g-docweb-display Portlet

Parere uno schema di provvedimento in materia di regole tecniche per l'adozione nel processo civile e nel processo penale delle tecnologie dell'informazione e della comunicazione - 18 dicembre 2013 [2898564]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2898564]

Parere uno schema di provvedimento in materia di regole tecniche per l´adozione nel processo civile e nel processo penale delle tecnologie dell´informazione e della comunicazione - 18 dicembre 2013

Registro dei provvedimenti
n. 584 del 18 dicembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero della giustizia;

Visto l´art. 154, comma 4, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSO

Il Ministero della giustizia ha richiesto il parere del Garante in ordine ad uno schema di provvedimento del Direttore Generale per i sistemi informativi automatizzati del Ministero della giustizia, concernente specifiche tecniche del decreto del Ministro della giustizia in data 21 febbraio 2011 n. 44, recante il regolamento sulle regole tecniche per l´adozione nel processo civile e nel processo penale delle tecnologie dell´informazione e della comunicazione (infra: Regolamento).

L´odierno provvedimento – che attua il disposto di cui all´articolo 34 del Regolamento – è volto a sostituire il provvedimento adottato dal Responsabile per i sistemi informativi automatizzati del Ministero della giustizia (infra: Responsabile S.I.A.) il 18 luglio 2011 e recante "Specifiche tecniche per l´adozione nel processo civile e nel processo penale delle tecnologie dell´informazione e della comunicazione", su cui il Garante ha reso a suo tempo parere (parere del 10 giugno 2011) (art. 31 dello schema).

L´adozione dell´odierno provvedimento rinviene la propria ragione segnatamente nelle modifiche apportate all´articolo 18 del menzionato Regolamento, concernente le notificazioni per via telematica eseguite dagli avvocati, dapprima dal d.m. 15 ottobre 2012, n. 209 e successivamente dal d.m. 3 aprile 2013, n. 48. Al riguardo si ritiene opportuno che il preambolo dello schema di provvedimento evidenzi detta circostanza, mediante un esplicito riferimento ai citati decreti ministeriali.

L´odierno parere tiene conto delle osservazioni svolte in precedenza dal Garante (parere del 10 giugno 2011 citato) e in particolare di alcune condizioni che non risultano pienamente recepite dal provvedimento 18 luglio 2011.

RILEVATO

1. Infrastrutture informatiche.

Il comma 2 dell´articolo 3 dispone che costituiscono infrastrutture unitarie e comuni le banche dati e i sistemi informatici indicati nell´allegato 1 allo schema di provvedimento. La disposizione intende recepire le osservazioni formulate dal Garante nel parere del 16 giugno 2011 circa la necessità di un´elencazione tassativa di tali infrastrutture unitarie e comuni e dell´indicazione specifica delle banche dati nazionali.

Al riguardo si richiama l´attenzione sulla lettera a) dell´allegato 1, concernente "le banche dati e i relativi sistemi informativi del personale (inclusi i sistemi di misurazione e monitoraggio della performance), delle risorse finanziarie, strumentali e materiali, del protocollo e di gestione documentale degli atti amministrativi e delle attività amministrative anche presso gli uffici giudiziari". In proposito, si invita l´Amministrazione a valutare la funzionalità di tali banche dati rispetto alla realizzazione del processo telematico e al perseguimento delle finalità dello schema medesimo.

2. Conservazione dei log.

2.1. Diverse disposizioni del provvedimento (articoli 4, comma 6; 11, comma 3; 18, comma 4; 24, comma 10; 25, comma 3) disciplinano le modalità, le condizioni e i termini di conservazione dei log relativi agli accessi al sistema informatico del Ministero o ai servizi da esso resi disponibili.

Le menzionate norme contemplano differenti termini di conservazione dei log (dieci anni, cinque anni, almeno cinque anni, secondo i casi). In particolare, l´articolo 4, comma 6, prevede un termine di conservazione pari a dieci anni (diverso dal termine di cinque anni, recato dall´art. 4, comma 6, dello schema di provvedimento, su cui questa Autorità ha reso il parere 10 giugno 2011 citato).

Nel ribadire, in ogni caso, l´esigenza di fissare termini di conservazione congrui e proporzionati rispetto alle finalità perseguite, si sottolinea come la durata del predetto termine sembra contraddire quanto previsto dall´articolo 4, comma 3, del Regolamento, a mente del quale "Il Ministero della giustizia garantisce la conservazione dei log dei messaggi transitati attraverso il proprio gestore di posta elettronica certificata per cinque anni" e diverge dal termine di conservazione di cinque anni, previsto dagli articoli 11, comma 3, e 18, comma 4.
In proposito, si invita l´Amministrazione a riflettere sulla congruità e proporzionalità del termine di 10 anni previsto dall´articolo 4, comma 6, dello schema e dall´articolo 25, comma 3.

2.2 Sempre in merito alla conservazione dei log, si precisa che il comma 10 dell´articolo 24 dispone che, in caso di accesso di soggetti delegati da un utente registrato al punto di accesso, il soggetto delegante conserva "per almeno cinque anni" l´atto di delega unitamente alla "tracciatura di ogni accesso effettuato su delega". In proposito, si richiamano le osservazioni formulate da questa Autorità nel parere del 10 giugno 2011 sulla circostanza che la mera indicazione di un termine minimo di conservazione contrasta con l´esigenza di fissare termini certi (oltre che congrui) e non il solo limite minimo di conservazione.

2.3 Infine, il comma 5 dell´articolo 9 bis prevede che l´accesso all´elenco degli indirizzi di posta elettronica certificata (di seguito: P.E.C.) di cui alla medesima norma sia "tracciato in appositi log". In proposito, si ritiene che vada precisata la durata del periodo di conservazione del predetto file di log, che deve essere in ogni caso congrua e proporzionata rispetto alle finalità perseguite.

2.4. In conclusione si richiama l´attenzione dell´Amministrazione sulla necessità di individuare, in tutti i casi in cui lo schema prevede la conservazione di log, termini di conservazione dei medesimi log certi, congrui e proporzionati rispetto alle finalità perseguite.

3. Identificazione informatica.

3.1 L´articolo 6 dello schema disciplina l´identificazione informatica. In particolare, il comma 1 reca la precisazione- rispetto al provvedimento del 18 luglio 2011- in base alla quale le modalità di identificazione informatica sul portale dei servizi telematici (carta d´identità elettronica o carta nazionale dei servizi) e sul punto di accesso (autenticazione a due fattori oppure token crittografico) riguardano "i soggetti abilitati esterni".

In definitiva, il citato comma 1 dell´articolo 6 dello schema, attraverso l´inserimento del riferimento ai soli "soggetti abilitati esterni", sembra circoscrivere l´ambito di applicazione della norma a detti soggetti, escludendo dallo stesso i soggetti abilitati interni e gli utenti privati. In proposito, si evidenzia come detta modifica andrebbe coordinata con le altre previsioni dello schema che rinviano all´articolo 6 e, in relazione agli utenti privati, con quanto prevede l´articolo 25, comma 2, dello schema, a mente del quale "il punto di accesso o il portale dei servizi telematici effettuano la registrazione del soggetto abilitato esterno o dell´utente privato, prelevando il codice fiscale dal token crittografico dell´utente".

3.2 Inoltre, l´articolo 6, comma 1, dello schema, nel precisare le modalità attraverso cui avviene l´identificazione informatica, sembra omettere il ricorso, a fini di identificazione, al sistema pubblico per la gestione dell´identità digitale dei cittadini e imprese (c.d. S.P.I.D.), di cui all´articolo 64 del decreto legislativo 7 marzo 2005, n. 82, recante il Codice dell´amministrazione digitale (di seguito: C.A.D.), come modificato dall´articolo 17 ter, comma 2, del decreto legge 21 giugno 2013, n. 69, convertito, con modificazioni, dalla legge 9 agosto 2013, n. 98. In proposito, si ritiene, quindi, opportuno perfezionare la disposizione normativa, prevedendo che detta identificazione avvenga "in conformità all´articolo 64 del decreto legislativo 7 marzo 2005, n. 82". La stessa precisazione andrebbe inserita nell´articolo 10, comma 2, dello schema, che concerne l´identificazione informatica dei soggetti abilitati interni.

4. Indirizzi di posta elettronica certificata delle pubbliche amministrazioni.

Lo schema introduce una nuova disposizione rispetto al provvedimento 18 luglio 2011, rappresentata dall´articolo 9 bis, che disciplina le modalità di comunicazione degli indirizzi di P.E.C. da parte delle amministrazioni pubbliche, ai sensi dell´articolo 16, comma 12, del decreto legge 18 ottobre 2012, n. 179, convertito dalla legge 17 dicembre 2012, n. 221.

Sono previste due modalità alternative di comunicazione:

a) inserimento dell´indirizzo di P.E.C. da parte della pubblica amministrazione nel file inviato ai sensi dell´articolo 8, comma 3;

b) inserimento dell´indirizzo di P.E.C. all´interno dell´apposita area del portale dei servizi telematici, da parte di "soggetto incaricato" di inserire o modificare gli indirizzi di P.E.C. della pubblica amministrazione su detto portale (modalità c.d. "semplificata").

Il comma 5 dell´articolo 9 bis stabilisce che l´elenco degli indirizzi di P.E.C. sia consultabile dagli avvocati tramite il proprio punto di accesso o tramite il portale; l´accesso è "tracciato in appositi log". In proposito, si ritiene che vadano precisate le informazioni contenute nel file di log, rispettando il principio in base al quale vanno conservati i soli dati effettivamente necessari a identificare l´autore dell´accesso alle informazioni e al sistema, al fine di impedire ogni forma di abuso.

5. Comunicazioni e notificazioni contenenti dati sensibili.

5.1 L´articolo 18, comma 1, disciplina le comunicazioni e notificazioni contenenti dati sensibili, prevedendo che essa sia effettuata per estratto. Ciò, nel rispetto di quanto previsto dal comma 6 dell´articolo 16 del Regolamento e dal  comma 5 dell´articolo 16 del decreto legge n. 179/2012 citato. A mente dell´articolo 16, comma 6, del Regolamento, infatti, "la comunicazione che contiene dati sensibili è effettuata per estratto con contestuale messa a disposizione dell´atto integrale nell´apposita area del portale dei servizi telematici, secondo le specifiche tecniche stabilite ai sensi dell´articolo 34 e nel rispetto dei requisiti di sicurezza di cui all´articolo 26, con modalità tali da garantire l´identificazione dell´autore dell´accesso e la tracciabilità delle relative attività". Il comma 5 dell´articolo 16 del decreto legge n. 179/2012 dispone che "La notificazione o comunicazione che contiene dati sensibili è effettuata solo per estratto con contestuale messa a disposizione, sul sito internet individuato dall´amministrazione, dell´atto integrale cui il destinatario accede mediante gli strumenti di cui all´articolo 64 del decreto legislativo 7 marzo 2005, n. 82."

In particolare, il comma 1 dell´articolo 18 dello schema prevede che "il destinatario effettua il prelievo dell´atto integrale accedendo all´indirizzo (URL) contenuto nel messaggio di P.E.C. di avviso" e al comma 2 che tale prelievo "avviene attraverso l´apposito servizio proxy del portale dei servizi telematici, su canale sicuro (protocollo SSL); tale servizio effettua l´identificazione informatica dell´utente, ai sensi dell´articolo 6"; inoltre, ai sensi del comma 3 della disposizione, "Il prelievo di cui al comma precedente avviene da un´apposita area di download del gestore dei servizi telematici".

Ciò premesso, lo schema di provvedimento innova la corrispondente norma del provvedimento del 18 luglio 2011, mediante l´introduzione di ulteriori due commi (commi 5 e 6).

In particolare, il comma 5 si riferisce al caso in cui il destinatario sia una pubblica amministrazione e prevede che la comunicazione e la notificazione siano effettuate allegando l´atto integrale cifrato. Nella relazione illustrativa si legge che "in tale ipotesi, il prelievo dell´atto integrale attraverso il proxy di download di cui al comma 2 è impraticabile, in quanto l´identificazione ivi prevista avviene tramite smart card […], che viene rilasciata unicamente alla persona fisica". In proposito, si osserva che detta previsione sembra contrastare con il comma 6 dell´articolo 16 del Regolamento, nonché con il comma 5 dell´articolo 16 del decreto legge n. 179/2012, sopra descritti.

Al riguardo si rende necessario il coordinamento del comma 5 dell´articolo 18 con la normativa di riferimento sopra citata.

5.2 Il comma 6 dell´articolo 18 dello schema contempla l´ipotesi in cui destinatario della comunicazione/notificazione contenente dati sensibili sia un´impresa iscritta nel relativo registro. In merito all´abilitazione di detto utente all´accesso all´atto integrale si ritiene che la semplice "associazione" dell´utente all´impresa destinataria nell´ambito del registro delle imprese non sia un criterio sufficiente a soddisfare le esigenze legate alla tutela della riservatezza e alla protezione dei dati personali al fine di evitare accessi abusivi, rendendosi necessario chiarire chi siano detti soggetti "associati" all´impresa e abilitati ad accedere all´atto integrale, al fine di garantire che detto accesso sia riservato effettivamente ai soli soggetti legittimati.

Infine, allo scopo di garantire la sicurezza nella fase di trasmissione delle informazioni, l´indirizzo URL contenuto nel messaggio di P.E.C. deve fare riferimento a protocolli di rete sicuri. A tale scopo, il comma 6 dell´articolo 18 dello schema andrebbe allineato al comma 2 della medesima norma, prevedendo l´uso del canale sicuro (protocollo SSL), mediante l´inserimento, dopo la locuzione "indirizzo (URL) contenuto nel messaggio di P.E.C. di avviso", della precisazione "su canale sicuro (protocollo SSL)".

6. Requisiti di sicurezza.

Nell´ambito del Capo IV relativo alla consultazione delle informazioni del dominio giustizia, l´articolo 24 disciplina i requisiti di sicurezza. In particolare, il comma 10 della norma- concernente l´accesso dei soggetti delegati- prevede che il soggetto delegante predisponga "un atto di delega, sottoscritto con firma digitale o firma elettronica qualificata".

In relazione alla sottoscrizione con firma elettronica qualificata, si fa presente chel´articolo 27, comma 4, del Regolamento prevede la sottoscrizione della delega solo con firma digitale. Si ritiene, pertanto, che il riferimento alla firma elettronica qualificata vada eliminato, per allineare la previsione a quanto dispone la norma citata.

IL GARANTE

esprime parere favorevole sullo schema di provvedimento del responsabile per i sistemi informativi automatizzati del Ministero della giustizia concernente specifiche tecniche del decreto del Ministro della giustizia adottato in data 21 febbraio 2011 n. 44, recante il regolamento sulle regole tecniche per l´adozione nel processo civile e nel processo penale delle tecnologie dell´informazione e della comunicazione, con le seguenti condizioni:

a) nei casi in cui lo schema prevede la conservazione di log di cui agli articoli 4, comma 6; 9 bis, comma 5; 24, comma 10; 25, comma 3 siano individuati termini di conservazione dei medesimi log certi, congrui e proporzionati rispetto alle finalità perseguite, nei termini di cui in motivazione (punto 2);

b) l´articolo 6, comma 1, sia coordinato con le altre disposizioni dello schema che rinviano a detta norma, nonché con l´articolo 25, comma 2, con riguardo alla registrazione dell´utente privato, nei termini di cui in motivazione (punto 3.1.)

c) agli articoli 6, comma 1, e 10, comma 2, dello schema, sia previsto che l´identificazione informatica avviene "in conformità all´articolo 64 del decreto legislativo 7 marzo 2005, n. 82" (punto 3.2)

d) al comma 5 dell´articolo 9 bis siano precisate le informazioni contenute nel file di log, nei termini di cui in motivazione (punto 4);

e) si provveda al coordinamento dell´articolo 18, comma 5, in merito alle notificazioni o comunicazioni alla pubblica amministrazione contenenti dati sensibili, con la normativa di riferimento (punto 5.1);

f)  in relazione all´articolo 18, comma 6, si chiarisca cosa si intende per soggetti "associati" all´impresa destinataria e dopo le parole "indirizzo (URL) contenuto nel messaggio di P.E.C. di avviso", siano inserite le seguenti "su canale sicuro (protocollo SSL)" (punto 5.2);

g) all´articolo 24, comma 10, siano soppresse le parole "firma elettronica qualificata" (punto 6);

e con le seguenti osservazioni:

h) valuti l´Amministrazione la funzionalità  delle "banche dati e i relativi sistemi informativi del personale (inclusi i sistemi di misurazione e monitoraggio della performance), delle risorse finanziarie, strumentali e materiali, del protocollo e di gestione documentale degli atti amministrativi e delle attività amministrative anche presso gli uffici giudiziari" rispetto alla realizzazione del processo telematico e al perseguimento delle finalità dello schema (punto 1.1).

Roma 18 dicembre 2013

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
2898564
Data
18/12/13

Tipologie

Parere del Garante