Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Parere del Garante su uno schema di decreto del Presidente del Consiglio dei Ministri recante regole tecniche per il protocollo informatico - 24 aprile 2013 [2471217]

[doc. web n. 2471217]

Parere del Garante su uno schema di decreto del Presidente del Consiglio dei Ministri recante regole tecniche per il protocollo informatico - 24 aprile 2013

Registro dei provvedimenti
n. 215 del 24 aprile 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministro per la pubblica amministrazione e la semplificazione;

Visto l'articolo 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Con nota del Capo dell'ufficio legislativo del Ministro per la pubblica amministrazione e la semplificazione è stato richiesto il parere del Garante su uno schema di decreto del Presidente del Consiglio dei Ministri recante regole tecniche per il protocollo informatico.

Il decreto è adottato ai sensi dell'articolo 71 del Codice dell'amministrazione digitale di cui al decreto legislativo n. 82 del 2005 (infra "CAD"), e stabilisce le regole tecniche, i criteri e le specifiche delle informazioni previste nelle operazioni di registrazione di protocollo ai sensi degli articoli 40-bis, 41, e 47, del predetto CAD, nonché delle informazioni previste nelle operazioni di registrazione e segnatura di protocollo di cui agli articoli 53, 55 e 66 del d.P.R. 28 dicembre 2000, n. 445, recante il testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa (infra "testo unico") (art. 2 dello schema).

L'Amministrazione intende disciplinare la materia anche mediante altri due decreti recanti, rispettivamente, la disciplina delle regole tecniche sul documento informatico e in materia di sistema di conservazione di documenti informatici, i cui schemi sono stati anch'essi trasmessi, per completezza ed analogia di materia, a questa Autorità e in ordine ai quali si esprime separato parere.

RILEVATO

1. Principi generali e aspetti organizzativi delle pubbliche amministrazioni.

Lo schema di decreto si compone di un articolato e di 5 allegati che fanno parte integrante del decreto stesso, recanti il glossario (all. 1) e le pertinenti specifiche tecniche riguardanti i formati (all. 2), gli standard tecnici (all. 3), il pacchetto di archiviazione (all. 4) e i metadati (all. 5). Le predette specifiche tecniche sono aggiornate con delibera dell'Agenzia per l'Italia digitale (art. 1 dello schema).

Le pubbliche amministrazioni di cui all'articolo 2, comma 2, del CAD, nominano e definiscono le attribuzioni del "responsabile della gestione documentale", a cui è assegnata, tra l'altro, la predisposizione dello schema del manuale di gestione (pubblicato poi dalle pp. aa. nel sito istituzionale) nonché del piano per la sicurezza informatica (riportato nel manuale di gestione) (artt. 3 e 4 dello schema).

Il manuale di gestione delinea il sistema di gestione anche ai fini della conservazione, fornendo, al contempo, istruzioni per il funzionamento del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi (art. 5 dello schema).

Il piano per la sicurezza informatica, invece, è relativo alla formazione, alla gestione, alla trasmissione, all'interscambio, all'accesso e alla conservazione dei documenti informatici. Il piano deve essere predisposto nel rispetto delle misure minime di sicurezza previste dal disciplinare tecnico pubblicato in allegato B al Codice in materia di protezione dei dati personali (di seguito "Codice") e d'intesa con il responsabile della conservazione, il responsabile dei sistemi informativi e per quanto di specifico interesse con il responsabile del trattamento dei dati personali (artt. 4 e 5 dello schema). Al riguardo, il glossario di cui all'allegato 1 definisce il responsabile del trattamento dei dati in modo corrispondente all'articolo 4, comma 1, lett. g), del Codice.

2. Il sistema di protocollo informatico.

Lo schema di decreto prevede una serie di requisiti minimi di sicurezza per i sistemi di protocollo informatico, prevedendo che tali sistemi devono assicurare, tra le altre cose, l'univoca identificazione ed autenticazione degli utenti, la protezione delle informazioni relative a ciascun utente nei confronti degli altri e la registrazione delle attività rilevanti, ai fini della sicurezza, svolte da ciascun utente; in particolare, il sistema deve consentire il controllo differenziato dell'accesso nonché il tracciamento di qualsiasi evento di modifica delle informazioni (e l'individuazione del suo autore) (art. 7 dello schema).

Sono poi disciplinati il formato della segnatura di protocollo (art. 9), la segnatura di protocollo dei documenti trasmessi (art. 20) e le informazioni da includere nella segnatura (art. 21). Si rammenta al riguardo che il testo unico definisce la segnatura di protocollo come l'apposizione o l'associazione all'originale del documento, in forma permanente non modificabile, delle informazioni riguardanti il documento stesso, che consente di individuare ciascun documento in modo inequivocabile; l'operazione di segnatura di protocollo è effettuata contemporaneamente all'operazione di registrazione di protocollo (art. 55 del testo unico).

3. Formato e modalità di trasmissione dei documenti informatici tra le pp.aa..

Le pp. aa. di cui all'articolo 2, comma 2, del CAD, adottano determinati formati e modalità di trasmissione dei documenti informatici, soggetti alla registrazione di protocollo, destinati ad altre amministrazioni; per la medesima ragione, le predette pp. aa. realizzano, nei sistemi di protocollo informatico, funzionalità interoperative con i requisiti di accessibilità al sistema di gestione informatica di cui all'articolo 60 del testo unico (art.  10 dello schema).

Al fine della trasmissione dei documenti informatici, le amministrazioni si accreditano, previa fornitura di alcune informazioni identificative aggiornate (tra le altre: denominazione e codice fiscale dell'amministrazione), presso l'"indice degli indirizzi delle pubbliche amministrazioni" (di cui all'articolo 57-bis del CAD), gestito da un sistema informatico accessibile tramite un sito internet (artt. 11, 12 e 15 dello schema); al fine di allineare la denominazione dell'amministrazione a quella registrata nell'anagrafe tributaria associata al codice fiscale indicato, il predetto sistema informatico di gestione dell'indice delle amministrazioni è connesso con il sistema dell'anagrafe tributaria (art.  14 dello schema).

Lo schema di decreto disciplina altresì le modalità di trasmissione dei documenti informatici mediante messaggi di posta elettronica certificata (PEC) o messaggi conformi ai sistemi di posta elettronica compatibili con il protocollo SMTP/MIME definito nelle specifiche pubbliche RFC 821-822, RFC 2045 e 2049 e successive modificazioni, al fine dello scambio dei documenti soggetti alla registrazione di protocollo (art. 16 dello schema). In proposito, vista la difficoltà di interoperabilità della posta elettronica certificata con i sistemi di posta elettronica degli altri Paesi, anche europei, il Garante valuta positivamente il ricorso ai sistemi di posta elettronica compatibili con il predetto protocollo SMTP/MIME, auspicandone, anzi, un uso generalizzato e la loro previsione anche in altri documenti di regolamentazione tecnica.

Per il medesimo fine, lo schema di decreto disciplina poi le modalità di trasmissione dei documenti informatici in cooperazione applicativa, in base a quanto previsto dal d.P.C.M. 1 aprile 2008 recante regole tecniche e di sicurezza per il funzionamento del sistema pubblico di connettività (art. 17 dello schema in attuazione dell'art. 47 del CAD).

RITENUTO

4.  La disciplina in materia di protezione dei dati personali.

Il CAD prevede che le disposizioni da esso recate si applicano nel rispetto della disciplina rilevante in materia di trattamento dei dati personali e, in particolare, del Codice (art. 2, comma 5, del CAD).

Analogamente a quanto previsto dall'omologo schema di decreto sulla formazione e gestione dei documenti, su cui il Garante rende separato parere, si ritiene necessario integrare lo schema con la previsione, coerente con quanto sopra evidenziato, che le regole tecniche introdotte dall'odierno decreto si applicano anch'esse nel rispetto delle predetta disciplina.

5. Il responsabile del trattamento dei dati personali.

Come già descritto sopra, lo schema prevede che il responsabile della gestione documentale operi d'intesa, fra gli altri, con il responsabile del trattamento dei dati personali (art. 4 dello schema).

Al riguardo si rileva che la figura del responsabile del trattamento dei dati personali potrebbe anche non essere individuata presso un titolare del trattamento (art. 29 del Codice). Si reputa più opportuno invece che la medesima persona, ove possibile, assuma la duplice funzione di responsabile della gestione documentale e di responsabile del trattamento dei dati personali contenuti nei documenti gestiti nell'ambito del sistema di protocollo.

6. Profili inerenti la sicurezza dei dati e dei sistemi.

Lo schema reca disposizioni specifiche in materia di sicurezza prevedendo –come descritto sopra- che il piano per la sicurezza informatica deve essere adottato nel rispetto delle misure minime di sicurezza previste dal disciplinare tecnico pubblicato in allegato B al Codice e d'intesa, fra l'altro, con il responsabile del trattamento dei dati personali (art. 4 dello schema).

Lo schema di decreto prevede inoltre una serie di requisiti minimi di sicurezza per i sistemi di protocollo informatico, prevedendo che tali sistemi devono assicurare, tra le altre cose, l'univoca identificazione ed autenticazione degli utenti, la protezione delle informazioni relative a ciascun utente nei confronti degli altri e la registrazione delle attività rilevanti, ai fini della sicurezza, svolte da ciascun utente, in modo tale da garantirne l'identificazione; in particolare, il sistema deve consentire il controllo differenziato dell'accesso nonché il tracciamento di qualsiasi evento di modifica delle informazioni (e l'individuazione del suo autore) (art. 7 dello schema).

Appare opportuno prevedere che il sistema di protocollo informatico sia organizzato nel rispetto di tutti gli standard di sicurezza previsti dal Codice, e in particolare, delle misure di sicurezza di cui agli articoli da 31 a 36 e non solo, quindi, di quelle minime individuate nel  disciplinare tecnico di cui all'allegato B del medesmo Codice. Ciò, tenuto conto altresì che lo stesso CAD, con riferimento ai requisiti per la conservazione dei documenti informatici stabilisce che il sistema di conservazione deve assicurare, fra l'altro, anche il rispetto delle misure di sicurezza previste dal Codice (art. 44, comma 1, del CAD).

7.  Aggiornamento delle specifiche tecniche.

Lo schema di decreto, come già anticipato sopra, prevede 5 allegati che fanno parte integrante del decreto stesso, recanti, oltre che il glossario, le pertinenti specifiche tecniche riguardanti i formati, gli standard tecnici, il pacchetto di archiviazione e i metadati. Tali specifiche tecniche potranno essere aggiornate con delibera dell'Agenzia per l'Italia digitale (art. 1, comma 1).

Considerato che le future delibere dell'Agenzia modificheranno il corpo del testo degli allegati parti integranti dell'odierno schema di decreto, su aspetti che possono riguardare la protezione dei dati personali, si reputa necessario, al riguardo,  prevedere espressamente la previa acquisizione del parere del Garante.

IL GARANTE

esprime parere favorevole sullo schema di decreto  del Presidente del Consiglio dei Ministri recante regole tecniche per il protocollo informatico, con le seguenti condizioni:

a) si preveda nello schema che il piano per la sicurezza informatica deve rispettare gli standard di sicurezza previsti dal Codice, e in particolare, le misure di sicurezza di cui agli articoli da 31 a 36 e non solo, quindi, le misure minime indicate nel  disciplinare tecnico di cui all'allegato B del medesimo Codice (punto 6);

b) all'articolo 1, comma 1, dello schema si valuti di prevedere espressamente che l'Agenzia per l'Italia digitale adotti le delibere di aggiornamento delle specifiche tecniche di cui agli allegati 2, 3, 4 e 5 previo parere del Garante (punto 7);

e con le seguenti osservazioni:

a) si valuti di perfezionare lo schema di decreto precisando che le regole tecniche sono applicabili nel rispetto della disciplina rilevante in materia di trattamento dei dati personali e, in particolare, del Codice (punto 4);

b)  valuti l'Amministrazione di stabilire nello schema che la medesima persona assuma la duplice funzione di responsabile della gestione documentale e di responsabile del trattamento dei dati personali contenuti nei documenti gestiti nell'ambito del sistema di protocollo (punto 5).

Roma, 24 aprile 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia