Il Garante per la Privacy si esprime sullo schema di decreto legislativo della Presidenza del Consiglio dei Ministri che integra e modifica il Cad, codice per l’amministrazione digitale. Tra le richieste più importanti avanzate dall’authority c’è quella di fornire maggiori garanzie di riservatezza per chiunque si avvalga dell’identità digitale.
Lo schema messo a punto dal Governo nasce in attuazione della delega della legge 124/2015, che ha l’obiettivo di promuovere e rendere effettivi i diritti di cittadinanza digitale di cittadini e imprese. Con quest’intervento legislativo l’esecutivo mira a coordinare la disciplina nazionale in materia di documenti informatici e firme elettroniche con quella europea.
In questo quadro, spiega l’authority in una nota, il parere del Garante per la protezione dei dati personali nasce in considerazione del “notevole impatto del provvedimento sui diritti delle persone”, perché il contenuto dello schema di decreto sia adeguato alle norme in materia di protezione dei dati.
Tra le prescriozioni del Garante c’è “la necessità di adeguare i termini utilizzati nello schema alle definizioni adottate nel Regolamento Ue n. 910/2014 (Eidas) in materia di identificazione elettronica e servizi digitali per le transazioni elettroniche nel mercato interno, e di garantire coerenza tra decreti relativi a Cad, Spid e a trasparenza e anticorruzione. In linea con quanto previsto dalla normativa, l’Autorità ha chiesto, poi – prosegue la nota – di estendere il diritto di avere e poter utilizzare un’identità digitale a chiunque risieda legalmente in Italia, non limitandola quindi, senza motivo, a soli cittadini e imprese e di garantire che l’elezione o l’assegnazione del domicilio digitale, considerato mezzo esclusivo di comunicazione con le pubbliche amministrazioni, resti nella facoltà dell’interessato e non divenga un obbligo”.
Il Garante ha chiesto, inoltre, di disporre “adeguate garanzie” per i dati personali, in particolare “eliminando la possibilità di inserire nel certificato di firma elettronica qualificata dati aggiuntivi rispetto a quanto previsto dal Regolamento eIDAS (come ad esempio il codice fiscale). “Questa previsione infatti, non in linea con i principi di pertinenza e non eccedenza – sottolinea l’authorty – rischia di contribuire a rendere di fatto il codice fiscale un identificatore unico a livello nazionale, ratificandone l’utilizzo generalizzato al di fuori del settore fiscale”.
Per quanto riguarda l’anonimizzazione delle sentenze – secondo il Consiglio di Stato un tema fuori delega e un ingiustificato appesantimento dell’attività amministrativa – il Garante, nel prendere atto dell’impegno della Presidenza del Consiglio di verificare se tale disposizione rientri nell’ambito della delega, “ritiene tuttavia, che l’appesantimento derivi più dal dover procedere con una valutazione caso per caso, che non dalla generalizzata anonimizzazione delle sentenze. Prassi sostenuta dall’Autorità che potrebbe considerarsi applicazione del principio della privacy by default (protezione per impostazione definita) introdotto dal nuovo Regolamento europeo in materia di protezione dei dati personali, realizzabile seguendo opportune tecniche di redazione”.
In tema di sicurezza, infine, l’Autorità ritiene opportuno non abrogare l’articolo relativo al disaster recovery e alla continuità operativa, “mantenendo in capo ai soggetti pubblici l’obbligo di provvedere alla conservazione sicura dei dati anche nella fase di attuazione delle nuove regole”.
