Cad, non c’è più tempo: eIDAS lancia la corsa all’adeguamento privacy
Dalle osservazioni del Garante della Privacy si evince che il testo di riforma del CAD dovrà essere affinato, e anche con urgenza: il Regolamento eIDAS entra in vigore tra pochi giorni, e non si può rischiare che un testo successivo (il CAD) non sia in linea con gli indirizzi dell’Unione
27 Giugno 2016
Morena Ragone, giurista, dottore di ricerca, esperta di diritti digitali, Stati Generali dell'Innovazione
A pochi giorni dall’entrata in vigore del Regolamento (UE) n. 910/2014, in un momento di intensa normazione anche per la plurima decretazione portata della riforma P.A. voluta dalla Ministra Madia, il Governo si trova a dover fare i conti con il parere obbligatorio del Garante Privacy, reso in sede consultiva, e portato dal provvedimento n. 255 del 9 giugno scorso.
Anche in questo caso – come in occasione del parere reso precedentemente dal Consiglio di Stato sul medesimo decreto, e sul quale abbiamo avuto modo di soffermarci qui – dopo la consueta, breve ricognizione relativa al contenuto del decreto – dall’ ampliamento del riconoscimento dei diritti di cittadinanza digitale, all’affermazione del principio del “digital first”, dal riordino e razionalizzazione della governance del digitale, alla razionalizzazione e semplificazione della disciplina in materia di identità digitale, Sistema pubblico di connettività, trasmissione di dati e documenti informatici, fino al coordinamento della disciplina nazionale in materia di documenti informatici e firme elettroniche con il citato Regolamento (UE) n. 910/2014 – il Garante chiede al Governo una serie di modifiche.
Un po’ lo standard che ha caratterizzato l’intera decretazione sulla pubblica amministrazione nell’ultimo anno.
La prima osservazione dell’Authority va alla – ovvia, mi sia consentito – “necessità di garantire effettiva e piena coerenza con altri strumenti in itinere o appena adottati (in primis il ricordato regolamento eIDAS, ma anche i decreti relativi a SPID ed a trasparenza ed anticorruzione) e di introdurre una disciplina chiara e di pronta ed agevole applicazione”. Il Garante chiede, in particolare, “che sia assicurata chiarezza nelle definizioni dei processi e delle responsabilità, evitando confusioni anche terminologiche”. Chiarezza, purtroppo, non assicurata dalle definizioni introdotte dalla nuova normativa – a proposito di firme, documenti, autenticazione – i cui concetti troppe volte restano difformi da quelli introdotti dal Regolamento eIDAS e, quindi, necessarie di una completa armonizzazione. Così, “autenticazione” è da sostituire con “identificazione elettronica ” ovvero “autenticazione informatica ”; il termine “individuati” va sostituito a “periodicamente aggiornati ” – trattandosi, sottolinea il Garante, di standard internazionali.
Si tratta, in sostanza, di uniformare i riferimenti ai diversi tipi di firma presenti nello schema di decreto alle definizioni di cui all’articolo 3 del Regolamento eIDAS, nonché dell’opportunità di chiarire che la PEC e lo SPID possano essere qualificati e riconosciuti a livello nazionale come servizi fiduciari qualificati (ma prevedere, comunque, che nel periodo transitorio le PA possano utilizzare strumenti diversi dallo SPID per l’accesso ai servizi in rete).
Ulteriore difformità – rileva sempre l’Autorità – viene portata da altri articoli, come nel caso dell’oscillazione tra “chiunque” – soggetto beneficiario dell’applicazione della normativa in esame, finalmente introdotto appieno nel linguaggio giuridico dei più recenti testi normativi – e i “cittadini e imprese ” ancora richiamati da alcuni articoli.
Sottolineo – con mia personale soddisfazione – che il Garante sottolinea l’incongruità del riferimento al “titolare del dato” presente nell’articolo 50, suscettibile “di generare molteplici ambiguità con riferimento al diverso istituto giuridico previsto dalla disciplina sulla protezione dei dati personali di titolarità del trattamento” – punto sul quale mi sono personalmente battuta in più sedi, chiedendo un chiarimento sulla definizione – possibilmente, suddividendola – che tenesse conto del significato della stessa, polisemantico anche all’interno dello stesso CAD. Suggerimento analogo, il necessario, richiesto chiarimento della nozione di “autore” contenuta nell’articolo 65, ove “si fa riferimento a colui/colei che sottopone o presenta l’istanza (istante) piuttosto che all’autore del documento informatico che costituisce l’istanza trasmessa per via telematica”.
Al contrario, sull’articolo 50-bis non sembra che il Garante abbia tenuto conto del chiarimento fornito dal Governo – alla medesima osservazione – in sede di parere obbligatorio al Consiglio di Stato, in quanto chiede di riconsiderare la proposta abrogazione dell’articolo in esame, eventualmente valutandone una semplificazione, ma mantenendo l’obbligo di provvedere alla conservazione sicura dei dati.
Anche in tale sede – ed in considerazione del fatto che gran parte dei flussi informativi riguardano dati personali – si ribadisce la richiesta di adottare le regole tecniche “su proposta di Agid, d’intesa con il Garante ” e non semplicemente “sentito” il Garante.
Dalle osservazioni, si evince chiaramente che il testo avrà ancora bisogno di essere affinato, e anche con una certa urgenza: il Regolamento eIDAS entra in vigore tra pochi giorni, come sappiamo. E sarebbe davvero assurdo che un testo – che a questo punto potrà facilmente essere successivo – non sia in linea con gli indirizzi seguiti dall’Unione.
