g-docweb-display Portlet

Parere sullo schema di decreto del Presidente del Consiglio dei Ministri in materia di “Sistema di gestione deleghe” (SGD), da adottare, con il concerto del Ministero dell’interno, ai sensi dell’art. 64-ter, comma 7, del d.lgs. 7 marzo 2005, n. 82 (Codice dell’amministrazione digitale – CAD) - 24 febbraio 2022 [9752853]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9752853]

Parere sullo schema di decreto del Presidente del Consiglio dei Ministri in materia di “Sistema di gestione deleghe” (SGD), da adottare, con il concerto del Ministero dell’interno, ai sensi dell’art. 64-ter, comma 7, del d.lgs. 7 marzo 2005, n. 82 (Codice dell’amministrazione digitale - CAD) - 24 febbraio 2022

Registro dei provvedimenti
n. 74 del 24 febbraio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore prof. Pasquale Stanzione;

PREMESSO

Con nota inviata in data 23 dicembre 2021, il Ministro per l’innovazione tecnologica e la transizione digitale presso la Presidenza del Consiglio dei Ministri ha trasmesso al Garante, ai fini dell’acquisizione del prescritto parere, lo schema di decreto del Presidente del Consiglio dei Ministri in materia di “Sistema di gestione deleghe” (di seguito, SGD), da adottare, con il concerto del Ministero dell’interno, ai sensi dell’art. 64-ter, comma 7, del d.lgs. 7 marzo 2005, n. 82 (Codice dell’amministrazione digitale – di seguito, CAD).

Nel corso dell’istruttoria, in ragione delle caratteristiche dei trattamenti disciplinati dallo schema in esame, si è reso necessario ottenere sia chiarimenti da parte della Presidenza del Consiglio dei Ministri (nota del 28 gennaio 2022), che approfondimenti con il coinvolgimento di alcune amministrazioni, tra cui quelle che forniscono una parte rilevante di servizi online come l’INPS (nota del 17 febbraio 2022) e l’Agenzia delle entrate (nota del 18 febbraio 2022) (su cui cfr. infra par. 6).

1. Il quadro normativo

Il richiamato art. 64-ter del CAD stabilisce, in primo luogo, che “È istituito il Sistema di gestione deleghe (SGD), affidato alla responsabilità della struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la transizione digitale” (comma 1).

A questo fine, è previsto che “Per la realizzazione, gestione e manutenzione del SGD e per l'erogazione del servizio, la struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la transizione digitale si avvale dell'Istituto Poligrafico e Zecca dello Stato S.p.A. I rapporti tra la struttura di cui al precedente periodo e l'Istituto Poligrafico e Zecca dello Stato S.p.A. sono regolati, anche ai sensi dell'articolo 28 del regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, con apposita convenzione” (comma 5) e, conseguentemente, che “La struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la transizione digitale è il titolare del trattamento dei dati personali, ferme restando, ai sensi dell'articolo 28 del regolamento (UE) 2016/679, le specifiche responsabilità spettanti all'Istituto Poligrafico e Zecca dello Stato S.p.A. e, nel caso previsto dal comma 2, ai soggetti di cui all'articolo 2, comma 2” (comma 6).

Nel merito, si prevede che “Il SGD consente a chiunque di delegare l'accesso a uno o più servizi a un soggetto titolare dell'identità digitale di cui all'articolo 64, comma 2-quater, con livello di sicurezza almeno significativo. La presentazione della delega avviene mediante una delle modalità previste dall'articolo 65, comma 1, ovvero presso gli sportelli di uno dei soggetti di cui all'articolo 2, comma 2, presenti sul territorio” (comma 2, primo e secondo periodo), e che “A seguito dell'acquisizione della delega al SGD, è generato un attributo qualificato associato all'identità digitale del delegato, secondo le modalità stabilite dall'AgID con Linee guida. Tale attributo può essere utilizzato anche per l'erogazione di servizi in modalità analogica” (comma 3).

Inoltre, “I soggetti di cui all'articolo 2, comma 2, sono tenuti ad accreditarsi al SGD” (comma 4).

Infine, il comma 7 del medesimo art. 64-ter prevede che, “Fermo restando quanto previsto dal decreto di cui all'articolo 64, comma 2-sexies, relativamente alle modalità di accreditamento dei gestori di attributi qualificati, con decreto del Presidente del Consiglio dei ministri, adottato di concerto con il Ministro dell'interno, sentiti l'AgID, il Garante per la protezione dei dati personali e la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, sono definiti le caratteristiche tecniche, l'architettura generale, i requisiti di sicurezza, le modalità di acquisizione della delega e di funzionamento del SGD. Con il medesimo decreto, inoltre, sono individuate le modalità di adesione al sistema nonché le tipologie di dati oggetto di trattamento, le categorie di interessati e, in generale, le modalità e procedure per assicurare il rispetto dell'articolo 5 del regolamento (UE) 2016/679” (comma 7). Al riguardo, il comma 2, terzo periodo, aggiunge che “Con il decreto di cui al comma 7 sono disciplinate le modalità di acquisizione della delega al SGD”.

2. Lo schema di d.P.C.M. in esame

Lo schema di d.P.C.M. in esame, da adottarsi ai sensi del richiamato art. 64-ter, comma 7, del CAD, prevede che il SGD è costituito da un’“infrastruttura tecnologica per l’attuazione dell’articolo 64-ter del CAD” sviluppata dal gestore – ossia, “il soggetto che, ai sensi dell’art. 64-ter, comma 5, del CAD, cura la realizzazione, la gestione e la manutenzione del SGD, nonché l’erogazione del relativo servizio” (art. 1, comma 1, lett. l)) – al quale spetta anche il compito di “[vigilare] sul suo corretto funzionamento, [curarne] il monitoraggio e la manutenzione, [provvedere] al suo aggiornamento tecnologico e, tramite lo stesso sistema, [erogare] il servizio di cui all’articolo 64-ter del CAD” (per quanto concerne le funzioni consentite dal SGD, cfr. art. 4). Il gestore redige anche il “manuale operativo,” d’intesa con il Dipartimento competente presso la Presidenza del Consiglio dei Ministri (art. 3). Dopodiché sono indicate le modalità attraverso le quali i service provider – ossia, i soggetti pubblici o privati che, avendo aderito al SGD, offrono “servizi online e a sportello fruibili anche tramite soggetti terzi muniti di delega digitale” (art. 1, comma 1, lett. j)) – aderiscono al SGD (art. 5).

Per quanto concerne le modalità di conferimento, nell’ambito del SGD, della delega semplice – ossia, la “delega digitale conferita dal delegante e per la cui creazione è necessaria l’identificazione del delegante e del delegato” (art. 1, comma 1, lett. f)), e che contiene “nome, cognome, codice fiscale e indirizzo di contatto del soggetto delegato e del soggetto delegante” – a soggetto titolare dell’identità digitale, l’art. 6 prevede che:

• tale conferimento possa avvenire in cinque modi (comma 2): “utilizzando una specifica funzionalità resa disponibile sul portale, previo accesso tramite SPID o CIE di livello di sicurezza almeno significativo” (lett. a)); “presso gli sportelli di uno dei soggetti di cui all’articolo 2, comma 2, del CAD, limitatamente ai servizi resi disponibili dallo stesso soggetto che acquisisce la delega” (lett. b)); “utilizzando una specifica funzionalità del SGD resa disponibile sul portale che consente al delegante di sottoscrivere la delega mediante una delle firme di cui all’articolo 20, comma 1-bis, del CAD” (lett. c)); “utilizzando una specifica funzionalità del SGD resa disponibile tramite il punto di accesso telematico di cui all’articolo 64-bis del CAD” (lett. d)); “utilizzando una specifica funzionalità disponibile del SGD resa disponibile sul portale che, previo accesso del delegato tramite SPID o CIE, di livello di sicurezza almeno significativo, consente la trasmissione della copia informatica per immagine della delega analogica sottoscritta dal delegante nonché della copia informatica per immagine del documento d’identità dello stesso delegante” (lett. e));

• la delega semplice, per tutte le ipotesi tranne quella di cui al succitato comma 2, lett. b), possa riguardare (comma 3): “uno specifico servizio erogato dal Service Provider” (lett. a)); “tutti i servizi erogati dal Service Provider” (lett. b)); “una o più classi di servizio erogato dal medesimo Service Provider” (lett. c)); “specifici servizi erogati da differenti Service Provider” (lett. d)); “tutti i servizi erogati da tutti i Service Provider” (lett. e)); “differenti classi di servizio erogato da differenti Service Provider” (lett. f));

• la medesima delega semplice, invece, con riferimento all’ipotesi di cui al succitato comma 2, lett. b), possa riguardare “esclusivamente: uno specifico servizio erogato dal Service Provider; tutti i servizi erogati dal Service Provider; uno o più classi di servizio erogato dal medesimo Service Provider” (comma 4). In questa ipotesi, “Il delegante […] esibisce il proprio documento d’identità e ne consegna copia all’operatore di sportello unitamente al documento di delega sottoscritto con firma autografa” (comma 5). Mentre, “nel caso di persone allettate per lunga durata, ricoverate o impossibilitate per motivi sanitari a recarsi presso gli sportelli di uno dei soggetti di cui all’articolo 2, comma 2, del CAD, la delega semplice può essere conferita anche mediante acquisizione da parte dell’operatore di sportello della delega sottoscritta dal delegante e presentata direttamente dal delegato unitamente alla copia del documento d’identità dello stesso delegante e all’attestazione sanitaria redatta da un medico del servizio sanitario nazionale attestante l’impossibilità del delegante di recarsi presso lo sportello. Il delegato, inoltre, esibisce il proprio documento d’identità e ne consegna copia all’operatore di sportello” (comma 6);

• il processo di conferimento della delega si perfezioni mediante l’elaborazione, da parte del SGD, di “un codice di accettazione che […] il delegante comunica al delegato” (comma 8), il quale, “accedendo al SGD tramite SPID o CIE, di livello di sicurezza almeno significativo, presa visione della proposta di delega, può procedere alla sua accettazione, inserendo il codice fornitogli dal delegante” (comma 9); successivamente, “Il SGD informa il delegante in merito all’accettazione o all’eventuale rifiuto della delega da parte del soggetto delegato tramite avviso di cortesia all’indirizzo di contatto” (comma 10);

• il delegante, in qualsiasi momento, possa revocare la delega e il delegato possa rinunciare alla medesima (comma 11);

• il SGD assicuri un meccanismo di informazione, all’indirizzo di contatto del delegante, circa “un avviso di cortesia ogni volta che viene esercitata la delega, nonché, con periodicità mensile, un promemoria delle deleghe attive”, consentendo, “altresì, allo stesso di monitorare in ogni tempo gli accessi operati per suo conto presso i diversi Service provider aderenti” (comma 12).

Con riferimento ai soggetti nei confronti dei quali è possibile conferire la delega semplice, sempre l’art. 6 stabilisce che uno stesso soggetto possa ricevere deleghe semplici “da parte di tutti i componenti della propria famiglia anagrafica e non più di cinque deleghe da parte di soggetti non appartenenti alla medesima famiglia anagrafica” (comma 13). Tali limiti “non trovano applicazione per i professionisti iscritti a ordini, albi o collegi e per le persone giuridiche dotate di specifiche autorizzazioni previste dalla legge quando tali soggetti ricevono la delega relativamente a servizi rientranti nell’ambito dell’attività svolta professionalmente o istituzionalmente” (comma 14). A quest’ultimo proposito, “Nel caso di delega semplice rilasciata, ai sensi del presente decreto, a persona giuridica, ente o associazione, dotati di specifiche autorizzazioni previste dalla legge per lo svolgimento di attività relative ai servizi delegati, il legale rappresentante può designare per l’esecuzione della delega uno o più dipendenti”, nonché è precisato che viene consentito “di circoscrivere la delega in relazione a uno o più deleganti, non è richiesta accettazione da parte del dipendente delegato e non è prevista la possibilità di rinuncia” (comma 15).

Analogamente, l’art. 6 stabilisce le modalità di richiesta di attivazione e conferimento, sempre nell’ambito del SGD, della delega generale – ossia, “la delega digitale richiesta da un soggetto nominato tutore, curatore o amministratore di sostegno ovvero dall’esercente la responsabilità genitoriale, per la cui creazione è necessaria la verifica delle predette qualità mediante l’interoperabilità con la Piattaforma Digitale Nazionale Dati (PDND) di cui all’articolo 50-ter del CAD, le altre basi dati nazionali eventualmente disponibili ovvero mediante esibizione della documentazione attestante le qualità” (art. 1, comma 1, lett. e)) – nei confronti di tutore, curatore o amministratore di sostegno (commi 16 e 17) e di esercenti la potestà genitoriale (commi 18 e 19).

In particolare, con riferimento alla delega generale conferita al tutore, al curatore o all’amministratore di sostegno, sono individuate le seguenti modalità:

• fisicamente, recandosi presso lo sportello dei soggetti di cui all’art. 2, comma 2, del CAD, esibendo il proprio documento d’identità e consegnandone copia all’operatore unitamente alla copia del documento d’identità del tutelato e alla copia conforme del provvedimento di nomina ovvero alla dichiarazione sostitutiva di certificazione di cui all’art. 46, comma 1, lett. u), del d.P.R. 28 dicembre 2000, n. 445, da cui è possibile evincere la qualità e i poteri esercitabili in virtù del provvedimento di nomina;

• mediante un’apposita funzionalità online, previa autenticazione mediante SPID o CIE o utilizzo di una delle firme di cui all’art. 20, comma 1-bis, del CAD, trasmettendo copia conforme per immagine del provvedimento di nomina ovvero dichiarazione sostitutiva di certificazione da cui è possibile evincere la qualità e i poteri esercitabili in virtù del provvedimento di nomina, unitamente alla copia del documento d’identità del tutelato. Nell’ipotesi di utilizzo della firma digitale, la dichiarazione sostitutiva è sottoscritta mediante una delle firme di cui all’art. 20, comma 1-bis, del CAD. La trasmissione della dichiarazione sostitutiva non è necessaria se tramite l’interoperabilità con la Piattaforma digitale nazionale dati o con basi dati nazionali eventualmente disponibili, è possibile verificare automaticamente la qualità e i poteri esercitabili.

Per poter esercitare le funzioni delegate, una volta che il delegato si è autenticato “presso il Service Provider, tramite SPID o CIE di livello di sicurezza almeno significativo”, “Il sistema consente ai Service Provider di redirigere le sessioni degli utenti”; nel fare ciò, “il Service Provider fornisce al SGD prova dell’avvenuta autenticazione mediante l’invio di un numero minimo di attributi, comprensivi del codice fiscale, con le modalità indicate nelle linee guida contenenti regole tecniche dei gestori di attributi qualificati e nelle regole tecniche sul funzionamento descritte nel manuale operativo”. Dopodiché, “Il SGD, verificata la correttezza e l’adeguatezza dell’avvenuta autenticazione attraverso l’analisi della risposta dell’IdP SPID o CIE, consente all’utente delegato di selezionare la delega con la quale intende agire e lo redirige verso il portale del Service Provider fornendo a tale soggetto, con le modalità indicate nelle linee guida contenenti regole tecniche dei gestori di attributi qualificati e nelle regole tecniche sul funzionamento e descritte nel manuale operativo […], le informazioni afferenti al delegante o, comunque, al rappresentato, comprensive del codice fiscale e di eventuali, necessari, dati specifici”. “Il SGD consente all’utente delegato di ottenere un’attestazione del potere di delega […], munita del contrassegno a stampa di cui all’articolo 23, comma 2-bis, del CAD, [la quale] può essere utilizzata anche per la fruizione dei servizi presso gli sportelli dei Service Provider, previa esibizione da parte del delegato del proprio documento d’identità di cui consegna copia all’operatore di sportello” (art. 7).

Il periodo di validità della delega digitale è definito dal delegante al momento del conferimento, e, “in ogni caso, non può essere superiore a due anni”. “La delega generale di tutori, curatori o amministratori di sostegno ha una durata corrispondente a quella fissata nel provvedimento di nomina”, ma può esserne richiesto l’annullamento, da parte di “chiunque ne abbia interesse” e con le modalità ivi descritte, in caso “di revoca della tutela, della curatela o dell’amministrazione di sostegno, di rimozione o sostituzione del tutore, del curatore o dell’amministratore di sostegno”. “La delega generale dell’esercente la responsabilità genitoriale è valida fino al raggiungimento della maggiore età del minore rappresentato”, quando viene “annullata automaticamente dal SGD tramite una specifica funzionalità”, “ovvero fino all’eventuale decadenza o sospensione della responsabilità genitoriale”, su richiesta di “chiunque ne abbia interesse” e con le modalità ivi descritte (art. 8).

Le deleghe digitali, sia semplici che generali, nonché la “documentazione, comprensiva delle informative relative al trattamento dei dati, presentata dal delegante o dal delegato e acquisita dall’operatore di backoffice o di sportello”, vengono conservate dal gestore “per un periodo di dieci anni dalla data in cui viene meno la loro validità”; durante tale periodo, “il gestore garantisce l’accesso ai documenti conservati al delegante e al delegato interessati, inclusi loro eventuali delegati, previa identificazione allo sportello o tramite SPID” (art. 9).

Dopo una descrizione delle tipologie di dati personali trattate nell’ambito del SGD (art. 10), l’art. 11 dello schema detta apposite disposizioni sul trattamento dei dati personali, stabilendo che:

• “I dati personali di cui all’articolo 10 sono trattati esclusivamente per le finalità inerenti la creazione, la gestione e l’utilizzo delle deleghe” (comma 1);

• con riferimento ai ruoli ricoperti dai vari soggetti coinvolti nel trattamento:

- “Il gestore è titolare dei dati utilizzati per l’accesso al SGD da parte dei delegati e dei deleganti, dei dati necessari per l’adesione al SGD da parte dei Service provider, e ogni altro dato inerente alla gestione di ogni attività strumentale all’utilizzo dello stesso SGD, ivi inclusi i dati relativi alla salute dei soggetti rappresentati da tutori, curatori e amministratori di sostegno” (comma 2);

- “I soggetti di cui all’articolo 2, comma 2, del CAD”, nelle ipotesi di richiesta di conferimento della delega presso i propri sportelli, “agiscono per conto del gestore in qualità di responsabile del trattamento ai sensi dell’articolo 28 del Regolamento UE 2016/679 mentre agiscono come titolare del trattamento nell’ipotesi” di conservazione della documentazione presentata (comma 3);

- “I Service provider, con riferimento a dati acquisiti dal SGD [nell’ambito dell’autenticazione dell’utente delegato], agiscono come titolari del trattamento” (comma 4);

• il gestore e i soggetti di cui all’art. 2, comma 2, del CAD conservano i dati relativi alle deleghe, i service provider conservano “l’evidenza dell’utilizzo di tali deleghe” (commi 5 e 6);

• al gestore spetta il compito di “[implementare] misure di sicurezza appropriate e specifiche per tutelare i diritti fondamentali e gli interessi delle persone fisiche” (comma 7), nonché di “[effettuare], prima dell’inizio dell’attività di trattamento, la valutazione d’impatto ai sensi dell’articolo 35 del Regolamento (UE) 679/2016”, ove indicare, “tra l’altro, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonché le eventuali misure poste a tutela dei diritti e delle libertà degli interessati” (comma 8). Inoltre, “Il gestore, previa aggregazione, può utilizzare i dati acquisiti per finalità di miglioramento del servizio erogato, nonché per lo sviluppo del SGD” (comma 9).

A seguire, lo schema stabilisce ruoli e responsabilità di operatori di sportello, operatori di backoffice e service provider (artt. 12, 13 e 14).

OSSERVA

3. Considerazioni generali

3.1. L’art. 64-ter del Codice dell’amministrazione digitale – disposizione introdotta nell’Ordinamento in assenza, tanto in sede di decretazione d’urgenza che di successiva legge di conversione, del prescritto parere del Garante – stabilisce, come si è anticipato:

a. che il SGD consenta a “chiunque” semplicemente di “delegare l’accesso a uno o più servizi a un soggetto titolare dell’identità digitale” (cfr. comma 2);

b. che “la struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la transizione digitale e' il titolare del trattamento dei dati personali” (cfr. comma 6);

c. che “con decreto del Presidente del Consiglio dei ministri, adottato di concerto con il   Ministro dell'interno, sentiti l'AgID, il Garante per la protezione dei dati personali e la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, sono” tra l’altro “definite “le caratteristiche tecniche, l'architettura generale, i requisiti di sicurezza (…) del SGD” (cfr. comma 7).

In tale contesto occorre preliminarmente segnalare che lo schema di DPCM trasmesso all’Autorità non appare del tutto conforme alle tre predette prescrizioni normative.

a. Innanzitutto, infatti, lo schema di DPCM sembra non rispettare pienamente, almeno con riferimento alle cc.dd. “deleghe semplici” – la cui portata, peraltro, può ben essere generale - la lettera e lo spirito dell’art. 64-ter giacché, nella sostanza, in forza delle previsioni in esso contenute, mira a creare un sistema parallelo rispetto a quello complesso oggetto di una pluralità di disposizioni già presenti nell’Ordinamento di attribuzione ad un soggetto diverso dall’originario titolare di poteri di rappresentanza nell’ambito di qualsivoglia genere di rapporto, pubblico o privato, a rilevanza amministrativa o civilistica. Tale circostanza risulta evidente dal semplice raffronto tra l’ipotizzata disciplina in materia di cc.dd. “deleghe generali” e quella in materia di cc.dd. “deleghe semplici”. Mentre, infatti, nel primo caso, nello schema di decreto ci si preoccupa di chiarire che presupposto del rilascio della “delega all’accesso ai servizi” gestita attraverso il SGD deve necessariamente essere la prova della preesistente sussistenza del potere di rappresentanza in capo al delegato, nel secondo caso si omette qualsivoglia previsione al riguardo con la conseguenza che, ad esempio, anche laddove la legge, attualmente, preveda che ai fini del compimento di un atto in nome e per conto di altro soggetto è necessaria un’apposita procura notarile, il SGD – per come si intenderebbe disciplinarlo attraverso lo schema di DPCM in esame – consentirebbe di bypassare l’esigenza di tale procura limitandosi a fornire al delegato, attraverso il SGD, una delega all’accesso ai servizi. Nella sostanza, dunque, mentre l’art. 64-ter si limita a istituire un SGD di carattere tecnologico destinato ad affiancare il sistema generale delle deleghe di poteri di rappresentanza costituito da un complesso di norme di legge di matrice pubblicistica e privatistica, lo schema di DPCM ha per effetto quello di sovrascrivere e travolgere il sistema normativo vigente considerandolo assorbito in quello tecnologico. Quanto precede, sul versante della protezione dei dati personali, si traduce in un vulnus insanabile per effetto del quale anche soggetti privi dei necessari poteri per non averli mai acquisiti in conformità alle vigenti disposizioni di legge si ritroverebbero a poter trattare dati personali del delegante, delegante, peraltro, in forza di una delega eventualmente fornita con forme estremamente deboli quali la semplice esibizione di una copia digitale di un documento di identità e quella di una delega. Sembra, infine, opportuno aggiungere, sotto tale profilo, che lo schema di DPCM non contiene alcuna risposta a uno dei principali problemi – per quanto si è sin qui segnalato – del SGD rappresentato dall’esigenza di far coincidere ogni ipotesi di cessazione dell’efficacia dei poteri di rappresentanza attribuiti da un delegante al delegato con la cessazione dell’efficacia della delega “informatica” all’accesso ai servizi. Sono evidenti i rischi connessi a tale disallineamento per effetto del quale un soggetto, non più autorizzato a trattare i dati personali di altro soggetto in forza, ad esempio, di un ordine del Giudice o dell’Autorità – o, anche, semplicemente per effetto di una propria libera scelta di natura negoziale – si troverebbe a poter continuare a trattare tali dati fino a quando non intervenisse un autonomo atto di revoca all’interno del SGD.

b. Lo schema di DPCM, diversamente da quanto previsto dalla richiamata disposizione dell’art. 64-ter, identifica nell’Istituto Poligrafico Zecca dello Stato il titolare del trattamento attribuendo a tale soggetto un ruolo che, per legge, invece, non può che competere alla “struttura della Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la transizione digitale” che è previsto che sia “il titolare del trattamento dei dati personali” (cfr. comma 6)”. In termini di protezione dei dati personali tale circostanza non rende lo schema di DPCM conforme alla norma istitutiva del SGD e attribuisce a IPZS un ruolo privacy non di sua competenza, sollevando, contestualmente, la  struttura  della  Presidenza  del  Consiglio  dei  ministri competente per l'innovazione tecnologica e la transizione digitale dal ruolo privacy che le compete e che, peraltro, quest’ultima esercita proprio per il tramite del DPCM in questione nel quale agisce – e non potrebbe che essere così – da titolare del trattamento dei dati personali dettando almeno alcune delle regole alle quali l’IPZS dovrà attenersi.

c. L’art. 3 dello schema di DPCM demanda a un “manuale operativo” destinato a essere pubblicato sul sito dell’IPZS e redatto da quest’ultimo di intesa con il Dipartimento della transizione digitale della PCM la definizione de “le caratteristiche tecniche, le regole tecniche e i requisiti si sicurezza del SGD”. Tale rinvio è, tuttavia, evidentemente non conforme con quanto previsto dall’art. 64-ter che stabilisce che tali elementi siano definiti con il DPCM oggetto del presente parere. Il rinvio in questione, peraltro, ha l’effetto di sottrarre i predetti profili – centrali in ogni valutazione connessa ai profili di protezione dei dati personali del SGD – all’esame del Garante e degli altri soggetti sentiti i quali il DPCM, in forza di quanto previsto dalla norma istitutiva del SGD, deve essere approvato. Né sembra potersi sostenere che il rinvio produce come unica conseguenza il differire a un momento successivo il vaglio del Garante sui predetti aspetti sia perché l’attuale schema di DPCM non prevede tale eventualità, sia perché qualora effettivamente le valutazioni del Garante dovessero intendersi rinviate a un momento successivo rispetto alla realizzazione del SGD, ogni difformità riscontrata, rilevante sotto il profilo privacy, si tradurrebbe nell’esigenza di modificare il SGD con un aggravio di oneri e costi incompatibile con ogni regola di prudente gestione delle risorse pubbliche.

Alla luce delle considerazioni che precedono, lo schema di DPCM trasmesso al Garante non appare coerente con la legge istitutiva del SGD e evidenzia profili di non conformità con la disciplina in materia di protezione dei dati personali che appaiono imporre una profonda rivisitazione dello schema medesimo al fine di scongiurare il rischio che in seno al SGD si verifichino trattamenti di dati personali non conformi, in relazione ai quali il Garante si vedrebbe, successivamente, costretto a intervenire.

In tale quadro, con finalità di piena collaborazione, si evidenziano nei successivi paragrafi, a scopo esemplificativo, taluni profili di criticità egualmente meritevoli di attenzione.

3.2. In primo luogo deve rilevarsi che l’attribuzione a un terzo della possibilità di accedere ai servizi online per proprio conto comporta un inevitabile innalzamento dei rischi per i diritti e le libertà dell’interessato, poiché lo espone, in caso di utilizzi impropri, a possibili trattamenti illeciti o non autorizzati mediante lo strumento della delega.

Infatti, alla luce del panorama dei servizi online accessibili mediante SPID, CIE o CNS, il delegato potrebbe accedere alla parte riservata del portale del SP, per conto del delegante, non solo per effettuare operazioni di consultazione dei dati personali di quest’ultimo (anche sanitari o economici, reddituali o bancari, o comunque strettamente personali), ma altresì per effettuare operazioni che producono significativi effetti sulla sfera giuridica del delegante (ad esempio, azioni di carattere dispositivo, anche patrimoniali, o la richiesta di benefici o agevolazioni di vario genere), favorendo altresì la possibilità di comportamenti fraudolenti a danno della finanza pubblica.

Al riguardo, in considerazione del rischio elevato derivante dai trattamenti in esame, l’art. 11, comma 8, dello schema prevede che il gestore effettui, prima dell’inizio dell’attività di trattamento, la valutazione d’impatto sulla protezione dei dati, ai sensi dell’art. 35 del Regolamento.

In tale quadro, in considerazione dei significativi effetti che il processo descritto può avere sulla sfera giuridica degli interessati, si ritiene necessario che tale valutazione d’impatto sia sottoposta alla consultazione preventiva del Garante, corredata, in particolare, del complesso di misure che si intende adottare per assicurare la conformità dei trattamenti effettuati nell’ambito del SGD alla disciplina in materia di protezione dei dati personali.

4. L’oggetto della delega

Come sopra rappresentato (cfr. art. 6, comma 3, dello schema), oggetto della delega possono essere uno o più servizi offerti da uno o più SP, ma anche, in modo onnicomprensivo, tutti i servizi offerti da tutta la pubblica amministrazione e, più in generale, da tutti i SP, attribuendo al delegato poteri di rappresentanza analoghi a quelli che l’ordinamento riconosce unicamente a soggetti quali genitori o tutori, sulla base di un provvedimento e sotto il controllo dell’autorità giudiziaria, ovvero a un procuratore generale sulla base di un atto notarile.

Si pensi, infatti, che è destinato solo ad aumentare il numero di SP che forniscono servizi online accessibili attraverso SPID, CIE o CNS (ad oggi si dovrebbe trattare di circa 13.000 enti pubblici, cui si aggiungono organismi privati quali banche, gestori di SIC, CAF, intermediari, ecc.), come anche delle centinaia di migliaia di servizi con le più diverse caratteristiche, sia in termini di ambito di riferimento (sanità, credito, previdenza, fisco, ecc.) che di tipologia di prestazioni offerte (dalla semplice consultazione di dati alla richiesta di benefici o di disposizioni di carattere patrimoniale).

Al riguardo, si ritiene che il rilascio di una sorta di delega omnibus, senza il preventivo vaglio del delegante sui SP e sui servizi per i quali andrebbe a conferirla, che risulterebbero così indeterminati e indeterminabili a priori, risulti in contrasto con i principi di limitazione della finalità e di privacy by design e by default (artt. 5, par. 1, lett. b), e 25 del Regolamento); ciò, con evidenti ricadute anche in termini di rispetto dei principi di integrità e di riservatezza (art. 5, par. 1, lett. f), del Regolamento), per cui si renderebbero necessarie robuste procedure di verifica dell’identità degli interessati, a maggior ragione se tale delega può essere rilasciata nei confronti di soggetti esterni alla famiglia anagrafica, compresi i dipendenti di una persona giuridica (cfr. art. 6, commi 13-15, dello schema).

Pertanto, in primo luogo, si ritiene necessario prevedere che il delegante debba individuare in modo puntuale i SP e, in ragione delle specifiche caratteristiche, i servizi online o le classi di servizi per i quali intende conferire la delega digitale, in ogni caso espungendo la possibilità di rilasciarla per tutti i servizi erogati da tutti i SP (art. 6, comma 3, lett. e), dello schema).

Inoltre, in secondo luogo, si ritiene necessario prevedere nello schema di decreto che i SP individuino, e dimostrino di aver attentamente valutato, nel rispetto del principio di accountability (artt. 5, par. 2, e 24 del Regolamento), i servizi online che possono essere resi accessibili mediante le diverse tipologie di delega digitale operanti nell’ambito del SGD, tenendo conto del contesto, delle finalità, dei rischi sottesi al trattamento e delle conseguenze giuridiche per gli interessati, nonché dei limiti eventualmente previsti dalle specifiche normative di settore.

Nel fare ciò, in terzo luogo, occorre che sia valutata l’esclusione dalla possibilità di accesso, mediante delega digitale operante nell’ambito del SGD, alle tipologie di servizi che non risultano compatibili con il meccanismo ivi descritto, quali quelli per i quali:

• è già prevista una specifica disciplina normativa di settore che richiede l’intervento diretto dell’interessato o di un suo procuratore, o tutore, ecc., ovvero specifiche modalità di accesso;

• il richiedente è tenuto ad effettuare dichiarazioni ai sensi degli artt. 46 e 47 del d.P.R. 445/2000, presidiate da sanzioni penali in caso di dichiarazioni mendaci, con responsabilità personale in capo al dichiarante (art. 71).

5. Le modalità di conferimento della delega

5.1. Come sopra rappresentato, la robustezza delle modalità di conferimento della delega costituisce il presupposto necessario affinché sia garantita la conformità alla disciplina in materia di protezione dei dati personali dei trattamenti effettuati nell’ambito di operatività del SGD e di quelli ad esso connessi, tra cui quelli posti in essere dai SP.

Al riguardo, si osserva che tra le modalità attraverso le quali è possibile conferire la delega semplice è consentito l’utilizzo di una specifica funzionalità resa disponibile sul portale che, previo accesso del delegato tramite SPID o CIE, prevede unicamente la trasmissione della copia informatica per immagine della delega analogica sottoscritta dal delegante nonché della copia informatica per immagine del documento d’identità dello stesso delegante (art. 6, comma 2, lett. e), dello schema).

Tale modalità, tuttavia, non assicura un livello di robustezza nelle procedure di identificazione del delegante, analogo a quello richiesto per il rilascio di SPID o CIE, poiché, in particolare, non prevede il riconoscimento de visu del medesimo né la verifica del documento e dell’indirizzo di contatto, elevando il rischio di furti d’identità. Al riguardo, si osserva che le garanzie previste per il rilascio di SPID e CIE consentono infatti di ricorrervi per l’erogazione online di servizi in relazione ai quali, invece, la descritta modalità di delega, per quanto prevista dall’art. 65, comma 1, del CAD, potrebbe non risultare idonea ad assicurare livelli di sicurezza adeguati alle loro specifiche caratteristiche (ad esempio, disposizioni di carattere patrimoniale).

Pertanto, si ritiene necessario che la delega conferita con la modalità di cui all’art. 6, comma 2, lett. e), dello schema sia limitata solamente in relazione a quei servizi online che consentono la presentazione di istanze e dichiarazioni alle pubbliche amministrazioni per via telematica, ai sensi dell’art. 65, comma 1, del CAD, ovvero, in caso di erogazione di altri servizi, siano richiesti altresì ulteriori elementi di riscontro per la verifica della delega (come, ad esempio, i dati reddituali ai fini dell’accesso alla dichiarazione precompilata) ai sensi del successivo comma 7 del predetto art. 6 dello schema.

5.2. Sulla base di tali presupposti, analoga limitazione deve operare anche con riguardo al conferimento della delega semplice da parte di persone allettate per lunga durata, ricoverate o impossibilitate per motivi sanitari, disciplinata dall’art. 6, comma 6, dello schema. Per tale delega è infatti prevista la presentazione allo sportello di uno dei soggetti di cui all’art. 2, comma 2, del CAD (ossia pubbliche amministrazioni, gestori di servizi pubblici e società a controllo pubblico), da parte del delegato, della delega sottoscritta dal delegante unitamente alla copia del documento d’identità dello stesso e all’attestazione sanitaria redatta da un medico del servizio sanitario nazionale attestante l’impossibilità del delegante di recarsi presso lo sportello, oltre a copia del documento d’identità del delegato.

Al riguardo, si osserva che la semplice acquisizione allo sportello di un certificato medico, senza altre verifiche volte a supportarne l’autenticità e la veridicità, non offre ulteriori garanzie rispetto al ricorso a tale tipologia di delega per fruire di servizi online che comportano, ad esempio, disposizioni di carattere patrimoniale. Inoltre, sarebbe opportuno che l’attestazione sanitaria abbia un formato standard con tutti gli elementi necessari a supportare la certificazione della condizione medica dell’interessato, e possa essere rilasciata solo dal medico di medicina generale da cui esso è assistito, garantendo così la possibilità di effettuare verifiche più approfondite sulla sussistenza di tale condizione.

Più precisamente, deve rilevarsi che, per la gestione degli affari in tali casi, gli istituti previsti dall’ordinamento prevedono specifiche garanzie formali e sostanziali volte a prevenire condotte illecite in danno di tali categorie di interessati vulnerabili (come, ad esempio, la procura generale o speciale o l’amministrazione di sostegno).

5.3. Sotto altro profilo, si osserva che non è chiaro se lo schema di decreto consenta a un delegante di conferire una delega semplice a più delegati rispetto ai medesimi SP e/o servizi.

Pertanto, al fine di prevenire eventuali criticità interpretative al riguardo, si invita a valutare i rischi connessi alla predetta possibilità e, conseguentemente, a disciplinarne l’ammissibilità, i presupposti e le relative garanzie.

6. La delega semplice nei confronti di professionisti e persone giuridiche

Lo schema di decreto, all’art. 6, commi 14 e 15, introduce disposizioni che generano un significativo impatto sui presupposti e sulle garanzie, anche relative alla protezione dei dati personali, previste per l’utilizzo dei più rilevanti servizi online in ambito pubblico da parte di intermediari, professionisti e altre organizzazioni (commercialisti, consulenti del lavoro, CAF, patronati, ecc.), che operano in nome proprio e per conto degli interessati sulla base di mandati o incarichi professionali.

A ciò si aggiunga che l’accesso alla gran parte dei servizi online erogati dalle pubbliche amministrazioni è regolato da apposite norme di legge e dalle relative disposizioni attuative di settore, adottate anche sentito il Garante, che individuano puntualmente le modalità attraverso le quali gli interessati, i professionisti e gli intermediari possono fruirne. Si pensi, ad esempio, alla dichiarazione dei redditi precompilata (di cui al d.lgs. 21 novembre 2014, n. 175, e ai conseguenti decreti del Ministro dell’economia e delle finanze e provvedimenti del Direttore dell’Agenzia delle entrate con cui devono essere regolate le modalità di accesso), oppure all’ISEE precompilato (di cui al d.lgs. 15 settembre 2017, n. 147, al decreto del Ministero del lavoro e delle politiche sociali 9 agosto 2019, n. 101, e al provvedimento congiunto del Direttore generale dell’INPS e del Direttore dell’Agenzia delle entrate del 20 dicembre 2019), in relazione ai quali sono state individuate rigorose e specifiche modalità di accesso per gli intermediari, distinte da quelle previste per l’interessato che accede, invece, in autonomia con la propria identità digitale senza ulteriori misure di controllo.

Per quanto riguarda, inoltre, nello specifico, l’attività di intermediazione, come rilevato sia dall’INPS che dall’Agenzia delle entrate, si osserva che l’ordinamento ne ammette e regola l’esercizio nell’ambito di una precisa cornice giuridica che precisa anche le modalità di conferimento del sottostante mandato (o incarico) da parte dell’interessato. Peraltro, in tali ambiti si inserisce di regola anche la stipula di appositi accordi o intese, volti alla definizione di molteplici aspetti concernenti le modalità di svolgimento dell’attività di intermediazione, compreso anche il dettaglio delle misure tecniche e organizzative per la disciplina degli accessi ai sistemi e per l’accesso ai dati degli interessati rappresentati.

A tal riguardo, si rileva che, nel settore fiscale, come rappresentato dall’Agenzia delle entrate, il modello di erogazione dei servizi telematici, dal 1998 a disposizione dei contribuenti (persone fisiche e persone giuridiche) e dei soggetti (persone fisiche e persone giuridiche) qualificati dalle norme a intermediare gli adempimenti, individua espressamente talune categorie autorizzate, in via generale, alla presentazione telematica delle dichiarazioni fiscali, demandando poi alla normazione sotto ordinata l’individuazione di ulteriori tipologie di soggetti che possono effettuare tale attività (cfr. art. 3, comma 3, del d.P.R. 22 luglio 1998, n. 322). Tra questi soggetti si annoverano, anzitutto: gli iscritti negli albi dei dottori commercialisti, dei ragionieri e dei periti commerciali e dei consulenti del lavoro; i soggetti iscritti, alla data del 30 settembre 1993, nei ruoli di periti ed esperti tenuti dalle Camere di commercio; le associazioni sindacali di categoria tra imprenditori; i centri di assistenza fiscale per le imprese e per i lavoratori dipendenti e pensionati (in proposito, cfr. decreto del Ministero delle finanze 31 maggio 1999, n. 164). Tale modello permette di attribuire agli utenti distinte autorizzazioni, in funzione delle loro caratteristiche soggettive professionali.

Nel settore previdenziale e assistenziale, invece, come osservato dall’INPS, l’attività di intermediazione svolta dai patronati è puntualmente disciplinata, oltre che dall’art. 116 del Codice in materia di protezione dei dati personali, anche dalla l. 30 marzo 2001, n. 152, e dal decreto del Ministero del lavoro, della salute e delle politiche sociali 10 ottobre 2008, n. 193; l’attività volta alla presentazione della Dichiarazione sostitutiva unica ISEE che rientra nella disciplina stabilita dal d.P.C.M. 5 dicembre 2013, n. 159, e dai relativi provvedimenti attuativi.

Sotto altro profilo, si osserva che l’art. 6, comma 15, dello schema prevede la possibilità di conferire una delega a una persona giuridica senza aver previamente stabilito le modalità attraverso le quali il SGD consente ai rappresentanti legali di indicare i dipendenti incaricati di svolgere le attività previste dalla delega stessa, né aver effettuato un’attenta valutazione dei rischi e aver adottato le conseguenti misure tecniche e organizzative.

Più precisamente, si pensi che un intermediario, come un CAF o un patronato, potrebbe trovarsi a gestire milioni di deleghe, con la conseguente possibilità di far accedere ai servizi oggetto delle stesse migliaia di operatori autorizzati, in nome e per conto degli interessati, senza le garanzie offerte dalle richiamate cornici normative che regolano l’intermediazione nei settori di riferimento.

Inoltre, si osserva che, come rilevato anche dall’Agenzia, nel sistema prefigurato non vi sarebbe modo per il SP di effettuare verifiche autonome, né sull’ambito, né sull’efficacia temporale della delega, né sulla specifica qualificazione del delegato, salve le verifiche in caso di presentazione della documentazione giustificativa allo sportello del SP (deleghe, ovvero documenti attestanti la qualità di intermediario o di tutore, curatore amministrazione di sostegno, esercente la responsabilità genitoriale).

Peraltro, tenuto conto che lo schema rimanda la definizione di alcuni aspetti di carattere procedurale a un “manuale operativo” non ancora prodotto, non risulta possibile valutare l’adeguatezza delle misure da adottarsi affinché:

• ai professionisti iscritti a ordini, albi o collegi, siano riconosciute tali qualifiche in modo da autorizzare gli utenti a effettuare alcune operazioni e non altre;

• in linea più generale, siano individuate le modalità di gestione delle deleghe conferite secondo le modalità di cui all’art. 6, comma 2, lett. a), c) e d), dello schema, e i relativi possibili impatti in termini di rischi per i diritti e le libertà delle persone fisiche.

Alla luce di quanto esposto, occorre, in primo luogo, che la delega semplice rilasciata a professionisti e persone giuridiche, che agiscono sulla base di un mandato o un incarico professionale, non deve poter operare con riferimento a servizi online per i quali le disposizioni normative di settore stabiliscono presupposti e limiti per l’accesso agli stessi da parte di tali soggetti, in un quadro di garanzie adeguate a tutela dei dati personali degli interessati, ma anche dei medesimi SP.

Più in generale, con riferimento a servizi online per i quali l’accesso da parte di professionisti o intermediari non è già regolato dall’ordinamento, si ritiene necessario comunque espungere dallo schema di decreto la possibilità di conferire a tali soggetti una delega semplice quando ricevono la delega relativamente a servizi rientranti nell’ambito dell’attività svolta professionalmente o istituzionalmente (art. 6, commi 14 e 15, dello schema), in considerazione del fatto che, come sopra illustrato, nello schema non sono individuate misure adeguate ad affrontare i rilevanti rischi connessi, che i singoli SP titolari del trattamento non sarebbero in grado di mitigare in autonomia. Al fine di non scardinare l’attuale complesso assetto di regole predisposto per la fruibilità delle banche dati in ambito pubblico, come auspicato dall’Agenzia delle entrate e dall’INPS, occorre infatti effettuare ogni utile approfondimento, anche coinvolgendo i principali SP e il Garante, per valutare l’opportunità di introdurre lo strumento della delega digitale nei confronti di professionisti e intermediari – che in ogni caso non può superare l’esigenza che gli stessi agiscano in base a un mandato – nel contesto del vigente sistema di autorizzazioni e controlli, e, se del caso, individuare le misure di garanzia che dovrebbero essere adottate.

7. La delega generale

7.1. Con riferimento all’art. 6, commi 16 e 17, dello schema, si rileva che i provvedimenti che attribuiscono i poteri di rappresentanza in capo a tutori, curatori e, soprattutto, amministratori di sostegno (i quali, in base al provvedimento del giudice potrebbero anche essere autorizzati a compiere solo specifici atti in nome e per conto del soggetto tutelato), potrebbero richiedere la delimitazione dell’ambito di operatività della delega a determinati SP o servizi. Al riguardo, infatti, come anche osservato dall’Agenzia delle entrate, “potrebbe non essere agevole la concreta riconducibilità dei singoli servizi nell’alveo dei poteri compresi nello specifico atto di conferimento dell’incarico, in particolare per quanto concerne la figura dell’amministratore di sostegno”.

Occorre, pertanto, che, nello schema in esame, siano individuate adeguate misure volte ad assicurare la delimitazione dell’operatività della delega in conformità ai poteri attribuiti a tali soggetti individuati nei predetti provvedimenti.

7.2. Sotto altro profilo (come anche rilevato dalla medesima Agenzia delle entrate), presenta criticità la previsione che, in caso di revoca della tutela, della curatela o dell’amministrazione di sostegno (ovvero di rimozione o sostituzione dei predetti soggetti), nonché di eventuale decadenza o sospensione della responsabilità genitoriale, la delega generale rimanga attiva sino a quando chiunque ne ha interesse ne chieda l’annullamento (cfr. art. 8, commi 5 e 7, dello schema); al riguardo si evidenzia, peraltro, che all’art. 8, comma 5, lett. b), e comma 7, lett. b), gli sportelli presso cui presentare la richiesta di annullamento della delega generale non sono quelli dei SP (come riportato nel testo), bensì quelli dei soggetti di cui all’art. 2, comma 2, del CAD.

Si rileva, infatti, che tale previsione, in assenza di adeguate misure, potrebbe consentire a soggetti privi di potere di rappresentanza/assistenza di effettuare accessi abusivi o non autorizzati ai servizi, in violazione del principio di integrità e riservatezza (art. 5, par. 1, lett. f), del Regolamento), oltre che del principio di esattezza (art. 5, par. 1, lett. d), del Regolamento) con riferimento alla qualità rivestita dai predetti soggetti.

Al fine di rispettare tali principi, occorre, pertanto, che siano introdotte, nello schema di decreto, misure tecniche e organizzative adeguate a mitigare i citati rischi.

7.3. Si osserva, inoltre, che, nell’individuare i soggetti delegabili mediante delega generale, i medesimi commi 16 e 17 dell’art. 6 dello schema, da una parte, includono anche il tutore, il curatore e l’amministratore di sostegno, mentre, dall’altra parte, non includono coloro che hanno i poteri di operare, nei confronti del SP, in nome e per conto dell’interessato sulla base di procura notarile, che può essere generale.

Pertanto, come anche auspicato dall’Agenzia delle entrate, si invita a valutare la possibilità di estendere l’ambito di applicabilità della delega generale anche a coloro che operano sulla base di una procura generale.

7.4. In base all’art. 6, commi 18 e 19, dello schema di decreto, la delega generale può essere attivata anche dall’esercente la responsabilità genitoriale, in rappresentanza del minore posto sotto la sua tutela.

Fermo restando che in tal caso (come anche nel caso di tutori, curatori o amministratori di sostegno) risulta improprio fare riferimento alla figura della “delega”, come già rilevato dal Garante nel parere reso sullo schema di Linee guida operative per la fruizione dei servizi SPID da parte dei minori (provv. n. 36 del 2 febbraio 2022, reperibile su www.garanteprivacy.it, doc web n. 9744322). La disciplina civilistica è piuttosto rigorosa nel limitare la capacità di agire del minore, a sua tutela (cfr. artt. 316 e ss. c.c.), in quanto prevede che “i genitori congiuntamente, o quello di essi che esercita in via esclusiva la responsabilità genitoriale, rappresentano i figli nati e nascituri, fino alla maggiore età o all’emancipazione, in tutti gli atti civili e ne amministrano i beni. Gli atti di ordinaria amministrazione, esclusi i contratti con i quali si concedono o si acquistano diritti personali di godimento, possono essere compiuti disgiuntamente da ciascun genitore” (art. 320, comma 1, c.c.). Da ciò consegue che, anche nell’ambito dell’accesso ai servizi offerti dalle pubbliche amministrazioni, siano i genitori, di regola, a porre in essere tutti gli atti per conto e nell’interesse dei minori posti sotto la loro tutela. In proposito, il succitato provvedimento del Garante individua, con riferimento al rilascio e all’utilizzo di SPID da parte di minori, una serie di misure volte a fornire le necessarie garanzie a tutela di tale categoria di soggetti vulnerabili.

Ciò premesso, non risultano chiare quali siano, in attuazione dello schema di decreto in esame, le tipologie di servizi per le quali può trovare operatività la “delega generale” attribuita all’esercente la responsabilità genitoriale. Infatti, fermo restando che l’attributo di esercente la responsabilità genitoriale dovrebbe essere effettuato presso l’ANPR garantendo l’esattezza dell’informazione, vi potrebbero essere tipologie di servizi online a cui: a) i minori possono accedere direttamente attraverso SPID minori, e quindi anche i genitori attraverso la predetta “delega generale”; b) solo i genitori possono accedere operando in qualità di esercenti la responsabilità genitoriale esclusivamente attraverso la predetta “delega generale”; c) solo i genitori possono accedere operando in qualità di esercenti la responsabilità genitoriale attraverso la propria identità digitale.

Si invita, pertanto, a fornire utili chiarimenti al riguardo, specificando i casi d’uso di tali ambiti di operatività della “delega generale”, chiarimenti che si renderanno necessari anche nei confronti dei SP al fine di assicurare una corretta configurazione dei servizi online e della relativa interfaccia con il SGD.

8. Ruoli e responsabilità dei soggetti coinvolti nel trattamento

8.1. L’art. 64-ter del CAD stabilisce espressamente che l’istituzione del SGD è affidata alla responsabilità della struttura della Presidenza del Consiglio dei Ministri competente per l'innovazione tecnologica e la transizione digitale (comma 1), e che, per la sua realizzazione, gestione e manutenzione, nonché per l'erogazione del servizio, tale struttura si avvale dell'Istituto Poligrafico e Zecca dello Stato S.p.A. (di seguito, IPZS), sulla base di rapporti regolati con apposita convenzione anche ai sensi dell'art. 28 del Regolamento (comma 5). L’art. 64-ter del CAD, poi, sancisce espressamente che la struttura della Presidenza del Consiglio dei Ministri competente per l'innovazione tecnologica e la transizione digitale è il titolare del trattamento dei dati personali, ferme restando, ai sensi dell'art. 28 del Regolamento, le specifiche responsabilità spettanti, tra gli altri, all'IPZS (comma 6).

Al riguardo, lo schema di decreto in esame individua il gestore nel soggetto che, ai sensi dell’art. 64-ter, comma 5, del CAD, cura la realizzazione, la gestione e la manutenzione del SGD, nonché l’erogazione del relativo servizio (art. 1, comma 1, lett. l)), affidandogli il ruolo di titolare del trattamento con riferimento ai trattamenti di dati personali effettuati per l’accesso al SGD da parte dei delegati e dei deleganti, per l’adesione al SGD da parte dei SP e per la gestione di ogni attività strumentale all’utilizzo dello stesso SGD (art. 10, comma 2).

A fronte di apposita richiesta di chiarimenti, nella nota del 28 gennaio 2022 la Presidenza del Consiglio dei Ministri ha precisato che “l’Istituto Poligrafico e Zecca dello Stato S.p.A. (IPZS) è - in virtù del combinato disposto dell’articolo 64-ter, comma 5, del CAD - il gestore del Sistema di gestione deleghe (SGD) di cui al citato art. 64-ter”.

Si rileva, pertanto, che tale inquadramento non risulta in linea con l’attribuzione dei ruoli esplicitamente effettuata dal legislatore nel richiamato art. 64-ter del CAD, per cui, con riferimento ai trattamenti di dati personali effettuati nell’ambito della realizzazione, gestione e manutenzione del SGD, si ritiene necessario che lo schema di decreto sia corretto nel senso di individuare il titolare del trattamento nella struttura della Presidenza del Consiglio dei Ministri competente per l'innovazione tecnologica e la transizione digitale, e di individuare il responsabile del trattamento nell'Istituto Poligrafico e Zecca dello Stato S.p.A., prevedendo altresì che i rapporti tra titolare e responsabile siano conformi a quanto prescritto dall’art. 28 del Regolamento e definendo le specifiche responsabilità, anche sul piano del rispetto degli obblighi in materia di sicurezza, in capo a ciascun soggetto.

8.2. Lo schema di decreto, nell’individuare i soggetti di cui all’art. 2, comma 2, del CAD quali responsabili del trattamento nelle ipotesi di richiesta di conferimento della delega presso i propri sportelli, attribuisce ai medesimi soggetti il ruolo di titolari del trattamento nell’ipotesi di conservazione della documentazione presentata (art. 11, comma 3, che richiama l’art. 12, comma 1, lett. l)).

A tal proposito, occorre rilevare che, in base alla disciplina in materia di protezione dei dati personali, al fine dell’effettuazione di un trattamento per suo conto, il responsabile del trattamento è autorizzato a trattare i dati personali messigli a disposizione dal titolare sulla base dell’art. 28 del Regolamento, ai sensi del quale il responsabile deve peraltro seguire le istruzioni impartite dal titolare stesso, nonché sottostare alla sua vigilanza; conseguentemente, a tale responsabile non è consentito introdurre ulteriori autonomi trattamenti (in qualità di titolare), utilizzando i dati personali trattati per conto del titolare.

Ciò è esplicato anche nelle Linee guida 07/2020 sul concetto di titolare e responsabile nel Regolamento, approvate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, dove si specifica che agire “per conto di” significa che il responsabile non può effettuare un trattamento per proprie finalità: l’art. 28, par. 10, del Regolamento stabilisce che il responsabile viola il medesimo Regolamento se va oltre le istruzioni fornite dal titolare ai sensi del par. 3, lett. a), e inizia a definire proprie finalità e mezzi del trattamento; in quel caso, il responsabile sarà trattato come titolare, rispetto a quel trattamento, e soggetto a sanzione per aver oltrepassato le istruzioni del titolare (par. 81).

Nel caso di specie, ciò significa che l’ulteriore trattamento da parte del responsabile, come ad esempio quello consistente nella conservazione, sarebbe comunque operazione che lo stesso responsabile deve compiere in nome e per conto del titolare, tenendolo informato e seguendone le relative istruzioni, per cui tale trattamento deve essere comunque riconducibile al titolare.

Infine, l’art. 28, par. 3, lett. g), del Regolamento stabilisce che, al termine della prestazione, il responsabile è tenuto a cancellare o a restituirgli (a scelta del titolare) i dati trattati per suo conto, salvo i casi in cui un’ulteriore conservazione sia prevista da una specifica norma che comunque è rivolta ai dati che il responsabile è autorizzato a trattare per conto del titolare.
Pertanto, in ragione di quanto suesposto, si ritiene necessario espungere dall’art. 11, comma 3, dello schema di decreto le parole “mentre agiscono come titolare del trattamento nell’ipotesi prevista dall’articolo 12, comma 1, lettera l)”.

8.3. Gli artt. 12 e 13 dello schema individuano i compiti specifici, rispettivamente, degli operatori di sportello e degli operatori di backoffice.

Al riguardo, si ritiene che, al fine di una corretta imputazione dei ruoli e delle responsabilità circa le operazioni di trattamento effettuate, tali disposizioni debbano essere rivolte non alle persone fisiche autorizzate – le quali, peraltro, devono essere debitamente istruite ai sensi degli artt. 29 del Regolamento e 2-quaterdecies del Codice – bensì agli enti a cui tali persone fisiche fanno riferimento, e cioè: i soggetti di cui all’art. 2, comma 2, del CAD, in relazione agli operatori di sportello; il gestore, in relazione agli operatori di backoffice.

9. I dati trattati e accessibilità

9.1. L’art. 10, comma 1, dello schema di decreto indica i dati personali oggetto di trattamento nell’ambito di operatività del SGD.

Al riguardo, in ossequio ai principi di minimizzazione dei dati e di privacy by design e by default (artt. 5, par. 1, lett. c), e 25 del Regolamento), si ritiene opportuno:

i. chiarire le finalità per le quali si ritiene necessario trattare l’ID ANPR di delegati e deleganti (art. 10, comma 1, lett. a), dello schema) ovvero, qualora ritenuto non necessario, espungere tale dato;

ii. considerato che come indirizzo di contatto viene definito l’indirizzo email, il domicilio digitale ovvero un recapito telefonico mobile (art. 1, comma 1, lett. n)), posto che l’indirizzo di posta elettronica dei delegati e dei deleganti (art. 10, comma 1, lett. b)) può essere trattato solamente ove comunicato, precisare che deve essere oggetto di trattamento almeno uno degli indirizzi di contatto tra quelli indicati alle lett. b), c) e d);

iii. chiarire se la conservazione dell’evidenza informatica attestante l’avvenuta autenticazione mediante SPID o CIE del delegato e del delegante (lett. e) e f)) viene effettuata secondo il termine decennale di cui all’art. 9, comma 1, ovvero per il termine di 24 mesi già ordinariamente previsto dalla disciplina sullo SPID;

iv. precisare che le informazioni circa la condizione di soggetto sottoposto a tutela, curatela o amministrazione di sostegno (lett. g)) possono appartenere alle categorie particolari di dati personali di cui all’art. 9 del Regolamento.

9.2. L’art. 9, comma 3, dello schema prevede che il gestore garantisca l’accesso ai documenti conservati al delegante e al delegato interessati, inclusi i loro eventuali delegati.

Al riguardo, si ritiene necessario chiarire che l’accesso da parte del delegato può concernere esclusivamente dati e documenti riferiti alle deleghe dallo stesso ricevute, con esclusione, quindi, di dati e documenti riferiti alle deleghe che il medesimo delegante ha conferito ad altri soggetti; ciò, al fine di scongiurare che si verifichi una comunicazione di dati personali di terzi.

Inoltre, si ritiene necessario espungere le parole “inclusi loro eventuali delegati”, in quanto consentire l’accesso alle informazioni sulle deleghe mediante ulteriore delega – che, nel caso dei delegati, può addirittura coinvolgere un terzo sub-delegato – aumenta sensibilmente i rischi di accessi abusivi o non autorizzati, espropriando così gli interessati (delegante e delegato) del potere di controllo sui propri dati personali trattati nell’ambito dell’esercizio della delega, e, dunque, intaccando l’integrità e la riservatezza dei medesimi dati (art. 5, par. 1, lett. f), del Regolamento).

10. La sicurezza dei dati e del trattamento

Al fine di assicurare il rispetto degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento, anche nel disciplinare più ampiamente gli obblighi in materia di sicurezza gravanti sul gestore (cfr. par. 4.1 del presente provvedimento), si ritiene necessario effettuare anche i seguenti interventi sullo schema di decreto:

i. individuare modalità di verifica degli indirizzi di contatto del delegante e del delegato, al fine di garantire che gli stessi siano sotto l’effettivo controllo di tali soggetti, con particolare riferimento al caso in cui è il delegato a presentare la richiesta di conferimento della delega (ad esempio, quello previsto dall’art. 6, comma 2, lett. e), dello schema);

ii. individuare correttamente le responsabilità in relazione all’adozione delle misure tecniche e organizzative (art. 14 dello schema), attribuendo tale onere in capo al gestore con riferimento alla protezione della riservatezza delle informazioni in transito da e verso il portale (comma 1, lett. g)), nonché chiarendo che le misure di protezione connesse alla gestione e memorizzazione dei dati sono riferibili ai sistemi sotto il controllo del SP (comma 1, lett. d) e j));

iii. attribuire anche al gestore, oltre che agli SP (come attualmente previsto dall’art. 11, comma 6), il compito di conservare l’evidenza dell’utilizzo delle deleghe, al fine di consentire il controllo e le verifiche circa il loro corretto utilizzo, al pari dell’analogo obbligo gravante sugli identity provider (di seguito, IdP) nel sistema SPID, anche considerato che, in base alle linee guida contenenti regole tecniche dei gestori di attributi qualificati (la cui adozione spetta all’Agenzia per l’Italia digitale), il gestore rivestirà il ruolo di attribute authority, con i connessi obblighi di assicurare adeguatamente l’integrità e la riservatezza dei dati, nonché la trasparenza nei confronti dei deleganti anche mediante la messa a disposizione di un apposito servizio di consultazione;

iv. implementare meccanismi di informazione tempestiva reciproca tra il gestore e gli altri titolari del trattamento coinvolti (come SP e IdP), in caso di violazioni di sicurezza o di qualsiasi minaccia che, nell’ambito del complessivo utilizzo del SGD, comporti un rischio per la sicurezza e per i diritti e le libertà degli interessati, anche al fine di agevolare l’adempimento degli obblighi di cui agli artt. 33 e 34 del Regolamento (al riguardo, cfr. l’analoga misura descritta nel parere reso dal Garante sullo schema di Linee Guida sull’infrastruttura tecnologica della Piattaforma Digitale Nazionale Dati per l’interoperabilità dei sistemi informativi e delle basi di dati, con provv. n. 433 del 16 dicembre 2021, doc web n. 9732758).

RITENUTO

Alla luce di quanto sopra osservato, al fine di assicurare il pieno rispetto dei diritti e delle libertà fondamentali degli interessati, anche nell’ambito dell’assetto di garanzie posto a presidio della sicurezza delle banche dati pubbliche e delle informazioni ivi detenute, si ritiene che lo schema di decreto in esame debba essere modificato sulla base delle condizioni e osservazioni, descritte e motivate nei paragrafi da 3 a 10 restando impregiudicata l’esigenza preliminare che le disposizioni attuative dell’art. 64-ter del Codice dell’amministrazione digitale siano in ogni caso rese compatibili con il sistema delle deleghe già disciplinato da norme generali e settoriali dell’Ordinamento.

Inoltre, in considerazione dei rischi elevati che caratterizzano i trattamenti disciplinati dallo schema in esame, che, allo stato, non risultano essere mitigati adeguatamente dalle misure ivi individuate, si ritiene necessario riservarsi di valutare il complesso delle garanzie che saranno adottate nell’ambito dell’esame della valutazione d’impatto che verrà predisposta e sottoposta al Garante dal titolare del trattamento, ai sensi dell’art. 11, comma 8, dello schema medesimo.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime, nei termini di cui in motivazione, il richiesto parere sullo schema di decreto del Presidente del Consiglio dei Ministri in materia di “Sistema di gestione deleghe”, da adottare ai sensi dell’art. 64-ter, comma 7, del d.lgs. 82/2005, con le seguenti condizioni:

a) verificare la compatibilità del sistema delle deleghe semplici e deleghe generali con gli istituti già disciplinati dall’Ordinamento in tema di rappresentanza anche in relazione al quadro di responsabilità e garanzie a tutela dei soggetti a vario titolo coinvolti (cfr. par. 3.1);

b)  aggiungere la possibilità di accedere al SGD e utilizzare tale sistema anche tramite la CNS (cfr. par. 3.1);

c) sottoporre al Garante la valutazione d’impatto redatta dal gestore (cfr. par. 3.2);

d) prevedere che il delegante debba individuare in modo puntuale i SP e i servizi online o le classi di servizi per i quali intende conferire la delega digitale, espungendo la possibilità di rilasciarla per tutti i servizi erogati da tutti i SP (cfr. par. 4);

e) prevedere che i SP individuino, e dimostrino di aver attentamente valutato, i servizi online che possono essere resi accessibili mediante le diverse tipologie di delega digitale del SGD, tenendo conto del contesto, delle finalità, dei rischi sottesi al trattamento e delle conseguenze giuridiche per gli interessati, nonché dei limiti eventualmente previsti dalle specifiche normative di settore (cfr. par. 4);

f) limitare la delega conferita con la modalità di cui all’art. 6, comma 2, lett. e), dello schema solamente in relazione a quei servizi online che consentono la presentazione di istanze e dichiarazioni alle pubbliche amministrazioni per via telematica, ai sensi dell’art. 65, comma 1, del CAD, ovvero, in caso di erogazione di altri servizi, prevedere altresì la richiesta di ulteriori elementi di riscontro per la verifica della delega (cfr. par. 5.1);

g) applicare la limitazione di cui alla lett. e) del presente dispositivo anche nel caso della delega semplice di cui all’art. 6, comma 6, dello schema (cfr. par. 5.2);

h) espungere la possibilità di conferire la delega semplice a professionisti iscritti a ordini, albi o collegi e alle persone giuridiche dotate di specifiche autorizzazioni previste dalla legge quando tali soggetti ricevono la delega relativamente a servizi rientranti nell’ambito dell’attività svolta professionalmente o istituzionalmente (cfr. par. 6);

i) individuare adeguate misure volte ad assicurare la delimitazione dell’operatività della delega in conformità ai poteri attribuiti a tutori, curatori e amministratori di sostegno (cfr. par. 7.1);

j) introdurre misure tecniche e organizzative adeguate a mitigare i rischi di accessi abusivi o non autorizzati ai servizi in caso di revoca della tutela, della curatela o dell’amministrazione di sostegno (ovvero di rimozione o sostituzione dei predetti soggetti), nonché di eventuale decadenza o sospensione della responsabilità genitoriale (cfr. par. 7.2);

k) individuare il titolare del trattamento nella struttura della Presidenza del Consiglio dei Ministri competente per l'innovazione tecnologica e la transizione digitale e il responsabile del trattamento nell'Istituto Poligrafico e Zecca dello Stato S.p.A., prevedendo altresì che i rapporti tra titolare e responsabile siano conformi a quanto prescritto dall’art. 28 del Regolamento e definendo le specifiche responsabilità, anche sul piano del rispetto degli obblighi in materia di sicurezza, in capo a ciascun soggetto (cfr. par. 8.1);

l) espungere dall’art. 11, comma 3, dello schema le parole “mentre agiscono come titolare del trattamento nell’ipotesi prevista dall’articolo 12, comma 1, lettera l)” (cfr. par. 8.2);

m) riferire i ruoli e le responsabilità indicate agli artt. 12 e 13 dello schema agli enti a cui le persone fisiche autorizzate fanno capo (cfr. par. 8.3);

n) con riferimento all’art. 9, comma 3, dello schema, chiarire che l’accesso da parte del delegato può concernere esclusivamente dati e documenti riferiti alle deleghe dallo stesso ricevute, con esclusione, quindi, di dati e documenti riferiti alle deleghe che il medesimo delegante ha conferito ad altri soggetti (cfr. par. 9.2);

o) individuare modalità di verifica degli indirizzi di contatto del delegante e del delegato, con particolare riferimento al caso in cui è il delegato a presentare la richiesta di conferimento della delega (cfr. par. 10);

p) individuare correttamente le responsabilità in relazione all’adozione delle misure tecniche e organizzative da parte del gestore e dei SP (cfr. par. 10);

q) attribuire anche al gestore, oltre che agli SP, il compito di conservare l’evidenza dell’utilizzo delle deleghe (cfr. par. 10);

r) implementare meccanismi di informazione tempestiva e reciproca tra il gestore e gli altri titolari del trattamento coinvolti, in caso di violazioni di sicurezza o di qualsiasi minaccia che, nell’ambito del complessivo utilizzo del SGD, comporti un rischio per la sicurezza e per i diritti e le libertà degli interessati (cfr. par. 10);
e con le seguenti osservazioni:

s) valutare l’esclusione dalla possibilità di accesso, mediante delega digitale operante nell’ambito del SGD, delle tipologie di servizi che non risultano compatibili (cfr. par. 4);

t) richiedere un’attestazione sanitaria con un formato standard rilasciabile solo dal medico di medicina generale dell’interessato (cfr. par. 5.2);

u) valutare i rischi connessi alla possibilità che un delegante conferisca una delega semplice a più delegati rispetto ai medesimi SP e/o servizi e, conseguentemente, disciplinarne l’ammissibilità, i presupposti e le relative garanzie (cfr. par. 5.3);

v) valutare la possibilità di estendere l’ambito di applicabilità della delega generale anche a coloro operano sulla base di una procura generale (cfr. par. 7.3);

w) fornire utili chiarimenti, necessari anche nei confronti dei SP al fine di assicurare una corretta configurazione dei servizi online e della relativa interfaccia con il SGD, in merito all’attivazione della delega generale da parte dell’esercente la responsabilità genitoriale, in rappresentanza del minore posto sotto la sua tutela, specificando i casi d’uso di tali ambiti di operatività della “delega generale” (cfr. par. 7.4);

x) con riferimento all’art. 10, comma 1, dello schema (cfr. par. 9.1):
w.1) chiarire le finalità per le quali si ritiene necessario trattare l’ID ANPR (lett. a)) di delegati e deleganti, ovvero, qualora ritenuto non necessario, espungere tale dato;

w.2) precisare che deve essere oggetto di trattamento almeno uno degli indirizzi di contatto tra quelli indicati alle lett. b), c) e d);

w.3) chiarire se la conservazione dell’evidenza informatica attestante l’avvenuta autenticazione mediante SPID o CIE del delegato e del delegante (lett. e) e f)) viene effettuata secondo il termine decennale di cui all’art. 9, comma 1, ovvero per il termine di 24 mesi già ordinariamente previsto dalla disciplina sullo SPID;

w.4) precisare che le informazioni circa la condizione di soggetto sottoposto a tutela, curatela o amministrazione di sostegno (lett. g)) possono appartenere alle categorie particolari di dati personali di cui all’art. 9 del Regolamento.

Roma, 24 febbraio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi

Scheda

Doc-Web
9752853
Data
24/02/22

Tipologie

Parere del Garante