|
Il garante per la protezione dei
dati personali: nella riunione odierna, in presenza del prof.
Stefano Rodotà, presidente, del prof. Giuseppe Santaniello,
vice-presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan,
componenti e del dott. Giovanni Buttarelli, segretario
generale;
Vista la nota della Presidenza del Consiglio dei
ministri-Dipartimento della funzione pubblica del 24 maggio 2001
con la quale è stato chiesto il parere del Garante in ordine ad uno
schema di d.P.C.M. di aggiornamento delle regole tecniche
concernenti i documenti informatici;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000 adottato con
deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta
Ufficiale della Repubblica italiana n. 162 del 13 luglio
2000;
Relatore il dott. Mauro Paissan;
OSSERVA
La Presidenza del Consiglio dei ministri - Dipartimento
della funzione pubblica ha chiesto il parere del Garante in ordine
ad uno schema di d.P.C.M. di aggiornamento delle regole tecniche
concernenti la formazione ed altre operazioni relative ai documenti
informatici, già contenute nel d.P.C.M. 8 febbraio 1999.
Il Garante valuta positivamente la circostanza che le
disposizioni in materia di documenti informatici siano aggiornate
in relazione all'evoluzione delle conoscenze scientifiche e
tecnologiche, come del resto previsto dall'articolo 8, comma 2, del
testo unico delle disposizioni legislative e regolamentari in
materia di documentazione amministrativa (d.P.R. 28 dicembre 2000,
n. 445).
Questa Autorità osserva, però, che varie disposizioni
dello schema trasmesso, in parte già contenute nel sostituendo
decreto, recano norme di natura sostanziale o che assumono un
valore sostanzialmente precettivo per effetto della loro
formulazione, che non dovrebbero essere ricomprese fra le mere
"regole tecniche" oggetto del presente schema (si vedano, fra le
altre, la disposizione che stabilisce requisiti di onorabilità dei
certificatori - art. 45 - o che riguarda la validità del documento
informatico - art. 53 - come pure la previsione di "modalità di
esecuzione" di una disposizione sui requisiti dei certificatori
mediante circolare - art. 14, comma 3).
Non si vuole disconoscere l'utilità di un sistema di
regole tecniche, omogenee e flessibili. Occorre tuttavia
sottolineare l'esigenza che tale disciplina di carattere meramente
tecnico sia tenuta distinta dalle disposizioni a carattere
normativo, primario o regolamentare, la cui sede naturale è,
semmai, il noto testo unico in materia di documentazione
amministrativa.
Si invita, pertanto, a tener conto di questa osservazione
in riferimento al complessivo tenore del provvedimento.
Quanto alle singole disposizioni dello schema il Garante
osserva:
- art. 14, comma 4: per quanto sopra detto, non appare
conforme alla natura tecnica delle disposizioni dello schema la
previsione, in questa sede, di un potere di acquisizione di
informazioni finalizzato all'esercizio di poteri di verifica e di
controllo, fermo restando che l'AIPA potrà, comunque, esercitare
tale potere ai sensi della normativa richiamata nell'art. 14, comma
4;
- art. 18, comma 2: sebbene il d.P.C.M. 9 febbraio 1999
contenga già una norma analoga, devono essere individuati criteri
per una identificazione il più possibile uniforme degli utenti da
parte dei certificatori, al fine di scongiurare il rischio di una
eccessiva e disomogenea parcellizzazione delle modalità contenute
negli appositi manuali;
- artt. 19 e 23: la previsione contenuta nell'art. 19 in
ordine alla possibilità di uso di uno pseudonimo appare corretta e
conforme all'art. 8, par. 3, della direttiva 1999/93/CE relativa al
quadro comunitario sulle firme elettroniche. Si coglie però
l'occasione per sottolineare (tenendo conto di quanto sopra
osservato a proposito del ruolo riconosciuto alle regole tecniche
in esame), che in relazione alle disposizioni contenute nell'art.
19 e nel successivo art. 23, permane l'esigenza di dare rapida
attuazione alle restanti parti dell'articolo 8 della citata
direttiva, per gli aspetti concernenti la raccolta di dati
personali, la manifestazione del consenso e l'uso dei dati medesimi
per fini diversi;
- art. 20: è necessario che la disposizione contenga un
esplicito richiamo all'obbligo di informativa previsto
dall'articolo 10 della legge n. 675/1996 in materia di protezione
di dati personali;
- art. 40, comma 3, lett. p): appare necessario fissare
criteri di omogeneità in ordine alle modalità di protezione della
riservatezza da inserire nei manuali operativi, anche in
considerazione del fatto che tali manuali sembrano adottabili senza
il previo esame da parte dell'AIPA o di questa Autorità
- art. 55-bis, comma 2: anche in riferimento a tale
disposizione, devono essere indicati i criteri cui le pubbliche
amministrazioni devono attenersi per definire ed applicare regole
tecniche diverse da quelle contenute nello schema in
esame.
Si prega, infine, di menzionare nel preambolo l'avvenuta
consultazione del Garante.
Tutto ciò premesso il
garante:
esprime il parere richiesto nei termini di cui in
motivazione. | 
