Nell'aggiornamento delle regole tecniche sui documenti informatici devono essere espunte le norme che hanno, invece, natura sostanziale o che assumono un valore sostanzialmente precettivo per effetto della loro formulazione. Rimangono da attuare alcune previsioni contenute nella direttiva 1999/93/CE relativa al quadro comunitario sulle firme elettroniche sull'uso di pseudonimi.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Vista la nota della Presidenza del Consiglio dei ministri-Dipartimento della funzione pubblica del 24 maggio 2001 con la quale è stato chiesto il parere del Garante in ordine ad uno schema di d.P.C.M. di aggiornamento delle regole tecniche concernenti i documenti informatici;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica italiana n. 162 del 13 luglio 2000;

Relatore il dott. Mauro Paissan;

OSSERVA:

La Presidenza del Consiglio dei ministri - Dipartimento della funzione pubblica ha chiesto il parere del Garante in ordine ad uno schema di d.P.C.M. di aggiornamento delle regole tecniche concernenti la formazione ed altre operazioni relative ai documenti informatici, già contenute nel d.P.C.M. 8 febbraio 1999.

Il Garante valuta positivamente la circostanza che le disposizioni in materia di documenti informatici siano aggiornate in relazione all'evoluzione delle conoscenze scientifiche e tecnologiche, come del resto previsto dall'articolo 8, comma 2, del testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa (d.P.R. 28 dicembre 2000, n. 445).

Questa Autorità osserva, però, che varie disposizioni dello schema trasmesso, in parte già contenute nel sostituendo decreto, recano norme di natura sostanziale o che assumono un valore sostanzialmente precettivo per effetto della loro formulazione, che non dovrebbero essere ricomprese fra le mere "regole tecniche" oggetto del presente schema (si vedano, fra le altre, la disposizione che stabilisce requisiti di onorabilità dei certificatori - art. 45 - o che riguarda la validità del documento informatico - art. 53 - come pure la previsione di "modalità di esecuzione" di una disposizione sui requisiti dei certificatori mediante circolare - art. 14, comma 3).

Non si vuole disconoscere l'utilità di un sistema di regole tecniche, omogenee e flessibili. Occorre tuttavia sottolineare l'esigenza che tale disciplina di carattere meramente tecnico sia tenuta distinta dalle disposizioni a carattere normativo, primario o regolamentare, la cui sede naturale è, semmai, il noto testo unico in materia di documentazione amministrativa.

Si invita, pertanto, a tener conto di questa osservazione in riferimento al complessivo tenore del provvedimento.

Quanto alle singole disposizioni dello schema il Garante osserva:

• art. 14, comma 4: per quanto sopra detto, non appare conforme alla natura tecnica delle disposizioni dello schema la previsione, in questa sede, di un potere di acquisizione di informazioni finalizzato all'esercizio di poteri di verifica e di controllo, fermo restando che l'AIPA potrà, comunque, esercitare tale potere ai sensi della normativa richiamata nell'art. 14, comma 4;

• art. 18, comma 2: sebbene il d.P.C.M. 9 febbraio 1999 contenga già una norma analoga, devono essere individuati criteri per una identificazione il più possibile uniforme degli utenti da parte dei certificatori, al fine di scongiurare il rischio di una eccessiva e disomogenea parcellizzazione delle modalità contenute negli appositi manuali;

• artt. 19 e 23: la previsione contenuta nell'art. 19 in ordine alla possibilità di uso di uno pseudonimo appare corretta e conforme all'art. 8, par. 3, della direttiva 1999/93/CE relativa al quadro comunitario sulle firme elettroniche. Si coglie però l'occasione per sottolineare (tenendo conto di quanto sopra osservato a proposito del ruolo riconosciuto alle regole tecniche in esame), che in relazione alle disposizioni contenute nell'art. 19 e nel successivo art. 23, permane l'esigenza di dare rapida attuazione alle restanti parti dell'articolo 8 della citata direttiva, per gli aspetti concernenti la raccolta di dati personali, la manifestazione del consenso e l'uso dei dati medesimi per fini diversi;

• art. 20: è necessario che la disposizione contenga un esplicito richiamo all'obbligo di informativa previsto dall'articolo 10 della legge n. 675/1996 in materia di protezione di dati personali;

• art. 40, comma 3, lett. p): appare necessario fissare criteri di omogeneità in ordine alle modalità di protezione della riservatezza da inserire nei manuali operativi, anche in considerazione del fatto che tali manuali sembrano adottabili senza il previo esame da parte dell'AIPA o di questa Autorità;

• art. 55-bis, comma 2: anche in riferimento a tale disposizione, devono essere indicati i criteri cui le pubbliche amministrazioni devono attenersi per definire ed applicare regole tecniche diverse da quelle contenute nello schema in esame.

Si prega, infine, di menzionare nel preambolo l’avvenuta consultazione del Garante.

TUTTO CIò PREMESSO IL GARANTE:

• esprime il parere richiesto nei termini di cui in motivazione.

Roma, 14 giugno 2001