Processo amministrativo telematico: via libera del Garante privacy
Parere favorevole del Garante Privacy sullo schema di decreto del Presidente del Consiglio di Stato che fissa le regole tecniche per l’attuazione del processo amministrativo telematico, come modalità di trattazione della causa, alternativa a quella unicamente scritta, durante l’emergenza Covid19, nel periodo che va dal 30 maggio al 31 luglio 2020.
Il Garante auspica però che, cessata l’emergenza, Consiglio di Stato e Tar si dotino di una piattaforma gestita direttamente o comunque sotto il loro controllo.
Lo schema di decreto, mancando allo stato una disciplina tecnica specifica, stabilisce le modalità di collegamento, quelle di partecipazione dei difensori e dei magistrati, i tempi di discussione, le garanzie di sicurezza del sistema informativo, nonché lo svolgimento da remoto delle camere di consiglio dei magistrati. La celebrazione del processo in videoconferenza, prevista da un recente decreto legge in alternativa al contraddittorio cartolare, può essere chiesta dalle parti o disposta d’ufficio in qualsiasi udienza pubblica o camerale.
Il Garante ha ritenuto positivo, in particolare, il fatto che non sia consentita la registrazione delle udienze. Questo dovrebbe impedire infatti al provider, che offre il servizio di videoconferenza, di acquisire alcun dato personale al di fuori dei “metadati” necessari per il collegamento video da remoto (identificativi per l’autenticazione coincidenti con gli indirizzi email, indirizzi Ip delle postazioni, data e ora della connessione). Il ricorso alla videoconferenza, inoltre, sarebbe limitato alle sole udienze con presenza dei difensori essendo invece le camere di consiglio decisorie svolte di norma in “audioconferenza”.
L’Autorità, pur prendendo atto delle soluzioni prospettate per fronteggiare l’attuale emergenza, auspica tuttavia che, una volta che questa sia cessata, si adotti una piattaforma interna, gestita dagli organi di Giustizia amministrativa o sotto il loro stretto controllo. La disponibilità di software open source del tutto comparabili per affidabilità e accuratezza ai migliori prodotti industriali, offre il vantaggio di prestarsi a “implementazioni” direttamente su datacenter e reti della Giustizia amministrativa, o comunque su infrastrutture gestite collettivamente da o con altre Pa. Tale soluzione eviterebbe in radice i rischi di flussi transfrontalieri interni o esterni all’Unione europea legati a soluzioni “cloud” di aziende extra-europee. Il parere richiama inoltre l’attenzione del Consiglio di Stato sull’esigenza di adottare ogni opportuna iniziativa volta alla formazione del personale sull’uso dei sistemi, anche per evitare inconvenienti, quali, ad esempio, l’ascolto delle udienze e delle camere di consiglio da parte di soggetti non autorizzati a partecipare.
L’Autorità, infine, ha rappresentato l’esigenza di interpretare la disciplina della pubblicazione on line delle “copie di studio” dei provvedimenti giurisdizionali alla luce della giurisprudenza della Cassazione e del Regolamento europeo, così includendo tra i casi di anonimizzazione obbligatoria anche quelli relativi ai dati sulla salute, genetici e biometrici.
[doc. web n. 9347280]
Parere su uno schema di decreto presidenziale recante le regole tecnico-operative per l’attuazione del processo amministrativo telematico – 19 maggio 2020
Registro dei provvedimenti
n. 88 del 19 maggio 2020
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vice presidente, la prof.ssa Licia Califano e la dott.ssa Giovanna Bianchi Clerici, componenti, nonché il dott. Giuseppe Busia, segretario generale;
Visto l’articolo 57, par. 1, lett. c), del Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento).
Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice) e, in particolare, l’articolo 154, comma 5;
Vista la richiesta di parere del Consiglio di Stato;
Vista la documentazione in atti;
Viste le osservazioni del segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Antonello Soro;
PREMESSO
Il Consiglio di Stato ha richiesto, ai sensi dell’articolo 4 del decreto-legge 30 aprile 2020, n. 28, il parere del Garante in ordine ad uno schema di decreto presidenziale recante le regole tecnico-operative per l’attuazione del processo amministrativo telematico, nonché per la sperimentazione e la graduale applicazione dei relativi aggiornamenti.
A tale fonte, infatti, l’art. 4, comma 2, del decreto-legge n. 28 del 2020 – nella parte in cui novella l’art. 13, comma 1, dell’allegato 2 del decreto legislativo n. 104 del 2010- demanda la disciplina delle regole tecnico-operative del processo amministrativo telematico, previsto in particolare come modalità ordinaria di trattazione orale della causa dal 30 maggio al 31 luglio p.v., in alternativa al contraddittorio meramente cartolare.
L’art. 4, comma 1, del decreto-legge n. 28 del 2020 ha, infatti, previsto che nel suddetto arco temporale può essere chiesta dalle parti o disposta d’ufficio, in qualsiasi udienza pubblica o camerale, in alternativa al contraddittorio cartolare, la discussione orale mediante collegamento da remoto. Esso deve avvenire – precisa la norma- con modalità idonee a salvaguardare il contraddittorio e l’effettiva partecipazione dei difensori all’udienza, assicurando in ogni caso la sicurezza e la funzionalità del sistema informativo della giustizia amministrativa e dei relativi apparati. Nei casi in cui sia disposta la discussione da remoto, la segreteria comunica con avviso l’ora e le modalità di collegamento, si dà atto a verbale delle modalità con cui si accerta l’identità dei soggetti partecipanti e la libera volontà delle parti, “anche ai fini della disciplina sulla protezione dei dati personali”. La norma precisa inoltre che il luogo da cui si collegano per l’udienza da remoto i magistrati, gli avvocati e il personale addetto è considerato udienza a tutti gli effetti di legge.
La celebrazione da remoto, con modalità di videoconferenza che consentano ai magistrati e ai difensori di collegarsi in contemporanea nel rispetto del contradditorio, esige una disciplina di natura tecnica al momento non prevista. Il vigente decreto del Presidente del Consiglio dei Ministri del 16 febbraio 2016, n. 40 (Regolamento recante le regole tecnico operative per l’attuazione del processo amministrativo telematico), non reca infatti una disciplina specifica in tal senso.
Su tali aspetti provvede dunque lo schema di decreto in esame, disciplinando in particolare le modalità di collegamento, di partecipazione dei difensori e dei magistrati, i tempi di discussione, le garanzie di sicurezza e funzionalità del sistema informativo, nonché le modalità di svolgimento da remoto delle camere di consiglio dei magistrati. Per altro verso, i due allegati al decreto recepiscono, con limitate modifiche formali, le previsioni del decreto del Presidente del Consiglio dei ministri 16 gennaio 2016, n. 40, di cui il citato art. 4 dispone l’abrogazione, a decorrere dal quinto giorno successivo a quello della pubblicazione, in Gazzetta Ufficiale, del primo decreto del Presidente del Consiglio di Stato.
RILEVATO
In ordine alle indicazioni fornite, all’art. 2, per la disciplina della celebrazione delle udienze da remoto, si prende atto delle soluzioni prospettate per fronteggiare l’attuale emergenza proprio in ragione di essa e si auspica che, una volta cessata, si adotti una piattaforma “interna”, gestita dagli (o sotto lo stretto controllo degli) organi di Giustizia amministrativa. Più in dettaglio, la disponibilità di software open source di affidabilità ed accuratezza del tutto comparabili ai migliori prodotti industriali offre il non trascurabile vantaggio di prestarsi a “implementazioni” di tipo on premises (quindi su datacenter e reti della Giustizia amministrativa) o comunque su infrastrutture gestite anche collettivamente da o con altre amministrazioni pubbliche, evitando in radice flussi transfrontalieri interni od esterni all’Unione europea, comunque implicati dal ricorso a soluzioni “cloud” quali quella di Microsoft Teams. Tra i rischi cui questa soluzione si presta, in particolare, vi è quella di un’applicazione unilaterale del Cloud Act cui l’operatore è soggetto, che non può essere esclusa a priori, per il solo suo contrasto con il diritto europeo, in assenza di un accordo specifico con gli Stati Uniti per l’accesso transfrontaliero alle prove elettroniche a fini di cooperazione giudiziaria in materia penale. Nella specie, tuttavia, l’informazione veicolata dagli indirizzi è, nel caso del dominio della Giustizia amministrativa, correlata all’identità delle parti coinvolte nell’udienza pubblica che verrebbe registrata nei log dei sistemi di autenticazione Microsoft e poi conservata per finalità e per tempi previsti nelle privacy policy aziendali. Secondo quanto riferito dal Consiglio di Stato, in assenza di registrazione delle udienze e di scambi di messaggi su chat interna (condivisibilmente esclusi dallo schema di decreto), il provider delle videoconferenze non acquisirebbe alcun dato personale al di fuori dei “metadati” della videconferenza (identificativi per l’autenticazione coincidenti con gli indirizzi email, indirizzi IP delle postazioni connesse, data e ora della connessione).
La registrazione dell’udienza, in violazione del divieto sancito dal presente schema, realizzerebbe, del resto, un trattamento di dati personali illecito, in quanto svolto in contrasto con la relativa disciplina e in assenza di presupposti di liceità alternativi, suscettibile, come tale, di esporre l’agente a responsabilità, in particolare amministrativa.
Pertanto, il ricorso, nell’attuale contesto emergenziale, al sistema Microsoft Teams è da condividere, in ragione del suddetto divieto di registrazione e della prevista limitazione alle sole udienze partecipate, essendo invece le camere di consiglio “decisorie” svolte di norma in “audioconferenza”.
Per quanto riguarda, ancora, l’informativa sul trattamento dei dati personali essa andrebbe fornita agli interessati in una fase precedente a quella di cui all’art. 2, c.5, ovvero nell’avviso di avvenuto deposito dell’istanza di cui all’art. 2, comma 3, al fine di consentire alle parti una consapevole valutazione, anche sotto il profilo della protezione dati, in ordine alla scelta sull’opportunità di presentare o meno opposizione.
Nonostante il riferimento, nell’art. 4 d.l. 28, alla “libera volontà delle parti anche ai fini della disciplina” di protezione dati, la previsione, all’art. 2, comma 7, dello schema, del consenso quale presupposto di liceità del trattamento dei dati, suscita qualche perplessità. Ciò in quanto la volontarietà della scelta di una particolare modalità per la celebrazione dell’udienza (il processo da remoto) non deve essere sovrapposta con i presupposti di liceità del trattamento che, nel caso di specie, sono rinvenibili negli artt. 6, par. 1, lett. e), 9, par. 2, lett. g), e 10 del Regolamento.
Il comma 8 prevede che “All’atto del collegamento e prima di procedere alla discussione, i difensori delle parti o le parti che agiscono in proprio dichiarano, sotto la loro responsabilità, che quanto accade nel corso dell’udienza o della camera di consiglio non è visto né ascoltato da soggetti non legittimati ad assistere alla udienza o alla camera di consiglio. La dichiarazione dei difensori o delle parti che agiscono in proprio è inserita nel verbale dell’udienza o della camera di consiglio”, mentre il comma 11 dispone che “È vietata la registrazione, con ogni strumento e da parte di chiunque, delle udienze pubbliche e camerali, nonché della camera di consiglio da remoto tenuta dai soli magistrati per la decisione degli affari. È in ogni caso vietato l’uso della messaggistica istantanea interna agli applicativi utilizzati per la videoconferenza o, comunque, altri strumenti o funzioni idonee a conservare nella memoria del sistema traccia delle opinioni espresse dai partecipanti all’udienza o alla camera di consiglio”.
Al riguardo, si suggerisce di valutare l’opportunità di integrare la dichiarazione di cui al comma 8 con l’impegno ad evitare anche le registrazioni di cui al comma 11, così da valorizzare anche la consapevolezza delle parti in ordine alle conseguenze sanzionatorie suscettibili di derivare da condotte scorrette.
Si segnala, infine, che l’effettiva consapevolezza del funzionamento dei sistemi è indispensabile per il loro corretto utilizzo, anche per evitare inconvenienti quali ad esempio l’ascolto delle udienze o delle camere di consiglio, da parte di soggetti aventi titolo a partecipare, invece, ad udienze o camere di consiglio precedenti o successive. Al fine di garantire il migliore uso di tali sistemi è, dunque, necessario adottare ogni opportuna iniziativa volta alla formazione del personale, con particolare riferimento alle misure tecniche e organizzative previste a protezione dei dati personali.
RITENUTO
Gli articoli 17 e 18 dell’Allegato 1 allo schema di decreto, con le relative specifiche tecniche, disciplinano – recependo le disposizioni del d.P.C.M. 16 febbraio 2016, n. 40 – il regime di accesso al fascicolo informatico e di consultazione dei dati identificativi delle questioni pendenti.
In particolare, l’articolo 17 delle specifiche tecniche dispone:
“1. L’accesso ai servizi di consultazione dei dati identificativi delle questioni pendenti, l’accesso al fascicolo informatico e alle altre informazioni rese disponibili dalla Giustizia Amministrativa avviene tramite il Sito Istituzionale, nel rispetto delle disposizioni del CAD e del Codice dei dati personali.
2. L’accesso ai dati essenziali identificativi delle questioni pendenti, resi ostensibili in modo tale da garantire la riservatezza dei nomi delle parti ai sensi dell’articolo 51 del Codice dei dati personali, è consentito, senza necessità di autenticazione, a chiunque vi abbia interesse attraverso il Sito Istituzionale, Area pubblica, attività istituzionale, attraverso appositi link. In tale aerea sono accessibili, in forma anonima, le informazioni riguardanti Udienza, Calendario Udienze, Ruolo Udienza, Ricorsi, Provvedimenti.
3. Con le medesime modalità descritte al comma 2, è consentito l’accesso alle copie «uso studio» dei provvedimenti giudiziari pubblicati nel «Motore di ricerca» del Sito Istituzionale, ai sensi dell’articolo 56 del CAD, con le cautele previste dalla normativa in materia di tutela dei dati personali.
4. L’accesso alle altre informazioni è consentito esclusivamente ai soggetti abilitati, tramite apposite credenziali rilasciate dal Segretariato Generale della Giustizia Amministrativa.”.
La previsione, in generale, dell’anonimizzazione dei dati identificativi delle questioni pendenti, ai fini dell’accesso da parte dei soggetti non dotati di specifica legittimazione, è certamente da condividere, in ragione del bilanciamento che realizza tra diritto alla riservatezza delle parti private della controversia ed esigenze di informazione giuridica, nonché in senso più lato di pubblicità dell’attività giurisdizionale.
Per quanto, invece, concerne l’accesso alle copie «uso studio» dei provvedimenti giudiziari (di cui è inibita l’indicizzazione esterna), il richiamo alle cautele previste dal Codice andrebbe inteso nell’interpretazione sistematico-adeguatrice emergente dalla giurisprudenza di legittimità, da ritenersi jus receptum a fortiori in ragione delle maggiori garanzie accordate dal nuovo quadro giuridico europeo, che pur dovrebbero indurre il legislatore interno a una complessiva revisione della disciplina. Come noto, infatti, la Corte di Cassazione (Sez. I, 20 maggio 2016, n. 10510), ha ritenuto di includere nei casi di anonimizzazione obbligatoria dei provvedimenti giurisdizionali anche quelli inerenti dati sulla salute, in ragione del divieto assoluto di divulgazione prima previsto dall’art. 22, comma 8, del Codice ed ora esteso anche ai dati genetici e biometrici dall’art. 2-septies, comma 8.
TUTTO CIO’ PREMESSO, IL GARANTE
ai sensi dell’articolo 57, par. 1, lett. c), del Regolamento, esprime parere favorevole sullo schema di decreto del Presidente del Consiglio di Stato, recante le regole tecnico-operative di cui all’art. 4 del decreto-legge 30 aprile 2020, n. 28, con le osservazioni di cui in motivazione.
Roma, 19 maggio 2020
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia