Il “nuovo CAD” sembra non piacere nemmeno al Garante privacy. Dopo gli autorevoli rilievi del Consiglio di Stato, altrettanto critico appare infatti il parere espresso – con il provvedimento n. 255 del 9 giugno 2016 – dall’Autorità Garante per la protezione dei dati sullo schema di decreto legislativo recante “Modifiche ed integrazioni al Codice dell’Amministrazione Digitale (CAD) di cui al decreto legislativo 7 marzo 2005 n. 82, ai sensi dell’art. 1 della legge n.124/2015, in materia di riorganizzazione delle amministrazioni pubbliche”. Lo schema di decreto è stato peraltro reso da pochi giorni disponibile nella sua seconda versione che ha tenuto conto di alcune critiche ricevute in questi mesi.
Come è noto, tra gli obiettivi dello schema di decreto c’è anche quello di coordinare la disciplina nazionale in materia di documenti informatici e firme elettroniche con quella europea e, in particolare, con il Regolamento (UE) n. 910/2014 del Parlamento e del Consiglio del 23 luglio 2014 (Regolamento eIDAS), in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, che abroga la direttiva 1999/93/CE. Vediamo, quindi, cosa non ha convinto il nostro Garante privacy, il quale – proprio perché sono previste significative innovazioni al CAD e considerato il notevole impatto del provvedimento sui diritti dei cittadini – ha formulato puntuali osservazioni al fine di adeguare maggiormente il contenuto dello schema ai principi e alle regole vigenti in materia di protezione dei dati.
Nel parere dell’Authority viene segnalata innanzitutto la necessità di adeguare la terminologia utilizzata nello schema di decreto alle definizioni adottate nel Regolamento eIDAS e di garantire effettiva e piena coerenza con i decreti relativi a CAD, Spid e alla normativa sulla trasparenza e anticorruzione (ad esempio, si suggerisce giustamente che la nozione di “documento informatico” debba essere coordinata con quella di “documento elettronico”).
Alla luce di quanto previsto dalla normativa, è riconosciuto a chiunque il principio di partecipazione ai procedimenti della pubblica amministrazione oltre al principio di libero accesso ai servizi pubblici. In più, lo schema di decreto introduce un’altra disposizione secondo la quale “tutti i cittadini e le imprese hanno il diritto all’assegnazione di un’identità digitale attraverso la quale accedere e utilizzare i servizi erogati in rete”. Secondo il Garante, tale disposizione sembra porsi in contrasto con il principio generale di cui all’art. 3, comma 1 del CAD, in quanto limita in maniera ingiustificata l’ambito soggettivo del diritto di utilizzare un’identità digitale ai soli cittadini e alle imprese. L’Autorità garante ritiene opportuno, invece, estendere il diritto di avere e utilizzare un’identità digitale a chiunque risieda legalmente in Italia. Sarà importante, inoltre, garantire che l’elezione o l’assegnazione del “domicilio digitale”, considerato mezzo esclusivo di comunicazione con le pubbliche amministrazioni, resti nella facoltà dell’interessato e non divenga un obbligo (come invece potrebbe sembrare dall’interpretazione della disposizione presente nello schema di decreto), in quanto ciò andrebbe a ledere quel fondamentale principio di “autodeterminazione informativa” del cittadino (nella sua qualità di interessato al trattamento) che è alla base della normativa privacy nazionale ed europea.
Dubbi sorgono, invece, in merito al suggerimento del Garante – nell’ambito dell’introduzione di un “ufficio dirigenziale generale” (art. 15 dello schema che modifica l’art. 17, comma 1, del CAD) – di far eventualmente coincidere il responsabile di tale ufficio con il “responsabile della protezione dei dati” (figura introdotta dall’art. 37 del nuovo Regolamento europeo 2016/679 e prevista come obbligatoria per tutti gli enti pubblici). Quest’ultimo soggetto, infatti, oltre a dover possedere una conoscenza specialistica della normativa privacy, ha tra i requisiti l’indipendenza e l’assenza di conflitto di interessi verso la struttura presso la quale fornisce la propria attività professionale. Ciò appare pertanto non calzante con quanto attualmente previsto nello schema di decreto, laddove si precisa che egli “con riferimento ai compiti relativi alla transizione digitale risponde direttamente all’organo di vertice politico”. Quindi, in modo piuttosto evidente, i compiti e i poteri del CDO (Chief Digital Officer per gli enti pubblici) sono profondamente diversi dal DPO (Data Protection Officer). Non si può non tenerne conto.
In merito alla disciplina riguardante i prestatori di servizi fiduciari qualificati, gestori di posta elettronica certificata e gestori dell’identità digitale, il Garante ha voluto sottolineare, inoltre, l’importanza di disporre adeguate garanzie per i dati personali, quali il rispetto del principio di pertinenza e non eccedenza, soprattutto considerando il fatto che lo schema di decreto introdurrebbe nel certificato di firma elettronica qualificata il codice fiscale come attributo specifico aggiuntivo. Secondo l’Autorità, è necessario eliminare la possibilità di inserire nel certificato di firma elettronica qualificata dati aggiuntivi rispetto a quanto previsto dal Regolamento eIDAS, come, appunto, il codice fiscale. Questa previsione, infatti, non sarebbe in linea con i principi di pertinenza e non eccedenza (di cui all’art. 11 del D.Lgs. 196/2003, ma anche del nuovo Regolamento UE 2016/679) e rischierebbe, pertanto, di contribuire a rendere di fatto il codice fiscale un identificatore unico a livello nazionale, ratificandone l’utilizzo generalizzato al di fuori del settore fiscale.
Peraltro, come si legge nel parere dell’Autorità garante, “in base al considerando 54 del Regolamento eIDAS, non possono essere aggiunti requisiti obbligatori a quelli già previsti dal suddetto regolamento e in particolare gli identificatori unici attribuiti a livello nazionale, laddove aggiunti non devono ostacolare l’interoperabilità transfrontaliera e il riconoscimento dei certificati e delle firme elettroniche qualificati”. Dunque, “questa equiparazione di fatto, in assenza di apposite previsioni legislative che determinino le condizioni alle quali questo possa essere usato, è in contrasto con la direttiva 95/46/CE (art. 8, par. 7) e con il nuovo Regolamento europeo sulla protezione dei dati (Regolamento UE 2016/679) (art. 87)”.
Il Garante si è espresso anche in merito alla conservazione dei documenti informatici e all’interoperabilità. In particolare, l’art. 41 dello schema di decreto introduce il comma 3-bis all’art. 50 del CAD, ai sensi del quale “il trasferimento di un dato da un sistema informativo a un altro non modifica la titolarità del dato”. Tale disposizione, afferma l’Authority, sarebbe già presente nell’art. 58 del vigente CAD che, tra l’altro, risulterebbe di difficile interpretazione in quanto non viene specificato cosa si intenda per “titolarità del dato”, né si rinviene al riguardo alcuna specificazione nel CAD. Secondo l’Autorità Garante per la protezione dei dati, questa nozione potrebbe generare molteplici dubbi con riferimento al diverso istituto giuridico, previsto dalla disciplina sulla protezione dei dati personali, della “titolarità del trattamento” (che ha un significato ben diverso). Inoltre, si legge nel parere del Garante che “la disposizione in base alla quale il trasferimento di dati da un sistema informativo a un altro non ne modifica la titolarità, è contraria al Codice in base al quale, invece, il destinatario di una comunicazione di dati personali diventa “titolare del trattamento del dato personale” con le conseguenti responsabilità che derivano dal trattamento di tali dati. Il Garante, pertanto, suggerisce di “espungere definitivamente la previsione o di specificarne meglio il significato per evitare ogni ambiguità con la disciplina sulla protezione dei dati personali”. Si auspica anche l’introduzione di un richiamo al coordinamento tra AgID e il Garante nel caso di incidenti alla sicurezza che abbiano impatto sui dati personali (come peraltro indicato nel considerando 31 del Regolamento eIDAS). La tematica dei “data breaches”, infatti, è oramai stata pienamente disciplinata in ambito privacy grazie al Regolamento europeo che determina precisamente gli adempimenti da porre in essere in caso di eventi che comportino una “violazione dei dati personali”.
Relativamente all’anonimizzazione e alla pubblicazione delle sentenze e delle decisioni giudiziarie, come osservato anche dal Consiglio di Stato nel suo parere dell’11 maggio 2016, si tratterebbe di un tema fuori delega e, inoltre, di un ingiustificato appesantimento dell’attività amministrativa. L’Autorità Garante ritiene, tuttavia, che l’appesantimento derivi più dal dover procedere con una valutazione caso per caso, che non dalla generalizzata anonimizzazione delle sentenze. Una prassi che imponga l’anonimizzazione delle sentenze a monte, infatti, potrebbe considerarsi come un’applicazione del principio della “privacy by default” (principio, tra l’altro, introdotto dal nuovo Regolamento europeo in materia di protezione dei dati personali). Tale suggerimento verso un’anoniminizzazione by default siamo certi che alimenterà molto dibattito in dottrina e forse – pur volendo risolvere un aspetto burocratico e complesso – rischia di estremizzare il concetto di protezione del dato personale proponendo una soluzione troppo semplicistica e “poco trasparente” rispetto a quelli che sono i diritti di pubblicità tipici dei nostri ambiti processuali. Senz’altro la soluzione proposta merita una approfondita e attenta riflessione.
Il Garante privacy ha voluto, infine, esprimersi in merito all’abrogazione dell’art. 50 bis del CAD, il quale disciplinava le procedure di disaster recovery e di continuità operativa. Tale abrogazione potrebbe, secondo il Garante, costituire un grave pericolo per la protezione dei dati personali trattati dai soggetti pubblici precedentemente tenuti all’adozione di procedure di disaster recovery e di continuità operativa, perché la prima è una misura minima di sicurezza (art. 34 del D.Lgs. 196/2003 e Allegato B) applicabile a tutte le banche dati, mentre la seconda è obbligatoria nel momento in cui vengono trattati dati sensibili e/o giudiziari. Si tratta, pertanto, di una proposta di abrogazione non proprio felice, anche alla luce delle nuove misure di sicurezza introdotte dall’art. 32 del Regolamento (UE) 2016/679.
Secondo l’Authority, pertanto, non sarebbe opportuno abrogare l’art. 50 bis: tuttalpiù, si potrebbe semplificarne la formulazione, mantenendo, però, in capo ai soggetti pubblici “l’obbligo di provvedere alla conservazione sicura dei dati come specifico adempimento nel contesto più ampio delle misure di sicurezza”.
In conclusione, quello del Garante è un parere fortemente critico in quanto le lacune (giustamente) sottolineate sono tante e destinate a incidere pesantemente, su più fronti, in questa delicata fase di cambiamento normativo. Sono richieste, pertanto, maggiori garanzie di riservatezza per chiunque si avvalga dell’identità digitale, una sempre più attenta protezione dei dati personali e un maggiore coordinamento tra norme (in modo che esse non parlino lingue diverse). Proprio su quest’ultimo aspetto non si può che concordare con il Garante laddove puntualizza autorevolmente che nel gestire questo delicato mutamento normativo il legislatore deve dedicare massima attenzione a preservare la sistematicità dell’ordinamento anche in chiave europea e ci permettiamo di riferire che – nella fretta di legiferare – non sempre questo è stato assicurato nelle tante modifiche di questi ultimi anni. Proviamo allora a cambiare modus operandi magari partendo proprio da questa importante riforma.
