del trattamento dei dati personali (artt. 4 e 5 dello schema). Alriguardo, il glossario di cui all'allegato 1 definisce il responsabile deltrattamento dei dati in modo corrispondente all'articolo 4, comma 1, lett. g),del Codice. Loschema di decreto prevede una serie di requisiti minimi di sicurezza per isistemi di protocollo informatico, prevedendo che tali sistemi devonoassicurare, tra le altre cose, l'univoca identificazione ed autenticazionedegli utenti, la protezione delle informazioni relative a ciascun utente neiconfronti degli altri e la registrazione delle attività rilevanti, ai finidella sicurezza, svolte da ciascun utente; in particolare, il sistema deveconsentire il controllo differenziato dell'accesso nonché il tracciamento diqualsiasi evento di modifica delle informazioni (e l'individuazione del suoautore) (art. 7 dello schema). Sonopoi disciplinati il formato della segnatura di protocollo (art. 9), lasegnatura di protocollo dei documenti trasmessi (art. 20) e le informazioni daincludere nella segnatura (art. 21). Si rammenta al riguardo che il testo unicodefinisce la segnatura di protocollo come l'apposizione o l'associazioneall'originale del documento, in forma permanente non modificabile, delle informazioniriguardanti il documento stesso, che consente di individuare ciascun documentoin modo inequivocabile; l'operazione di segnatura di protocollo è effettuatacontemporaneamente all'operazione di registrazione di protocollo (art. 55 deltesto unico). Lepp. aa. di cui all'articolo 2, comma 2, del CAD, adottano determinati formati emodalità di trasmissione dei documenti informatici, soggetti alla registrazionedi protocollo, destinati ad altre amministrazioni; per la medesima ragione, lepredette pp. aa. realizzano, nei sistemi di protocollo informatico, funzionalitàinteroperative con i requisiti di accessibilità al sistema di gestioneinformatica di cui all'articolo 60 del testo unico (art. 10 delloschema). Alfine della trasmissione dei documenti informatici, le amministrazioni siaccreditano, previa fornitura di alcune informazioni identificative aggiornate(tra le altre: denominazione e codice fiscale dell'amministrazione), pressol'"indice degli indirizzi delle pubbliche amministrazioni" (di cuiall'articolo 57-bis del CAD), gestito da un sistema informatico accessibiletramite un sito internet (artt. 11, 12 e 15 dello schema); al fine di allinearela denominazione dell'amministrazione a quella registrata nell'anagrafetributaria associata al codice fiscale indicato, il predetto sistemainformatico di gestione dell'indice delle amministrazioni è connesso con ilsistema dell'anagrafe tributaria (art. 14 dello schema). Loschema di decreto disciplina altresì le modalità di trasmissione dei documentiinformatici mediante messaggi di posta elettronica certificata (PEC) o messaggiconformi ai sistemi di posta elettronica compatibili con il protocolloSMTP/MIME definito nelle specifiche pubbliche RFC 821-822, RFC 2045 e 2049 esuccessive modificazioni, al fine dello scambio dei documenti soggetti allaregistrazione di protocollo (art. 16 dello schema). In proposito, vista ladifficoltà di interoperabilità della posta elettronica certificata con isistemi di posta elettronica degli altri Paesi, anche europei, il Garantevaluta positivamente il ricorso ai sistemi di posta elettronica compatibili conil predetto protocollo SMTP/MIME, auspicandone, anzi, un uso generalizzato e laloro previsione anche in altri documenti di regolamentazione tecnica. Peril medesimo fine, lo schema di decreto disciplina poi le modalità ditrasmissione dei documenti informatici in cooperazione applicativa, in base aquanto previsto dal d.P.C.M. 1 aprile 2008 recante regole tecniche e disicurezza per il funzionamento del sistema pubblico di connettività (art. 17dello schema in attuazione dell'art. 47 del CAD). RITENUTO IlCAD prevede che le disposizioni da esso recate si applicano nel rispetto delladisciplina rilevante in materia di trattamento dei dati personali e, inparticolare, del Codice (art. 2, comma 5, del CAD). Analogamentea quanto previsto dall'omologo schema di decreto sulla formazione e gestionedei documenti, su cui il Garante rende separato parere, si ritiene necessariointegrare lo schema con la previsione, coerente con quanto sopra evidenziato,che le regole tecniche introdotte dall'odierno decreto si applicano anch'essenel rispetto delle predetta disciplina. Comegià descritto sopra, lo schema prevede che il responsabile della gestionedocumentale operi d'intesa, fra gli altri, con il responsabile del trattamentodei dati personali (art. 4 dello schema). Alriguardo si rileva che la figura del responsabile del trattamento dei datipersonali potrebbe anche non essere individuata presso un titolare deltrattamento (art. 29 del Codice). Si reputa più opportuno invece che lamedesima persona, ove possibile, assuma la duplice funzione di responsabiledella gestione documentale e di responsabile del trattamento dei dati personalicontenuti nei documenti gestiti nell'ambito del sistema di protocollo Loschema reca disposizioni specifiche in materia di sicurezza prevedendo –comedescritto sopra- che il piano per la sicurezza informatica deve essere adottatonel rispetto delle misure minime di sicurezza previste dal disciplinare tecnicopubblicato in allegato B al Codice e d'intesa, fra l'altro, con il responsabiledel trattamento dei dati personali (art. 4 dello schema). Loschema di decreto prevede inoltre una serie di requisiti minimi di sicurezzaper i sistemi di protocollo informatico, prevedendo che tali sistemi devonoassicurare, tra le altre cose, l'univoca identificazione ed autenticazionedegli utenti, la protezione delle informazioni relative a ciascun utente neiconfronti degli altri e la registrazione delle attività rilevanti, ai finidella sicurezza, svolte da ciascun utente, in modo tale da garantirnel'identificazione; in particolare, il sistema deve consentire il controllodifferenziato dell'accesso nonché il tracciamento di qualsiasi evento dimodifica delle informazioni (e l'individuazione del suo autore) (art. 7 delloschema). Appareopportuno prevedere che il sistema di protocollo informatico sia organizzatonel rispetto di tutti gli standard di sicurezza previsti dal Codice, e inparticolare, delle misure di sicurezza di cui agli articoli da 31 a 36 e nonsolo, quindi, di quelle minime individuate nel disciplinare tecnico dicui all'allegato B del medesmo Codice. Ciò, tenuto conto altresì che lo stessoCAD, con riferimento ai requisiti per la conservazione dei documentiinformatici stabilisce che il sistema di conservazione deve assicurare, fral'altro, anche il rispetto delle misure di sicurezza previste dal Codice (art.44, comma 1, del CAD). Loschema di decreto, come già anticipato sopra, prevede 5 allegati che fannoparte integrante del decreto stesso, recanti, oltre che il glossario, lepertinenti specifiche tecniche riguardanti i formati, gli standard tecnici, ilpacchetto di archiviazione e i metadati. Tali specifiche tecniche potrannoessere aggiornate con delibera dell'Agenzia per l'Italia digitale (art. 1,comma 1). Consideratoche le future delibere dell'Agenzia modificheranno il corpo del testo degliallegati parti integranti dell'odierno schema di decreto, su aspetti chepossono riguardare la protezione dei dati personali, si reputa necessario, alriguardo, prevedere espressamente la previa acquisizione del parere delGarante. IL GARANTE esprimeparere favorevole sullo schema di decreto del Presidente del Consigliodei Ministri recante regole tecniche per il protocollo informatico, con leseguenti condizioni: econ le seguenti osservazioni: Roma, 24 aprile 2013
|