Uso di strumenti informatici e telematici nel processo civile – 16 dicembre 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale;
Vista la richiesta di parere del Ministero della giustizia;
Visto l’art. 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);
Vista la documentazione in atti;
Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

Il Ministero della giustizia ha chiesto il parere del Garante in ordine a uno schema di decreto recante “Regole tecnico-operative per l’uso di strumenti informatici e telematici nel processo civile, in sostituzione del decreto del Ministro della giustizia del 17 luglio 2008“.

La necessità di apportare modifiche al decreto ministeriale del 17 luglio 2008 – su cui il Garante ha a suo tempo espresso parere – deriverebbe dalle previsioni di cui agli articoli 16 e 16-bis del decreto-legge 29 novembre 2008 n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2 – che impongono alle amministrazioni pubbliche che non vi abbiano già provveduto l’istituzione di una casella di posta elettronica certificata, attribuendo altresì ai cittadini che ne facciano richiesta un indirizzo di posta elettronica certificata il cui utilizzo abbia effetto equivalente, ove necessario, alla notificazione per mezzo della posta – nonché dal disposto di cui all’articolo 137 del codice di procedura civile, come novellato dall’articolo 45, comma 18, della legge 18 giugno 2009, n. 69, in materia di notificazioni di documenti informatici o comunque eseguite attraverso strumenti telematici. Inoltre, come può evincersi da quanto affermato dall’Amministrazione richiedente nella nota di trasmissione dello schema di decreto in oggetto, le modifiche apportate al decreto del 17 luglio 2008 si renderebbero necessarie “per dare seguito alle indicazioni espresse dal CNIPA in occasione dell’approvazione dei precedenti schemi di DM”.

Alla luce delle suddette esigenze, l’odierno provvedimento sancisce in particolare l’adozione, a regime, per le comunicazioni effettuate nell’ambito del processo civile telematico, non più della posta speciale appositamente prevista dal decreto ministeriale del 2008 per il processo civile telematico, ma della “casella di posta elettronica certificata per il processo telematico (CPECPT)”, definita quale indirizzo elettronico previsto dall’articolo 16 del suddetto decreto-legge n. 185 del 2008, nonché dal d.P.R. 11 febbraio 2005, n. 68, “utilizzato, in via non esclusiva, da un soggetto abilitato per i servizi di trasmissione telematica dei documenti informatici” (art.2, comma 1, lett. k), in quanto suscettibile di utilizzazione sia ai fini del citato decreto-legge, sia allo scopo di effettuare, in forma telematica, le comunicazioni necessarie nell’ambito del procedimento civile.

Inoltre, lo schema di decreto consente di accedere al sistema informativo civile di cui al d.P.R. 13 febbraio 2001, n. 123 (SICI), non solo tramite il punto di accesso, ma anche attraverso il “portale dei servizi telematici” che – previa verifica della legittimazione all’accesso dell’utente “privato” abilitato o comunque di soggetti esterni al Sistema pubblico di connettività (SPC) – fornisce ai soggetti abilitati i servizi di connessione al gestore centrale (inteso, quest’ultimo, quale “struttura tecnico-organizzativa che, nell’ambito del dominio giustizia (…) fornisce i servizi di accesso al SICI ed i servizi di trasmissione telematica dei documenti informatici processuali fra il SICI ed i soggetti abilitati”) (art. 2, comma 1, lett. b) e d). Di contro, i singoli uffici giudiziari e l’UNEP accedono al sistema mediante il gestore locale, abilitato anche alla trasmissione in via telematica dei documenti informatici processuali tra il gestore centrale e i suddetti uffici.

RILEVATO

1. Come può evincersi da quanto esposto in premessa, una delle novità principali dell’odierno provvedimento consiste nell’istituzione del “portale dei servizi telematici”, idoneo a fornire ai soggetti abilitati l’accesso al SICI, mediante collegamento al gestore centrale. In ragione della particolare delicatezza dei dati (anche personali e segnatamente giudiziari) oggetto di trattamento mediante tale sistema, si ravvisa l’esigenza di adottare ogni idonea misura volta a garantire la sicurezza dei dati e del sistema, con particolare riferimento alle procedure di controllo degli accessi, necessariamente selettivi, e ai sistemi di autenticazione che devono garantire l’identificazione certa del soggetto richiedente l’accesso e della sua specifica legittimazione.

2. All’articolo 2, comma 1, lett. k), appare preferibile definire la CPECPT quale indirizzo elettronico, utilizzato “anche non esclusivamente nell’ambito del processo telematico”. Tale formulazione si lascia infatti preferire non solo perché idonea a fugare dubbi in ordine alla legittimazione all’accesso alla suddetta casella di posta elettronica, che deve rimanere esclusivamente individuale, ma anche perché esclude più chiaramente la possibilità per il soggetto abilitato di avvalersi, nel processo telematico, di strumenti diversi dalla CPECPT.

3. L’articolo 7 disciplina le modalità e i limiti dell’accesso al SICI da parte dei soggetti abilitati esterni privati, quali i difensori (comma 1); gli avvocati delegati (comma 3); gli esperti e gli ausiliari del giudice (comma 5); nonché “gli altri soggetti abilitati esterni privati” (comma 6). Dal momento che l’articolo 2, comma 1, lett. j), nel definire la categoria dei “soggetti abilitati esterni privati”, non menziona figure diverse da quelle dei difensori delle parti private, degli avvocati iscritti negli elenchi speciali, degli esperti e degli ausiliari del giudice, va chiarito a quali soggetti si riferisca il comma 6 dell’articolo 7, se del caso attraverso una più congrua definizione della categoria dei “soggetti abilitati esterni privati” di cui all’articolo 2, comma 1, lett.j).

4. L’articolo 8, nel disciplinare l’accesso al SICI dei soggetti abilitati esterni pubblici, sancisce, al comma 3, la legittimazione degli avvocati e procuratori dello Stato ad accedere “alle informazioni contenute nei fascicoli dei procedimenti in cui è parte una pubblica amministrazione”, senza tuttavia specificare che deve trattarsi dell’ente la cui difesa in giudizio è stata assunta dal soggetto che effettua l’accesso. Tale precisazione appare necessaria in quanto, altrimenti, potrebbe legittimarsi l’accesso, da parte di avvocati e procuratori dello Stato, a fascicoli relativi a procedimenti civili per il solo fatto che vi sia costituita in giudizio una pubblica amministrazione, a prescindere dal rapporto difensivo instaurato tra quest’ultima e il soggetto che effettua la consultazione. La riformulazione in tal senso della disposizione consentirebbe peraltro di conformarla a quanto sancito dall’articolo 7, comma 2, in relazione all’accesso al SICI da parte del difensore “privato”.

5. In relazione all’accesso al SICI da parte dei soggetti abilitati interni, l’articolo 9 si limita a demandare la previsione delle (sole) relative modalità tecniche al responsabile per i sistemi informativi automatizzati del Ministero della giustizia. Tuttavia, appare opportuno specificare che il provvedimento del suddetto responsabile deve contenere anche la disciplina dei requisiti di legittimazione e delle credenziali di accesso al SICI da parte delle strutture e dei soggetti abilitati interni, al fine di elevare il livello di protezione dei dati personali garantito dal sistema.

6. All’articolo 23 (“Requisiti tecnici di sicurezza”), il richiamo alle misure e alle regole di sicurezza applicabili al gestore centrale, al gestore locale e al fascicolo informatico non può avvenire mediante il generico rinvio alle “vigenti disposizioni in materia”, ma deve contenere il riferimento specifico ad esse o, quanto meno, alla normativa che le prevede – come, peraltro, attualmente previsto dall’articolo 26 del decreto ministeriale del 17 luglio 2008, che si intende abrogare – ivi compreso il Codice in materia di protezione dei dati personali.

7. All’articolo 31, comma 1, relativo al piano di sicurezza, appare necessario ripristinare la corrispondente formulazione di cui all’articolo 34, comma 1, del decreto ministeriale del luglio 2008, alla cui stregua “Il punto di accesso individua ed iscrive, nel giornale di controllo, il responsabile per la sicurezza, individuato nel responsabile del trattamento dei dati, ove designato”, in quanto maggiormente precisa di quella proposta, che omette, invece, di specificare come, ove designato, il responsabile del trattamento dei dati assuma anche la funzione di responsabile per la sicurezza.

8. All’articolo 34, comma 1, tra i principi normativi applicabili alle procedure di trasmissione di documenti informatici nell’ambito del processo civile, è opportuno richiamare anche quelli sanciti dal predetto Codice, al fine di evitare equivoci interpretativi suscettibili di derivare dal rinvio formale alle sole norme in materia di firme elettroniche, amministrazione digitale e documentazione amministrativa (rispettivamente: decreti legislativi 23 gennaio 2002, n. 10 e 7 marzo 2005, n. 82; d.P.R. 28 dicembre 2000, n. 445).

9. All’articolo 36, comma 2, nel disciplinare gli adempimenti del gestore centrale nel caso di ricezione di un messaggio al di fuori degli orari di ufficio, si dovrebbero prevedere altresì termini e modalità di conservazione degli estremi del messaggio rifiutato, ovvero dei dati esteriori registrati nei log dei servizi di posta elettronica.

CONSIDERATO

10. Numerose disposizioni dell’odierno provvedimento demandano al responsabile per i sistemi informativi automatizzati del Ministero della giustizia la disciplina di aspetti significativi del funzionamento del sistema in esame, quali ad esempio: le modalità tecniche di accesso al SICI da parte dei soggetti abilitati interni (art. 9); le modalità tecniche di consultazione del registro generale degli indirizzi elettronici gestito dal Ministero della giustizia (art. 12, comma 2); le procedure di registrazione dei soggetti abilitati esterni al SICI (art. 13, comma 2); i requisiti di sicurezza della connessione tra singoli punti di accesso e gestori centrali (art. 27, commi 2 e 10); nonché ulteriori, rilevanti adempimenti quali in particolare quelli di cui agli articoli 14, comma 2; 16; 18, commi 2, 3 e 9; 26, comma 1; 29, comma 1; 30, comma 3; 31, comma 2; 39, commi 2 e 4; 40, commi 1 e 4; 58, commi 2 e 3. In ragione della particolare rilevanza- anche sotto il profilo della protezione dei dati personali- degli aspetti del sistema la cui disciplina è demandata alle deliberazioni del responsabile per i sistemi informativi automatizzati, si ravvisa la necessità di inserire nello schema di decreto una norma di carattere generale, in base alla quale le varie specificazioni tecniche così definite dal predetto responsabile siano adottate sentito il Garante, limitatamente ai profili inerenti alla protezione dei dati personali.

IL GARANTE

per quanto sopra esposto, esprime parere favorevole sullo schema di decreto recante “Regole tecnico-operative per l’uso di strumenti informatici e telematici nel processo civile, in sostituzione del decreto del Ministro della giustizia del 17 luglio 2008”, alle seguenti condizioni:

a) in relazione alla prevista istituzione del portale dei servizi telematici, sia adottata ogni idonea misura volta a garantire la sicurezza dei dati e del sistema, con particolare riferimento alle procedure di controllo degli accessi, necessariamente selettivi, e ai sistemi di autenticazione (punto 1);

b) all’articolo 2, comma 1, lett. k) la CPECPT sia definita quale indirizzo elettronico utilizzato, da un soggetto abilitato per i servizi di trasmissione telematica dei documenti informatici, “anche non esclusivamente nell’ambito del processo telematico”, anzi che “in via non esclusiva” (punto 2);

c) sia chiarito a quali soggetti si riferisca il comma 6 dell’articolo 7, se del caso attraverso una più congrua definizione della categoria dei “soggetti abilitati esterni privati” di cui all’articolo 2, comma 1, lett.j) (punto 3);

d) all’articolo 8, comma 3, si precisi che gli avvocati e i procuratori dello Stato possono accedere alle informazioni contenute nei soli fascicoli dei procedimenti in cui è parte la pubblica amministrazione la cui difesa in giudizio è stata assunta dal soggetto che effettua l’accesso (punto 4);

e) l’articolo 9 sia integrato nel senso di demandare al provvedimento del responsabile per i sistemi informativi automatizzati anche la disciplina dei requisiti di legittimazione e delle credenziali d’accesso al sistema da parte delle strutture e dei soggetti abilitati interni (punto 5);

f) all’articolo 23, le misure e le regole di sicurezza applicabili al gestore centrale, al gestore locale e al fascicolo informatico siano individuate non mediante il generico richiamo alle “vigenti disposizioni in materia”, bensì tramite il riferimento specifico ad esse o, quanto meno, alla normativa che le prevede, ivi compreso il Codice in materia di protezione dei dati personali (punto 6);

g) all’articolo 31, comma 1, relativo al piano di sicurezza, sia ripristinata la formulazione di cui all’articolo 34, comma 1, del decreto ministeriale del luglio 2008, alla cui stregua “Il punto di accesso individua ed iscrive, nel giornale di controllo, il responsabile per la sicurezza, individuato nel responsabile del trattamento dei dati, ove designato” (punto 7);

h) all’articolo 34, comma 1, tra i principi normativi applicabili alle procedure di trasmissione di documenti informatici nell’ambito del processo civile, siano richiamati anche quelli sanciti dal Codice (punto 8);

i) all’articolo 36, comma 2, nel disciplinare gli adempimenti del gestore centrale nel caso di ricezione di un messaggio al di fuori degli orari di ufficio, siano previsti altresì termini e modalità di conservazione degli estremi del messaggio rifiutato, ovvero dei dati esteriori registrati nei log dei servizi di posta elettronica (punto 9);

l) sia inserita nello schema di decreto una norma di carattere generale, in base alla quale le varie specificazioni tecniche definite dal responsabile per i sistemi informativi automatizzati del Ministero della giustizia siano adottate sentito il Garante, limitatamente ai profili inerenti la protezione dei dati personali (punto 10).

Roma, 16 dicembre 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Patroni Griffi