• informazioni@maragines.com

Archivio dei tag Novità normative

identità digitale sicurezza persona

Identità digitale, diritto e sicurezza: facciamo chiarezza

Il 24 luglio all’interno della Trasmissione Zapping in onda su Radio 1, l’onorevole Alessandro Morelli, presidente della commissione parlamentare Trasporti, Poste e Telecomunicazioni ha brevemente illustrato la proposta di legge C.2016 con la quale lui e altri due suoi colleghi deputati si propongono di modificare l’art. 22 della Costituzione per inserire in questo articolo anche il principio che la persona (quindi non solo i cittadini italiani) ha diritto anche alla tutela della propria identità digitale.

L’onorevole in questo intervento ha anche detto:

  • che sarebbe utile valorizzare il patrimonio di dati che la pubblica amministrazione tratta;
  • che sarebbe utile consentire il cloud ai rami della pubblica amministrazione creando un unico cloud nazionale sicuro “come Fort Knox”;
  • che è doveroso creare una autorità indipendente slegata dalla politica, ma rappresentata da tutti gli organi costituzionali che abbia lo scopo di proteggere le identità digitali dei cittadini.

Le informazioni disponibili e le dichiarazioni dell’on. Morelli fanno emergere il sospetto che il legislatore stia proponendo soluzioni a problemi ipotetici , senza conoscere forse in modo approfondito i principi fondamentali della protezione dei dati personali e i meccanismi del diritto costituzionale e comunitario.

Nelle righe che seguono cercherò di illustrare brevemente che l’identità digitale da ormai oltre quarant’anni è ritenuta una parte dell’identità personale di un individuo e perché nelle norme, nelle decisioni delle Autorità e dei giudici si parli quindi non di tutela dell’identità digitale, ma di tutela dell’identità personale e dei dati personali che contribuiscono a formarla.

Per questo fornirò cenni su quale sia il quadro normativo di tale materia, quali siano le Autorità che già oggi sono preposte alla tutela dei dati personali, e quali siano gli aspetti fortemente critici di quanto ha dichiarato l’on. Morelli, riferendosi al progetto di legge citato.

Identità digitale, identità personale, protezione dei dati personali

Il concetto di identità digitale sia in informatica che nell’informatica giuridica è legato alla gestione di credenziali di autenticazione in un sistema informatico. Riguarda quindi l’insieme delle operazioni compiute e registrate con quel profilo e il livello di abilitazioni riconosciute da chi amministra il sistema.

Il passaggio importante compiuto dalla legislazione in Europa (Francia e Germania) negli anni ‘70 è stato quello di riferire a persone fisiche queste informazioni, riconoscendone il diritto alla tutela analogamente agli altri diritti personali.

Da allora gli strumenti elettronici si sono raffinati, evoluti e potenziati e la legislazione si è evoluta di conseguenza. In Italia, dopo alcuni infruttuosi tentativi del legislatore abbiamo iniziato a regolare la materia su direttive dell’Unione Europea e gli interpreti del diritto (Corte Costituzionale e Cassazione) hanno riconosciuto che:

il diritto all’identità, alla libertà, e alla dignità, che sono sanciti dalla costituzione (art. 2) comprendono il diritto alla protezione dei propri dati personali;1

il diritto alla tutela della propria identità comprende anche la tutela di quella digitale.2

Le norme codificate

In altre parole il diritto alla tutela della propria identità non è riconosciuto come un diritto secondario ma fondamentale e questo avviene in coerenza con quanto ha deciso l’Unione Europea scrivendo la così detta Carta di Nizza che comprende i diritti fondamentali applicati dagli stati membri, tra cui vi è il diritto alla protezione dei propri dati personali sancito dall’art. 8.

 

Pertanto si può dire che oggi il diritto delle persone alla tutela dei dati personali collegati e riferiti alla propria identità digitale è tutelato:

  • dall’art. 2 della costituzione;3

  • dall’art. 8 della Carta di Nizza (o CDFUE);4

  • dal Regolamento Europeo 2016/679;

  • dal d.lg. 196/2003, come novellato nel 2018, che definisce i reati connessi alla violazione di tali diritti.5

Come si può notare il quadro normativo è ben complesso ed esso prevede anche (nel caso del Regolamento) una interdizione o limitazione del potere legislativo nazionale.

La modifica dell’art. 22 della costituzione risulta quindi non solo non necessaria, ma potenzialmente dannosa perché introdurrebbe differenze nazionali che sarebbe difficile giustificare rispetto al diritto comunitario; si tratterebbe inoltre di una sovrapposizione di norme che renderebbe più complesso il lavoro interpretativo degli operatori del diritto.

Le Autorità Indipendenti

Tali norme hanno istituito, come noto, una autorità indipendente6

in ogni Paese dell’Unione Europea7.

In Italia si tratta dell’Autorità Garante dei Dati Personali, che opera tramite un proprio collegio e di cui si attende per altro il rinnovo da parte del Parlamento. L’Autorità Garante ha competenza su tutte le questioni che riguardano la protezione dei dati personali, in particolare:

  • ha emesso pareri sugli schemi regolamentari e tecnici per l’abilitazione della SPID, il servizio pubblico di identità digitale;
  • ha fornito prescrizioni e indicazioni all’Agenzia delle Entrate per la tutela dei dati dei contribuenti;
  • impone il rispetto di misure tecniche per impedire che i dati siano trattati in modo poco sicuro.

Il Codice per l’Amministrazione digitale e AGid

Per quanto riguarda il lento processo di digitalizzazione della pubblica amministrazione, esso è oggetto di una norma molte volte modificata, il Codice per l’Amministrazione Digitale, (d.lg. 82/2005), che ha anche istituito l’Agenzia per l’Italia digitale con il compito di fornire regole tecniche alla pubblica amministrazione per l’adozione di servizi digitali. L’Agenzia, inoltre, seleziona e certifica fornitori di servizi ed opera in stretta coordinazione con l’Autorità Garante per la protezione dei dati personali, fornendo tra l’altro indicazioni ai rami della pubblica amministrazione che si vogliano dotare di servizi in cloud.

Nuovamente non si comprende quali siano i meriti della proposta legislativa illustrata dall’onorevole Morelli, dal momento che abbiamo già una autorità indipendente con competenze relative alla tutela della identità digitale, che è un aspetto specifico della più generale tutela dei dati personali.

Perplessità su alcune dichiarazioni

A latere destano qualche perplessità le dichiarazioni e le considerazioni dell’onorevole Morelli quando

  • ipotizza che la p.a. possa “valorizzare” i dati dei propri cittadini.. Da sempre infatti si è invece imposto alla p.a. il trattamento di dati personali solo ed unicamente per fini istituzionali e con divieti espliciti di perseguire fini di lucro;
  • ipotizza la costruzione di un « data center » centralizzato. sicuro “come Fort Knox”. In realtà, la concentrazione dei dati, da molti anni ormai, è ritenuta un fattore di moltiplicazione del rischio e non una diminuzione dello stesso: i sistemi distribuiti sono infatti più sicuri e più efficienti;
  • afferma che questo disegno di legge renderà possibile il cloud per la p.a. In questo caso infatti i servizi in cloud sono già possibili e sono già usati da alcuni rami della p.a. Come già si è detto, per la supervisione di tali servizi e per le relative regole tecniche è competente l’Agenzia per l’Italia Digitale.

La complessità degli ordinamenti moderni impone al legislatore estrema prudenza e grande attenzione: prima di abbozzare progetti di legge che rischiano di essere incauti occorre documentarsi con cura, dato che le norme non necessarie finiscono sempre con l’essere dannose.

Sembra insomma che una parte dei Parlamentari nazionali sia riuscita a non apprendere le lezioni e indicazioni che gli esperti del settore hanno illustrato per mesi e mesi nell’anno passato, tra cui ricordo vivamente quella del prof. Pizzetti che a gran voce ricordava come, essendo il RGPD una norma di rango comunitario non sarebbero più state possibili quelle attività incoerenti del legislatore italiano viste in passato, di modifiche sistematiche del Codice Privacy.


1 Si è osservato che l’art. 2 tutelando la personalità degli individui tutela tutti gli aspetti che la proteggono e che consentono la sua realizzazione il suo esercizio, dapprima si possono controllare le opere di Piero Calamandrei Crisafulli e Nania, ma anche la Corte di Cassazione con la sentenza 990/1963 e la Corte Costituzionale con la sentenza 2129 del 1975. Il Giudice Costituzionale è poi tornato sul punto anche estendendo la tutela con la sentenza n. 271/2005. In diverse occasioni si è inoltre citato anche l’art. 3 che tutela la dignità e l’uguaglianza sostanziale dei cittadini.
2 Questo principio è integralmente accolto al Regolamento 2016/679, si citi in ordine di apparizione il considerando 57 della norma.
3 Dal momento che l’articolo 2 tutela la personalità degli individui e che questa non può essere protetta se non proteggendo quella che un tempo era la “riservatezza” e che oggi è anche **un vero diritto dispositivo degli uomini che possono scegliere come regolarlo e come concedere o rendere pubblico i dati personali che li riguardano.
4 L’articolo recita: “Protezione dei dati di carattere personale 1.Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. 2.Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica. 3.Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.
5 Il d.lg. 101/2018 ha provveduto, anche se in ritardo, a modificare il Codice Privacy che è così divenuto la norma di adeguamento dell’ordinamento nazionale all’entrata in vigore del Regolamento Europeo promulgato nel 2016. Il nuovo Codice Privacy è così privato di tutte le norme che imponevano definizioni e prescrizioni generali rimanendo efficace per i settori riservati agli stati nazionali, e per le figure di reati relative al trattamento dei dati, anche queste infatti non sono materia di competenza del diritto comunitario.
6 Che è già richiamata dall’art. 8 sopra citato.
7 E seguendo le scelte di Francia e Germania che hanno istituito tali autorità già con le prime leggi, molti Paesi extra Europei hanno adottato modelli analoghi.

Much ado about nothing

Sono state sollevate alcune voci, un poco di confusione e qualche discussione, verso la fine della scorsa settimana a partire dal 19 aprile. Tutto è nato attorno al commento ad un provvedimento dell’Autorità Garante del 22 febbraio scorso, reso noto di recente sul sito dell’Autorità.

Su Agenzia Digitale, Gabriele Faggioli ha scritto che l’Autorità Garante ha rimandato di sei mesi controlli e sanzioni relativamente al Regolamento che entrerà pienamente in vigore dal 25 maggio 2018.

A seguito di questo articolo l’Autorità Garante ha scritto un comunicato nel quale ha dichiarato non veritiera la notizia riportata da Agenzia Digitale e Luigi Garofalo, su Key4biz, ha ripreso il comunicato bollando la notizia come una fake news.

Il giorno stesso l’autore è tornato sul tema precisando perché la notizia fornita era non scorretta (o almeno non così scorretta). 

Trovo esagerato e impreciso sostenere che l’articolo di Gabriele Faggioli sia una notizia falsa, e trovo persino esagerata la smentita dell’Autorità Garante al punto da rendere sibillino il provvedimento citato che rimane, al momento, comunque sospeso nella sua efficacia. 

Il cuore della querelle è quindi il provvedimento del 22 febbraio, che è a tutti gli effetti un’introduzione molto cauta e prudente, al Regolamento Europeo prossimo e venturo. In esso vengono semplicemente introdotti e anticipati i temi di cui inevitabilmente tratteranno nei prossimi mesi (e anni) l’attività delle Autorità di controllo Europee. 

Si parla di:

  • monitoraggio e vigilanza sul Regolamento e di come l’Autorità intende attuarle;
  • di interoperabilità dei sistemi e dei formati in cui sono incorporati i dati per la “portabilità”
  • e del trattamento per finalità di legittimo interesse dei titolari o di terzi.

Rispetto alle Linee Guida del WP29, nessuna significativa novità da segnalare. Rispetto agli obblighi di sorveglianza già individuati dal Regolamento nessun principio originale da registrare e sul legittimo interesse come analizzato dall’Autorità, solo timidi accenni a possibili interpretazioni future. 

In ogni caso le novità sono effettivamente sospese, tutto il provvedimento è sospeso: nero su bianco questo è quanto riporta il provvedimento (le annotazioni in rosso sono mie):

Quindi:

  • certo, le novità sul monitoraggio sono sospese, ma questo non comporta un blocco delle attività di monitoraggio (che l’Autorità potrà comunque espletare);
  • certo, le sanzioni possono essere irrogate anche a prescindere dall’attività di controllo (quindi giusta la precisazione del Garante);
  • MA comunque, il provvedimento e le sue novità sono congelate.

In conclusione è sempre più urgente che venga esercitata la delega da parte del Governo Italiano. Ma, a questo punto entriamo nel delicato gioco di equilibri politici e ogni considerazione tecnica diventa inutile. 

gdpr

GDPR: un regolamento efficace per la protezione dati personali?

Il 25 maggio entra in vigore il regolamento per la protezione dei dati personali (ormai noto con l’acronimo GDPR), da quando lo abbiamo letto, noi professionisti del settore, abbiamo capito che pur essendo il Regolamento pienamente (e automaticamente) efficace, c’erano alcuni interventi per cui l’Autorità di Controllo (il Garante) non poteva bastare, perché serviva un’azione del legislatore (che, ovviamente non può essere scavalcato).

Il legislatore nazionale è chiamato in causa innanzitutto dall’art. 84 del Regolamento:

Articolo 84 – Sanzioni

1. Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83. Tali sanzioni devono essere effettive, proporzionate e dissuasive.

2. 
Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica.

In altre parole, viene imposto agli stati dell’UE di adottare delle sanzioni penali per le violazioni più gravi del GDPR, esattamente come già prevede il d.lg. 196/2003. Tuttavia, la traslazione dal Codice Privacy al Regolamento non può essere una operazione automatica, infatti queste sono le figure di reati previste ad oggi in tema:

  • art. 167 – Trattamento illecito dei dati;
  • art. 168 – Falsità nelle dichiarazioni e notificazioni al Garante;
  • art. 169 – Misure di sicurezza;
  • art. 170 – Inosservanza di provvedimenti del Garante;
  • Violazioni delle norme sul controllo dei lavoratori.

Di queste norme, nessuna viene facilmente trasportata da un regime ad un altro perché, se non altro, cambiano tutti i riferimenti normativi (e quindi bisogna fare un intervento redazionale non automatico), ma in più alcune necessitano di un vero e proprio adattamento.

In concreto (ma in maniera non esaustiva) questo vuol dire che:

Trattamento illecito

Il trattamento illecito prevede una condotta, che, in linea generale, è in effetti facilmente trasportata salvo la necessità di variare alcuni aspetti e riflettere al fatto che le norme nel 2003 la cui violazione era ritenuta così grave da fare scattare l’illecito penale, nel 2018 non hanno più la gravità invocata, nell’ambito della moderna società dell’informazione.

Falsità al Garante

Decisamente è necessario un intervento di adattamento, perché la notificazione non è più prevista e perché il Garante è oggi una delle Autorità di controllo competenti ad agire per verifiche e controlli.

Misure di sicurezza

L’illecito penale riguardante le misure di sicurezza dovrà essere completamente variato, infatti su questo punto il GDPR ha eliminato le “Misure minime di sicurezza” sostituendo la doverosità delle stesse, non già dipendenti da un Allegato Tecnico (oggi l’Allegato B), ma da una Analisi del rischio elaborata dal titolare dei trattamenti.

Se prima era quindi semplice collegare l’esistenza di un illecito penale al mancato rispetto di una norma cogente, oggi è difficile valutare che le misure di sicurezza sono così inefficaci da fare scattare una condotta penalmente rilevante, visto che l’efficacia o meno dipende da un documento elaborato autonomamente dal titolare.

Inosservanza di provvedimenti del Garante

Ancora una volta l’illecito non è penalmente adattabile per via automatica, perché la struttura delle Autorità di controllo e l’emanazione di norme specifiche è profondamente diversa nel passaggio verso il Regolamento.

Violazioni delle norme sui lavoratori

È questa la norma, forse, più facilmente trasportabile nel nuovo regime perché dipende dallo Statuto del Lavoratori (non modificato dal Regolamento UE) e perché ancora oggi è vietato (e penalmente rilevante) controllare l’attività dei lavoratori a distanza e fare indagini sulle loro opinioni politiche.

1