g-docweb-display Portlet

Parere su uno schema di decreto del Presidente del Consiglio dei Ministri recante regole tecniche in materia di generazione, apposizione e verific...

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1870620]

Parere su uno schema di decreto del Presidente del Consiglio dei Ministri recante regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali - 24 novembre 2011

Registro dei provvedimenti
n. 448 del 24 novembre 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

Vista la richiesta di parere del Ministro per la pubblica amministrazione e l’innovazione;

Visto l’art. 154, comma 4 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

1. Con nota dell’Ufficio legislativo del Ministro per la pubblica amministrazione e l’innovazione è stato richiesto il parere del Garante in ordine a uno schema di decreto del Presidente del Consiglio dei Ministri recante regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3; 24, comma 4; 28, comma 3; 32, comma 3, lettera b); 35, comma 2; 36, comma 2 e 71, del codice dell’amministrazione digitale (d.lgs.  7 marzo 2005, n. 82 e successive modificazioni; infra: CAD).

L’Amministrazione intende disciplinare la materia in questione anche mediante un altro decreto del Presidente del Consiglio dei Ministri - adottato ai sensi dell’articolo 28, comma 3-bis, del CAD e volto a definire le modalità con le quali le informazioni sul certificato qualificato confluiscono in un separato certificato elettronico e sono rese disponibili, eventualmente, anche in rete - il cui schema è stato anch’esso trasmesso, per completezza ed analogia di materia, a questa Autorità e in ordine al quale si esprime separato parere.

Il provvedimento in oggetto definisce, in particolare, le regole tecniche cui devono conformarsi le attività di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, per la validazione temporale e per lo svolgimento, da parte dei certificatori qualificati, dei propri compiti.

In particolare, il Titolo I reca le disposizioni generali, contiene le definizioni utilizzate nel prosieguo del testo e disciplina l’ambito di applicazione del provvedimento.

Il Titolo II contiene le disposizioni applicabili alle firme elettroniche qualificate e digitali, disciplinandone segnatamente caratteristiche generali, modalità di generazione e conservazione, prevedendo i requisiti che devono possedere i dispositivi sicuri per la generazione delle firme e dettando altresì specifiche disposizioni in ordine alla generazione, al contenuto e alla revoca e sospensione dei certificati qualificati, nonché, più in generale, al servizio di certificazione.

Il Titolo III contiene disposizioni relative ai certificatori accreditati, disciplinandone segnatamente gli obblighi.

In particolare, l’articolo 42, al comma 10, impone ai certificatori di rendere disponibile a DigitPA un servizio che consenta di conoscere se, per un determinato codice fiscale, sia stato rilasciato un certificato qualificato e la relativa scadenza. A tal fine, DigitPA è tenuta a definire con proprio provvedimento– sentito, tra l’altro, il Garante – le caratteristiche del servizio, le modalità e i vincoli per la sua fruizione.

Il Titolo IV detta specifiche prescrizioni per la validazione temporale mediante marca, appunto, temporale, disciplinando segnatamente i requisiti di precisione e sicurezza dei relativi sistemi di validazione.

Il Titolo V contiene disposizioni in materia di firma elettronica avanzata, prevedendo in particolare le caratteristiche, il grado di affidabilità e i limiti d’uso di tali soluzioni.

Il Titolo VI – oltre a disposizioni finali e transitorie – reca infine prescrizioni in materia di valore delle firme elettroniche qualificate e digitali nel tempo.

RILEVATO

2. Lo schema di decreto contiene delle specificazioni di aspetti tecnici di alcuni degli strumenti più innovativi introdotti dal CAD e utili alla dematerializzazione dei flussi documentali, quali i diversi tipi di firma elettronica (avanzata, qualificata, digitale, remota).

Il decreto cura aspetti modali della generazione delle chiavi crittografiche, della conservazione dei dati per la creazione della firma, per la generazione delle chiavi di sottoscrizione al di fuori del dispositivo di firma.

Le fasi tecniche della generazione delle chiavi appaiono assistite da misure di sicurezza adeguate anche tramite il ricorso a certificazioni di sicurezza quali quelle rilasciate dall’OCSI (Organismo certificatore della sicurezza informatica in Italia) e previste dall’articolo 35 del CAD, e dall’introduzione di profili di protezione dei dispositivi sicuri per la generazione della firma elettronica qualificata e digitale (artt. 12 e 13 dello schema di decreto).

Anche le previsioni in materia di sospensione, sostituzione e revoca  dei certificati appaiono in linea con i livelli di sicurezza necessari alle delicate attività connesse alla gestione  dei certificati.

Infine, è condivisibile il contenuto dell’articolo 34 dello schema, ai sensi del quale è necessario il consenso del titolare del certificato per rendere i certificati accessibili al pubblico, al fine di verificare le firme digitali (comma 2), e i dati dei certificati resi accessibili e le liste dei certificati revocati e sospesi possono essere utilizzati per le sole finalità di applicazione delle norme del presente decreto che disciplinano la verifica delle firme elettroniche (comma 3), in coerenza con il principio di finalità nel trattamento dei dati personali (art. 11 del Codice in materia di protezione dei dati personali, infra "Codice").

RITENUTO

3. L’articolo 35 dello schema disciplina, in particolare, il contenuto minimo del piano per la sicurezza che il certificatore è tenuto a definire,  prevedendo peraltro che tale piano debba attenersi "almeno alle misure minime di sicurezza per il trattamento dei dati personali emanate ai sensi dell’articolo 33 del decreto legislativo 30 giugno 2003, n. 196" (corsivo aggiunto).

Tale previsione appare riduttiva della portata degli obblighi sanciti dal Codice a tutela della sicurezza dei dati e dei sistemi, nella misura in cui impone al certificatore il rispetto delle sole misure minime di cui all’articolo 33.

Pertanto, al fine di garantire la piena conformità della suddetta previsione agli standard di sicurezza sanciti dal Codice (che, all’articolo 31, richiede l’adozione di misure di sicurezza "idonee" a ridurre al minimo i rischi di distruzione dei dati o di accesso abusivo ai sistemi), al comma 5 dell’articolo 35, le parole da: "almeno", fino a: "33", devono essere sostituite dalle seguenti: "alle misure di sicurezza previste dal Titolo V della Parte I".

CONSIDERATO

4. Alla luce di quanto considerato al punto 2) e ferme restando le osservazioni di cui al punto 3), può in conclusione affermarsi che l’odierno provvedimento presenta un contenuto prevalentemente tecnico, di carattere non innovativo sotto il profilo della protezione dei dati personali e comunque coerente con il quadro normativo vigente in materia.

Il Garante pertanto non ha ulteriori osservazioni da formulare.

IL GARANTE

esprime parere favorevole sullo schema di decreto del Presidente del Consiglio dei Ministri recante regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3; 24, comma 4; 28, comma 3; 32, comma 3, lettera b); 35, comma 2; 36, comma 2 e 71, del CAD, con la seguente condizione:

a) all’articolo 35, comma 5, le parole da: "almeno", fino a: "33", siano sostituite dalle seguenti: "alle misure di sicurezza previste dal Titolo V della Parte I" (punto 3).

Roma, 24 novembre 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
De Paoli