g-docweb-display Portlet

Parere su schema di decreto del Ministero giustizia contenente le specifiche tecniche del processo telematico civile e penale - 15 aprile 2021 [9590273]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9590273]

Parere su schema di decreto del Ministero giustizia contenente le specifiche tecniche del processo telematico civile e penale - 15 aprile 2021

Registro dei provvedimenti
n. 134 del 15 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Ferroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere del Ministero della giustizia;

Visto il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”), in particolare, l’articolo 57, comma 1, lett. c);

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”), in particolare, l’articolo 154, comma 5;

Visto il decreto legislativo 18 maggio 2018 n. 51, recante Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (di seguito “Decreto”).

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La Direzione generale per i sistemi informativi automatizzati del Ministero della giustizia (di seguito “Ministero”) ha richiesto il parere del Garante su uno schema di provvedimento del direttore generale, recante le specifiche tecniche del processo telematico civile e penale, in attuazione di quanto previsto dall’articolo 34, comma 1, del decreto del Ministro della giustizia n. 44 del 21 febbraio 2011, e volto ad apportare modifiche ad un precedente provvedimento del 16 aprile 2014, successivamente modificato.

Il predetto articolo 34, comma 1, dispone, infatti, che “le specifiche tecniche sono stabilite dal responsabile per i sistemi informativi automatizzati del Ministero della giustizia, sentito DigitPA e, limitatamente ai profili inerenti alla protezione dei dati personali, sentito il Garante per la protezione dei dati personali”.

Il Garante ha reso il parere di competenza, il 18 dicembre 2013 (doc. web n. 2898564), sullo schema di provvedimento del 16 aprile 2014 e il 22 ottobre 2015 (doc. web n. 4582365), sul successivo schema di provvedimento del 2015.

Il Ministero ha rappresentato che le modifiche in esame si rendono ora necessarie per dare applicazione al decreto-legge 16 luglio 2020 n. 76, convertito, con modificazioni, dalla legge di conversione 11 settembre 2020 n. 120, recante Misure urgenti per la semplificazione e l'innovazione digitale.

In particolare, l’art. 28 del d.l. n. 76/2020, rubricato “Semplificazione della notificazione e comunicazione telematica degli atti in materia civile, penale, amministrativa, contabile e stragiudiziale”, ha modificato l’art. 16 del decreto-legge 18 ottobre 2012, n. 179, convertito con modificazioni dalla legge 17 dicembre 2012 n. 221, rubricato “Biglietti di cancelleria, comunicazioni e notificazioni per via telematica”, che al comma 12 disciplina il censimento degli indirizzi di posta elettronica certificata delle amministrazioni pubbliche in un apposito elenco gestito dal Ministero e, per esso, dalla predetta Direzione Generale. Tale elenco è definito pubblico dall'art. 16-ter del medesimo decreto-legge ed è, quindi, utilizzabile dagli avvocati per le notifiche telematiche ai sensi dell'art. 3-bis della legge 21 gennaio 1994 n. 53 e dai sistemi ministeriali per le comunicazioni e le notificazioni di cancelleria. La modifica introdotta dal citato articolo 28 riguarda, in particolare, la facoltà per le pubbliche amministrazioni di comunicare sia indirizzi di posta elettronica certificata di propri organi o articolazioni, anche territoriali, presso cui eseguire le comunicazioni o notificazioni per via telematica nei casi previsti dalle norme vigenti ovvero in caso di autonoma capacità o legittimazione processuale, sia ulteriori indirizzi di posta elettronica certificata, riportati in una speciale sezione dello stesso elenco per il caso di costituzione in giudizio tramite propri dipendenti.

RILEVATO

2. Il provvedimento all’attenzione di questa Autorità apporta integrazioni al provvedimento del 2014, modificando, in particolare, il suo art. 9-bis e aggiungendo l’art. 9-ter, al fine di consentire il censimento all’interno del registro generale degli indirizzi elettronici (“ReGIndE”) degli indirizzi di posta elettronica certificata (PEC) degli organi, delle articolazioni, anche territoriali, e delle aree organizzative omogenee delle pubbliche amministrazioni

2.1. In dettaglio, lo schema in esame prevede che ciascuna amministrazione pubblica comunichi al Ministero la denominazione e il codice fiscale (o, in mancanza, il codice IPA) dei propri organi o articolazioni, anche territoriali, presso cui eseguire, quando ciò sia previsto, le comunicazioni o notificazioni per via telematica nonché delle specifiche aree organizzative omogenee, presso cui la stessa amministrazione elegge domicilio ai fini del giudizio (cfr. art. 1, comma 3, dello schema in esame che sostituisce l’art. 9-bis, comma 2, del provvedimento del 16 aprile 2014).

2.2. Lo schema disciplina poi le modalità con cui gli organi, le articolazioni, anche territoriali, e le aree organizzative omogenee delle pubbliche amministrazioni comunicano al Ministero il proprio indirizzo PEC per la ricezione delle comunicazioni e notificazioni, nonché il nominativo, il codice fiscale e l’indirizzo PEC di eventuali dipendenti tramite i quali i predetti organi, articolazioni e aree organizzative omogenee stanno in giudizio personalmente. È, inoltre previsto che gli elenchi dei predetti indirizzi PEC siano consultabili dai soggetti abilitati, presso gli uffici giudiziari e gli uffici notificazioni, esecuzioni e protesti, e dagli avvocati (cfr. art. 1, comma 7, dello schema che aggiunge l’art. 9-ter al provvedimento del 16 aprile 2014).

CONSIDERATO

3. Il Garante, esaminato lo schema di provvedimento trasmesso, formula le seguenti considerazioni, anche alla luce di alcuni approfondimenti effettuati nell’ambito di istruttorie relative alla gestione del servizio PEC, volte a rendere conforme alla normativa vigente in materia di protezione dei dati personali il testo in esame e i predetti provvedimenti in materia (sicché viene di seguito indicato come “provvedimento del 2014” il testo complessivo risultante dai predetti provvedimenti).

4. Quadro normativo.

Con riferimento alla cornice normativa del c.d. “sistema di giustizia digitale”, occorre ora tenere conto del nuovo sistema normativo in materia di protezione dei dati personali.

Pertanto, si ritiene che sia necessario inserire, nel preambolo del citato provvedimento del 16 aprile 2014, un esplicito riferimento al Regolamento e al Decreto.

5. Definizioni.

In primo luogo, si ritiene opportuno integrare lo schema in esame prevedendo l’inserimento, tra le definizioni del provvedimento del 2014 (art. 2), anche quella relativa al “codice IPA” – più volte richiamato nello schema in esame – quale identificativo univoco assegnato, al termine del processo di accreditamento, a ciascun soggetto tenuto all’iscrizione all’indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi (IPA) di cui all’art. 6-ter del d.lgs. 7 marzo 2005, n. 82 (cfr. anche le “Linee guida dell’indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi”, adottate dall’Agenzia per l’Italia Digitale con determinazione n. 97 del 4 aprile 2019).

Inoltre, si ritiene necessario sostituire l’espressione “dati sensibili”, di cui all’art. 4, comma 21, lett. d), del previgente Codice in materia di protezione dei dati personali, contenuta negli art. 18 e 23, comma 2, del provvedimento del 2014, con “categorie particolari di dati personali” di cui all’articolo 9 del Regolamento e all’articolo 7 del Decreto.

Si ritiene altresì opportuno sostituire “identificazione informatica” e “identificazione”, contenute negli artt. 5, 6, 9-bis, 10, 24 e 28, con “autenticazione informatica”, considerato che, anche alla luce dell’art. 3, punti 1) e 5), del Regolamento (UE) n. 910/2014 per “identificazione elettronica” deve intendersi il processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica, mentre per “autenticazione” il processo elettronico che consente di confermare l’identificazione elettronica di una persona fisica.

6. I ruoli e le responsabilità dei soggetti coinvolti.

Il sistema informatico riferito alla giustizia digitale, prevede il coinvolgimento di diversi soggetti, tra i quali il Ministero della giustizia, i soggetti abilitati interni (magistrati, personale degli uffici giudiziari e degli UNEP) e quelli esterni (privati o pubblici), nonché i soggetti che gestiscono i c.d. “punti di accesso”. Questi ultimi possono essere istituiti da diversi enti pubblici e/o privati, nonché dai Consigli dell’Ordine forense e forniscono, ai soggetti abilitati esterni, i servizi di consultazione e di trasmissione telematica degli atti, nonché eventualmente soluzioni gestionali più complete per il processo telematico.

Tale coinvolgimento di soggetti diversi con competenze in vario modo connesse non è privo di rilievo per i profili di protezione dati.

Si rileva al riguardo che né la normativa primaria, né le relative disposizioni di attuazione individuano con chiarezza i ruoli affidati ai diversi soggetti coinvolti e non definiscono una corretta ripartizione delle responsabilità assegnate agli stessi nel trattamento dei dati posti in essere nel sistema della giustizia digitale.

A tal fine, anche per garantire il rispetto del principio di trasparenza nei confronti dell’interessato di cui all’articolo 5, par. 1, lett. a) del Regolamento, nonché agli artt. 10 e ss. del Decreto, si ritiene necessario che il testo sia integrato con indicazioni puntuali della delimitazione delle rispettive sfere di responsabilità del Ministero, dei diversi uffici giudiziari coinvolti e, soprattutto, dei gestori dei “punti di accesso” nei trattamenti dei dati personali riferiti, in particolare, a:

registro generale degli indirizzi elettronici (affidato, dall’art. 7, comma 1, del D.M. 21 febbraio 2011 n. 44, al Ministero della giustizia);

sistema riferito al fascicolo informatico, la cui gestione è affidata, dall’art. 9, comma 1, del D.M. 21 febbraio 2011 n. 44, al Ministero della giustizia;

trattazione giudiziaria di procedimenti civili e penali (v. circolare del Ministero della giustizia prot. n. 21611 del 27 giugno 2018);

gestione dei punti di accesso, che ai sensi dell’art. 6, commi 3 e 4, del provvedimento del 2014, sono sottoposti ad opportune visite ispettive da parte del Ministero al fine di verificare che i medesimi rispettino i requisiti di sicurezza, la cui violazione può comportare la sospensione dell’autorizzazione a erogare il servizio.

7. La gestione delle violazioni dei dati personali

Lo schema non fornisce alcuna indicazione ai soggetti a vario titolo coinvolti nei trattamenti in ordine alla gestione di eventuali violazioni dei dati personali di cui all’art. 4, punto 12, del Regolamento e art. 2, comma 1, lett. m), del Decreto, che dovessero verificarsi a seguito di una violazione di sicurezza.

Al riguardo, tenuto conto della stretta relazione tra i diversi trattamenti disciplinati nello schema di provvedimento, si ritiene necessario che sia introdotto, in capo ai soggetti di cui al punto 5, un obbligo di informazione nei confronti degli altri soggetti, in caso di violazione dei dati personali che produca effetti anche sui trattamenti effettuati da questi ultimi in qualità di titolari (es. modifica non autorizzata dell’indirizzo PEC di un avvocato o di un altro professionista registrato all’interno del ReGIndE; accesso non autorizzato a un punto di accesso). Ciò, al fine di consentire agli stessi di verificare tempestivamente se si è verificata una violazione dei dati personali, di valutare i rischi per i diritti e le libertà delle persone fisiche derivanti dalla stessa, di adottare misure per porvi rimedio e per attenuarne i possibili effetti negativi, nonché di verificare la sussistenza dei presupposti per la notifica al Garante (artt. 33 del Regolamento e 26 del Decreto) e, se del caso, per la comunicazione agli interessati coinvolti (artt. 34 del Regolamento e 27 del Decreto).

8. Il rispetto del principio di minimizzazione dei dati con specifico riferimento ai messaggi di PEC

Si ritiene necessario che sia data piena applicazione al principio di minimizzazione dei dati di cui all’art. 5, primo par., lett. c), del Regolamento e art. 3, comma 1, lett. c) del Decreto, ai sensi del quale devono essere trattati esclusivamente i dati indispensabili rispetto alle finalità specificamente perseguite.

Tale principio deve trovare piena applicazione con riferimento, in primo luogo, al sistema di gestione dell’intero fascicolo informatico (art. 11 del provvedimento del 2014), prevedendo in ogni fase del trattamento particolari cautele al fine di scongiurare il rischio che informazioni delicate siano conosciute da soggetti non autorizzati.

Con riguardo, invece, alle comunicazioni e notificazioni effettuate per via telematica, in particolare via PEC, nel tenere conto delle cautele già previste dal provvedimento del 2014 all’art. 18 (nonché dall’art. 16, comma 6, del D.M. n. 44/2011), ai sensi del quale la comunicazione che contiene “dati sensibili” è effettuata per estratto con contestuale messa a disposizione dell’atto integrale in apposita area del portale dei servizi telematici, ove è accessibile dall´interessato con modalità tali da garantire l´identificazione dell´autore dell´accesso e la tracciabilità della relativa attività, si osserva quanto segue.

Le informazioni contenute nell’oggetto delle PEC, nel rispetto del richiamato principio di minimizzazione, non devono contenere dati identificativi degli interessati. Ciò, in quanto il contenuto dell’oggetto della PEC riverbera i suoi effetti sulle informazioni contenute nel file di log della PEC che deve conservare i soli dati effettivamente necessari ai fini perseguiti.

Si rappresenta, infatti, che l’art. 4, comma 6, del provvedimento del 2014 prevede che il Ministero conservi il log dei messaggi transitati attraverso il proprio gestore di posta elettronica certificata per 5 anni e che, a tal fine, il gestore di PEC provveda ad inviare al Ministero giornalmente il predetto log. Lo stesso articolo, inoltre, prevede che il log conservi, tra l’altro, l’oggetto del messaggio originale inviato con la PEC. Inoltre, si rileva che l’art. 4, comma 8, del provvedimento del 2014 prevede che “i web service d’interrogazione di log PEC sono disponibili ai sistemi interni al dominio giustizia”, mentre sarebbe necessario introdurre modalità selettive di accesso alle predette informazioni, oltre a chiarire puntualmente le specifiche finalità del predetto trattamento.

9. Le misure di sicurezza.

Le misure tecniche e organizzative individuate e adottate dal Ministero per garantire l’integrità e la riservatezza dei dati personali trattati devono ridurre al minimo i rischi di accesso non autorizzato e di trattamento non consentito o non conforme alle finalità previste (cfr. artt. 5, par. 1, lett. f), 24, 25 e 32 del Regolamento e artt. 3, comma 1, lett. f), 15, 16 e 25 del Decreto).

Pertanto, si ritiene necessario prevedere che tali misure tecniche siano regolarmente riesaminate e aggiornate sulla base di una valutazione d’impatto sulla protezione dei dati da effettuarsi ai sensi dell’art. 35 del Regolamento e dell’art. 23 del Decreto, con riferimento rispettivamente all’attività giudiziaria civile e penale.

In particolare, si ritiene necessario che sia prevista l’adozione delle seguenti misure tecniche e organizzative, in attuazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento e in conformità con quanto previsto dagli artt. 3, comma 1, lett. f), 16, 21 e 25 del Decreto:

a. l’utilizzo esclusivo di protocolli di rete sicuri e di cipher suite robuste (ossia l’insieme di algoritmi utilizzati per lo scambio delle chiavi crittografiche, la crittografia e la verifica dell’integrità e dell’autenticità dei messaggi scambiati), tenendo conto delle “Raccomandazioni in merito allo standard Transport Layer Security (TLS)” adottate dall’Agenzia per l’Italia Digitale con determinazione n. 471 del 5 novembre 2020, in particolare nell’ambito delle seguenti comunicazioni:

i. il collegamento del gestore dei servizi telematici alle caselle PEC utilizzate dagli uffici giudiziari e dagli uffici notificazioni, esecuzioni e protesti (cfr. artt. 4, comma 3, e 20, comma 5, del provvedimento del 2014);

ii. la trasmissione di dati tra i sistemi informatici coinvolti oppure qualsiasi collegamento di un utente all’area pubblica o riservata del portale dei servizi telematici, ai suoi web service (attraverso i servizi proxy per i punti di accesso, per le software house e, quando sarà operativo, quello per le parti in causa), ai punti di accesso o ai loro eventuali web service (cfr. artt. 5, 7, commi 6 e 7, 9-bis, comma 5, 16, comma 2, 18, commi 2 e 5, 19, comma 1, 20, comma 1, 22, comma 3, 24 e 26, comma 5, del provvedimento del 2014);

b. l’applicazione di tecniche di cifratura al file contenente il log dei messaggi PEC che il gestore di posta elettronica certificata invia giornalmente al Ministero in formato CSV (contenente dati personali di varie tipologie, riferiti o riferibili al mittente, al destinatario o a terzi, ivi inclusi dati appartenenti a categorie particolari o dati relativi a condanne penali e reati di cui rispettivamente agli artt. 9 e 10 del Regolamento), in aggiunta alle misure adottate per garantire l’integrità e l’autenticità dei dati in esso contenuti mediante sottoscrizione con firma digitale o firma elettronica qualificata (cfr. art. 4, comma 6, del provvedimento del 2014);

c. l’utilizzo di algoritmi crittografici allo stato dell’arte per le operazioni di crittografia asimmetrica delle c.d. “chiavi di sessione” e della crittografia simmetrica del file “Atto.msg” utilizzato per la trasmissione di documenti da parte di soggetti abilitati esterni e di utenti privati (cfr. art. 2, comma 1, lett. m) e n), del D.M. 12 ottobre 2012, n. 209), in luogo di algoritmi vulnerabili non in grado di assicurare su base permanente la riservatezza dei dati trattati (cfr. art. 14, comma 2, del provvedimento del 2014);

d. la revisione delle procedure di autenticazione informatica utilizzate per l’accesso, da parte di soggetti abilitati esterni e di utenti privati, al portale dei servizi telematici e ai suoi web service, nonché ai punti di accesso e ai loro eventuali web service (cfr. artt. 6 e 24, comma 9, del provvedimento del 2014), uniformando le stesse e prevedendo l’utilizzo di credenziali o dispositivi di autenticazione che assicurino, ove possibile, un livello di garanzia elevato (come definito dal Regolamento di esecuzione (UE) 2015/1502 della Commissione dell'8 settembre 2015);

e. la definizione, in conformità alle “Linee guida sulla formazione, gestione e conservazione dei documenti informatici” adottate dall’Agenzia per l’Italia Digitale con determinazione n. 407 del 9 settembre 2020, delle modalità di conservazione, presso i punti di accesso, di taluni documenti informatici, relativi a:

la registrazione dei soggetti abilitati esterni o degli utenti (cfr. art. 25, commi da 2 a 6, del provvedimento del 2014);

i log di tracciamento degli accessi effettuati da soggetti delegati da soggetti abilitati esterni o utenti privati, e i relativi atti di delega o di revoca della delega (cfr. art. 24, commi 10 e 14, lett. k), del provvedimento del 2014);

f. la revisione delle misure di tracciamento degli accessi e delle operazioni compiute – da parte di soggetti abilitati, interni o esterni, e di utenti privati – tramite il gestore dei servizi telematici, il portale dei servizi telematici, i sistemi informatici del dominio giustizia e i punti di accesso (cfr. artt. 9-bis, comma 5, 11, comma 3, 18, commi 3 e 4, e 20, comma 2, del provvedimento del 2014), in modo tale che:

a) siano oggetto di tracciamento anche gli accessi ai sistemi (login e logout) e le operazioni di trattamento ulteriori alla mera consultazione (quali la raccolta, la modifica, la comunicazione, il trasferimento, l’interconnessione e la cancellazione dei dati personali trattati);

b) siano oggetto di tracciamento anche le operazioni di trattamento dei log dei messaggi PEC (contenenti anche dati appartenenti a categorie particolari o dati relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento);

c) i log di tracciamento consentano di conoscere, per ogni operazione, almeno:

la data e l’ora di esecuzione della stessa;

il codice identificativo del soggetto che l’ha posta in essere;

se del caso, il codice identificativo del soggetto che ne ha delegato l’esecuzione;

il codice della postazione di lavoro utilizzata (es. indirizzo IP o hostname);

il codice identificativo del soggetto interessato dall’operazione;

se del caso, l’ufficio giudiziario titolare del procedimento;

se del caso, il codice identificativo e l’oggetto del procedimento;

ove possibile, la motivazione connessa all’operazione;

d) in caso di esecuzione di un’operazione di accesso massivo ai dati personali, i log di tracciamento consentano di verificare se i dati personali di uno specifico interessato siano stati oggetto di tale operazione;

e) siano adottate misure volte a garantire la completezza, l’immodificabilità, l’autenticità e la riservatezza delle informazioni contenute nei log di tracciamento degli accessi e delle operazioni compiute;

f) i log di tracciamento siano utilizzati ai soli fini della verifica della liceità del trattamento, per finalità di controllo interno, per garantire l'integrità e la riservatezza dei dati personali e nell'ambito di procedimenti penali, anche in attuazione dell’art. 5, par. 1, lett. b), del Regolamento e in conformità con quanto previsto dagli artt. 3, comma 1, lett. b), e 21, comma 3, del Decreto;

g) l’attivazione di specifici alert volti a rilevare comportamenti anomali o a rischio relativi alle operazioni di trattamento eseguite dai soggetti abilitati, interni e esterni, e dagli utenti privati;

h) l’esecuzione di attività di controllo interno (audit), con cadenza almeno annuale, volte a valutare costantemente l’adeguatezza delle misure tecniche e organizzative adottate rispetto ai rischi presentati dal trattamento, nonché a verificare a posteriori, a campione, o a seguito di alert, la legittimità e la liceità delle operazioni effettuate, e l’integrità dei dati e dei sistemi di trattamento utilizzati; tali attività, demandate a un’unità organizzativa diversa rispetto a quelle a cui è affidato il trattamento dei dati personali, dovranno essere adeguatamente documentate in modo tale che sia sempre possibile risalire ai sistemi verificati, alle operazioni tecniche su di essi effettuate, alle risultanze delle analisi condotte sugli accessi e sulle operazioni effettuate dai soggetti abilitati, interni e esterni, e dagli utenti privati, nonché alle eventuali criticità riscontrate.

10. Trasferimenti di dati personali verso Paesi terzi.

Si ritiene necessario che sia effettuata una ricognizione specifica per verificare se, nell’ambito dei sistemi informatici utilizzati, siano coinvolti soggetti terzi, quali, ad esempio, fornitori esterni che effettuano trattamenti al di fuori del territorio nazionale e, in alcuni casi, anche al di fuori dell’Unione europea.

In particolare, tale verifica deve tenere conto che anche l’accesso da remoto da un Paese terzo ai dati contenuti in server ubicati nell’Unione europea configura un trasferimento di dati, sicché, salvo non vengano adottate misure che impediscano tale accesso alle informazioni personali conservate nei predetti server, devono essere adottate - in assenza di una decisione di adeguatezza della Commissione europea - le misure previste dall’art. 46 del Regolamento e, ove necessario, le eventuali misure supplementari (cfr. Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE del Comitato europeo per la protezione dei dati).

TUTTO CIO’ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. c), del Regolamento, esprime parere favorevole sullo schema di decreto del Ministero della giustizia volto ad apportare modifiche al precedente provvedimento del 16 aprile 2014, successivamente modificato, recante le specifiche tecniche del processo telematico civile e penale, in attuazione di quanto previsto dall’articolo 34, comma 1, del decreto del Ministro della giustizia n. 44 del 21 febbraio 2011, con le seguenti osservazioni:

a) il preambolo del provvedimento del 2014 sia integrato con un esplicito riferimento al Regolamento generale sulla protezione dei dati (Ue) 2016/679, nonché al decreto legislativo 18 maggio 2018 n. 51, recante Attuazione della direttiva (UE) 2016/680 (punto 4);

b) sia valutato l’inserimento, nell’art. 2 del provvedimento del 2014, della definizione del “codice IPA” quale identificativo univoco assegnato, al termine del processo di accreditamento, a ciascun soggetto tenuto all’iscrizione all’indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi (IPA) di cui all’art. 6-ter del d.lgs. 7 marzo 2005, n. 82 (punto 5);

c) negli artt. 18 e 23, comma 2, del provvedimento del 2014, sia sostituita l’espressione “dati sensibili” di cui all’art. 4, comma 21, lett. d), del previgente Codice in materia di protezione dei dati personali, con l’espressione “categorie particolari di dati personali” di cui all’articolo 9 del Regolamento e all’articolo 7 del Decreto (punto 5);

d) sia valutata la sostituzione di “identificazione informatica” e “identificazione”, con “autenticazione informatica”, negli artt. 5, 6, 9-bis, 10, 24 e 28 del provvedimento del 2014;

e) il provvedimento sia integrato con l’indicazione specifica della titolarità dei trattamenti effettuati (punto 6), segnatamente considerando se la titolarità sia:

del Ministero della giustizia in relazione ai dati trattati nel registro generale degli indirizzi elettronici, in considerazione di quanto previsto dall’art. 7, comma 1, del D.M. 21 febbraio 2011 n. 44, nonché in relazione al trattamento dei dati contenuti nel fascicolo informatico, la cui gestione è affidata al Ministero dall’art. 9, comma 1, del D.M. 21 febbraio 2011 n. 44;

degli uffici giudiziari per i trattamenti dei dati connessi alla trattazione giudiziaria di procedimenti civili e penali, specificando le tipologie di trattamenti che esulano dall’esercizio della funzione propriamente giurisdizionale;

dei gestori dei punti di accesso in relazione ai trattamenti effettuati in qualità di titolari, ovvero in altra qualità anche in considerazione di quanto disposto dall’art. 6, comma 3 e 4, del provvedimento del 2014;

nonché con le seguenti condizioni:

f) sia integrato il provvedimento con la previsione, in capo ai soggetti di cui alla lett. e), di un obbligo di informazione nei confronti degli altri, in caso di violazione dei dati personali che produca effetti anche sui trattamenti effettuati dagli altri in qualità di titolari, al fine di garantire l’osservanza degli adempimenti di cui agli artt. 33 e 34 del Regolamento, nonché 26 e 27 del Decreto (punto 7);

g) in attuazione del principio di minimizzazione ai sensi dell’art. 5, par. 1, lett. c) del Regolamento e art. 3, comma 1, lett. c) del Decreto, sia integrato il provvedimento del 2014 con la previsione di alcune cautele (punto 8) e, segnatamente:

1. le informazioni contenute nell’oggetto delle PEC non contengano dati identificativi degli interessati, ma solo dati effettivamente necessari ai fini perseguiti, anche ai fini della conservazione dei file di log da parte del Ministero ai sensi dell’art. 4, comma 6, del provvedimento del 2014;

2. siano introdotte modalità selettive di accesso alle informazioni di cui all’art. 4, comma 8, del provvedimento del 2014 e siano chiarite puntualmente le specifiche finalità del trattamento;

h) sia integrato il provvedimento con la previsione di un regolare riesame e aggiornamento delle misure tecniche e organizzative adottate dal Ministero, sulla base di una valutazione d’impatto sulla protezione dei dati da effettuarsi ai sensi dell’art. 35 del Regolamento e dell’art. 23 del Decreto, con riferimento rispettivamente all’attività giudiziaria civile e penale (punto 9);

i) siano previste misure tecniche ed organizzative volte a garantire l’integrità e la riservatezza dei dati personali trattati – riducendo al minimo i rischi di accesso non autorizzato e di trattamento non consentito o non conforme alle finalità previste – nonché ad attuare in modo efficace i principi di protezione dei dati, a tutelare i diritti degli interessati, nonché a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (cfr. artt. 5, par. 1, lett. f), 24, 25 e 32 del Regolamento e artt. 3, comma 1, lett. f), 15, 16 e 25 del Decreto). In particolare, si ritiene necessario che sia prevista l’adozione delle seguenti misure tecniche e organizzative, in attuazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento e in conformità con quanto previsto dagli artt. 3, comma 1, lett. f), 16, 21 e 25 del Decreto (punto 9):

1. l’utilizzo esclusivo di protocolli di rete sicuri e di cipher suite robuste (ossia l’insieme di algoritmi utilizzati per lo scambio delle chiavi crittografiche, la crittografia e la verifica dell’integrità e dell’autenticità dei messaggi scambiati), in particolare nell’ambito delle seguenti comunicazioni:

a. il collegamento del gestore dei servizi telematici alle caselle PEC utilizzate dagli uffici giudiziari e dagli uffici notificazioni, esecuzioni e protesti (cfr. artt. 4, comma 3, e 20, comma 5, del provvedimento del 2014);

b. la trasmissione di dati tra i sistemi informatici coinvolti oppure qualsiasi collegamento di un utente all’area pubblica o riservata del portale dei servizi telematici, ai suoi web service (attraverso i servizi proxy per i punti di accesso, per le software house e, quando sarà operativo, quello per le parti in causa), ai punti di accesso o ai loro eventuali web service (cfr. artt. 5, 7, commi 6 e 7, 9-bis, comma 5, 16, comma 2, 18, commi 2 e 5, 19, comma 1, 20, comma 1, 22, comma 3, 24 e 26, comma 5, del provvedimento del 2014);

2. l’applicazione di tecniche di cifratura al file contenente il log dei messaggi PEC che il gestore di posta elettronica certificata invia giornalmente al Ministero in formato CSV (contenente dati personali di varie tipologie, riferiti o riferibili al mittente, al destinatario o a terzi, ivi inclusi dati appartenenti a categorie particolari o dati relativi a condanne penali e reati di cui rispettivamente agli artt. 9 e 10 del Regolamento), in aggiunta alle misure adottate per garantire l’integrità e l’autenticità dei dati in esso contenuti mediante sottoscrizione con firma digitale o firma elettronica qualificata (cfr. art. 4, comma 6, del provvedimento del 2014);

3. l’utilizzo di algoritmi crittografici allo stato dell’arte per le operazioni di crittografia asimmetrica delle c.d. “chiavi di sessione” e della crittografia simmetrica del file “Atto.msg” utilizzato per la trasmissione di documenti da parte di soggetti abilitati esterni e di utenti privati (cfr. art. 2, comma 1, lett. m) e n), del D.M. 12 ottobre 2012, n. 209), in luogo di algoritmi vulnerabili non in grado di assicurare su base permanente la riservatezza dei dati trattati (cfr. art. 14, comma 2, del provvedimento del 2014);

4. la revisione delle procedure di autenticazione informatica utilizzate per l’accesso, da parte di soggetti abilitati esterni e di utenti privati, al portale dei servizi telematici e ai suoi web service, nonché ai punti di accesso e ai loro eventuali web service (cfr. artt. 6 e 24, comma 9, del provvedimento del 2014), uniformando le stesse e prevedendo l’utilizzo di credenziali o dispositivi di autenticazione che assicurino, ove possibile, un livello di garanzia elevato (come definito dal Regolamento di esecuzione (UE) 2015/1502 della Commissione dell'8 settembre 2015);

5. la definizione in conformità con le “Linee guida sulla formazione, gestione e conservazione dei documenti informatici” adottate dall’Agenzia per l’Italia Digitale con determinazione n. 407 del 9 settembre 2020, delle modalità di conservazione, presso i punti di accesso, di taluni documenti informatici relativi:

a. alla registrazione dei soggetti abilitati esterni o degli utenti (cfr. art. 25, commi da 2 a 6, del provvedimento del 2014);

b. ai log di tracciamento degli accessi effettuati da soggetti delegati da soggetti abilitati esterni o utenti privati, e i relativi atti di delega o di revoca della delega (cfr. art. 24, commi 10 e 14, lett. k), del provvedimento del 2014);

6. la revisione delle misure di tracciamento degli accessi e delle operazioni compiute – da parte di soggetti abilitati, interni o esterni, e di utenti privati – tramite il gestore dei servizi telematici, il portale dei servizi telematici, i sistemi informatici del dominio giustizia e i punti di accesso (cfr. artt. 9-bis, comma 5, 11, comma 3, 18, commi 3 e 4, e 20, comma 2, del provvedimento del 2014), in modo tale che:

a. siano oggetto di tracciamento anche gli accessi ai sistemi (login e logout) e le operazioni di trattamento ulteriori alla mera consultazione (quali la raccolta, la modifica, la comunicazione, il trasferimento, l’interconnessione e la cancellazione dei dati personali trattati);

b. siano oggetto di tracciamento anche le operazioni di trattamento dei log dei messaggi PEC (contenenti anche dati appartenenti a categorie particolari o dati relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento);

c. i log di tracciamento consentano di conoscere, per ogni operazione, almeno:

la data e l’ora di esecuzione della stessa;

il codice identificativo del soggetto che l’ha posta in essere;

se del caso, il codice identificativo del soggetto che ne ha delegato l’esecuzione;

il codice della postazione di lavoro utilizzata (es. indirizzo IP o hostname);

il codice identificativo del soggetto interessato dall’operazione;

se del caso, l’ufficio giudiziario titolare del procedimento;

se del caso, il codice identificativo e l’oggetto del procedimento;

ove possibile, la motivazione connessa all’operazione;

d. in caso di esecuzione di un’operazione di accesso massivo ai dati personali, i log di tracciamento consentano di verificare se i dati personali di uno specifico interessato siano stati oggetto di tale operazione;

e. siano adottate misure volte a garantire la completezza, l’immodificabilità, l’autenticità e la riservatezza delle informazioni contenute nei log di tracciamento degli accessi e delle operazioni compiute;

f. i log di tracciamento siano utilizzati ai soli fini della verifica della liceità del trattamento, per finalità di controllo interno, per garantire l'integrità e la riservatezza dei dati personali e nell'ambito di procedimenti penali, anche in attuazione dell’art. 5, par. 1, lett. b), del Regolamento e in conformità con quanto previsto dagli artt. 3, comma 1, lett. b), e 21, comma 3, del Decreto;

7. l’attivazione di specifici alert volti a rilevare comportamenti anomali o a rischio relativi alle operazioni di trattamento eseguite dai soggetti abilitati, interni e esterni, e dagli utenti privati;

8. l’esecuzione di attività di controllo interno (audit), con cadenza almeno annuale, volte a valutare costantemente l’adeguatezza delle misure tecniche e organizzative adottate rispetto ai rischi presentati dal trattamento, nonché a verificare a posteriori, a campione, o a seguito di alert, la legittimità e la liceità delle operazioni effettuate, e l’integrità dei dati e dei sistemi di trattamento utilizzati; tali attività, demandate a un’unità organizzativa diversa rispetto a quelle a cui è affidato il trattamento dei dati personali, dovranno essere adeguatamente documentate in modo tale che sia sempre possibile risalire ai sistemi verificati, alle operazioni tecniche su di essi effettuate, alle risultanze delle analisi condotte sugli accessi e sulle operazioni effettuate dai soggetti abilitati, interni e esterni, e dagli utenti privati, nonché alle eventuali criticità riscontrate;

j. sia effettuata una ricognizione specifica al fine di verificare se nell’ambito dei sistemi informatici utilizzati, siano coinvolti soggetti terzi che effettuano trattamenti al di fuori del territorio nazionale e, in alcuni casi, anche al di fuori dell’Unione europea (punto 10), in tale ultimo caso adottando - in assenza di una decisione di adeguatezza della Commissione europea - le misure previste dall’art. 46 del Regolamento e, ove necessario, le eventuali misure supplementari (cfr. Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE, del Comitato europeo per la protezione dei dati).

Roma, 15 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9590273
Data
15/04/21

Argomenti


Tipologie

Parere del Garante