[doc. web n. 1807547]

Digit-PA: regole tecniche per la consultazione ed estrazione di indirizzi e di elenchi di indirizzi di posta elettronica certificata (PEC) di cittadini, imprese e professionisti, da parte della pubblica amministrazione - 21 aprile 2011

Registro dei provvedimenti
n. 151 del 21 aprile 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

Vista la richiesta di parere di Digit-PA;

Visto l´art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

Digit-Pa ha richiesto il parere del Garante in ordine a uno schema di provvedimento recante regole tecniche volte a disciplinare le modalità di consultazione ed estrazione di indirizzi e di elenchi di indirizzi di posta elettronica certificata (infra: PEC), da parte delle pubbliche amministrazioni, di cui agli articoli 16, comma 10, e 16-bis, comma 5, del decreto-legge 29 novembre 2008, n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2.

Il provvedimento è adottato ai sensi del comma 1-bis dell´articolo 6 del codice dell´amministrazione digitale (infra: CAD), di cui al decreto legislativo 7 marzo 2005, n. 82, aggiunto dall´articolo 5, comma 1, lettera b), del decreto legislativo 30 dicembre 2010, n. 235 e mira a regolamentare, dal punto di vista tecnico, le modalità di consultazione degli indirizzi PEC di cittadini, imprese e professionisti, e di estrazione degli elenchi dei medesimi indirizzi, da parte delle pubbliche amministrazioni. Ciò, ai fini delle comunicazioni telematiche con persone fisiche o giuridiche mediante uno strumento - qual è la PEC - che, ai sensi dell´articolo 48, comma 1, del CAD, consente la trasmissione di comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna.

In particolare, il provvedimento, all´articolo 1, comma 1, lettera a), prevede tre soggetti o categorie di soggetti (definiti "erogatori") tenuti a fornire alla pubblica amministrazione (definita "fruitore") gli indirizzi PEC - e i relativi elenchi - di imprese costituite in forma societaria, di professionisti iscritti in albi ed elenchi istituiti con legge dello Stato (art. 16, commi 6 e 7, d.l. n. 185 del 2008, cit.), nonché di cittadini (art. 16-bis, comma 5, , d.l. n. 185 del 2008, cit.).

Gli indirizzi PEC delle imprese costituite in forma societaria sono forniti dal gestore del registro delle imprese; gli indirizzi dei professionisti sono forniti dal gestore degli elenchi curati dagli ordini e dai collegi professionali; gli indirizzi dei cittadini i quali abbiano richiesto l´attivazione di una casella di PEC sono forniti dall´affidatario del relativo servizio, in osservanza di quanto sancito dal decreto del Presidente del Consiglio dei Ministri 6 maggio 2009, e in particolare dagli articoli 2, comma 1 e 7, comma 1.

Il provvedimento ribadisce l´obbligo del rispetto - da parte di fruitori ed erogatori, nell´ambito del trattamento di dati oggetto di regolamentazione - della disciplina in materia di protezione dei dati personali e, in particolare, del principio di finalità del trattamento dei dati (art. 3, commi 2 e 3), individuando peraltro in maniera dettagliata obblighi specifici e misure di sicurezza volte a prevenire possibili accessi abusivi o comunque violazione del diritto alla protezione dei dati personali degli interessati (cfr. ad esempio, art. 11, comma 3, in relazione al tracciamento delle richieste di accesso in modalità web e dell´invio delle credenziali).

RILEVATO

Il parere è reso su una versione aggiornata dello schema di provvedimento che tiene conto degli approfondimenti e delle indicazioni rese dall´Ufficio del Garante ai competenti uffici dell´ Amministrazione interessata nel corso di alcune riunioni, volte a garantire un più elevato standard di tutela del diritto alla protezione dei dati personali nell´ambito dei trattamenti disciplinati dal provvedimento in esame.

Le osservazioni dell´Ufficio hanno riguardato, in particolare, gli aspetti relativi all´effettiva osservanza dei principi di finalità e pertinenza dei dati trattati di cui all´articolo 11, comma 1, lettere b) e c) del Codice in materia di protezione dei dati personali; all´esatta delimitazione della sfera soggettiva e oggettiva di applicazione del provvedimento; alle modalità di realizzazione del flusso informativo tra i soggetti coinvolti e agli obblighi cui questi ultimi sono tenuti; alle misure di sicurezza necessarie e in particolare al tracciamento delle richieste di accesso e delle operazioni eseguite.

I rilievi formulati dall´Ufficio sono stati recepiti dal testo in esame e pertanto non vi sono ulteriori osservazioni da formulare.

IL GARANTE

esprime parere favorevole sullo schema di provvedimento di Digit-PA recante regole tecniche volte a disciplinare, ai sensi del comma 1-bis dell´articolo 6 del CAD, le modalità di consultazione ed estrazione di indirizzi e di elenchi di indirizzi di posta elettronica certificata di cittadini, imprese e professionisti, da parte della pubblica amministrazione.

Roma, 21 aprile 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli