Diritti interna

Doveri interna

ricerca avanzata

Compiti del Garante - Precisazioni del Garante in tema di firma digitale - 19 novembre 2003 [1054808]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1054808
Data:
19/11/03
Argomenti:
Misure di sicurezza , Ministeri , Firma digitale
Tipologia:
Parere del Garante

[doc web n. 1054808]

Compiti del Garante - Precisazioni del Garante in tema di firma digitale - 19 novembre 2003

Presidenza del Consiglio dei ministri
Ufficio legislativo del Ministro
per l´innovazione e le tecnologie
Roma

rif. n. ul/392/03/21 c del 5 giugno 2003

Oggetto: schema di decreto del presidente del Consiglio dei ministri recante regole tecniche per la generazione, apposizione e verifica delle firme digitali.

Richiesta parere.

 

Codesto Dipartimento per l´innovazione e le tecnologie ha chiesto il parere del Garante in ordine ad uno schema di d.P.C.M. di aggiornamento delle regole tecniche per la generazione, apposizione e verifica delle firme digitali, da adottare ai sensi dell´articolo 8, comma 2, del testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa (d.P.R. 28 dicembre 2000, n. 445).

Questa Autorità ha esaminato una prima bozza del d.P.C.M. in questione, che intende sostituire il d.P.C.M. 8 febbraio 1999, con il parere del 14 giugno 2001. La nuova versione dello schema fa seguito, evidentemente, alle modifiche apportate al citato testo unico con il recente d.P.R. 7 aprile 2003, n. 137, recante disposizioni in materia di firme elettroniche, sul quale il Garante si era espresso con parere del 17 settembre 2002.

In occasione del parere adottato il 14 giugno 2001, questa Autorità aveva osservato che varie disposizioni dello schema all´epoca trasmesso recavano norme di natura sostanziale o comunque precettiva per effetto della loro formulazione, tali da non dover essere comprese fra le "regole tecniche" oggetto dello schema, sottolineando l´esigenza che tale disciplina di carattere meramente tecnico fosse tenuta distinta dalle disposizioni a carattere normativo, primario o regolamentare.

Esaminato l´odierno schema trasmesso, si prende atto che alcune delle disposizioni segnalate sono state opportunamente "trasferite" nel regolamento approvato con il d.P.R. n. 137/2003, che il Garante aveva segnalato come la "sede naturale" per tali norme (ad esempio le disposizioni in materia di requisiti di onorabilità dei certificatori, di pseudonimo, ecc.).

Poiché, tuttavia, ancora figurano nello schema trasmesso disposizioni di tale natura (ad esempio, gli artt. 14 e 15, nonché l´art. 52 che riguarda la validità del documento informatico), si invita a tener conto di questa osservazione in riferimento al complessivo tenore del provvedimento, trasferendo le disposizioni di carattere sostanzialmente normativo, o che si prestano ad obiezioni circa la loro natura di esclusive "regole tecniche", ad esempio, nell´opportuna sede del decreto legislativo in materia di società dell´informazione in stato di avanzata predisposizione (art. 10, l. n. 229/2003, di semplificazione 2001).

Quanto alle singole disposizioni dello schema, sia per quelle da trasferire, sia per le altre, si formulano le seguenti osservazioni:

a) all´art. 15, comma 1, appare opportuno specificare che le informazioni personali contenute a qualsiasi titolo nel certificato, ivi incluso il codice identificativo, siano utilizzabili unicamente con le modalità tecniche necessarie per identificare il titolare della firma elettronica e per legittimare la sottoscrizione del documento informatico;

b) agli artt. 29, 40, comma 3, e 41, comma 2, appare necessario chiarire che le informazioni riportate nell´elenco pubblico dei certificatori e nelle liste dei certificati, che sembrano essere consultabili da chiunque (anche in via telematica), nonché nei certificati qualificati, ove ne sia consentita la pubblicazione, siano utilizzabili da chi le consulta per le sole finalità di applicazione della disciplina in questione (cfr. anche quanto osservato nel precedente parere del 17 settembre 2002);

c) all´art. 37, che fa riferimento ad un "codice di emergenza", appare necessario prevedere espressamente l´adozione di specifiche misure di sicurezza per assicurare la segretezza del codice;

d) all´articolo 38, comma 3, lett. q), si rinnova la richiesta di fissare criteri di omogeneità in ordine alle modalità di protezione della riservatezza da inserire nei manuali operativi.

L´Autorità rimane a disposizione per ogni chiarimento ed eventuale ulteriore collaborazione.

Roma, 19 novembre 2003

 

IL SEGRETARIO GENERALE
Buttarelli