g-docweb-display Portlet

Parere all’AgID sullo schema di Linee guida dell’Indice nazionale dei domicili digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato non tenuti all’iscrizione in albi, elenchi o registri professionali o nel registro delle imprese - 22 luglio 2021 [9690742]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9690742]

Parere all’AgID sullo schema di Linee guida dell’Indice nazionale dei domicili digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato non tenuti all’iscrizione in albi, elenchi o registri professionali o nel registro delle imprese - 22 luglio 2021

Registro dei provvedimenti
n. 288 del 22 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Agostino Ghiglia;

PREMESSO

Con nota inviata in data 22 aprile 2021, l’Agenzia per l’Italia digitale (di seguito, “AgID”) ha trasmesso al Garante lo schema delle “Linee Guida dell’Indice nazionale dei domicili digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato non tenuti all’iscrizione in albi, elenchi o registri professionali o nel registro delle imprese”, al fine di acquisire il parere previsto dall’art.  71 del decreto legislativo 7 marzo 2005, n. 82, e ss.mm. (di seguito, “CAD”).

A seguito del confronto tecnico, che ha visto coinvolti anche rappresentanti dell’Autorità e dell’AgID, tenutosi presso la Conferenza unificata – chiamata anch’essa a rendere il proprio parere ai sensi del medesimo art. 71 del CAD – in data 10 maggio 2021 la predetta Agenzia ha trasmesso una nuova versione dello schema delle Linee guida in oggetto.

Successivamente, in data 19 maggio 2021, l’Autorità ha effettuato una richiesta di elementi all’AgID, al fine di chiarire alcuni profili relativi al trattamento dei dati personali effettuato nell’ambito dell’Indice nazionale dei domicili digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato non tenuti all’iscrizione in albi, elenchi o registri professionali o nel registro delle imprese (di seguito, “INAD”), ottenendone il relativo riscontro in data 22 giugno 2021, corredato altresì della valutazione di impatto sulla protezione dei dati (ai sensi dell’art. 35 del Regolamento) e del parere reso dal proprio Responsabile della protezione dei dati (ai sensi dell’art. 39, par. 1, lett. c), del Regolamento).

1. Il quadro normativo relativo all’INAD

In base a quanto stabilito dal CAD – come da ultimo modificato dal decreto legge 16 luglio 2020, n. 76, come convertito, con modificazioni, dalla legge 11 settembre 2020, n. 120, e dal decreto legge 31 maggio 2021, n. 77 – chiunque ha facoltà di eleggere il proprio domicilio digitale da iscrivere nell'INAD di cui all’art. 6-quater (art. 3-bis, comma 1-bis), fermo restando che i professionisti tenuti all'iscrizione in albi ed elenchi e i soggetti tenuti all'iscrizione nel Registro delle imprese hanno l'obbligo di dotarsi di un domicilio digitale iscritto nell'Indice nazionale dei domicili digitali delle imprese e dei professionisti (di seguito, “INI-PEC”) di cui all’art. 6-bis (art. 3-bis, comma 1).

Si tenga presente che le comunicazioni elettroniche trasmesse ad uno dei domicili digitali indicati nell’INAD (ma anche nell’INI-PEC), producono, quanto al momento della spedizione e del ricevimento, gli stessi effetti giuridici delle comunicazioni a mezzo raccomandata con ricevuta di ritorno ed equivalgono alla notificazione per mezzo della posta, salvo che la legge disponga diversamente (art. 6, comma 1).

La realizzazione e la gestione dell’INAD sono affidate all'AgID – che vi provvede avvalendosi delle strutture informatiche delle Camere di commercio – la quale è altresì chiamata a provvedere costantemente all’aggiornamento e al trasferimento, nell’ANPR di cui all’art. 62 (una volta che sarà completato), dei domicili digitali delle persone fisiche contenuti nell’INAD (art. 6-quater, commi 1 e 3).

Per quanto concerne la specifica posizione dei professionisti, per quelli iscritti in albi ed elenchi il domicilio digitale è l’indirizzo inserito nell’INI-PEC, fermo restando il diritto di eleggerne uno diverso ai sensi dell'art. 3-bis, comma 1-bis (art. 6-quater, comma 2): ai fini dell'inserimento dei loro domicili digitali nell’INAD il Ministero dello sviluppo economico rende disponibili all'AgID i relativi indirizzi contenuti nell’INI-PEC. Per quelli non iscritti in albi, registri o elenchi professionali, invece, viene fatta salva la facoltà per gli stessi di eleggere, presso l’INAD, un domicilio digitale professionale e un domicilio digitale personale diverso dal primo (art. 6-quater, comma 1).

La consultazione dell’INAD (nonché degli altri elenchi di cui agli artt. 6-bis, come l’INI-PEC, e 6-ter, come l’IPA) è consentita a chiunque senza necessità di autenticazione e, in assenza di preventiva autorizzazione del titolare dell'indirizzo, viene stabilito il divieto di utilizzo dei domicili digitali per l'invio di comunicazioni commerciali, come definite dall'art. 2, comma 1, lett. f), del decreto legislativo 9 aprile 2003, n. 70 (art. 6-quinquies, commi 1 e 3).

Le varie disposizioni richiamate rinviano alle Linee guida dell’AgID la definizione dei seguenti aspetti:

- le modalità di elezione del domicilio digitale, anche avvalendosi del punto di accesso telematico di cui all’art. 64-bis (art. 3-bis, comma 1-ter);

- le modalità di comunicazione, da parte dell’interessato, delle modifiche e variazioni del domicilio digitale (art. 3-bis, comma 1-quater);

- le modalità di cancellazione d’ufficio dall’INAD nel caso in cui il domicilio eletto risulti non più attivo (art. 3-bis, comma 1-bis);

- le modalità di gestione e di aggiornamento dell'INAD anche nei casi di decesso del titolare del domicilio digitale eletto o di impossibilità sopravvenuta di avvalersi del domicilio (art. 3-bis, comma 1-quater);

- i servizi informatici necessari per rendere disponibili all’AGID gli indirizzi dei professionisti già contenuti nell’INI-PEC (art. 6-quater, comma 2); le modalità di estrazione dei domicili digitali (art. 6-quinquies, comma 2).

Lo schema delle Linee guida trasmesso dall’AgID al Garante per il previsto parere si occupa, in sostanza, di stabilire le modalità di realizzazione e gestione operativa dell’INAD, nonché le modalità di accesso allo stesso.

2. Lo schema delle Linee guida in esame

Secondo quanto contenuto nelle Linee guida, l’INAD è l’elenco pubblico dei domicili digitali – laddove per domicilio digitale si intende “l’indirizzo elettronico eletto presso un servizio di posta elettronica certificata (di seguito PEC) o un servizio elettronico di recapito certificato qualificato, come definito dal Regolamento eIDAS, valido ai fini delle comunicazioni elettroniche aventi valore legale ai sensi dell’articolo 1, comma 1, lett. n-ter del CAD” – eletto, e conseguentemente ivi iscritto, da: “a) le persone fisiche che abbiano compiuto il diciottesimo anno di età e che abbiano la capacità di agire; b) i professionisti che svolgono una professione non organizzata in ordini, albi o collegi ai sensi della legge n. 4/2013 […]; c) gli enti di diritto privato non tenuti all’iscrizione nell’INI-PEC […]” (par. 2 dello schema).

Le informazioni e le funzionalità dell’INAD possono essere rese disponibili a chiunque “anche attraverso il punto di accesso telematico attivato presso la Presidenza del Consiglio dei ministri di cui all’articolo 64-bis, comma 1, del CAD” (par. 2.1).

Per poter eleggere domicilio digitale, occorre iscriversi presso l’INAD, identificandosi mediante SPID, CIE, CNS o altro significativo strumento di identificazione, fornendo, quando si tratta di persona fisica, i seguenti dati (par. 2.2): nome, cognome, codice fiscale, indirizzo email di contatto e provincia di residenza – per quanto concerne i professionisti, anche la professione esercitata, con la relativa provincia di esercizio.

Inoltre, è previsto che “Un indirizzo PEC o di recapito certificato qualificato non può essere contemporaneamente associato quale domicilio digitale di due o più codici fiscali” (par. 2.3).

Se, a seguito di verifica automatizzata, il professionista risulta già iscritto nell’INI-PEC, “non gli è consentita la registrazione all’INAD e, conseguentemente, gli è preclusa la possibilità di eleggere, in tale sistema, il domicilio digitale in qualità di Professionista, ferma restando, in ogni caso, la facoltà di iscrizione nell’INAD in qualità di persona fisica” (par. 2.2). Pertanto, “solo i Professionisti hanno facoltà di eleggere nell’INAD sia un domicilio digitale professionale sia un domicilio digitale personale. La distinzione tra i due domicili digitali appartenenti al medesimo soggetto è resa evidente all’interno dell’INAD sia all’interessato, al momento dell’elezione del domicilio, sia agli utenti al momento della consultazione dell’INAD” (par. 2.3).

La cessazione del domicilio digitale è consentita solo “nei casi consentiti dalla legge” (par. 2.3). Da una parte, vi è la “cessazione d’ufficio”, in relazione alla quale si prevede che “Lo stato di un domicilio digitale non più valido è determinato dal Gestore INAD sulla base delle evidenze fornite dai Gestori PEC e dai Gestori dei servizi elettronici di recapito certificato qualificato in relazione alle seguenti possibili fattispecie: indirizzo non valido anche per la cessazione o il mancato rinnovo, alla scadenza, del servizio da parte del relativo titolare; casella inibita alla ricezione” (par. 5); per poter effettuare tali verifiche, “i Gestori PEC e i Gestori dei servizi elettronici di recapito certificato qualificato rendono disponibili al Gestore INAD, rispettivamente, i servizi che consentano di verificare l’esistenza e lo stato degli indirizzi PEC e l’esistenza, lo stato e la titolarità dell’indirizzo elettronico eletto presso un servizio elettronico di recapito certificato qualificato”. Dall’altra parte, vi è la “cessazione in casi particolari” (par. 2.3), consistente nella “cancellazione del domicilio digitale per l’intervenuto decesso del titolare persona fisica, anche in qualità di Professionista”.

Viene effettuata la tracciatura delle operazioni compiute sull’INAD durante le fasi di elezione, modifica e cessazione, nonché di tutte le attività compiute quotidianamente, con tempi di conservazione pari a “dieci anni dalla trasmissione al sistema di conservazione, a garanzia di eventuali esigenze probatorie nell’ordinario termine di prescrizione dei diritti” (par. 2.3.2).

Per quanto concerne la consultazione, si evidenzia che lo schema delle Linee guida stabilisce, tra gli altri, i seguenti parametri di ricerca (par. 2.4): “codice fiscale: consente di ottenere il domicilio digitale ad esso corrispondente al momento della consultazione […]”; “cognome, nome e provincia di residenza o di esercizio della professione: consentono di ottenere il domicilio digitale ad essi corrispondente al momento della consultazione […]”; “domicilio digitale: consente di ottenere il codice fiscale del soggetto o dell’Ente a cui il domicilio è associato al momento della consultazione […]”.

Disciplina specifica è quella dedicata all’“Acquisizione dall’INI-PEC dei domicili digitali dei relativi professionisti” (par. 3), a proposito del quale viene stabilito che l’inserimento nell’INAD degli indirizzi elettronici presenti nell’INI-PEC consta di una prima fase di “recupero […] degli indirizzi PEC e dei nominativi dei professionisti inseriti nell’INI-PEC, messi a disposizione dal Gestore dell’INI-PEC al Gestore dell’INAD”, e di una successiva fase di “inserimento e pubblicazione nell’INAD di tutti gli indirizzi PEC e del relativo nominativo”. Viene altresì precisato che “Il Gestore INAD, eventualmente in accordo con il Gestore dell’INI-PEC, provvede a comunicare le istruzioni utili al completamento della procedura di registrazione all’INAD necessaria all’abilitazione delle funzioni, diverse dall’elezione del domicilio digitale, previste al paragrafo 2.3. Il Gestore INAD, con le stesse modalità, rende altresì l’informativa completa sul trattamento dei dati personali di cui agli articoli 13-14 del GDPR”, e che “Il recupero degli indirizzi PEC e dei relativi nominativi dall’INI-PEC avviene al momento della costituzione dell’INAD e, successivamente, con cadenza quotidiana in riferimento alle sole nuove iscrizioni nell’INI-PEC”.

Per quanto concerne il rapporto con l’ANPR, le Linee guida prevedono che “Al completamento dell’ANPR, i domicili digitali eletti dalle persone fisiche nell’INAD sono trasmessi all’ANPR con cadenza giornaliera, al fine di consentire il suo costante aggiornamento” (par. 4).

La definizione delle specifiche tecniche è rimessa al Gestore INAD, in qualità di titolare del trattamento (cioè AgID), il quale “richiede l’applicazione a InfoCamere S.c.p.A. in qualità di responsabile del trattamento dei dati personali ai sensi dell’articolo 28 del GDPR”, delle misure di sicurezza e delle specifiche tecniche “individuate ai sensi dell’art. 32 GDPR” (parr. 1, 6 e 9). Al riguardo, nella nota del 22 giugno 2021 l’AgID ha precisato che “le misure predisposte sono quelle indicate ampiamente nella

Valutazione d’impatto sulla protezione dei dati personali”.
Con riferimento al tema dell’ambito di utilizzo del domicilio digitale, oltre al mero rinvio agli artt. 3-bis, 6 e 6-quinquies del CAD, viene precisato che “I domicili digitali presenti nell’INAD sono utilizzabili per l’invio di comunicazioni elettroniche aventi valore legale ai sensi dell’articolo 1, comma 1, lett. n-ter) del CAD” (par. 7).

Infine, sul piano della trasparenza del trattamento, viene stabilito che “L’informativa completa sul trattamento dei dati personali di cui agli articoli 13-14 del GDPR è diffusa attraverso tutti i canali utilizzabili ai fini dell’elezione del domicilio digitale” (par. 8).

OSSERVA

3. Le criticità presenti nel quadro normativo

Come noto, il CAD, negli anni, ha subito numerose modifiche, anche con riferimento all’INAD. Tuttavia, esso, allo stato, già nella sua disciplina legislativa presenta alcuni profili che lo rendono non conforme al quadro europeo in materia di protezione dei dati personali. Si tratta di profili di criticità – già segnalati all’AgID e al Ministero dell’innovazione tecnologica (di seguito, “Ministero”) durante le interlocuzioni informali intrattenute già a partire dal gennaio 2021 – che peraltro scontano la mancata consultazione del Garante in sede legislativa.

3.1. In primo luogo, si segnala che l’art. 6-quater, comma 2, del CAD, prevede l’iscrizione automatica nell’INAD del domicilio digitale presente nell’INI-PEC riferito al professionista iscritto ad albo o elenco, fermo restando il diritto di eleggerne uno diverso. Ciò realizza, per impostazione predefinita, un sistema di opt-out, con l’attribuzione automatica al professionista, ma in qualità di privato, del domicilio digitale già utilizzato per fini professionali, consentendogli solo a valle la possibilità di eleggere un domicilio digitale diverso per fini personali.

Il trattamento consistente nel riversamento automatico dei dati di tutti i professionisti dall’INI-PEC all’INAD appare infrangere il principio di minimizzazione dei dati, cui si aggiungono le rilevanti criticità causate un sensibile innalzamento dei rischi in termini di integrità e riservatezza degli stessi.

Inoltre, considerato che non è infrequente che alla casella PEC professionale (spesso priva di riferimenti immediati al nominativo del professionista) viene consentito l’accesso ai collaboratori di studio del professionista (come peraltro emerso da reclami e segnalazioni esaminati dal Garante), in questo modo le comunicazioni destinate al professionista in qualità di privato diverrebbero, per impostazione predefinita, potenzialmente accessibili a terzi (i collaboratori del professionista) (a questo proposito, cfr. Relazione annuale 2020 del Garante, pp. 73 e 74, con riferimento al tema della notifica delle sanzioni per violazione del codice della strada effettuata nei confronti di una privato utilizzando l’indirizzo PEC aziendale reperibile dall’INI-PEC).

3.2. In secondo luogo, si evidenzia che la nuova formulazione dell’art. 6-quinquies, comma 3, del CAD, per effetto delle modifiche apportate con il d.l. 76/2020, consente l’utilizzo degli indirizzi PEC contenuti, tra gli altri, nell’INI-PEC e nell’INAD, per qualsiasi finalità, purché non si tratti di comunicazioni commerciali, atteso che la precedente formulazione della disposizione – laddove vietava “l'utilizzo dei domicili digitali di cui al presente articolo per finalità diverse dall'invio di comunicazioni aventi valore legale o comunque connesse al conseguimento di finalità istituzionali dei soggetti di cui all'articolo 2, comma 2” – operava un significativo (per quanto non soddisfacente) restringimento dell’utilizzo del domicilio digitale alle sole finalità di notificazione di atti per le quali si rendeva necessario che fossero dotate di valore legale, e, nei fatti, aveva consentito di preservare la PEC, almeno in parte, da fenomeni di spamming e utilizzi impropri.

L’esclusione specifica delle sole finalità di tipo commerciale rende allo stato possibile l’utilizzo del domicilio digitale per molteplici finalità, con un impatto rilevante sulla gestione delle comunicazioni che pervengono al domicilio digitale (ad esempio, propaganda elettorale, comunicazione istituzionale, sondaggi di opinione, solo per citarne alcune).

4. Le criticità presenti nello schema di Linee guida

La versione dello schema delle Linee guida in esame tiene conto di alcune delle indicazioni fornite dall’Ufficio nel corso delle interlocuzioni intrattenute già a partire dal gennaio 2021, al fine di individuare le opportune garanzie per rendere conforme, al Regolamento e al Codice, il trattamento dei dati ivi disciplinato.

In particolare, lo schema delle Linee guida in esame tiene conto delle seguenti indicazioni fornite nel corso delle interlocuzioni con l’Ufficio del Garante:

• è stato espunta la parte dedicata all’attuazione dell’art. 65, comma 1, lett. c-bis), del CAD, relativa all’elezione automatica del domicilio digitale, sia presso l’INI-PEC che presso l’INAD, con riferimento all’indirizzo PEC utilizzato da un interessato per rivolgere un’istanza ad una pubblica amministrazione. A questo proposito, si segnala che il d.l. 77/2021 è successivamente intervenuto modificando la citata disposizione;

• è stata eliminata la raccolta di alcuni dati personali nella fase di registrazione per quanto concerne gli enti di diritto privato, nonché precisato che il professionista già censito nell’INI-PEC mantiene il diritto di eleggere presso l’INAD un domicilio digitale personale diverso (par. 2.2);

• è stato chiarito che il professionista può avere due domicili digitali, uno professionale ed uno personale, e che la distinzione tra i due domicili digitali deve essere resa evidente sia all’interessato (al momento dell’elezione del domicilio) sia agli utenti (al momento della consultazione) (par. 2.3);

• è stato fatta salva l’applicazione dell’art. 2-terdecies del Codice in caso di decesso del titolare di un domicilio eletto (par. 2.3.1);

• è stato rimodulato il dies a quo relativo alla conservazione dei dati (par. 2.3.2);

• è stata eliminata la visualizzazione, in fase di consultazione da parte di terzi, dei dati non necessari acquisiti dall’interessato in fase di registrazione (par. 2.4).

Tuttavia, lo schema delle Linee guida in esame mantiene ancora una serie di criticità, rispetto al quadro in materia di protezione dei dati personali, che si vanno di seguito a descrivere.

4.1. Sull’elezione automatica presso l’INAD del domicilio digitale dei professionisti già presente nell’INI-PEC

Come già illustrato (cfr. par. 3.1 del presente provvedimento), la previsione di un meccanismo automatico di elezione del domicilio digitale personale per i professionisti iscritti in albi o elenchi risulta una scelta effettuata direttamente dal legislatore.

Tuttavia, nel darvi attuazione, l’AgID ha previsto che i dati dei professionisti (nominativi e indirizzi PEC), una volta recuperati dall’INI-PEC, siano inseriti e pubblicati nell’INAD, rimettendo al Gestore INAD, eventualmente in accordo con il Gestore dell’INI-PEC, il compito di comunicare agli interessati le istruzioni utili al completamento della procedura di registrazione all’INAD, e di rendere l’informativa completa sul trattamento dei dati personali di cui agli artt. 13 e 14 del Regolamento (par. 3 dello schema delle Linee guida).

Ciò significa che il domicilio digitale professionale del professionista viene pubblicato nell’INAD prima ancora che l’interessato possa esercitare la facoltà di eleggere un domicilio digitale diverso per uso personale, incrementando i rischi – già di per sé elevati, a causa del dettato legislativo – per i diritti e le libertà fondamentali degli interessati. Infatti, l’operazione di diffusione rende immediatamente disponibile per chiunque un’informazione attribuita all’interessato per impostazione predefinita (cioè l’indirizzo PEC ad uso professionale), in assenza di una scelta volontaria in ordine all’indirizzo PEC da rendere fruibile a terzi, con la conseguenza di farne automaticamente il potenziale punto di ricezione di comunicazioni aventi carattere personale, con tutti i rischi sopra descritti (cfr. par. 3.1 del presente provvedimento). Peraltro, ciò in assenza della dovuta trasparenza nei confronti degli interessati, posto che non è chiaro quando i professionisti verranno informati dell’iscrizione automatica del domicilio professionale presso l’INAD, e comunque in un momento successivo (ma non si sa quanto) rispetto all’avvio del trattamento (diffusione) nell’INAD medesimo.

Pertanto, stante il quadro normativo vigente, e nelle more di un intervento del legislatore che renda l’art. 6-quater, comma 2, del CAD conforme al Regolamento, si rappresenta la necessità di individuare misure volte a mitigare l’impatto negativo di suddetta previsione sui diritti e sulle libertà degli interessati, nonché ad informare adeguatamente gli interessati.

Ad esempio, si potrebbe prevedere che il domicilio digitale del professionista censito nell’INI-PEC, una volta acquisito dall’INAD, non sia immediatamente pubblicato ma sia conservato temporaneamente in forma riservata, in modo da consentire all’interessato, entro un tempo congruo da quando ha ricevuto la comunicazione dal Gestore INAD (ad esempio, 30 giorni), di procedere all’elezione di un domicilio digitale personale ad hoc, in modo così da evitare di diffondere un dato non corrispondente a quello espressamente e specificamente voluto dall’interessato.

Inoltre, al fine di evitare un'inutile duplicazione nell'INAD dei dati personali del professionista censito nell'INI-PEC e, dunque, nel rispetto del principio di minimizzazione dei dati, si rappresenta la necessità che, una volta che il suindicato professionista abbia eletto il proprio domicilio digitale personale nell'INAD e sia stato adeguatamente informato, il domicilio digitale acquisito dall'INI-PEC, venga cancellato.

4.2. Sulla cessazione del domicilio digitale

Nello schema delle Linee guida è previsto che la cessazione del domicilio digitale possa avvenire solo d’ufficio o in casi particolari, e comunque solo al presentarsi di talune circostanze (ad esempio, in caso di mancato rinnovo del servizio o di casella inibita alla ricezione). Viene invece esclusa la possibilità per l’interessato di scegliere di cancellare il proprio domicilio digitale dall’INAD (cfr. parr. 2.3, 2.3.1 e 5 dello schema).

Tale previsione, che riguarda sia la persona fisica che scelga di cancellarsi sia il professionista che non eserciti più l’attività professionale, appare in primo luogo in contrasto con lo stesso art. 3-bis, comma 1-bis, del CAD, che stabilisce che l’elezione del domicilio digitale presso l’INAD sia una facoltà e non un obbligo: come è facoltativa l’elezione del domicilio digitale (quantomeno per le categorie di interessati indicata), parimenti dovrebbe essere facoltativa la sua revoca.

A ciò si aggiunga che, sul piano strettamente della protezione dei dati personali, la mancata previsione della cessazione volontaria del domicilio digitale eletto presso l’INAD comporta l’effettuazione di un trattamento obbligatorio di dati personali, peraltro particolarmente invasivo in quanto consistente in una diffusione di dati personali. In questi termini, lo schema di Linee guida va oltre la previsione legislativa, in violazione del principio di liceità (artt. 5, par. 1, lett. a), e 6, parr. 1, lett. e), e 3, del Regolamento; art. 2-ter del Codice), allungando peraltro i tempi di conservazione dei dati relativi ai domicili digitali oltre il tempo necessario (come invece richiesto dal principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e), del Regolamento), con una limitazione dei diritti dell’interessato non conforme al Regolamento (come il diritto alla cancellazione e il diritto di opposizione di cui agli artt. 17 e 21 del Regolamento).

Pertanto, si rappresenta la necessità di introdurre, in favore sia della persona fisica che del professionista che non eserciti più la propria attività professionale, misure volte ad assicurare la facoltà di cessazione volontaria (intesa come cessazione decisa su libera scelta dell’interessato) del domicilio digitale iscritto nell’INAD.

4.3. Sui dati oggetto di trattamento

4.3.1. Lo schema di Linee guida stabilisce che, in sede di registrazione, venga acquisito presso l’INAD anche il dato relativo alla provincia di residenza (o a quella di esercizio della professione, per il professionista) (parr. 2.2 e 2.3 dello schema).

Inoltre, per quanto concerne la fase di consultazione (par. 2.4), si prevede che il dato sulla provincia (di residenza o di esercizio della professione), unitamente al cognome e al nome, possa costituire un parametro utilizzabile da chiunque per ricavare il domicilio digitale di uno specifico interessato.

Al riguardo, occorre partire dalla constatazione, ricavabile dal combinato disposto degli artt. 3-bis, 6, 6-quater e 6-quinquies del CAD, secondo cui l’INAD rappresenta l’elenco dei domicili digitali riferiti a determinate categorie di interessati, che chiunque può consultare al fine di ricercare i domicili digitali associati ai soggetti cui si intende inviare comunicazioni aventi valore legale.

Ciò significa che, per l’inoltro di comunicazioni di questo tipo, da cui discendono effetti giuridici in capo al destinatario, si rende necessario che quest’ultimo sia previamente identificato con certezza dal mittente, al fine di assicurare che tali comunicazioni, che spesso possono avere contenuti dotati di particolare delicatezza o, comunque, bisognosi di particolari cautele in termini di riservatezza, siano effettivamente recapitate ai destinatari esatti e non a terzi. Peraltro, ciò è anche espressamente previsto dall’art. 44, par. 1, lett. c), del Regolamento (UE) 910/2014, il quale stabilisce che “I servizi elettronici di recapito certificato qualificati soddisfano i requisiti seguenti: […] c) garantiscono l’identificazione del destinatario prima della trasmissione dei dati”.

Pertanto, l’unico criterio di ricerca in grado di assicurare, in sede di consultazione, l’esatta identificazione del destinatario (ai sensi del principio di esattezza di cui all’art. 5, par. 1, lett. d), del Regolamento) e di evitare potenziali comunicazioni di dati personali a terzi (nel rispetto del principio di riservatezza di cui all’art. 5, par. 1, lett. f), del Regolamento), è quello basato sul codice fiscale. D’altra parte, la mancata conoscenza di questo dato da parte del mittente, rende poco giustificabile l’utilizzo dello strumento del domicilio digitale – inteso quale “indirizzo elettronico eletto presso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato […] valido ai fini delle comunicazioni elettroniche aventi valore legale” (art. 1, lett. n-ter), del CAD) – che altrimenti rischierebbe di tramutarsi in uno strumento di comunicazione parificabile alla posta elettronica ordinaria, e quindi non più necessario ai fini di cui all’art. 6, comma 1, del CAD.

Conseguentemente, la raccolta del dato relativo alla provincia (di residenza o di esercizio della professione) appare non necessario, in violazione del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento.

Al riguardo, nel riscontro fornito il 22 giugno 2021 è stata proposta una “soluzione tecnologica che, in caso di omonimia, non restituirà all’utente tutti i relativi risultati ma, piuttosto, un messaggio di errore con l’invito a inserire ulteriori elementi per restringere il campo della ricerca (si pensi, ad esempio, all’anno di nascita del destinatario). Tale soluzione consentirà di escludere, by design, qualsiasi ipotesi di ricerca massiva”. Tale misura, pur andando incontro all’esigenza di mitigare i rischi correlati a ricerche libere e massive di dati sganciate dalla finalità di notifica di comunicazioni aventi valore legale, ossia quelli connessi alla diffusione di elenchi di domicili digitali e al conseguente loro utilizzo da parte degli utenti dell’INAD, tuttavia non consente di superare i rilievi relativi alla necessità di identificazione esatta e preventiva del destinatario, né all’eccedenza del trattamento del dato relativo alla provincia.

Su questi profili, pertanto, si rappresenta la necessità di eliminare il dato sulla provincia di residenza o di esercizio della professione dell’interessato tra quelli oggetto di trattamento mediante l’INAD, nonché di eliminare, dalla fase di consultazione, il parametro di ricerca basato su cognome, nome e provincia di residenza o di esercizio della professione.

4.3.2. Sempre per quanto concerne l’aspetto della consultazione dell’INAD, lo schema delle Linee guida prevede la possibilità di risalire al codice fiscale dell’interessato mediante una consultazione che abbia come chiave di ricerca il domicilio digitale (par. 2.4).

Tuttavia, tale possibilità non è contemplata dal CAD che, per le ragioni suesposte (cfr. par. 4.3.1. del presente provvedimento), disciplina l’INAD quale elenco per la raccolta e consultazione dei domicili digitali associati ai soggetti cui si intende inviare comunicazioni aventi valore legale, e non, a contrario, l’acquisizione di codici fiscali a partire da un dato domicilio digitale. Essa consiste, sostanzialmente, in una diffusione di dati personali, che causa un impatto significativamente invasivo sui diritti degli interessati, della quale, allo stato, risulta priva la base giuridica, al contrario richiesta dagli artt. 5, par. 1, lett. a), e 6, parr. 1, lett. e), e 3, del Regolamento, e dall’art. 2-ter, comma 3, del Codice.

Peraltro, si aggiunga che, nel caso in cui la comunicazione provenga da un indirizzo PEC non iscritto nell’INAD, ma ugualmente dotata di valore legale, comunque non sarebbe possibile effettuare l’associazione di quell’indirizzo ad alcun codice fiscale, e quindi di assolvere alla asserita finalità di individuazione del mittente, rendendo dunque inidonea tale previsione.

Pertanto, si rappresenta la necessità di eliminare il codice fiscale tra il set di dati forniti a fronte della fase di consultazione, e di limitare l’uso dello stesso esclusivamente quale parametro di ricerca di un domicilio digitale.

4.3.3. Dalla lettura delle misure tecniche di sicurezza applicate ai dati, come descritte nella valutazione di impatto, si evince che vengono raccolti e conservati per 10 anni, anche dati relativi alle consultazioni effettuate. In particolare, “Per la fase di consultazione, allo stato, è prevista la tracciatura del solo indirizzo IP (qualora l’utente non acceda in modalità anonima) e della posizione interrogata […] per ottemperare alle necessità legate a fini esclusivamente probatori che possano insorgere nel tempo” (cap. III, par. 1.2, p. 11).

L’acquisizione di tali informazioni, con riferimento agli utenti autenticati, appare oltremodo sproporzionata rispetto alla finalità indicata, posto che, in base a quanto stabilito espressamente dal CAD, l’INAD è consultabile da “chiunque senza necessità di autenticazione” (art. 6-quinquies, comma 1, del CAD), e, quindi, la mera consultazione costituisce un’attività legittima che non giustifica un tale monitoraggio sistematico e su larga scala degli utenti unito a tempi di conservazione così lunghi, per indeterminate e presuntive finalità difensive. Ne consegue che la raccolta degli indirizzi IP di tutti gli utenti autenticati che effettuano una consultazione, unita alla loro conservazione per un periodo così prolungato, contrasta con i principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, limitazione della conservazione, e privacy by design e by default di cui agli artt. 5, par. 1, lett. a), b), c) ed e), e 25 del Regolamento.

Pertanto, si rappresenta la necessità di eliminare, tra le misure tecniche indicate nella valutazione di impatto, la previsione della tracciatura, e successiva conservazione degli indirizzi IP degli utenti autenticati che effettuano interrogazioni nell’INAD.

4.3.4. In relazione alle misure implementate per contrastare il rischio di accesso illegittimo ai dati, in particolare per scongiurare la possibilità di “esfiltrazione sistemica dei dati dal database per creare basi dati alternative”, viene contemplato esclusivamente lo scenario che prevede la consultazione manuale e non elettronica e per tale scenario è stato correttamente previsto l’adozione di un meccanismo di captcha (cap. III, par. 1.3, pp. 14 e 15, della valutazione di impatto).

Tuttavia, non viene contemplata, e conseguentemente gestita, la possibilità di utilizzi impropri della funzionalità di estrazioni multiple esplicitamente prevista in modalità applicativa (cfr. par. 2.5 dello schema delle Linee guida), con i conseguenti rischi di download di elenchi di dati e di creazione di autonome banche dati da parte dei soggetti di cui all’art. 2, comma 2, del CAD. Infatti, l’acquisizione di elenchi di domicili digitali, oltre a violare il principio di minimizzazione dei dati e a elevare i rischi in termini di integrità e riservatezza degli stessi, non assicura l’utilizzo di dati esatti ed aggiornati, che solo l’INAD, oggetto di costante aggiornamento, è in grado di garantire.

Pertanto, si rappresenta la necessità di consentire la consultazione dell’INAD, mediante i meccanismi di cooperazione applicativa, con i medesimi criteri di selezione e ricerca che saranno resi disponibili al generico utente che consulta INAD (senza autenticazione), e  di adottare misure di sicurezza idonee a rilevare e impedire che i soggetti di cui all’art. 2, comma 2, del CAD, ancorché autorizzati alla cooperazione applicativa, possano procedere ad eventuali duplicazioni, anche parziali, della banca dati costituita presso l’INAD.

4.4. Sulle interazioni con altre banche dati

Nel documento di valutazione di impatto, tra le misure applicate a garanzia del rispetto del principio di esattezza dei dati oggetto di trattamento, è riportato che “laddove possibile, l’esattezza e l’aggiornamento dei dati sono garantiti anche automaticamente in modalità machine to machine, attraverso l’interoperabilità dell’INAD con altre banche dati pubbliche (ad es. l’ANPR, l’Anagrafe Tributaria, l’INI-PEC)” (cfr. cap. II, par. 1.4, p. 9), sebbene, dalla lettura delle norme contenute nel CAD, si evinca che le uniche interazioni con altre banche dati volte a garantire l’esattezza dei dati oggetto di trattamento siano esclusivamente quelle con ANPR (art. 6-quater, comma 3) e INI-PEC (art. 6-quater, comma 2) secondo le modalità esplicitamente citate nello schema delle Linee guida – e cioè, con l’aggiornamento dell’ANPR da parte dell’INAD e con il riversamento automatico nell’INAD dei dati contenuti nell’INI-PEC.

Peraltro, l’interazione con l’Anagrafe tributaria, oltre a non essere stabilita dalla base giuridica, appare eccedente a fini di identificazione certa degli interessati, posto che tale finalità è già soddisfatta, in sede di registrazione, dal ricorso SPID, CIE o CNS quale strumento di identificazione.

Pertanto, si suggerisce di espungere o riformulare il citato passaggio sulle interazioni con altre banche dati nella valutazione di impatto, anche al fine di garantire la congruenza con quanto indicato nello schema delle Linee guida relativamente all’interazione con altre banche dati.

4.5. Sulla sicurezza del trattamento e sulla titolarità dell’indirizzo PEC

4.5.1. Per quanto concerne la sicurezza dei dati e del sistema, viene stabilito che le misure tecniche e organizzative adeguate a garantire un livello di sicurezza dei dati personali adeguato al rischio siano individuate dal Gestore INAD (cioè l’AgID) e comunicate al responsabile del trattamento (InfoCamere S.c.p.A.) con il relativo atto di nomina (par. 2.7 dello schema di Linee guida).

Analogamente con riferimento all’implementazione tecnologica, viene stabilito che il Gestore INAD definisce e aggiorna le specifiche tecniche e le soluzioni tecnologiche per la messa in produzione dell’INAD, di cui chiede l’applicazione al medesimo responsabile del trattamento (par. 6).

Nel riscontro fornito con la nota del 22 giugno 2021, l’AgID ha dichiarato che le specifiche tecniche che si intende adottare al fine di garantire un livello di sicurezza adeguato al rischio, ai sensi dell’art. 32 del Regolamento, sono indicate nella relativa valutazione di impatto, all’uopo trasmessa.

Tuttavia, le misure descritte nella valutazione di impatto dovrebbero essere recepite, quantomeno negli aspetti essenziali, all’interno della base giuridica, al fine di fornire garanzie circa la liceità e correttezza del trattamento, non essendo sufficiente la loro previsione all’interno della sola valutazione di impatto. Peraltro, tali misure devono essere regolarmente testate, verificate e aggiornate al fine di garantire la sicurezza del trattamento (cfr. art. 32, par. 1, lett. d), del Regolamento).

A questo fine, si potrebbe valutare di estrapolare tali misure tecniche e di sicurezza dalla valutazione di impatto e di riportarle in un allegato alle Linee guida, oppure di prevedere, all’interno dello schema delle medesime Linee guida, un esplicito richiamo alla valutazione di impatto effettuata dal titolare, con conseguente sua messa a disposizione del responsabile.

Pertanto, si invita l’AGID, in qualità di Gestore INAD, a individuare le modalità più idonee per integrare, nella base giuridica, le specifiche tecniche atte a garantire un livello di sicurezza adeguato al rischio, anche al fine di impartire al responsabile del trattamento le istruzioni necessarie per assicurare un adeguato livello di sicurezza del trattamento.

4.5.2. A questo tema si collega quello della verifica sull’esistenza e sullo stato degli indirizzi PEC e sull’esistenza, sullo stato e sulla titolarità dell’indirizzo elettronico eletto presso un servizio elettronico di recapito certificato qualificato, che spetta al Gestore INAD, mediante servizi messigli a disposizione da parte dei gestori PEC e dei gestori dei servizi elettronici di recapito certificato qualificato (par. 5).

Al riguardo, si rileva che le verifiche sull’esistenza e sullo stato dell’indirizzo elettronico indicato presso un servizio di PEC non possono essere svolte nella misura in cui non esiste una qualificazione giuridica di titolarità della casella PEC: infatti, la PEC può essere acquistata anche da un soggetto diverso dal suo utilizzatore, e l’unica associazione che il gestore della PEC è in grado di fare è quella con l’acquirente del servizio, al quale non è precluso di acquistare più servizi PEC a proprio nome.

Ciò appare confermato anche in base a quanto riportato sul sito web dell’AgID (alla pagina https://www.AgID.gov.it/it/piattaforme/eidas/pec-verso-eidas), laddove si precisa che “La Posta Elettronica Certificata soddisfa i requisiti previsti dal Regolamento eIDAS per il servizio elettronico di recapito certificato, ma non soddisfa appieno i requisiti previsti sempre dal Regolamento per il servizio elettronico di recapito certificato qualificato. In particolare, attualmente non è prevista la verifica certa dell’identità del richiedente della casella di PEC. Inoltre non è previsto che il gestore debba obbligatoriamente sottoporsi alle verifiche di conformità da parte degli organismi designati”.

Inoltre, i servizi che i gestori PEC e i gestori dei servizi elettronici di recapito certificato qualificato devono rendere disponibili al Gestore INAD, rispettivamente, per consentire di verificare l’esistenza e lo stato degli indirizzi PEC e l’esistenza, lo stato e la titolarità dell’indirizzo elettronico eletto presso un servizio elettronico di recapito certificato qualificato, comportano un nuovo trattamento di dati – consistente nel monitoraggio sullo stato di funzionalità della casella PEC o altro servizio di recapito qualificato di ciascun cliente –con un rilevante impatto sui diritti e sulle libertà degli interessati. A tal proposito, si evidenza che né lo schema delle Linee guida, né l’ulteriore documentazione acquisita nel corso dell’istruttoria (compresa la valutazione di impatto), contengono elementi che disciplinano tali aspetti, anche in relazione alle conseguenti e necessarie misure di sicurezza del trattamento derivanti dai citati servizi che devono essere resi disponibili al Gestore INAD per l’espletamento delle funzionalità di verifica di cui al par. 5 dello schema medesimo.

Pertanto, l’assenza di elementi idonei a consentire i necessari approfondimenti sulla questione, impedisce di effettuare, in questa sede, una compiuta valutazione sulla questione, anche al fine di stabilire l’effettiva sussistenza di un livello di sicurezza adeguato al rischio, come richiesto dall’art. 32 del Regolamento.

Pertanto, si invita l’AgID a valutare la sussistenza di un’effettiva base giuridica che legittimi il trattamento di dati personali connesso alle finalità di della verifica sull’esistenza e sullo stato degli indirizzi PEC e sull’esistenza, sullo stato e sulla titolarità dell’indirizzo elettronico eletto presso un servizio elettronico di recapito certificato qualificato, nonché definire le specifiche tecniche e le correlate misure di sicurezza tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, anche al fine di consentire l’implementazione dei servizi di verifica da rendere disponibili al Gestore INAD da parte dei gestori PEC e dei gestori dei servizi elettronici di recapito certificato qualificato.

4.6. Sull’ambito di utilizzo del domicilio digitale

Come già illustrato (cfr. par. 3.2 del presente provvedimento), l’art. 6-quinquies, comma 3, del CAD, nella sua attuale formulazione, consente l’utilizzo dei domicili digitali ricavati dall’INAD (ma anche dall’INI-PEC) per una pluralità indeterminata di finalità, con la sola esclusione dell’invio di comunicazioni commerciali, andando così a violare i principi di correttezza e limitazione della finalità di cui agli artt. 5, par. 1, lett. a) e b) del Regolamento.

In questo senso, lo schema delle Linee guida, nel determinare l’ambito di utilizzo, richiama le disposizioni del CAD, specificando poi che i domicili digitali presenti nell’INAD sono utilizzabili per l’invio di comunicazioni elettroniche aventi valore legale (par. 7 dello schema).

Pertanto, stante il quadro normativo vigente, e nelle more di un intervento del legislatore che renda l’art. 6-quinquies, comma 3, del CAD conforme al Regolamento, si invita l’AgID a valutare l’opportunità di limitare l’ambito di utilizzo dei domicili digitali presenti nell’INAD esclusivamente per l’invio di comunicazioni elettroniche per le quali si renda effettivamente necessario che siano dotate di valore legale.

RITENUTO

Occorre anzitutto premettere che lo schema di Linee guida in esame rappresenta l’attuazione di una normativa, contenuta nel CAD, che, oltre a presentare le criticità già illustrate (cfr. parr. 3.1 e 3.2 del presente provvedimento), va a intersecarsi con altri istituti disciplinati all’interno del medesimo testo unico.

Costituisce un esempio, in questo senso, la prevista trasmissione e aggiornamento dei dati dall’INAD all’ANPR (cfr. par. 4 dello schema di Linee guida) che, anche alla luce della riformulazione dell’art. 6-quater, comma 3, del CAD operata dal d.l. 77/2021, richiede una riflessione più generale sul rapporto tra queste due banche dati, al fine di consentire una digitalizzazione dei servizi e una semplificazione delle procedure che sia coerente con i principi che governano la protezione dei dati personali e, dunque, i diritti e le libertà fondamentali delle persone. Al riguardo, considerato che il combinato disposto degli artt. 6-quater, comma 3, e 62 comporta una duplicazione di banche dati, occorre riflettere sulla opportunità dell’indicazione del domicilio digitale in ANPR, stante che la finalità a ciò connessa – quella di reperire il domicilio digitale eventualmente eletto – oggi, appare perseguita proprio dall’INAD.

Anche con riferimento all’utilizzo del punto di accesso telematico di cui all’art. 64-bis, comma 1, del CAD (cfr. par. 2.1 dello schema di Linee guida), occorre tenere presente che tale ultima disposizione prevede che la base giuridica che ne giustifica il trattamento deve essere completata da apposite Linee guida – che, al momento, sono all’esame dell’Autorità.

In ogni caso, rimane il fatto che il trattamento di dati personali effettuato nell’ambito dell’INAD, per l’esecuzione di un compito di interesse pubblico, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, in quanto comporta la raccolta, anche mediante interconnessione con altre banche dati (INI-PEC), di dati personali di milioni di interessati, e la loro successiva diffusione online al fine di utilizzo per l’invio di comunicazioni che comportano effetti giuridici sugli interessati medesimi.

Pertanto, con il presente provvedimento il Garante non solo fornisce il parere previsto dagli artt. 36, par. 4, e 57, par. 1, lett. c), del Regolamento, ma si esprime anche sull’autorizzazione al trattamento di cui agli artt. 36, par. 5, e 58, par. 3, lett. c), del Regolamento, e all’art. 2-quinquiesdecies del Codice.

Ciò posto, alla luce di quanto riportato in motivazione, si ritiene di dover esprimere il parere sullo schema di Linee guida sull’INAD, autorizzandone il relativo trattamento, alle seguenti condizioni:

a) individuare misure volte a mitigare l’impatto negativo, sui diritti e sulle libertà degli interessati, causato dall’art. 6-quater, comma 2, del CAD – concernente l’elezione automatica presso l’INAD del domicilio digitale dei professionisti già presente nell’INI-PEC – nonché ad informare adeguatamente gli interessati e a prevedere la cancellazione del domicilio digitale acquisito da INI-PEC nel momento in cui il professionista, adeguatamente informato, abbia eletto un domicilio ad hoc per l'INAD (cfr. par. 4.1 del presente provvedimento);

b) introdurre, in favore sia della persona fisica che del professionista che non eserciti più la propria attività professionale, misure volte ad assicurare la facoltà di cessazione volontaria (intesa come cessazione decisa su libera scelta dell’interessato) del domicilio digitale iscritto nell’INAD (cfr. par. 4.2);

c) eliminare il dato sulla provincia di residenza dell’interessato (o di esercizio della professione in caso di professionista) tra quelli oggetto di trattamento mediante l’INAD, nonché eliminare, dalla fase di consultazione, il parametro di ricerca basato su cognome, nome e provincia di residenza o di esercizio della professione (cfr. par. 4.3.1);

d) eliminare il codice fiscale tra il set di dati forniti a fronte della fase di consultazione, e di limitare l’uso dello stesso esclusivamente quale parametro di ricerca di un domicilio digitale (cfr. par. 4.3.2);

e) eliminare, tra le misure tecniche indicate nella valutazione di impatto, la previsione della tracciatura, e successiva conservazione degli indirizzi IP degli utenti autenticati che effettuano interrogazioni nell’INAD (cfr. par. 4.3.3);

f) consentire la consultazione dell’INAD, mediante i meccanismi di cooperazione applicativa, con i medesimi criteri di selezione e ricerca che saranno resi disponibili al generico utente che consulta INAD (senza autenticazione), e adottare misure di sicurezza idonee a rilevare e impedire che i soggetti di cui all’art. 2, comma 2, del CAD, ancorché autorizzati alla cooperazione applicativa, possano procedere ad eventuali duplicazioni, anche parziali, della banca dati costituita presso l’INAD (cfr. par. 4.3.4);
nonché con le seguenti osservazioni:

g) espungere o riformulare, nella valutazione di impatto, il passaggio sulle interazioni con altre banche dati (cfr. par. 4.4);

h) individuare le modalità più idonee per integrare, nella base giuridica, le specifiche tecniche atte a garantire un livello di sicurezza adeguato al rischio, anche al fine di impartire al responsabile del trattamento le istruzioni necessarie per assicurare un adeguato livello di sicurezza del trattamento (cfr. par. 4.5.1);

i) valutare la sussistenza di un’effettiva base giuridica che legittimi il trattamento di dati personali connesso alle finalità di della verifica sull’esistenza e sullo stato degli indirizzi PEC e sull’esistenza, sullo stato e sulla titolarità dell’indirizzo elettronico eletto presso un servizio elettronico di recapito certificato qualificato, nonché definire le specifiche tecniche e le correlate misure di sicurezza tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, anche al fine di consentire l’implementazione dei servizi di verifica da rendere disponibili al Gestore INAD da parte dei gestori PEC e dei gestori dei servizi elettronici di recapito certificato qualificato (cfr. par. 4.5.2).

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 57, par. 1, lett. c), esprime parere favorevole, nei termini di cui in motivazione, sullo schema delle “Linee Guida dell’Indice nazionale dei domicili digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato non tenuti all’iscrizione in albi, elenchi o registri professionali o nel registro delle imprese”, predisposto dall’Agenzia per l’Italia digitale (AgID), e, conseguentemente, ai sensi degli artt. 36, par. 5, e 58, par. 3, lett. c), del Regolamento, e dell’art. 2-quinquiesdecies del Codice, autorizza, sempre nei termini di cui in motivazione, l’AgID ad effettuare il trattamento dei dati personali nell’ambito dell’Indice nazionale dei domicili digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato non tenuti all’iscrizione in albi, elenchi o registri professionali o nel registro delle imprese (INAD), alle seguenti condizioni:

a) individuare misure volte a mitigare l’impatto negativo, sui diritti e sulle libertà degli interessati, causato dall’art. 6-quater, comma 2, del CAD – concernente l’elezione automatica presso l’INAD del domicilio digitale dei professionisti già presente nell’INI-PEC – nonché ad informare adeguatamente gli interessati e a prevedere la cancellazione del domicilio digitale acquisito da INI-PEC nel momento in cui il professionista, adeguatamene informato, abbia eletto un domicilio ad hoc per l'INAD;

b) introdurre, in favore sia della persona fisica che del professionista che non eserciti più la propria attività professionale, misure volte ad assicurare la facoltà di cessazione volontaria (intesa come cessazione decisa su libera scelta dell’interessato) del domicilio digitale iscritto nell’INAD;

c) eliminare il dato sulla provincia di residenza dell’interessato (o di esercizio della professione in caso di professionista) tra quelli oggetto di trattamento mediante l’INAD, nonché eliminare, dalla fase di consultazione, il parametro di ricerca basato su cognome, nome e provincia di residenza o di esercizio della professione;

d) eliminare il codice fiscale tra il set di dati forniti a fronte della fase di consultazione, e di limitare l’uso dello stesso esclusivamente quale parametro di ricerca di un domicilio digitale;

e) eliminare, tra le misure tecniche indicate nella valutazione di impatto, la previsione della tracciatura, e successiva conservazione, degli indirizzi IP degli utenti autenticati che effettuano interrogazioni nell’INAD;

f) consentire la consultazione dell’INAD, mediante i meccanismi di cooperazione applicativa, con i medesimi criteri di selezione e ricerca che saranno resi disponibili al generico utente che consulta INAD (senza autenticazione), e e di adottare misure di sicurezza idonee a rilevare e impedire che i soggetti di cui all’art. 2, comma 2, del CAD, ancorché autorizzati alla cooperazione applicativa, possano procedere ad eventuali duplicazioni, anche parziali, della banca dati costituita presso l’INAD;

nonché con le seguenti osservazioni:

g) espungere o riformulare, nella valutazione di impatto, il passaggio sulle interazioni con altre banche dati;

h) individuare le modalità più idonee per integrare, nella base giuridica, le specifiche tecniche atte a garantire un livello di sicurezza adeguato al rischio, anche al fine di impartire al responsabile del trattamento le istruzioni necessarie per assicurare un adeguato livello di sicurezza del trattamento;

i) valutare la sussistenza di un’effettiva base giuridica che legittimi il trattamento di dati personali connesso alle finalità di della verifica sull’esistenza e sullo stato degli indirizzi PEC e sull’esistenza, sullo stato e sulla titolarità dell’indirizzo elettronico eletto presso un servizio elettronico di recapito certificato qualificato, nonché definire le specifiche tecniche e le correlate misure di sicurezza tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, anche al fine di consentire l’implementazione dei servizi di verifica da rendere disponibili al Gestore INAD da parte dei gestori PEC e dei gestori dei servizi elettronici di recapito certificato qualificato.

Roma, 22 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei