Garante per la protezione
    dei dati personali


Parere uno schema di provvedimento inmateria di regole tecniche per l'adozione nel processo civile e nel processopenale delle tecnologie dell'informazione e della comunicazione

PROVVEDIMENTO DEL 18 DICEMBRE 2013

Registro dei provvedimenti
n. 584 del 18 dicembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale;

Vistala richiesta di parere del Ministero della giustizia;

Vistol'art. 154, comma 4, del Codice in materia di protezione dei dati personali(d.lgs. 30 giugno 2003, n. 196);

Vistala documentazione in atti;

Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatorela dott.ssa Augusta Iannini;

PREMESSO

IlMinistero della giustizia ha richiesto il parere del Garante in ordine ad unoschema di provvedimento del Direttore Generale per i sistemi informativiautomatizzati del Ministero della giustizia, concernente specifiche tecnichedel decreto del Ministro della giustizia in data 21 febbraio 2011 n. 44,recante il regolamento sulle regole tecniche per l'adozione nel processo civilee nel processo penale delle tecnologie dell'informazione e della comunicazione(infra: Regolamento).

L'odiernoprovvedimento – che attua il disposto di cui all'articolo 34 delRegolamento – è volto a sostituire il provvedimento adottato dalResponsabile per i sistemi informativi automatizzati del Ministero dellagiustizia (infra: Responsabile S.I.A.) il 18 luglio 2011 e recante"Specifiche tecniche per l'adozione nel processo civile e nel processopenale delle tecnologie dell'informazione e della comunicazione", su cuiil Garante ha reso a suo tempo parere (parere del 10 giugno 2011) (art. 31dello schema).

L'adozionedell'odierno provvedimento rinviene la propria ragione segnatamente nellemodifiche apportate all'articolo 18 del menzionato Regolamento, concernente lenotificazioni per via telematica eseguite dagli avvocati, dapprima dal d.m. 15ottobre 2012, n. 209 e successivamente dal d.m. 3 aprile 2013, n. 48. Alriguardo si ritiene opportuno che il preambolo dello schema di provvedimentoevidenzi detta circostanza, mediante un esplicito riferimento ai citati decretiministeriali.

L'odiernoparere tiene conto delle osservazioni svolte in precedenza dal Garante (pareredel 10 giugno 2011 citato) e in particolare di alcune condizioni che nonrisultano pienamente recepite dal provvedimento 18 luglio 2011.

RILEVATO

1. Infrastrutture informatiche.

Ilcomma 2 dell'articolo 3 dispone che costituiscono infrastrutture unitarie ecomuni le banche dati e i sistemi informatici indicati nell'allegato 1 alloschema di provvedimento. La disposizione intende recepire le osservazioniformulate dal Garante nel parere del 16 giugno 2011 circa la necessità diun'elencazione tassativa di tali infrastrutture unitarie e comuni edell'indicazione specifica delle banche dati nazionali.

Alriguardo si richiama l'attenzione sulla lettera a) dell'allegato 1, concernente"le banche dati e i relativi sistemi informativi del personale (inclusi isistemi di misurazione e monitoraggio della performance), delle risorsefinanziarie, strumentali e materiali, del protocollo e di gestione documentaledegli atti amministrativi e delle attività amministrative anche presso gliuffici giudiziari". In proposito, si invita l'Amministrazione a valutarela funzionalità di tali banche dati rispetto alla realizzazione del processotelematico e al perseguimento delle finalità dello schema medesimo.

2. Conservazione dei log.

2.1.Diverse disposizioni del provvedimento (articoli 4, comma 6; 11, comma 3; 18,comma 4; 24, comma 10; 25, comma 3) disciplinano le modalità, le condizioni e itermini di conservazione dei log relativi agli accessi al sistema informaticodel Ministero o ai servizi da esso resi disponibili.

Lemenzionate norme contemplano differenti termini di conservazione dei log (diecianni, cinque anni, almeno cinque anni, secondo i casi). In particolare,l'articolo 4, comma 6, prevede un termine di conservazione pari a dieci anni(diverso dal termine di cinque anni, recato dall'art. 4, comma 6, dello schemadi provvedimento, su cui questa Autorità ha reso il parere 10 giugno 2011citato).

Nelribadire, in ogni caso, l'esigenza di fissare termini di conservazione congruie proporzionati rispetto alle finalità perseguite, si sottolinea come la duratadel predetto termine sembra contraddire quanto previsto dall'articolo 4, comma3, del Regolamento, a mente del quale "Il Ministero della giustiziagarantisce la conservazione dei log dei messaggi transitati attraverso ilproprio gestore di posta elettronica certificata per cinque anni" ediverge dal termine di conservazione di cinque anni, previsto dagli articoli11, comma 3, e 18, comma 4.
In proposito, si invita l'Amministrazione ariflettere sulla congruità e proporzionalità del termine di 10 anni previstodall'articolo 4, comma 6, dello schema e dall'articolo 25, comma 3.

2.2Sempre in merito alla conservazione dei log, si precisa che il comma 10dell'articolo 24 dispone che, in caso di accesso di soggetti delegati da unutente registrato al punto di accesso, il soggetto delegante conserva "peralmeno cinque anni" l'atto di delega unitamente alla "tracciatura diogni accesso effettuato su delega". In proposito, si richiamano leosservazioni formulate da questa Autorità nel parere del 10 giugno 2011 sullacircostanza che la mera indicazione di un termine minimo di conservazionecontrasta con l'esigenza di fissare termini certi (oltre che congrui) e non ilsolo limite minimo di conservazione.

2.3Infine, il comma 5 dell'articolo 9 bis prevede che l'accesso all'elenco degliindirizzi di posta elettronica certificata (di seguito: P.E.C.) di cui allamedesima norma sia "tracciato in appositi log". In proposito, siritiene che vada precisata la durata del periodo di conservazione del predettofile di log, che deve essere in ogni caso congrua e proporzionata rispetto allefinalità perseguite.

2.4.In conclusione si richiama l'attenzione dell'Amministrazione sulla necessità diindividuare, in tutti i casi in cui lo schema prevede la conservazione di log,termini di conservazione dei medesimi log certi, congrui e proporzionatirispetto alle finalità perseguite.

3. Identificazione informatica.

3.1L'articolo 6 dello schema disciplina l'identificazione informatica. Inparticolare, il comma 1 reca la precisazione- rispetto al provvedimento del 18luglio 2011- in base alla quale le modalità di identificazione informatica sulportale dei servizi telematici (carta d'identità elettronica o carta nazionaledei servizi) e sul punto di accesso (autenticazione a due fattori oppure tokencrittografico) riguardano "i soggetti abilitati esterni".

Indefinitiva, il citato comma 1 dell'articolo 6 dello schema, attraversol'inserimento del riferimento ai soli "soggetti abilitati esterni",sembra circoscrivere l'ambito di applicazione della norma a detti soggetti,escludendo dallo stesso i soggetti abilitati interni e gli utenti privati. Inproposito, si evidenzia come detta modifica andrebbe coordinata con le altreprevisioni dello schema che rinviano all'articolo 6 e, in relazione agli utentiprivati, con quanto prevede l'articolo 25, comma 2, dello schema, a mente delquale "il punto di accesso o il portale dei servizi telematici effettuanola registrazione del soggetto abilitato esterno o dell'utente privato,prelevando il codice fiscale dal token crittografico dell'utente".

3.2Inoltre, l'articolo 6, comma 1, dello schema, nel precisare le modalitàattraverso cui avviene l'identificazione informatica, sembra omettere ilricorso, a fini di identificazione, al sistema pubblico per la gestionedell'identità digitale dei cittadini e imprese (c.d. S.P.I.D.), di cuiall'articolo 64 del decreto legislativo 7 marzo 2005, n. 82, recante il Codicedell'amministrazione digitale (di seguito: C.A.D.), come modificatodall'articolo 17 ter, comma 2, del decreto legge 21 giugno 2013, n. 69,convertito, con modificazioni, dalla legge 9 agosto 2013, n. 98. In proposito,si ritiene, quindi, opportuno perfezionare la disposizione normativa,prevedendo che detta identificazione avvenga "in conformità all'articolo64 del decreto legislativo 7 marzo 2005, n. 82". La stessa precisazioneandrebbe inserita nell'articolo 10, comma 2, dello schema, che concernel'identificazione informatica dei soggetti abilitati interni.

4. Indirizzi di posta elettronica certificata dellepubbliche amministrazioni.

Loschema introduce una nuova disposizione rispetto al provvedimento 18 luglio2011, rappresentata dall'articolo 9 bis, che disciplina le modalità dicomunicazione degli indirizzi di P.E.C. da parte delle amministrazionipubbliche, ai sensi dell'articolo 16, comma 12, del decreto legge 18 ottobre2012, n. 179, convertito dalla legge 17 dicembre 2012, n. 221.

Sonopreviste due modalità alternative di comunicazione:

a)inserimento dell'indirizzo di P.E.C. da parte della pubblica amministrazionenel file inviato ai sensi dell'articolo 8, comma 3;

b)inserimento dell'indirizzo di P.E.C. all'interno dell'apposita area del portaledei servizi telematici, da parte di "soggetto incaricato" di inserireo modificare gli indirizzi di P.E.C. della pubblica amministrazione su dettoportale (modalità c.d. "semplificata").

Ilcomma 5 dell'articolo 9 bis stabilisce che l'elenco degli indirizzi di P.E.C.sia consultabile dagli avvocati tramite il proprio punto di accesso o tramiteil portale; l'accesso è "tracciato in appositi log". In proposito, siritiene che vadano precisate le informazioni contenute nel file di log,rispettando il principio in base al quale vanno conservati i soli datieffettivamente necessari a identificare l'autore dell'accesso alle informazionie al sistema, al fine di impedire ogni forma di abuso.

5. Comunicazioni e notificazioni contenenti datisensibili.

5.1L'articolo 18, comma 1, disciplina le comunicazioni e notificazioni contenentidati sensibili, prevedendo che essa sia effettuata per estratto. Ciò, nelrispetto di quanto previsto dal comma 6 dell'articolo 16 del Regolamento e dal comma 5 dell'articolo 16 del decreto legge n. 179/2012 citato. A mentedell'articolo 16, comma 6, del Regolamento, infatti, "la comunicazione checontiene dati sensibili è effettuata per estratto con contestuale messa adisposizione dell'atto integrale nell'apposita area del portale dei servizitelematici, secondo le specifiche tecniche stabilite ai sensi dell'articolo 34e nel rispetto dei requisiti di sicurezza di cui all'articolo 26, con modalitàtali da garantire l'identificazione dell'autore dell'accesso e la tracciabilitàdelle relative attività". Il comma 5 dell'articolo 16 del decreto legge n.179/2012 dispone che "La notificazione o comunicazione che contiene datisensibili è effettuata solo per estratto con contestuale messa a disposizione,sul sito internet individuato dall'amministrazione, dell'atto integrale cui ildestinatario accede mediante gli strumenti di cui all'articolo 64 del decretolegislativo 7 marzo 2005, n. 82."

Inparticolare, il comma 1 dell'articolo 18 dello schema prevede che "ildestinatario effettua il prelievo dell'atto integrale accedendo all'indirizzo(URL) contenuto nel messaggio di P.E.C. di avviso" e al comma 2 che taleprelievo "avviene attraverso l'apposito servizio proxy del portale deiservizi telematici, su canale sicuro (protocollo SSL); tale servizio effettual'identificazione informatica dell'utente, ai sensi dell'articolo 6";inoltre, ai sensi del comma 3 della disposizione, "Il prelievo di cui alcomma precedente avviene da un'apposita area di download del gestore deiservizi telematici".

Ciòpremesso, lo schema di provvedimento innova la corrispondente norma delprovvedimento del 18 luglio 2011, mediante l'introduzione di ulteriori duecommi (commi 5 e 6).

Inparticolare, il comma 5 si riferisce al caso in cui il destinatario sia unapubblica amministrazione e prevede che la comunicazione e la notificazionesiano effettuate allegando l'atto integrale cifrato. Nella relazioneillustrativa si legge che "in tale ipotesi, il prelievo dell'attointegrale attraverso il proxy di download di cui al comma 2 è impraticabile, inquanto l'identificazione ivi prevista avviene tramite smart card [], che vienerilasciata unicamente alla persona fisica". In proposito, si osserva chedetta previsione sembra contrastare con il comma 6 dell'articolo 16 delRegolamento, nonché con il comma 5 dell'articolo 16 del decreto legge n.179/2012, sopra descritti.

Alriguardo si rende necessario il coordinamento del comma 5 dell'articolo 18 conla normativa di riferimento sopra citata.

5.2Il comma 6 dell'articolo 18 dello schema contempla l'ipotesi in cuidestinatario della comunicazione/notificazione contenente dati sensibili siaun'impresa iscritta nel relativo registro. In merito all'abilitazione di dettoutente all'accesso all'atto integrale si ritiene che la semplice"associazione" dell'utente all'impresa destinataria nell'ambito delregistro delle imprese non sia un criterio sufficiente a soddisfare le esigenzelegate alla tutela della riservatezza e alla protezione dei dati personali alfine di evitare accessi abusivi, rendendosi necessario chiarire chi siano dettisoggetti "associati" all'impresa e abilitati ad accedere all'attointegrale, al fine di garantire che detto accesso sia riservato effettivamenteai soli soggetti legittimati.

Infine,allo scopo di garantire la sicurezza nella fase di trasmissione delleinformazioni, l'indirizzo URL contenuto nel messaggio di P.E.C. deve fareriferimento a protocolli di rete sicuri. A tale scopo, il comma 6 dell'articolo18 dello schema andrebbe allineato al comma 2 della medesima norma, prevedendol'uso del canale sicuro (protocollo SSL), mediante l'inserimento, dopo lalocuzione "indirizzo (URL) contenuto nel messaggio di P.E.C. diavviso", della precisazione "su canale sicuro (protocollo SSL)".

6. Requisiti di sicurezza.

Nell'ambitodel Capo IV relativo alla consultazione delle informazioni del dominiogiustizia, l'articolo 24 disciplina i requisiti di sicurezza. In particolare,il comma 10 della norma- concernente l'accesso dei soggetti delegati- prevedeche il soggetto delegante predisponga "un atto di delega, sottoscritto confirma digitale o firma elettronica qualificata".

Inrelazione alla sottoscrizione con firma elettronica qualificata, si fa presentechel'articolo 27, comma 4, del Regolamento prevede la sottoscrizione delladelega solo con firma digitale. Si ritiene, pertanto, che il riferimento allafirma elettronica qualificata vada eliminato, per allineare la previsione aquanto dispone la norma citata.

IL GARANTE

esprimeparere favorevole sullo schema di provvedimento del responsabile per i sistemiinformativi automatizzati del Ministero della giustizia concernente specifichetecniche del decreto del Ministro della giustizia adottato in data 21 febbraio2011 n. 44, recante il regolamento sulle regole tecniche per l'adozione nelprocesso civile e nel processo penale delle tecnologie dell'informazione edella comunicazione, con le seguenti condizioni:

a) neicasi in cui lo schema prevede la conservazione di log di cui agli articoli 4,comma 6; 9 bis, comma 5; 24, comma 10; 25, comma 3 siano individuati termini diconservazione dei medesimi log certi, congrui e proporzionati rispetto allefinalità perseguite, nei termini di cui in motivazione (punto 2);

b)l'articolo 6, comma 1, sia coordinato con le altre disposizioni dello schemache rinviano a detta norma, nonché con l'articolo 25, comma 2, con riguardoalla registrazione dell'utente privato, nei termini di cui in motivazione(punto 3.1.)

c) agliarticoli 6, comma 1, e 10, comma 2, dello schema, sia previsto chel'identificazione informatica avviene "in conformità all'articolo 64 deldecreto legislativo 7 marzo 2005, n. 82" (punto 3.2)

d) alcomma 5 dell'articolo 9 bis siano precisate le informazioni contenute nel filedi log, nei termini di cui in motivazione (punto 4);

e) siprovveda al coordinamento dell'articolo 18, comma 5, in merito allenotificazioni o comunicazioni alla pubblica amministrazione contenenti datisensibili, con la normativa di riferimento (punto 5.1);

f) in relazione all'articolo 18, comma 6, si chiarisca cosa si intende persoggetti "associati" all'impresa destinataria e dopo le parole"indirizzo (URL) contenuto nel messaggio di P.E.C. di avviso", sianoinserite le seguenti "su canale sicuro (protocollo SSL)" (punto 5.2);

g)all'articolo 24, comma 10, siano soppresse le parole "firma elettronicaqualificata" (punto 6);

econ le seguenti osservazioni:

h)valuti l'Amministrazione la funzionalità  delle "banche dati e irelativi sistemi informativi del personale (inclusi i sistemi di misurazione emonitoraggio della performance), delle risorse finanziarie, strumentali emateriali, del protocollo e di gestione documentale degli atti amministrativi edelle attività amministrative anche presso gli uffici giudiziari" rispettoalla realizzazione del processo telematico e al perseguimento delle finalità delloschema (punto 1.1).

Roma 18 dicembre 2013

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia