Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Parere del Garante sullo schema di decreto del Presidente del Consiglio dei Ministri recante regole tecniche in materia di sistema di conservazione dei documenti informatici - 24 aprile 2013 [2470970]

[doc. web n. 2470970]

Parere del Garante sullo schema di decreto del Presidente del Consiglio dei Ministri recante regole tecniche in materia di sistema di conservazione dei documenti informatici - 24 aprile 2013

Registro dei provvedimenti
n. 214 del 24 aprile 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministro per la pubblica amministrazione e la semplificazione;

Visto l'articolo 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Con nota del Capo dell'ufficio legislativo del Ministro per la pubblica amministrazione e la semplificazione è stato richiesto il parere del Garante sullo schema di decreto del Presidente del Consiglio dei Ministri recante regole tecniche in materia di sistema di conservazione dei documenti informatici.

Il decreto è adottato ai sensi dell'articolo 71 del Codice dell'amministrazione digitale di cui al decreto legislativo n. 82 del 2005 (infra CAD), e prevede le regole tecniche in materia di conservazione dei documenti informatici e dei documenti amministrativi informatici ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del CAD (art. 2, comma 1, dello schema).

Com'è noto, il CAD prevede, con norma generale (art. 71, comma 1), che le regole tecniche previste per l'applicazione della disciplina siano dettate con decreti del Presidente del Consiglio dei Ministri o del Ministro delegato per la pubblica amministrazione e l'innovazione, di concerto con i Ministri competenti, sentita la Conferenza unificata, ed il Garante nelle materie di competenza, previa acquisizione obbligatoria del parere tecnico di Digit-PA (ora Agenzia per l'Italia digitale).

In più disposizioni del decreto legislativo si fa poi espresso riferimento a tali regole tecniche, da adottarsi appunto con le modalità di cui all'articolo 71. Al riguardo si richiama l'attenzione sull'articolo 20, comma 4, (cui l'odierno decreto da attuazione) ai sensi del quale devono essere definite le "misure tecniche, organizzative e gestionali volte a garantire l'integrità, la disponibilità e la riservatezza delle informazioni contenute nel documento informatico.".

L'Amministrazione intende disciplinare la materia della formazione, gestione e conservazione dei documenti informatici anche mediante altri due decreti recanti le regole tecniche, rispettivamente, sulla formazione e gestione in generale del documento informatico e in materia di protocollo informatico, i cui schemi sono stati anch'essi trasmessi, per completezza ed analogia di materia, a questa Autorità e in ordine ai quali si esprime separato parere.

RILEVATO

L'ambito di applicazione delle disposizioni in esame è quello previsto dall'articolo 2, commi 2 e 3, del CAD, con riferimento, quindi, alle pp. aa. di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nonché alle società, interamente partecipate da enti pubblici o con prevalente capitale pubblico inserite nel conto economico consolidato della pubblica amministrazione, come individuate dall'Istituto nazionale di statistica (ISTAT) ai sensi dell'articolo 1, comma 5, della legge 30 dicembre 2004, n. 311, oltre che ai privati, ai sensi dell'articolo 3 del d.P.R. 28 dicembre 2000, n. 445, recante il testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa (infra testo unico) (art. 2, comma 2, dello schema).

Lo schema di decreto si compone di un articolato e di 5 allegati che fanno parte integrante del decreto stesso, recanti il glossario (all. 1) e le pertinenti specifiche tecniche riguardanti i formati (all. 2), gli standard tecnici (all. 3), il pacchetto di archiviazione (all. 4) e i metadati (all. 5). Le predette specifiche tecniche sono aggiornate con delibera dell'Agenzia per l'Italia digitale (art. 1 dello schema).

Lo schema di decreto, in attuazione di quanto previsto dall'articolo 44, comma 1, del CAD, disciplina il sistema di conservazione dei documenti, nonché i relativi modelli di conservazione (art. 3 ss. dello schema).

Quanto al sistema di conservazione, esso assicura la conservazione, dalla presa in carico sino all'eventuale scarto, dei documenti informatici e dei documenti amministrativi informatici con i relativi metadati, nonché dei fascicoli informatici ovvero le aggregazioni documentali informatiche con i metadati associati, garantendo, al contempo, autenticità, integrità, affidabilità, leggibilità e reperibilità. Il sistema di conservazione garantisce altresì l'accesso all'oggetto conservato per il periodo previsto dalla normativa (art. 3 dello schema).

Relativamente ai modelli organizzativi della conservazione, quest'ultima può essere svolta sia all'interno della struttura organizzativa del soggetto produttore dei documenti informatici oggetto di conservazione che da parte di altri soggetti, pubblici o privati, che offrono idonee garanzie; in particolare, le pp. aa realizzano il sistema all'interno della propria organizzazione o attraverso i conservatori accreditati, pubblici o privati, di cui all'articolo 44-bis, comma 1, del CAD (art. 5 dello schema).

Lo schema di decreto individua all'interno del sistema di conservazione almeno tre ruoli: il produttore, l'utente e il responsabile della conservazione (art. 6, comma 1, dello schema).

Il produttore è la persona fisica o giuridica responsabile della formazione e del contenuto del documento informatico, nonché della sua trasmissione attraverso il sistema di protocollo informatico (cfr. glossario in all. 1).

L'utente è la persona, l'ente o il sistema che, per fruire delle informazioni di interesse, interagisce con i servizi di un sistema di gestione informatica dei documenti e/o di un sistema per la conservazione dei documenti informatici (all. 1).

Al riguardo, l'utente può richiedere al sistema di conservazione l'accesso ai documenti per acquisire le informazioni di interesse, ma solo "nei limiti previsti dalla legge" (art. 6, comma 4, dello schema). Le informazioni di interesse sono fornite secondo determinate modalità di esibizione in base alle quali il sistema di conservazione permette ai soggetti autorizzati l'accesso diretto, anche da remoto, al documento informatico conservato, "fermi restando gli obblighi previsti in materia di esibizione dei documenti dalla normativa vigente" (art. 10 dello schema).

Il responsabile della conservazione è una figura chiave del sistema di conservazione, cui lo schema attribuisce una serie cospicua di compiti e funzioni (art. 7 dello schema). Fra questi assumono particolare rilevanza, sotto il profilo della protezione dei dati personali, il compito di adottare le misure necessarie per la sicurezza fisica e logica del sistema di conservazione (artt. 7, comma 1, lett. i), e 12) e l'obbligo di predisporre il manuale di conservazione, curandone al contempo l'aggiornamento.

Il manuale di conservazione illustra dettagliamente l'organizzazione del sistema, i soggetti coinvolti e i relativi ruoli, il modello di funzionamento, la descrizione delle architetture e delle infrastrutture utilizzate nonché le misure di sicurezza adottate e deve riportare almeno le informazioni rischieste nel decreto (art. 8, commi 1 e 2, dello schema).

Il responsabile della conservazione opera d'intesa con il responsabile della sicurezza, con il responsabile dei sistemi informativi e con il responsabile della gestione documentale, nonché con il responsabile del trattamento dei dati (art. 8 dello schema in attuazione dell'art. 44, comma 1-bis, del CAD); al riguardo, si rileva che il glossario definisce il responsabile del trattamento dei dati in modo corrispondente all'articolo 4, comma 1, lett. g), del Codice.

Il responsabile della conservazione gestisce l'intero sistema di conservazione con piena responsabilità ed autonomia, potendo anche delegare lo svolgimento del processo di conservazione o parte di esso ad uno o più soggetti dotati di specifica competenza ed esperienza (art. 6, commi 4 e 5, dello schema); la conservazione può essere affidata ad un soggetto esterno (art. 6, comma 7), e in tal caso quest'ultimo assume il ruolo di responsabile del trattamento dei dati come previsto dal Codice (art. 6, commi 7 e 8, dello schema).

Infine, quanto al processo di conservazione, ai fini della vigilanza dell'Agenzia per l'Italia digitale i sistemi di conservazione delle pp. aa. (e dei conservatori accreditati) prevedono la materiale conservazione dei dati (e delle copie di sicurezza) sul territorio nazionale, garantendo sia un accesso ai dati presso la sede del produttore che misure di sicurezza conformi a quelle previste dal decreto in questione (art. 9 dello schema).

RITENUTO

1. La disciplina in materia di protezione dei dati personali.

Il CAD prevede che le disposizioni da esso recate si applicano nel rispetto della della disciplina rilevante in materia di trattamento dei dati personali e, in particolare, del Codice (art. 2, comma 5, del CAD).

Analogamente a quanto previsto dall'omologo schema di decreto sulla formazione e gestione dei documenti, su cui il Garante rende separato parere, si ritiene necessario integrare lo schema con la previsione, coerente con quanto sopra evidenziato, che le regole tecniche introdotte dall'odierno decreto si applicano anch'esse nel rispetto delle predetta disciplina.

2. Ambito di applicazione.

Lo schema, come descritto già in premessa, stabilisce che le regole tecniche introdotte si applicano alle pp. aa. di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, alle società interamente partecipate da enti pubblici o con prevalente capitale pubblico, e ai privati, "nonché agli altri soggetti a cui è eventualmente affidata la gestione o la conservazione dei documenti informatici" (art. 2, comma 2, dello schema).

Al riguardo è opportuno chiarire se per tali altri soggetti si intendano –come sembra- quelli, esterni al titolare del trattamento dei dati, cui sia affidata la conservazione dei documenti ai sensi dell'articolo 6, comma 7, dello schema.

3. Il responsabile del trattamento dei dati personali.

3.1. Come già descritto sopra, lo schema prevede che il responsabile della conservazione operi d'intesa, fra gli altri, con il responsabile del trattamento dei dati (art. 8 dello schema).

Al riguardo si rileva che la figura del responsabile del trattamento dei dati personali potrebbe anche non essere individuata presso un titolare del trattamento (art. 29 del Codice). Si reputa più opportuno invece che la medesima persona, ove possibile, assuma la duplice funzione di responsabile della conservazione e di responsabile del trattamento dei dati personali contenuti nei documenti oggetto del sistema di conservazione.

3.2. Lo schema inoltre prevede che il responsabile della conservazione affidi la gestione della conservazione ad un soggetto esterno (art. 6, comma 7), e in tal caso quest'ultimo assume il ruolo di responsabile del trattamento dei dati (art. 6, commi 7 e 8, dello schema). Nel prendere atto favorevolmente di tale disposizione, si rammenta che tale previsione non esime il titolare del trattamento (la p.a. o l'altro soggetto presso cui è istituito il sistema di conservazione) dal designare il responsabile del trattamento con atto espresso, ai sensi dell'articolo 29 del Codice.

In tale quadro, però, non appare del tutto chiaro il rinvio a tale figura di responsabile contenuto nell'articolo 10 dello schema in tema di obblighi previsti in materia di esibizione dei documenti.

4. Le misure di sicurezza.

Lo schema reca disposizioni specifiche in materia di sicurezza del sistema di conservazione, distinte a secondo che il tema riguardi le pubbliche amministrazioni ovvero soggetti privati (art. 12).

In particolare, per quanto riguarda le pp. aa., il responsabile della conservazione di concerto con il responsabile della sicurezza e con il responsabile dei sistemi informativi (nelle pp. aa. centrali) deve predisporre, nell'ambito del piano generale della sicurezza, il piano della sicurezza del sistema di conservazione, in conformità alle misure di sicurezza previste dagli articoli da 31 a 36 del Codice e dal disciplinare tecnico di cui all'allegato B, nonché in coerenza, tra l'altro, con gli articoli 50-bis e 51 del CAD (art. 12 dello schema).

Com'è noto, infatti, ai sensi di tali ultime disposizioni, le pp. aa. definiscono il piano di continuità operativa e il piano di disaster recovery (parte integrante di quello di continuità operativa), che stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. L'Agenzia per l'Italia digitale, sentito il Garante, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verificando annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate (art. 50-bis del CAD). Inoltre, i documenti informatici delle pp. aa. devono essere custoditi riducendo al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta. Le pp. aa. hanno comunque l'obbligo di aggiornare tempestivamente i dati nei propri archivi, non appena vengano a conoscenza dell'inesattezza degli stessi (art. 51 del CAD).

Quanto ai soggetti privati, lo schema si limita a prevedere che coloro i quali appartengano ad organizzazioni che già adottano particolari regole di settore per la sicurezza dei sistemi informativi, si adeguino a tali regole; mentre tutti gli altri possano adottare quale modello di riferimento le regole di sicurezza di cui agli articoli 50-bis e 51 del CAD.

Al riguardo, occorre considerare che le disposizioni in materia di sicurezza dei dati personali previste dal Codice (articoli da 31 a 36 e all. B) si applicano a ogni titolare del trattamento dei dati, sia esso soggetto pubblico o privato. Inoltre lo stesso CAD, con riferimento ai requisiti per la conservazione dei documenti informatici, stabilisce che il sistema di conservazione deve assicurare, fra l'altro, anche il rispetto delle misure di sicurezza previste dal Codice e dal relativo disciplinare tecnico pubblicato in allegato B (art. 44, comma 1, del CAD).

In conclusione, è pertanto opportuno integrare l'articolo 12, comma 2, dello schema prevedendo che anche i soggetti privati adeguino i propri sistemi di conservazione agli standard di sicurezza previsti dal Codice, e in particolare alle misure di sicurezza di cui agli articoli da 31 a 36 e dal disciplinare tecnico di cui all'allegato B.

5. L'esibizione dei documenti.

L'articolo 10 dello schema prevede che il sistema di conservazione permetta ai soggetti autorizzati l'accesso diretto, anche da remoto, al documento informatico conservato "attraverso la produzione di un pacchetto di distribuzione secondo le modalità descritte nel manuale di conservazione".

Al riguardo, la disposizione dell'articolo 10 dovrebbe essere perfezionata prevedendo che il sistema di conservazione garantisca la selettività degli accessi, in modo da scongiurare la consultazione libera e indifferenziata dei documenti.

6. Aggiornamento delle specifiche tecniche.

Lo schema di decreto, come già anticipato sopra, prevede 5 allegati che fanno parte integrante del decreto stesso, recanti, oltre che il glossario, le pertinenti specifiche tecniche riguardanti i formati, gli standard tecnici, il pacchetto di archiviazione e i metadati. Tali specifiche tecniche potranno essere aggiornate con delibera dell'Agenzia per l'Italia digitale (art. 1, comma 1).

Considerato che le future delibere dell'Agenzia modificheranno il corpo del testo degli allegati parti integranti dell'odierno schema di decreto, su aspetti che possono riguardare la protezione dei dati personali, si reputa necessario, al riguardo, prevedere espressamente la previa acquisizione del parere del Garante.

IL GARANTE

esprime parere favorevole sullo schema di decreto  del Presidente del Consiglio dei Ministri recante regole tecniche in materia di sistema di conservazione dei documenti informatici, con le seguenti condizioni:

a) si apportino allo schema, e all'articolo 10 in particolare, le richieste precisazioni in materia di esibizione dei documenti (punto 5), anche coordinando il predetto articolo 10 con il disposto di cui all'articolo 6, comma 8, sul responsabile del trattamento dei dati (punto 3.2);

b) all'articolo 1, comma 1, si preveda espressamente che l'Agenzia per l'Italia digitale adotti le delibere di aggiornamento delle specifiche tecniche di cui agli allegati 2, 3, 4 e 5 previo parere del Garante (punto 6);

e con le seguenti osservazioni:

a) si valuti di perfezionare lo schema precisando che le regole tecniche sono applicabili nel rispetto della disciplina rilevante in materia di trattamento dei dati personali e, in particolare, del Codice (punto 1);

b) si valuti di integrare l'articolo 12, comma 2, dello schema prevedendo che anche i soggetti privati adeguino i propri sistemi di conservazione agli standard di sicurezza previsti dal Codice, e in particolare alle misure di sicurezza di cui agli articoli da 31 a 36 e dal disciplinare tecnico di cui all'allegato B, come stabilito in generale dalla normativa in materia di protezione dei dati personali, peraltro richiamata dal CAD (punto 4);

c)  all'articolo 2, comma 2, si chiarisca se per "altri soggetti" si intendano –come sembra- quelli, esterni al titolare del trattamento dei dati, cui sia affidata la conservazione dei documenti ai sensi dell'articolo 6, comma 7, dello schema (punto 2);

d) valuti l'Amministrazione di stabilire nello schema che la medesima persona assuma la duplice funzione di responsabile della conservazione e di responsabile del trattamento dei dati personali contenuti nei documenti oggetto del sistema di conservazione (punto 3.1.).

Roma, 24 aprile 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia