Dettagli

La Legge 24 dicembre 2012, n. 228, recante “Disposizioni per la formazione del bilancio annuale e pluriennale dello Stato”, ha introdotto l’obbligo di deposito per via telematica degli atti processuali e dei documenti, nei procedimenti civili, contenziosi e di volontaria giurisdizione, a decorrere dal 30 giugno 2014 e, con esso, aperto la strada verso un fascicolo processuale elettronico.

Per quanto attiene al processo amministrativo, con il decreto legge n.90 del 24 giugno 2014 il legislatore si è prefisso l’obiettivo di emanare, entro 60 giorni dall’entrata in vigore della legge di conversione del decreto (Legge 11 agosto 2014, n. 114), il decreto del Presidente del Consiglio dei ministri di cui all’art. 13 dell’Allegato 2 al decreto legislativo 2 luglio 2010, n. 104 volto a dettare le regole tecnico-operative del processo amministrativo.
Ma è una norma di rango primario, ovvero il nuovo comma 2-bis dell’art. 136 del codice del processo amministrativo, a prevedere che a decorrere dal 1° gennaio 2015 “tutti gli atti e i provvedimenti del giudice, dei suoi ausiliari, del personale degli uffici giudiziari e delle parti sono sottoscritti con firma digitale”.
Una ulteriore proroga al 1° luglio 2015 è stata quindi concessa con il decreto-legge 31 dicembre 2014, n. 19, convertito in legge 27 febbraio 2015, n. 11.
Tanto il progetto del processo amministrativo digitale (PAD) quanto quello del processo civile telematico (PCT) fanno parte, in senso lato, del processo di digitalizzazione della pubblica amministrazione e della giustizia, e hanno come obiettivo principale quello di trasformare il processo, tradizionalmente condotto attraverso strumenti e supporti cartacei (o “analogici”) attraverso l’introduzione di un sistema gradualmente proiettato verso una gestione digitale delle procedure. Tutti i soggetti coinvolti nel processo civile (avvocati, magistrati, cancellieri, consulenti, ecc..) avranno quindi l’obbligo, nell’espletare le proprie attività processuali, di avvalersi di strumenti telematici in formato digitale.
Questa rivoluzione digitale del processo ha portato, e porterà, ad un inevitabile cambiamento nella gestione dei dati e dei fascicoli dello studio legale anche con riguardo, nel prossimo futuro, al processo amministrativo digitale. L’obbligo di deposito telematico richiede, quantomeno, che il professionista sia dotato di postazioni informatiche con accesso alle infrastrutture ministeriali dedicate al PAD, sia munito di un dispositivo per l’apposizione della propria firma digitale e sia dotato di una casella di posta elettronica certificata.
Appare evidente, quindi, che le procedure introdotte con il PCT e che, crediamo, saranno presto introdotte anche nel PAD, obbligano i professionisti, nell’ambito della propria attività professionale di assistenza legale, a trattare i dati personali, giudiziari (e talvolta anche sensibili) dei propri clienti, attraverso strumenti elettronici.
A questo proposito, il Codice Privacy, all’art. 33-36, prevede alcuni adempimenti minimi che ciascun titolare del trattamento (e quindi ciascun avvocato) deve rispettare affinché possa ritenersi lecito il trattamento effettuato con gli strumenti elettronici. All’art. 34 del Codice, inoltre, vengono richiamate le regole previste nell’allegato B) dello stesso Codice, il quale contiene le modalità di applicazione delle misure minime di sicurezza. Le misure minime di sicurezza sono le misure tecniche, informatiche, organizzative e logistiche atte a garantire un livello minimo di sicurezza e a proteggere i sistemi dai rischi di perdita, distruzione e accesso non autorizzato ai dati stessi.

Autenticazione informatica e accesso ai sistemi.
In primo luogo, è necessario introdurre un sistema di autenticazione informatica. Pertanto, l’accesso alle risorse informatiche deve essere protetto da un sistema di identificazione mediante credenziali di autenticazione (parole chiave), le quali devono essere mantenute segrete da parte dell’utilizzatore. Qualora all’interno dello studio legale siano presenti più soggetti, incaricati al trattamento, a questi dovranno essere impartite precise istruzioni circa le cautele necessarie per assicurare la segretezza delle credenziali loro assegnate e la diligente custodia dei dispositivi in uso.

Sistema di autorizzazione.
Quando vi sono più soggetti incaricati, ciascuno per un diverso ambito di competenza, ad essi è assegnato un profilo di autorizzazione al fine di limitare loro l’accesso alle sole aree del sistema contenenti i dati necessari ad effettuare le operazioni di trattamento. In tal modo, gli incaricati (che possono essere collaboratori di studio, segretarie, praticanti) possono accedere e conoscere solamente i dati necessari allo svolgimento delle operazioni per le quali sono stati autorizzati. Il sistema di autorizzazione deve essere periodicamente verificato ed aggiornato e, almeno una volta all’anno, devono essere aggiornate anche le liste degli incaricati e degli addetti alla gestione e manutenzione degli strumenti elettronici.

Protezione dei dati dal rischio di intrusione e danneggiamento.
La disciplina prevede un aggiornamento almeno semestrale dei programmi dedicati alla protezione dei sistemi. Tali software sono gli antivirus e i firewall (o porta tagliafuoco), i quali però, al fine di garantire una reale protezione, devono necessariamente essere aggiornati quotidianamente. Inoltre, è necessario disporre di un sistema operativo costantemente aggiornato, per prevenire l’insorgere di eventuali errori del sistema, di incompatibilità con le periferiche e con gli altri programmi installati nella macchina.

Copie di sicurezza e ripristino della disponibilità dei dati e dei sistemi.
Al fine di prevenire la perdita totale dei dati, in ogni studio legale deve essere predisposto un sistema di backup, ovvero di salvataggio automatico in supporti diversi (e custoditi in luoghi sicuri), dei dati presenti nel sistema. In questo modo è possibile garantire il recupero e la continuità delle operazioni qualora i dati non siano più reperibili all’interno del sistema.

Ulteriori misure.
Gli adempimenti esaminati finora si applicano al trattamento dei dati in generale, quando questo è effettuato attraverso strumenti elettronici. Sono previste anche delle regole specifiche da adottare in caso di trattamento di dati sensibili o giudiziari. A tal proposito, attraverso l’adozione di misure tecniche e organizzative, è necessario custodire adeguatamente i supporti rimovibili contenenti i dati, al fine di evitare accessi non autorizzati e trattamenti non consentiti. Ulteriori cautele sono richieste nel caso di riutilizzo dei supporti; deve essere assicurata la distruzione o la inutilizzabilità dei dati contenuti nei supporti di memoria, qualora questi debbano essere riutilizzati da soggetti non autorizzati al trattamento dei dati stessi. Infine, in caso di danneggiamento dei dati o degli strumenti elettronici, deve essere garantito il ripristino dell’operatività in tempi brevi, non superiori a sette giorni.

Le misure minime di sicurezza dettate, rappresentano le misure di base che è necessario adottare per garantire sicurezza e liceità del trattamento e non incorrere in responsabilità penale e amministrativa (ai sensi dell’art. 169 del Codice Privacy). Tuttavia, è evidente che esse non sono sufficienti a garantire una reale protezione dei sistemi e, inoltre, il loro rispetto non libera il titolare da ogni responsabilità. Infatti, all’art. 31 del Codice è previsto che i dati siano custoditi e controllati anche “in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”. Quando il mancato rispetto delle presenti misure idonee causa danni a terzi, il titolare del trattamento è tenuto al risarcimento del danno, ai sensi dell’art. 2050 del codice civile.
Alla luce di quanto detto, con il processo amministrativo digitale si apre una nuova fase nella quale assume sempre più importanza l’adozione di corrette misure tecniche-informatiche e di idonei criteri di gestione e organizzazione delle attività dello studio professionale, nel rispetto delle regole poste a tutela dei dati personali dei clienti e della sicurezza informatica.

TUTELA DELLA PRIVACY

A fronte di una pubblica amministrazione che sempre più assorbe al suo interno, quasi come elemento consustanziale, la connotazione di digitale, a seguito dell’emanazione del Codice dell’Amministrazione Digitale (CAD) (d.Lgs. 7 marzo 2005, n. 82), si pone la necessità di mantenere e, se possibile, aumentare e migliorare gli standards di tutela della privacy riconosciuti dal Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196).
Se si intende gradualmente trasferire l’intera attività amministrativa dal sistema tradizionale cartaceo a quello digitale, con tutte le intuitive conseguenze che questo comporta in termini di rapidità, efficienza ed economicità della pubblica amministrazione, occorre, però, garantire anche la sussistenza di un’autentica democrazia elettronica.
La tutela della privacy riveste un’importanza fondamentale, tanto che l’art. 2, co. 5, del d.lgs. n. 82/2005 significativamente rinvia, in materia, all’integrale applicazione del Codice sulla privacy.
L’analisi della pubblica amministrazione e dei profondi mutamenti che sta vivendo l’agere amministrativo, in altre parole, abbraccia il cruciale tema della protezione dei dati personali, in relazione al quale occorre svolgere alcune considerazioni preliminari sul significato del termine privacy sull’evoluzione storica e normativa che ha riguardato questa materia:
La nozione moderna di privacy è nata negli Stati Uniti sul finire del 19° sec. con il famoso caso Warren-Brandeis (cfr. il saggio The Right , in Harvard L.Rev., 1890), per rispondere all’esigenza fondamentale che «si possa stare nel mondo, decidere se essere soli o in compagnia, giocare con i nostri fatti più privati, poter fare liberamente le nostre scelte senza pagare il prezzo di ingiustificate stigmatizzazioni sociali».
La privacy, dunque, deve essere intesa, innanzitutto, come diritto di essere lasciati in pace (c.d. diritto all’oblio) e a non subire discriminazioni di alcun genere a causa, ad esempio, delle proprie convinzioni politiche o religiose.
Ma tale definizione non è esaustiva, poiché il termine presenta due ulteriori e fondamentali significati che occorre subito mettere nella debita luce.
La privacy, infatti, è (e deve essere) anche il diritto di ciascuno alla protezione ed al controllo dei propri dati personali e della circolazione dei medesimi, essendo evidente che i sempre più numerosi soggetti pubblici e privati che detengono e trattano i nostri dati personali per poterci offrire i beni e i servizi di cui abbiamo bisogno, tanto più nella attuale c.d. società dell’informazione, devono garantire la sicurezza di tali dati e renderli disponibili al consenso e al controllo degli aventi diritto.
Infine, la privacy va intesa come il diritto alla personalità delle proprie decisioni ed alla tutela della propria identità personale; ed è, questo, un profilo della stessa che oggi assume un’importantissima valenza pratica, dato che, ad esempio, la presenza dei nostri dati in rete e la creazione di quella che è stata efficacemente definita l’identità elettronica, possono determinare delle distorsioni ed utilizzazioni pericolose dei nostri dati personali, con il rischio che ci vengano attribuite scelte che non abbiamo in realtà mai né compiuto né voluto.
La protezione dei dati personali ha conosciuto una notevole diffusione sia negli ordinamenti di common law sia in quelli di civil law, come l’Italia, che, in attuazione della Direttiva CEE 95/46/CE del Parlamento europeo e del Consiglio, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, ha emanato la legge 31 dicembre 1996, n. 675: il primo provvedimento legislativo organico in materia di tutela dei dati personali.
Non possono non ricordarsi in materia l’art. 8 della Convenzione europea dei diritti dell’uomo; gli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea del 7 dicembre 2000, poi recepiti dagli articoli II-67 e II-68 della Costituzione europea; nonché la Direttiva 02/58/CE del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche.
Infine, a dar conto del momento culminante dell’evoluzione normativa in materia nel nostro Paese, è stato emanato il citato Codice in materia di protezione dei dati personali anche chiamato Codice della privacy (decreto legislativo 30 giugno 2003 n.196), con cui il nostro legislatore, primo in Europa, ha inteso disciplinare in modo organico e compiuto la materia della protezione dei dati personali, dando anche attuazione alla citata direttiva n. 02/58/CE e tenendo quindi conto sia del quadro normativo comunitario, sia di quello internazionale.
Disposizioni in deroga o ad integrazione della disciplina generale sono poste dal Codice della privacy in relazione a specifici settori di interesse per l’attività amministrativa, quali l’ambito giudiziario.
Con il successivo CAD, entrato in vigore il 1° gennaio 2006, il legislatore ha inteso operare una vera e propria rivoluzione digitale per la pubblica amministrazione.
Innanzitutto, in tema di firma elettronica, l’art. 32, co. 2 del Codice dell’Amministrazione digitale prevede che il certificatore è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri, ivi incluso il titolare del certificato, mentre al successivo co. 3, lett. i), statuisce che il certificatore che rilascia, ai sensi dell’articolo 19, certificati qualificati, deve inoltre assicurare la precisa determinazione della data e dell’ora di rilascio, di revoca e di sospensione dei certificati elettronici.
L’art. 32, co. 5, del Codice in esame dispone, poi, in modo significativo, che il certificatore raccoglie i dati personali solo direttamente dalla persona cui si riferiscono o previo suo esplicito consenso, e soltanto nella misura necessaria al rilascio e al mantenimento del certificato, fornendo l’informativa prevista dall’articolo 13 del codice stesso. I dati non possono essere raccolti o elaborati per fini diversi senza l’espresso consenso della persona cui si riferiscono.
Ai sensi della normativa sulla privacy, ad ogni modo, i dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l’ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.
Com’è noto, la riservatezza delle comunicazioni in generale e di quelle elettroniche, in particolare, costituisce un diritto riconosciuto e tutelato dagli ordinamenti italiano ed europeo, anche a livello costituzionale.
Come deciso dalla giurisprudenza, d’altro canto, in base al combinato disposto dell’art. 5 l. 23 dicembre 1993, n. 547, e dell’art. 3 D.P.R. 10 novembre 1997, n. 513, la corrispondenza trasmessa per via informatica e telematica, c.d. posta elettronica, deve essere tutelata alla stregua della corrispondenza epistolare o telefonica ed è, quindi, caratterizzata dalla segretezza.
La sentenza della Corte di giustizia dell’Unione europea dell’8 aprile 2014 va nella direzione di una più marcata tutela del diritto alla privacy. La sentenza ha dichiarato invalida la direttiva sulla conservazione dei dati di traffico telefonico e telematico. I dati di traffico non sono informazioni neutre ma rivelano molto di tutti noi, della nostra vita privata. Un’indifferenziata conservazione di questi dati per periodi molto lunghi espone quindi a grandi rischi. Con la sua decisione la Corte sottolinea, inoltre, l’esigenza che i dati oggetto di conservazione per ragioni di giustizia restino nel territorio dell’ Ue con evidente riferimento alle recenti vicende del Datagate.
La sentenza opera un riequilibrio tra due valori, sicurezza e privacy, che in questi anni si erano decisamente disallineati.