| Garante per la protezione dei dati personali Parere del Garante sullo schema didecreto del Presidente del Consiglio dei Ministri recante regole tecniche inmateria di sistema di conservazione dei documenti informatici PROVVEDIMENTO DEL 24 APRILE 2013 Registro dei provvedimenti n. 214 del 24 aprile 2013 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale; Vistala richiesta di parere del Ministro per la pubblica amministrazione e lasemplificazione; Vistol'articolo 154, commi 4 e 5, del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196); Vistala documentazione in atti; Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; Relatoreil dott. Antonello Soro; PREMESSO Connota del Capo dell'ufficio legislativo del Ministro per la pubblicaamministrazione e la semplificazione è stato richiesto il parere del Garantesullo schema di decreto del Presidente del Consiglio dei Ministri recanteregole tecniche in materia di sistema di conservazione dei documentiinformatici. Ildecreto è adottato ai sensi dell'articolo 71 del Codice dell'amministrazionedigitale di cui al decreto legislativo n. 82 del 2005 (infra CAD), e prevede leregole tecniche in materia di conservazione dei documenti informatici e deidocumenti amministrativi informatici ai sensi degli articoli 20, commi 3 e5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del CAD(art. 2, comma 1, dello schema). Com'ènoto, il CAD prevede, con norma generale (art. 71, comma 1), che le regoletecniche previste per l'applicazione della disciplina siano dettate con decretidel Presidente del Consiglio dei Ministri o del Ministro delegato per lapubblica amministrazione e l'innovazione, di concerto con i Ministricompetenti, sentita la Conferenza unificata, ed il Garante nelle materie dicompetenza, previa acquisizione obbligatoria del parere tecnico di Digit-PA(ora Agenzia per l'Italia digitale). Inpiù disposizioni del decreto legislativo si fa poi espresso riferimento a taliregole tecniche, da adottarsi appunto con le modalità di cui all'articolo 71.Al riguardo si richiama l'attenzione sull'articolo 20, comma 4, (cui l'odiernodecreto da attuazione) ai sensi del quale devono essere definite le"misure tecniche, organizzative e gestionali volte a garantire l'integrità,la disponibilità e la riservatezza delle informazioni contenute nel documentoinformatico.". L'Amministrazioneintende disciplinare la materia della formazione, gestione e conservazione deidocumenti informatici anche mediante altri due decreti recanti le regoletecniche, rispettivamente, sulla formazione e gestione in generale deldocumento informatico e in materia di protocollo informatico, i cui schemi sonostati anch'essi trasmessi, per completezza ed analogia di materia, a questaAutorità e in ordine ai quali si esprime separato parere. RILEVATO L'ambitodi applicazione delle disposizioni in esame è quello previsto dall'articolo 2,commi 2 e 3, del CAD, con riferimento, quindi, alle pp. aa. di cui all'articolo1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nonché alle società,interamente partecipate da enti pubblici o con prevalente capitale pubblicoinserite nel conto economico consolidato della pubblica amministrazione, comeindividuate dall'Istituto nazionale di statistica (ISTAT) ai sensidell'articolo 1, comma 5, della legge 30 dicembre 2004, n. 311, oltre che aiprivati, ai sensi dell'articolo 3 del d.P.R. 28 dicembre 2000, n. 445, recanteil testo unico delle disposizioni legislative e regolamentari in materia didocumentazione amministrativa (infra testo unico) (art. 2, comma 2, delloschema). Loschema di decreto si compone di un articolato e di 5 allegati che fanno parteintegrante del decreto stesso, recanti il glossario (all. 1) e le pertinentispecifiche tecniche riguardanti i formati (all. 2), gli standard tecnici (all.3), il pacchetto di archiviazione (all. 4) e i metadati (all. 5). Le predettespecifiche tecniche sono aggiornate con delibera dell'Agenzia per l'Italiadigitale (art. 1 dello schema). Loschema di decreto, in attuazione di quanto previsto dall'articolo 44, comma 1,del CAD, disciplina il sistema di conservazione dei documenti, nonché irelativi modelli di conservazione (art. 3 ss. dello schema). Quantoal sistema di conservazione, esso assicura la conservazione, dalla presa incarico sino all'eventuale scarto, dei documenti informatici e dei documentiamministrativi informatici con i relativi metadati, nonché dei fascicoliinformatici ovvero le aggregazioni documentali informatiche con i metadatiassociati, garantendo, al contempo, autenticità, integrità, affidabilità,leggibilità e reperibilità. Il sistema di conservazione garantisce altresìl'accesso all'oggetto conservato per il periodo previsto dalla normativa (art.3 dello schema). Relativamenteai modelli organizzativi della conservazione, quest'ultima può essere svoltasia all'interno della struttura organizzativa del soggetto produttore deidocumenti informatici oggetto di conservazione che da parte di altri soggetti,pubblici o privati, che offrono idonee garanzie; in particolare, le pp. aarealizzano il sistema all'interno della propria organizzazione o attraverso iconservatori accreditati, pubblici o privati, di cui all'articolo 44-bis, comma1, del CAD (art. 5 dello schema). Loschema di decreto individua all'interno del sistema di conservazione almeno treruoli: il produttore, l'utente e il responsabile della conservazione (art. 6,comma 1, dello schema). Ilproduttore è la persona fisica o giuridica responsabile della formazione e delcontenuto del documento informatico, nonché della sua trasmissione attraversoil sistema di protocollo informatico (cfr. glossario in all. 1). L'utenteè la persona, l'ente o il sistema che, per fruire delle informazioni diinteresse, interagisce con i servizi di un sistema di gestione informatica deidocumenti e/o di un sistema per la conservazione dei documenti informatici(all. 1). Alriguardo, l'utente può richiedere al sistema di conservazione l'accesso aidocumenti per acquisire le informazioni di interesse, ma solo "nei limitiprevisti dalla legge" (art. 6, comma 4, dello schema). Le informazioni diinteresse sono fornite secondo determinate modalità di esibizione in base allequali il sistema di conservazione permette ai soggetti autorizzati l'accessodiretto, anche da remoto, al documento informatico conservato, "fermirestando gli obblighi previsti in materia di esibizione dei documenti dallanormativa vigente" (art. 10 dello schema). Ilresponsabile della conservazione è una figura chiave del sistema diconservazione, cui lo schema attribuisce una serie cospicua di compiti efunzioni (art. 7 dello schema). Fra questi assumono particolare rilevanza,sotto il profilo della protezione dei dati personali, il compito di adottare lemisure necessarie per la sicurezza fisica e logica del sistema di conservazione(artt. 7, comma 1, lett. i), e 12) e l'obbligo di predisporre il manuale diconservazione, curandone al contempo l'aggiornamento. Ilmanuale di conservazione illustra dettagliamente l'organizzazione del sistema,i soggetti coinvolti e i relativi ruoli, il modello di funzionamento, ladescrizione delle architetture e delle infrastrutture utilizzate nonché lemisure di sicurezza adottate e deve riportare almeno le informazioni rischiestenel decreto (art. 8, commi 1 e 2, dello schema). Ilresponsabile della conservazione opera d'intesa con il responsabile dellasicurezza, con il responsabile dei sistemi informativi e con il responsabiledella gestione documentale, nonché con il responsabile del trattamento dei dati(art. 8 dello schema in attuazione dell'art. 44, comma 1-bis, del CAD); alriguardo, si rileva che il glossario definisce il responsabile del trattamentodei dati in modo corrispondente all'articolo 4, comma 1, lett. g), del Codice. Ilresponsabile della conservazione gestisce l'intero sistema di conservazione conpiena responsabilità ed autonomia, potendo anche delegare lo svolgimento delprocesso di conservazione o parte di esso ad uno o più soggetti dotati dispecifica competenza ed esperienza (art. 6, commi 4 e 5, dello schema); laconservazione può essere affidata ad un soggetto esterno (art. 6, comma 7), ein tal caso quest'ultimo assume il ruolo di responsabile del trattamento deidati come previsto dal Codice (art. 6, commi 7 e 8, dello schema). Infine,quanto al processo di conservazione, ai fini della vigilanza dell'Agenzia perl'Italia digitale i sistemi di conservazione delle pp. aa. (e dei conservatoriaccreditati) prevedono la materiale conservazione dei dati (e delle copie disicurezza) sul territorio nazionale, garantendo sia un accesso ai dati pressola sede del produttore che misure di sicurezza conformi a quelle previste daldecreto in questione (art. 9 dello schema). RITENUTO IlCAD prevede che le disposizioni da esso recate si applicano nel rispetto delladella disciplina rilevante in materia di trattamento dei dati personali e, inparticolare, del Codice (art. 2, comma 5, del CAD). Analogamentea quanto previsto dall'omologo schema di decreto sulla formazione e gestionedei documenti, su cui il Garante rende separato parere, si ritiene necessariointegrare lo schema con la previsione, coerente con quanto sopra evidenziato,che le regole tecniche introdotte dall'odierno decreto si applicano anch'esse nelrispetto delle predetta disciplina. Loschema, come descritto già in premessa, stabilisce che le regole tecnicheintrodotte si applicano alle pp. aa. di cui all'articolo 1, comma 2, deldecreto legislativo 30 marzo 2001, n. 165, alle società interamente partecipateda enti pubblici o con prevalente capitale pubblico, e ai privati, "nonchéagli altri soggetti a cui è eventualmente affidata la gestione o laconservazione dei documenti informatici" (art. 2, comma 2, dello schema). Alriguardo è opportuno chiarire se per tali altri soggetti si intendano –comesembra- quelli, esterni al titolare del trattamento dei dati, cui sia affidatala conservazione dei documenti ai sensi dell'articolo 6, comma 7, dello schema. 3.1.Come già descritto sopra, lo schema prevede che il responsabile dellaconservazione operi d'intesa, fra gli altri, con il responsabile deltrattamento dei dati (art. 8 dello schema). Alriguardo si rileva che la figura del responsabile del trattamento dei datipersonali potrebbe anche non essere individuata presso un titolare deltrattamento (art. 29 del Codice). Si reputa più opportuno invece che lamedesima persona, ove possibile, assuma la duplice funzione di responsabiledella conservazione e di responsabile del trattamento dei dati personalicontenuti nei documenti oggetto del sistema di conservazione. 3.2.Lo schema inoltre prevede che il responsabile della conservazione affidi lagestione della conservazione ad un soggetto esterno (art. 6, comma 7), e in talcaso quest'ultimo assume il ruolo di responsabile del trattamento dei dati(art. 6, commi 7 e 8, dello schema). Nel prendere atto favorevolmente di taledisposizione, si rammenta che tale previsione non esime il titolare deltrattamento (la p.a. o l'altro soggetto presso cui è istituito il sistema diconservazione) dal designare il responsabile del trattamento con atto espresso,ai sensi dell'articolo 29 del Codice. Intale quadro, però, non appare del tutto chiaro il rinvio a tale figura diresponsabile contenuto nell'articolo 10 dello schema in tema di obblighiprevisti in materia di esibizione dei documenti. Loschema reca disposizioni specifiche in materia di sicurezza del sistema diconservazione, distinte a secondo che il tema riguardi le pubblicheamministrazioni ovvero soggetti privati (art. 12). Inparticolare, per quanto riguarda le pp. aa., il responsabile della conservazionedi concerto con il responsabile della sicurezza e con il responsabile deisistemi informativi (nelle pp. aa. centrali) deve predisporre, nell'ambito delpiano generale della sicurezza, il piano della sicurezza del sistema diconservazione, in conformità alle misure di sicurezza previste dagli articolida 31 a 36 del Codice e dal disciplinare tecnico di cui all'allegato B, nonchéin coerenza, tra l'altro, con gli articoli 50-bis e 51 del CAD (art. 12 delloschema). Com'ènoto, infatti, ai sensi di tali ultime disposizioni, le pp. aa. definiscono ilpiano di continuità operativa e il piano di disaster recovery (parte integrantedi quello di continuità operativa), che stabilisce le misure tecniche eorganizzative per garantire il funzionamento dei centri di elaborazione dati edelle procedure informatiche rilevanti in siti alternativi a quelli diproduzione. L'Agenzia per l'Italia digitale, sentito il Garante, definisce lelinee guida per le soluzioni tecniche idonee a garantire la salvaguardia deidati e delle applicazioni informatiche, verificando annualmente il costanteaggiornamento dei piani di disaster recovery delle amministrazioni interessate(art. 50-bis del CAD). Inoltre, i documenti informatici delle pp. aa. devonoessere custoditi riducendo al minimo i rischi di distruzione, perdita, accessonon autorizzato o non consentito o non conforme alle finalità della raccolta.Le pp. aa. hanno comunque l'obbligo di aggiornare tempestivamente i dati neipropri archivi, non appena vengano a conoscenza dell'inesattezza degli stessi(art. 51 del CAD). Quantoai soggetti privati, lo schema si limita a prevedere che coloro i qualiappartengano ad organizzazioni che già adottano particolari regole di settoreper la sicurezza dei sistemi informativi, si adeguino a tali regole; mentretutti gli altri possano adottare quale modello di riferimento le regole disicurezza di cui agli articoli 50-bis e 51 del CAD. Alriguardo, occorre considerare che le disposizioni in materia di sicurezza deidati personali previste dal Codice (articoli da 31 a 36 e all. B) si applicanoa ogni titolare del trattamento dei dati, sia esso soggetto pubblico o privato.Inoltre lo stesso CAD, con riferimento ai requisiti per la conservazione deidocumenti informatici, stabilisce che il sistema di conservazione deveassicurare, fra l'altro, anche il rispetto delle misure di sicurezza previstedal Codice e dal relativo disciplinare tecnico pubblicato in allegato B (art.44, comma 1, del CAD). Inconclusione, è pertanto opportuno integrare l'articolo 12, comma 2, delloschema prevedendo che anche i soggetti privati adeguino i propri sistemi diconservazione agli standard di sicurezza previsti dal Codice, e in particolarealle misure di sicurezza di cui agli articoli da 31 a 36 e dal disciplinare tecnicodi cui all'allegato B. L'articolo10 dello schema prevede che il sistema di conservazione permetta ai soggettiautorizzati l'accesso diretto, anche da remoto, al documento informaticoconservato "attraverso la produzione di un pacchetto di distribuzionesecondo le modalità descritte nel manuale di conservazione". Alriguardo, la disposizione dell'articolo 10 dovrebbe essere perfezionataprevedendo che il sistema di conservazione garantisca la selettività degliaccessi, in modo da scongiurare la consultazione libera e indifferenziata deidocumenti. Loschema di decreto, come già anticipato sopra, prevede 5 allegati che fannoparte integrante del decreto stesso, recanti, oltre che il glossario, lepertinenti specifiche tecniche riguardanti i formati, gli standard tecnici, ilpacchetto di archiviazione e i metadati. Tali specifiche tecniche potrannoessere aggiornate con delibera dell'Agenzia per l'Italia digitale (art. 1,comma 1). Consideratoche le future delibere dell'Agenzia modificheranno il corpo del testo degliallegati parti integranti dell'odierno schema di decreto, su aspetti chepossono riguardare la protezione dei dati personali, si reputa necessario, alriguardo, prevedere espressamente la previa acquisizione del parere delGarante. IL GARANTE esprimeparere favorevole sullo schema di decreto del Presidente del Consigliodei Ministri recante regole tecniche in materia di sistema di conservazione deidocumenti informatici, con le seguenti condizioni: econ le seguenti osservazioni: Roma, 24 aprile 2013
|