Il nuovo Sistema Unificato d’Identità Digitale: peculiarità e profili privacy
Uno dei temi su cui si concetrerà lo sforzo delle amministrazioni pubbliche nei prossimi mesi in tema di digitalizzazione è quello dell’identità digitale di ciascuno di noi, secondo quanto previsto dal Decreto Cresita 2.0. In attesa di fare il punto con l’Agenzia per l’Italia Digitale a FORUM PA 2013 la mattina di martedì 28 maggio presentiamo – nell’ambito della collaborazione con lo Studio Legale Lisi – un articolo di Debora Montagna sulle questioni aperte in tema di privacy.
15 Maggio 2013
Debora Montagna*
Uno dei temi su cui si concetrerà lo sforzo delle amministrazioni pubbliche nei prossimi mesi in tema di digitalizzazione è quello dell’identità digitale di ciascuno di noi, secondo quanto previsto dal Decreto Cresita 2.0. In attesa di fare il punto con l’Agenzia per l’Italia Digitale a FORUM PA 2013 la mattina di martedì 28 maggio presentiamo – nell’ambito della collaborazione con lo Studio Legale Lisi – un articolo di Debora Montagna sulle questioni aperte in tema di privacy.
Il Sistema Unificato d’Identità Digitale è il risultato dell’interazione di una serie di tecnologie e innovazioni, quali la firma digitale, la PEC, il domicilio digitale, il documento digitale e l’Anagrafe Nazionale della Popolazione Residente.
Parlare di privacy nell’ambito di questo Sistema – così come delineato nel Codice della PA Digitale – CAD (d.lgs. n. 82/2005) – è d’obbligo, in quanto i nuovi scenari aperti dalle modifiche introdotte dal Decreto Crescita 2.0 implicano la necessità di adottare tutta una serie di accorgimenti e di misure di sicurezza per la tutela dei dati personali.
In particolare, il decreto legge n. 179 del 2012, così come modificato dalla legge di conversione n. 221 del 2012, ha introdotto:
- il documento digitale unificato, in sostituzione sia della Carta d’identità sia della Tessera sanitaria (art. 1 del D.L. 179/2012);
- l’Anagrafe Nazionale della Popolazione Residente prevista nel nuovo art. 62 del CAD;
- il domicilio digitale per il cittadino e per le imprese.
Innanzitutto, il comma 2 dell’articolo 1 del Decreto Crescita 2.0[1] stabilisce che, con decreto del Presidente del Consiglio dei Ministri, è disposta:
- l’unificazione, sul medesimo supporto, della carta d’identità elettronica con la tessera sanitaria;
- nonché l’ampliamento delle possibili utilizzazioni della carta d’identità elettronica, anche in relazione all’unificazione con la tessera sanitaria[2].
Le regole tecniche per l’unificazione dei due documenti rivestono particolare importanza per la protezione dei dati personali, infatti le procedure di formazione e rilascio del documento devono avvenire nel rispetto delle garanzie in materia di protezione dei dati personali.
Al riguardo, il citato schema di decreto del Presidente del Consiglio dei Ministri è già stato portato all’esame del Garante per la Protezione dei dati personali.
Il Garante, con provvedimento n. 39 del 31 gennaio 2013, ha rilevato che lo schema di decreto portato alla sua attenzione si è limitato a prevedere l’unificazione, su un medesimo supporto (documento digitale unificato), della carta d’identità elettronica e della tessera sanitaria, attualmente disponibili su distinti supporti, e ha demandato, invece, a un successivo D.P.C.M. (da adottarsi con le medesime modalità di quello esaminato) le regole tecniche. Sulla base di questa constatazione, il Garante Privacy ha espresso il proprio parere favorevole sul decreto esaminato col presupposto che la disciplina della materia è ancora incompleta e si riserva, quindi, l’esame complessivo delle procedure di unificazione dei documenti in sede di espressione del parere sullo schema di decreto di attuazione, potendo solo in quella sede valutare la conformità alla normativa in materia di protezione dei dati personali della disciplina complessivamente stabilita.
Anche l’istituzione dell’Anagrafe Nazionale della Popolazione Residente (ANPR) presenta particolari criticità sul piano della sicurezza del trattamento dei dati e questo è dovuto, in particolare, a due fattori:
- la vasta aggregazione di informazioni che l’Anagrafe comporta;
- il gran numero di soggetti che avranno modo di accedere a questa nuova banca dati; caratteristica questa che comporterà la necessità di definire le modalità tecniche di accesso (attraverso l’individuazione di specifici profili di autorizzazione) e di controllo degli stessi.
Il nuovo testo dell’art. 62 del Codice dell’Amministrazione Digitale stabilisce poi che l’ANPR è istituita presso il Ministero dell’Interno, quale base di dati di interesse nazionale[3], e subentra all’Indice nazionale delle anagrafi (INA) e all’Anagrafe della popolazione italiana residente all’estero (AIRE).
La consapevolezza delle criticità relative all’istituzione dell’ANPR ha indotto il legislatore ad attribuire un ruolo fondamentale al Garante per la protezione dei dati personali nel controllo sulla sicurezza dell’Anagrafe Nazionale. È stabilito, infatti, che la base di dati relativa all’ANPR debba essere sottoposta a un audit di sicurezza con cadenza annuale in conformità alle regole tecniche di cui all’articolo 51 del CAD (che appunto si occupa di “Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni”), i cui risultati sono inseriti nella relazione annuale del Garante per la protezione dei dati personali.
Ai sensi dell’art. 51 del C.A.D., con le regole tecniche adottate ai sensi dell’articolo 71 sono individuate le modalità che garantiscono l’esattezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture[4]. L’articolo 51 fornisce, quindi, la base normativa per la sicurezza dei dati, dei sistemi e delle infrastrutture della PA, che oggi sono regolamentati dalle misure minime di sicurezza previste dalla normativa sulla protezione dei dati personali[5] e dai principi generali del codice privacy in tema di sicurezza dei dati. Con riferimento al caso specifico, è necessario adottare idonee misure di sicurezza che siano volte a prevenire i rischi che potrebbero derivare dalla strutturazione di una base di dati così imponente, quale l’ANPR promette di diventare.
Circa i sistemi di gestione della sicurezza dei dati è fondamentale, inoltre, il riferimento alle norme tecniche ISO 27000. Tali norme tecniche, seppure non obbligatorie, potrebbero essere un ottimo punto di partenza in quanto le specifiche contenute al loro interno sono state predisposte allo scopo di offrire maggiori garanzie di riservatezza, disponibilità e integrità dei dati.
La gestione della sicurezza delle informazioni nell’ambito dell’ANPR è quindi una questione delicata che deve essere considerata con la necessaria attenzione, a maggior ragione se consideriamo poi che l’ANPR subentra a tutte le anagrafi della popolazione residente e dei cittadini italiani residenti all’estero tenute dai comuni (ferme restando però le attribuzioni del sindaco[6] che, quale ufficiale del Governo, sovrintende alla tenuta dei registri di stato civile e di popolazione e agli adempimenti demandatigli dalle leggi in materia elettorale, di leva militare e di statistica).
Fino al graduale subentro dell’ANPR alle anagrafi, da completare entro il 31 dicembre 2014, l’ANPR acquisisce automaticamente in via telematica i dati contenuti nelle anagrafi tenute dai comuni per i quali non è ancora avvenuto il subentro. (comma 2 art. 62 del CAD). È comunque stabilito che l’ANPR debba assicurare al singolo Comune la disponibilità dei dati anagrafici della popolazione residente e degli strumenti per lo svolgimento delle funzioni, precedentemente specificate, di competenza statale attribuite al sindaco, nonché la disponibilità dei dati anagrafici e dei servizi per l’interoperabilità con le banche dati tenute dai comuni per lo svolgimento delle funzioni di competenza, consentendo esclusivamente ai comuni la certificazione dei dati anagrafici, anche in modalità telematica[7].
Infine il comma 6, posto a chiusura dell’art. 62, prevede che, con uno o più decreti del Presidente del Consiglio dei Ministri[8], siano stabiliti i tempi e le modalità di attuazione delle disposizioni dell’articolo 62, anche con riferimento:
a) alle garanzie e alle misure di sicurezza da adottare nel trattamento dei dati personali,alle modalità e ai tempi di conservazione dei dati e all’accesso ai dati da parte delle pubbliche amministrazioni per le proprie finalità istituzionali secondo le modalità di cui all’articolo 58;
b) ai criteri per l’interoperabilità dell’ANPR con le altre banche dati di rilevanza nazionale e regionale, secondo le regole tecniche del sistema pubblico di connettività di cui al capo VIII del presente decreto, in modo che le informazioni di anagrafe, una volta rese dai cittadini, si intendano acquisite dalle pubbliche amministrazioni senza necessità di ulteriori adempimenti o duplicazioni da parte degli stessi;
c) all’erogazione di altri servizi resi disponibili dall’ANPR, tra i quali il servizio di invio telematico delle attestazioni e delle dichiarazioni di nascita e dei certificati di cui all’articolo 74 del decreto del Presidente della Repubblica 3 novembre 2000, n. 396, compatibile con il sistema di trasmissione di cui al decreto del Ministro della salute in data 26 febbraio 2010[9], pubblicato nella Gazzetta Ufficiale n. 65 del 19 marzo 2010.
Passando a considerare il domicilio digitale, l’art. 4 del 179/2012 ha introdotto l’articolo 3-bis del CAD “Domicilio digitale del cittadino” prevedendo che: al fine di facilitare la comunicazione tra pubbliche amministrazioni e cittadini, è facoltà di ogni cittadino indicare alla pubblica amministrazione un proprio indirizzo di posta elettronica certificata quale suo domicilio digitale. Inoltre, è stabilito che l’indirizzo PEC sarà inserito nell’Anagrafe nazionale della popolazione residente e reso disponibile a tutte le pubbliche amministrazioni e ai gestori o esercenti di pubblici servizi. A decorrere dal 1° gennaio 2013 le amministrazioni pubbliche e i gestori o esercenti di pubblici servizi comunicano con il cittadino esclusivamente tramite il domicilio digitale dallo stesso dichiarato[10]. Ogni altra forma di comunicazione non può produrre altri effetti pregiudizievoli per il destinatario[11].
Infine, per quanto riguarda l’art. 6 bis del CAD, “Indice nazionale delle imprese e dei professionisti” (INI-PEC), relativo all’obbligo di imprese e professionisti di indicare il proprio indirizzo PEC al Registro delle imprese o ai rispettivi Ordini professionali (obbligo che è stato esteso anche alle imprese individuali), si segnala che il 19 marzo del 2013 con Decreto del Ministero dello sviluppo Economico sono state stabilite le modalità di realizzazione e gestione operativa dell’INI-PEC, le modalità di accesso, nonché le modalità e le forme con cui gli Ordini e i Collegi professionali comunicano e aggiornano gli indirizzi PEC relativi ai professionisti di propria competenza.
[1] Che ha modificato l’articolo 10, comma 3, del decreto-legge 13 maggio 2011, n. 70, convertito dalla legge n. 106 del 2011.
[2] Le modalità tecniche di produzione, distribuzione, gestione e supporto all’utilizzo del documento unificato sono, invece, stabilite entro sei mesi con decreto del Ministro dell’interno, di concerto con il Ministro dell’economia e delle finanze, con il Ministro per la pubblica amministrazione e la semplificazione e con il Ministro delegato per l’innovazione tecnologica e, limitatamente ai profili sanitari, con il Ministro della salute.
[3] Per base di dati di interesse nazionale, ai sensi dell’articolo 60 del Codice dell’Amministrazione Digitale, si intende l’insieme delle informazioni raccolte e gestite digitalmente dalle pubbliche amministrazioni, omogenee per tipologia e contenuto e la cui conoscenza è utilizzabile dalle PA, anche per fini statistici, per l’esercizio delle proprie funzioni e nel rispetto delle competenze e delle normative vigenti.
[4] Art. 51 del C.A.D. comma 1.
[5] M.Iaselli, Commentario breve al Codice dell’Amministrazione Digitale, 2013, Altalex Editore.
[6] Ai sensi dell’articolo 54, comma 3, del Testo unico delle leggi sull’ordinamento degli enti locali, approvato con il decreto legislativo 18 agosto 2000, n. 267.
[7] È tra l’altro previsto che i comuni possano consentire, anche mediante apposite convenzioni, la fruizione dei dati anagrafici da parte dei soggetti aventi diritto e che l’ANPR debba assicurare, alle pubbliche amministrazioni e agli organismi che erogano pubblici servizi, l’accesso ai dati contenuti nell’ANPR. (Art. 62 comma 3)
E ancora, ai fini della gestione e della raccolta informatizzata di dati dei cittadini, le pubbliche amministrazioni di cui all’articolo 2, comma 2, del presente Codice si avvalgono esclusivamente dell’ANPR, che viene integrata con gli ulteriori dati a tal fine necessari. (Art. 62 comma 5)
[8] Uno o più decreti del Consiglio dei Ministri emanati su proposta del Ministro dell’interno, del Ministro per la pubblica amministrazione e la semplificazione e del Ministro delegato all’innovazione tecnologica, di concerto con il Ministro dell’economia e delle finanze, d’intesa con l’Agenzia per l’Italia digitale, la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano nonché con la Conferenza Stato – città, di cui all’articolo 8 del decreto legislativo 28 agosto 1997, n. 281, per gli aspetti d’interesse dei comuni, sentita l’ISTAT e acquisito il parere del Garante per la protezione dei dati personali.
[9] Decreto relativo alla definizione delle modalità tecniche per la predisposizione e l’invio telematico dei dati delle certificazioni di malattia al SAC.
[10] Sono salvi i casi in cui è prevista dalla normativa vigente una diversa modalità di comunicazione o di pubblicazione in via telematica.
[11] Per approfondimenti: S.Zingarelli, L’identità digitale del Decreto Crescita 179/2012, Il Documento Digitale – Anno I – Numero III, 2012, Lex et Ars.
*dott.ssa Debora Montagna – Digital & Law Department (Studio Legale Lisi)