• informazioni@maragines.com

Identità digitale, diritto e sicurezza: facciamo chiarezza

identità digitale sicurezza persona

Identità digitale, diritto e sicurezza: facciamo chiarezza

Il 24 luglio all’interno della Trasmissione Zapping in onda su Radio 1, l’onorevole Alessandro Morelli, presidente della commissione parlamentare Trasporti, Poste e Telecomunicazioni ha brevemente illustrato la proposta di legge C.2016 con la quale lui e altri due suoi colleghi deputati si propongono di modificare l’art. 22 della Costituzione per inserire in questo articolo anche il principio che la persona (quindi non solo i cittadini italiani) ha diritto anche alla tutela della propria identità digitale.

L’onorevole in questo intervento ha anche detto:

  • che sarebbe utile valorizzare il patrimonio di dati che la pubblica amministrazione tratta;
  • che sarebbe utile consentire il cloud ai rami della pubblica amministrazione creando un unico cloud nazionale sicuro “come Fort Knox”;
  • che è doveroso creare una autorità indipendente slegata dalla politica, ma rappresentata da tutti gli organi costituzionali che abbia lo scopo di proteggere le identità digitali dei cittadini.

Le informazioni disponibili e le dichiarazioni dell’on. Morelli fanno emergere il sospetto che il legislatore stia proponendo soluzioni a problemi ipotetici , senza conoscere forse in modo approfondito i principi fondamentali della protezione dei dati personali e i meccanismi del diritto costituzionale e comunitario.

Nelle righe che seguono cercherò di illustrare brevemente che l’identità digitale da ormai oltre quarant’anni è ritenuta una parte dell’identità personale di un individuo e perché nelle norme, nelle decisioni delle Autorità e dei giudici si parli quindi non di tutela dell’identità digitale, ma di tutela dell’identità personale e dei dati personali che contribuiscono a formarla.

Per questo fornirò cenni su quale sia il quadro normativo di tale materia, quali siano le Autorità che già oggi sono preposte alla tutela dei dati personali, e quali siano gli aspetti fortemente critici di quanto ha dichiarato l’on. Morelli, riferendosi al progetto di legge citato.

Identità digitale, identità personale, protezione dei dati personali

Il concetto di identità digitale sia in informatica che nell’informatica giuridica è legato alla gestione di credenziali di autenticazione in un sistema informatico. Riguarda quindi l’insieme delle operazioni compiute e registrate con quel profilo e il livello di abilitazioni riconosciute da chi amministra il sistema.

Il passaggio importante compiuto dalla legislazione in Europa (Francia e Germania) negli anni ‘70 è stato quello di riferire a persone fisiche queste informazioni, riconoscendone il diritto alla tutela analogamente agli altri diritti personali.

Da allora gli strumenti elettronici si sono raffinati, evoluti e potenziati e la legislazione si è evoluta di conseguenza. In Italia, dopo alcuni infruttuosi tentativi del legislatore abbiamo iniziato a regolare la materia su direttive dell’Unione Europea e gli interpreti del diritto (Corte Costituzionale e Cassazione) hanno riconosciuto che:

il diritto all’identità, alla libertà, e alla dignità, che sono sanciti dalla costituzione (art. 2) comprendono il diritto alla protezione dei propri dati personali;1

il diritto alla tutela della propria identità comprende anche la tutela di quella digitale.2

Le norme codificate

In altre parole il diritto alla tutela della propria identità non è riconosciuto come un diritto secondario ma fondamentale e questo avviene in coerenza con quanto ha deciso l’Unione Europea scrivendo la così detta Carta di Nizza che comprende i diritti fondamentali applicati dagli stati membri, tra cui vi è il diritto alla protezione dei propri dati personali sancito dall’art. 8.

 

Pertanto si può dire che oggi il diritto delle persone alla tutela dei dati personali collegati e riferiti alla propria identità digitale è tutelato:

  • dall’art. 2 della costituzione;3

  • dall’art. 8 della Carta di Nizza (o CDFUE);4

  • dal Regolamento Europeo 2016/679;

  • dal d.lg. 196/2003, come novellato nel 2018, che definisce i reati connessi alla violazione di tali diritti.5

Come si può notare il quadro normativo è ben complesso ed esso prevede anche (nel caso del Regolamento) una interdizione o limitazione del potere legislativo nazionale.

La modifica dell’art. 22 della costituzione risulta quindi non solo non necessaria, ma potenzialmente dannosa perché introdurrebbe differenze nazionali che sarebbe difficile giustificare rispetto al diritto comunitario; si tratterebbe inoltre di una sovrapposizione di norme che renderebbe più complesso il lavoro interpretativo degli operatori del diritto.

Le Autorità Indipendenti

Tali norme hanno istituito, come noto, una autorità indipendente6

in ogni Paese dell’Unione Europea7.

In Italia si tratta dell’Autorità Garante dei Dati Personali, che opera tramite un proprio collegio e di cui si attende per altro il rinnovo da parte del Parlamento. L’Autorità Garante ha competenza su tutte le questioni che riguardano la protezione dei dati personali, in particolare:

  • ha emesso pareri sugli schemi regolamentari e tecnici per l’abilitazione della SPID, il servizio pubblico di identità digitale;
  • ha fornito prescrizioni e indicazioni all’Agenzia delle Entrate per la tutela dei dati dei contribuenti;
  • impone il rispetto di misure tecniche per impedire che i dati siano trattati in modo poco sicuro.

Il Codice per l’Amministrazione digitale e AGid

Per quanto riguarda il lento processo di digitalizzazione della pubblica amministrazione, esso è oggetto di una norma molte volte modificata, il Codice per l’Amministrazione Digitale, (d.lg. 82/2005), che ha anche istituito l’Agenzia per l’Italia digitale con il compito di fornire regole tecniche alla pubblica amministrazione per l’adozione di servizi digitali. L’Agenzia, inoltre, seleziona e certifica fornitori di servizi ed opera in stretta coordinazione con l’Autorità Garante per la protezione dei dati personali, fornendo tra l’altro indicazioni ai rami della pubblica amministrazione che si vogliano dotare di servizi in cloud.

Nuovamente non si comprende quali siano i meriti della proposta legislativa illustrata dall’onorevole Morelli, dal momento che abbiamo già una autorità indipendente con competenze relative alla tutela della identità digitale, che è un aspetto specifico della più generale tutela dei dati personali.

Perplessità su alcune dichiarazioni

A latere destano qualche perplessità le dichiarazioni e le considerazioni dell’onorevole Morelli quando

  • ipotizza che la p.a. possa “valorizzare” i dati dei propri cittadini.. Da sempre infatti si è invece imposto alla p.a. il trattamento di dati personali solo ed unicamente per fini istituzionali e con divieti espliciti di perseguire fini di lucro;
  • ipotizza la costruzione di un « data center » centralizzato. sicuro “come Fort Knox”. In realtà, la concentrazione dei dati, da molti anni ormai, è ritenuta un fattore di moltiplicazione del rischio e non una diminuzione dello stesso: i sistemi distribuiti sono infatti più sicuri e più efficienti;
  • afferma che questo disegno di legge renderà possibile il cloud per la p.a. In questo caso infatti i servizi in cloud sono già possibili e sono già usati da alcuni rami della p.a. Come già si è detto, per la supervisione di tali servizi e per le relative regole tecniche è competente l’Agenzia per l’Italia Digitale.

La complessità degli ordinamenti moderni impone al legislatore estrema prudenza e grande attenzione: prima di abbozzare progetti di legge che rischiano di essere incauti occorre documentarsi con cura, dato che le norme non necessarie finiscono sempre con l’essere dannose.

Sembra insomma che una parte dei Parlamentari nazionali sia riuscita a non apprendere le lezioni e indicazioni che gli esperti del settore hanno illustrato per mesi e mesi nell’anno passato, tra cui ricordo vivamente quella del prof. Pizzetti che a gran voce ricordava come, essendo il RGPD una norma di rango comunitario non sarebbero più state possibili quelle attività incoerenti del legislatore italiano viste in passato, di modifiche sistematiche del Codice Privacy.


1 Si è osservato che l’art. 2 tutelando la personalità degli individui tutela tutti gli aspetti che la proteggono e che consentono la sua realizzazione il suo esercizio, dapprima si possono controllare le opere di Piero Calamandrei Crisafulli e Nania, ma anche la Corte di Cassazione con la sentenza 990/1963 e la Corte Costituzionale con la sentenza 2129 del 1975. Il Giudice Costituzionale è poi tornato sul punto anche estendendo la tutela con la sentenza n. 271/2005. In diverse occasioni si è inoltre citato anche l’art. 3 che tutela la dignità e l’uguaglianza sostanziale dei cittadini.
2 Questo principio è integralmente accolto al Regolamento 2016/679, si citi in ordine di apparizione il considerando 57 della norma.
3 Dal momento che l’articolo 2 tutela la personalità degli individui e che questa non può essere protetta se non proteggendo quella che un tempo era la “riservatezza” e che oggi è anche **un vero diritto dispositivo degli uomini che possono scegliere come regolarlo e come concedere o rendere pubblico i dati personali che li riguardano.
4 L’articolo recita: “Protezione dei dati di carattere personale 1.Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. 2.Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica. 3.Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.
5 Il d.lg. 101/2018 ha provveduto, anche se in ritardo, a modificare il Codice Privacy che è così divenuto la norma di adeguamento dell’ordinamento nazionale all’entrata in vigore del Regolamento Europeo promulgato nel 2016. Il nuovo Codice Privacy è così privato di tutte le norme che imponevano definizioni e prescrizioni generali rimanendo efficace per i settori riservati agli stati nazionali, e per le figure di reati relative al trattamento dei dati, anche queste infatti non sono materia di competenza del diritto comunitario.
6 Che è già richiamata dall’art. 8 sopra citato.
7 E seguendo le scelte di Francia e Germania che hanno istituito tali autorità già con le prime leggi, molti Paesi extra Europei hanno adottato modelli analoghi.
Maragines

consulente, libero professionista, titolare di questo dominio