Dalla Newsletter del Garante Privacy n. 174 del 9 – 15 giugno 2003
A) E-government: il punto dei Garanti europei
I Garanti europei hanno analizzato, con un documento in corso di pubblicazione, la situazione corrente e le prospettive di sviluppo in tema di e-government, sottolineandone le implicazioni in chiave di protezione dei dati personali e richiamando l’attenzione sui possibili rischi del mancato coordinamento fra governi nazionali e autorità di protezione dati.
Il documento dei Garanti prende spunto dalle indicazioni del piano di azione “e-Europe” approvato nel giugno 2000 durante il Consiglio europeo di Feira, in Portogallo. In esso lo sviluppo di forme di e-government era citato fra le priorità di intervento dei governi europei, e si forniva anche una lista di 20 procedure che nei prossimi anni dovranno essere disponibili on-line: dalla creazione di “portali” unificati di accesso alla pubblica amministrazione, alla possibilità di effettuare pagamenti online o ottenere certificati e copie di documenti ufficiali, fino all’introduzione di veri e propri “documenti di identità elettronici”.
Attraverso un questionario diffuso fra tutte le autorità nazionali di protezione dati, si è cercato di capire quale fosse lo stato dell’arte in Europa, quali di queste iniziative fossero già state realizzate o fossero in via di realizzazione, e quali fossero i principali problemi evidenziati dalle autorità nazionali – non sempre consultate così come previsto dalla legislazione interna.
– Un primo punto da sottolineare è proprio l’attenzione non sempre elevata che i governi dei 15 sembrano prestare al tema della protezione dei dati in questo contesto. Per quanto l’obbligo di consultare l’autorità competente sia previsto per legge nella quasi totalità dei Paesi UE (in Italia dall’art. 31 della Legge 675/96), la consultazione non appare sistematica. In vari Paesi si è verificato, infatti, che alcune iniziative di e-government siano state attuate senza avere sentito l’autorità nazionale per la protezione dei dati. Tuttavia, il bilancio tratto è sostanzialmente positivo: attraverso consultazioni pubbliche (come in Francia o nel Regno Unito), procedimenti formali (a livello parlamentare, come in Italia), lettere aperte o altro, su molti temi connessi all’e-government i garanti europei hanno potuto far sentire la propria voce.
– Un altro punto fermo è l’esistenza di un grande numero di progetti in via di realizzazione in tutti i Paesi UE, molti dei quali hanno implicazioni significative sui trattamenti di dati personali dei cittadini: citiamo, in particolare, la possibilità di presentare dichiarazioni dei redditi online e di effettuare pagamenti specifici (IVA), notificare cambiamenti di residenza, consultare offerte di lavoro, e tutta una serie di servizi (prestiti bibliotecari, rilascio di permessi edilizi o certificati anagrafici, esami universitari, rimborsi di spese sanitarie, ecc.).
In questi casi le autorità consultate hanno sottolineato, naturalmente, l’esigenza di specifiche misure di sicurezza (identificazione e autenticazione, cifratura dei dati trasmessi) e di un’adeguata informazione dei cittadini – in particolare, rispetto ai diritti riconosciuti dalla direttiva e dalle leggi nazionali (accesso, rettifica, cancellazione).
B) I portali della pubblica amministrazione
Nella maggioranza dei Paesi UE sono già disponibili (o lo saranno presto) veri e propri portali della pubblica amministrazione, ossia punti di accesso unici dai quali è possibile raggiungere più amministrazioni (centrali o periferiche) e, in alcuni casi, ottenere vari servizi (secondo il modello dello “sportello unico”).
Ciò comporta l’esigenza di raccogliere e conservare dati personali, e nei Paesi ove queste iniziative sono in fase più avanzata (ad esempio, nei Paesi Bassi) l’autorità per la privacy ha richiamato l’attenzione sull’esigenza di specificare chiaramente compiti e responsabilità delle singole amministrazioni che accedono al portale, e di garantire idonee misure di sicurezza.
Un’altra questione rilevante riguarda la possibilità di servirsi di soggetti privati per la gestione di alcune di queste procedure amministrative.
Sul tema le opinioni divergono: alcuni Paesi, fra cui l’Italia, non ritengono possibile che soggetti privati accedano ai dati personali dei cittadini che si rivolgono alla pubblica amministrazione (anche se in molti di tali Paesi i portali sono stati sviluppati con tecnologie messe a disposizione da soggetti privati); in altri (ad esempio in Francia o in Belgio) ciò è invece ritenuto possibile, ma i soggetti privati devono dare idonee garanzie di affidabilità soprattutto in termini di tutela della privacy dei cittadini. Ad ogni modo, i requisiti individuati da varie autorità per consentire il coinvolgimento di soggetti privati nella gestione dei portali della pubblica amministrazione comprendono la previsione di adeguate garanzie contrattuali; l’indicazione precisa dei compiti affidati; la definizione di misure di sicurezza; il divieto di utilizzare i dati per finalità diverse da quelle per cui sono stati raccolti e di comunicarli a terzi; la specificazione dei dati conservati, e l’eventuale previsione di una commissione indipendente di controllo.
C) Il problema del codice di identificazione unico
In molti paesi esiste già un “identificatore” unico utilizzato dai cittadini per i contatti con la pubblica amministrazione. Può trattarsi di un identificatore settoriale (codice fiscale italiano) oppure di un numero unico nazionale (Svezia, Finlandia).
La riflessione dei Garanti si è concentrata su due temi fondamentali:
a) il fatto che l’impiego su scala generale di identificatori originariamente settoriali necessita di adeguate garanzie (in pratica, di un fondamento di legge così come richiesto dalla direttiva 95/46). E’ il caso dell’Italia e del previsto ampliamento delle possibilità di utilizzazione del codice fiscale (va ricordato, inoltre, che, ad esempio, in Portogallo esiste un divieto costituzionale di introdurre un identificatore unico nazionale);
b) i rischi di un’interconnessione “selvaggia” fra database diversi attraverso, appunto, l’identificatore unico. Anche in questo caso devono esistere idonee garanzie legislative che vietino ai soggetti pubblici di utilizzare per finalità diverse i dati raccolti e conservati, tranne nei casi previsti specificamente dalla legge.
D) I rischi connessi all’interconnessione fra banche dati della pubblica amministrazione
Per quanto riguarda, più in generale, i rischi connessi all’interconnessione fra banche dati della pubblica amministrazione, tutte le Autorità si oppongono a forme indiscriminate di interconnessione.
Tutte hanno sottolineato che le opportunità di semplificazione e razionalizzazione offerte dallo sviluppo dell’e-government non devono tradursi in un aumento dei controlli sui cittadini.
In molti Paesi sono stati istituiti specifici gruppi di lavoro, ai quali partecipano le autorità di protezione dati per valutare esattamente questi aspetti.
Ancora una volta, i principi che devono essere fatti valere ai fini dell’interconnessione (regolamentata per legge) sono quelli della qualità dei dati (i dati personali devono essere adeguati, pertinenti, non eccedenti), della legittimità dei trattamenti, dell’informazione agli interessati e di un elevato livello di sicurezza.
Particolare interesse rivestono i risultati di uno studio condotto dal Governo del Regno Unito, che ha evidenziato come i benefici attesi dalla condivisione delle informazioni pubbliche non debbano essere considerati prevalenti sulle attese dei cittadini rispetto alla tutela della loro privacy.
E) L’attuazione della firma digitale
Piuttosto limitata risulta nei 15 Paesi europei l’esperienza legata all’attuazione della firma digitale.
Sono pochi i settori nei quali è possibile servirsi della firma digitale, per motivi di vario genere (costi elevati, assenza di norme regolamentari, complessità dei sistemi esistenti).
Ad ogni modo, tutti i Garanti hanno giudicato positivamente la firma digitale in quanto possibile ausilio per offrire una migliore tutela dell’identità personale; hanno però sottolineato che è fondamentale prevedere un’adeguata e chiara informazione degli utenti da parte dei servizi di certificazione (destinatari delle informazioni raccolte, misure di sicurezza etc.).
F) Carta di identità elettronica
Nella maggior parte dei Paesi UE esistono carte elettroniche di identità di natura settoriale, utilizzate per servizi specifici (generalmente di tipo sanitario).
In tutti questi Paesi è previsto un ampliamento dell’uso di tali carte, anche se non sempre esse serviranno ai fini dell’identificazione dei cittadini su base generalizzata.
Le autorità nazionali sono state consultate in varia misura (come sopra ricordato) rispetto a tali progetti, ed hanno segnalato alcuni aspetti problematici: definizione delle categorie di dati registrabili sulla carta, procedure da utilizzare per il trattamento di tali dati, definizione dei soggetti autorizzati ad accedere alle diverse categorie di dati, rispetto dei diritti delle persone, possibilità di utilizzare la carta elettronica per finalità commerciali (pagamenti on line, “portafogli elettronico”).
E’ interessante osservare che l’Italia risulta essere, insieme alla Finlandia, il Paese nel quale la sperimentazione di questo tipo di carta di identità è maggiormente avanzata.
(Dalla Newsletter del Garante Privacy, n. 174 del 9-15 giugno 2003)