Dopo il via libera condizionato del Consiglio di Stato al nuovo CAD, anche il Garante Privacy esprime il suo parere positivo, ma con alcune riserve, allo schema di decreto legislativo della Presidenza del Consiglio dei ministri che modifica e integra il Codice dell’amministrazione digitale (Cad).
L’Autorità presieduta da Antonello Soro ha chiesto in primo luogo maggiori garanzie di riservatezza per chiunque si avvalga dell’identità digitale, si legge nel bollettino diffuso oggi dall’Autorità.
Lo schema intende attuare la delega della legge 124/2015 volta a promuovere e rendere effettivi i diritti di cittadinanza digitale di cittadini e imprese e mira a coordinare la disciplina nazionale in materia di documenti informatici e firme elettroniche con quella europea. Poiché sono previste significative innovazioni al Cad e visto il notevole impatto del provvedimento sui diritti delle persone, l’Autorità ha formulato le proprie osservazioni al fine di adeguare maggiormente il contenuto dello schema di decreto alla disciplina in materia di protezione dati.
Il Garante ha segnalato quindi la necessità di adeguare i termini utilizzati nello schema alle definizioni adottate nel Regolamento Ue n. 910/2014 (eIDAS) in materia di identificazione elettronica e servizi digitali per le transazioni elettroniche nel mercato interno, e di garantire coerenza tra decreti relativi a Cad, Spid e a trasparenza e anticorruzione.
In linea con quanto previsto dalla normativa, l’Autorità ha chiesto, poi, di estendere il diritto di avere e poter utilizzare un’identità digitale a chiunque risieda legalmente in Italia, non limitandola quindi, senza motivo, a soli cittadini e imprese e di garantire che l’elezione o l’assegnazione del domicilio digitale, considerato mezzo esclusivo di comunicazione con le pubbliche amministrazioni, resti nella facoltà dell’interessato e non divenga un obbligo.
Il Garante ha chiesto, inoltre, di disporre adeguate garanzie per i dati personali, in particolare eliminando la possibilità di inserire nel certificato di firma elettronica qualificata dati aggiuntivi rispetto a quanto previsto dal Regolamento eIDAS (come ad esempio il codice fiscale). Questa previsione infatti, non in linea con i principi di pertinenza e non eccedenza, rischia di contribuire a rendere di fatto il codice fiscale un identificatore unico a livello nazionale, ratificandone l’utilizzo generalizzato al di fuori del settore fiscale.
Per quanto riguarda l’anonimizzazione delle sentenze – secondo il Consiglio di Stato un tema fuori delega e un ingiustificato appesantimento dell’attività amministrativa – il Garante, nel prendere atto dell’impegno della Presidenza del Consiglio di verificare se tale disposizione rientri nell’ambito della delega, ritiene tuttavia, che l’appesantimento derivi più dal dover procedere con una valutazione caso per caso, che non dalla generalizzata anonimizzazione delle sentenze.
Prassi sostenuta dall’Autorità che potrebbe considerarsi applicazione del principio della privacy by default (protezione per impostazione definita) introdotto dal nuovo Regolamento europeo in materia di protezione dei dati personali, realizzabile seguendo opportune tecniche di redazione. In tema di sicurezza, infine, l’Autorità ritiene opportuno non abrogare l’articolo relativo al disaster recovery e alla continuità operativa, mantenendo in capo ai soggetti pubblici l’obbligo di provvedere alla conservazione sicura dei dati anche nella fase di attuazione delle nuove regole.