Processo amministrativo telematico: via libera del Garante privacy

Parere favorevole del Garante Privacy sullo schema di decreto del Presidente del Consiglio di Stato che fissa le regole tecniche per l’attuazione del processo amministrativo telematico, come modalità di trattazione della causa, alternativa a quella unicamente scritta, durante l’emergenza Covid19, nel periodo che va dal 30 maggio al 31 luglio 2020. Il Garante auspica però che, cessata l’emergenza, Consiglio di Stato e Tar si dotino di una piattaforma gestita direttamente o comunque sotto il loro controllo. Nella nota n. 465/2020 in commmento, si rendono inoltre noti: la richiesta di maggiori tutele per la conservazione dei documenti digitali ed il chiarimento fornito sul ruolo degli Organismi di Vigilanza dopo il Gdpr.

Processo amministrativo telematico
In assenza, al momento di una disciplina tecnica specifica, lo schema di decreto stabilisce le modalità di collegamento, quelle di partecipazione dei difensori e dei magistrati, i tempi di discussione, le garanzie di sicurezza del sistema informativo, nonché lo svolgimento da remoto delle camere di consiglio dei magistrati. Lo svolgimento del del processo in videoconferenza può essere chiesta dalle parti o disposta d’ufficio in qualsiasi udienza pubblica o camerale.
Il Garante ha ritenuto positivo, in particolare, il fatto che non sia consentita la registrazione delle udienze, ciò dovrebbe impedire al provider, che offre il servizio di videoconferenza, di acquisire dati personali al di fuori dei "metadati" necessari per il collegamento video da remoto (identificativi per l’autenticazione coincidenti con gli indirizzi email, indirizzi Ip delle postazioni, data e ora della connessione). Il ricorso alla videoconferenza, inoltre, sarebbe limitato alle sole udienze con presenza dei difensori essendo invece le camere di consiglio decisorie svolte di norma in "audioconferenza".
Il Garante dell privacy auspica tuttavia che, una volta cessata l’emergenza sanitaria, si adotti una piattaforma interna, gestita dagli organi di Giustizia amministrativa o sotto il loro stretto controllo, in quanto software open source presenterebbero il vantaggio di prestarsi a implementazioni direttamente su datacenter e reti della Giustizia amministrativa, o comunque su infrastrutture gestite collettivamente da o con altre Pa. Ciò eviterebbe i rischi di flussi transfrontalieri interni o esterni all’Unione europea legati a soluzioni "cloud" di aziende extra-europee.
Si sottolinea, inoltre, l’esigenza di adottare ogni opportuna iniziativa volta alla formazione del personale sull’uso dei sistemi, anche per evitare inconvenienti, quali, ad esempio, l’ascolto delle udienze e delle camere di consiglio da parte di soggetti non autorizzati a partecipare.
L’Autorità, infine, ha rappresentato l’esigenza di interpretare la disciplina della pubblicazione on line delle "copie di studio" dei provvedimenti giurisdizionali alla luce della giurisprudenza della Cassazione e del Regolamento europeo, così includendo tra i casi di anonimizzazione obbligatoria anche quelli relativi ai dati sulla salute, genetici e biometrici.

Conservazione documenti digitali: maggiori tutele
L’Autorità ha fornito parere anche sulle linee guida predisposte dall’Agenzia per l’Italia digitale nell’ambito dell’attuazione del Codice per l’Amministrazione Digitale, in caso di cessazione del servizio. Secondo il garante, l’AgID dovrà stabilire regole più precise per fare in modo che i soggetti che si occupano di conservazione dei documenti informatici rispettino a pieno la normativa sulla protezione dei dati personali, nel caso in cui la fornitura del servizio offerto a PA e a privati venga a cessare.
In particolare, il Garante privacy ha chiesto all’AgID, di integrare lo schema sottoposto in modo da assicurare specifiche tutele per i dati personali trattati in linea con il Regolamento europeo in materia, il cosiddetto GDPR.
Le Linee guida dovranno, in particolare, ricordare che la normativa impone al conservatore (che in questo caso). A tale proposito, è importante che nel processo di cessazione venga coinvolto anche il responsabile per la protezione dei dati (cosiddetto Rpd/Dpo).
L’Autorità chiede poi che nelle Linee guida il conservatore sia invitato ad ampliare l’"analisi dei rischi", tenendo conto di quelli connessi al trattamento dei dati personali valutando, tra l’altro, la presenza di dati personali di categorie particolari, come quelli relativi alla salute, alle condanne penali o a reati. Il conservatore dovrà inoltre adottare adeguate misure di sicurezza per il "trasferimento degli archivi di conservazione", così da garantire riservatezza, integrità e disponibilità dei dati contenuti nei documenti. Nel piano predisposto, il conservatore cessante dovrà infine indicare per quanto tempo sarà garantita l’accessibilità dei documenti, e definire modalità sicure per la "cancellazione degli archivi di conservazione".

Il ruolo degli Organismi di Vigilanza dopo il Gdpr
Circa, infine, il ruolo degli Organismi di Vigilanza dopo il Gdpr, il Garante ha precisato il ruolo e le responsabilità degli Organismi di Vigilanza (OdV) riguardo ai trattamenti dei dati personali svolti nelle loro funzioni e ha escluso che essi possano essere qualificati come titolari autonomi o come responsabili del trattamento.
Gli OdV, sia pur dotati di autonomi poteri di iniziativa e controllo per l’espletamento delle loro funzioni, non possono essere considerati autonomi titolari del trattamento perché i loro compiti non sono determinati dagli Organismi stessi, ma dall’organo dirigente dell’ente che, nell’ambito del modello di gestione e organizzazione, ne definisce gli aspetti relativi al funzionamento, compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza.
Inoltre, l’OdV non può essere considerato neppure quale responsabile del trattamento, inteso come persona giuridicamente distinta dal titolare che agisce per conto di quest’ultimo secondo le istruzioni impartite. Il Gdpr, infatti, pur non modificandone l’essenza, prevede ora, in funzione della gestione dei dati svolta per conto del titolare, un serie di obblighi in capo al responsabile del trattamento, come pure la sua diretta responsabilità per l’eventuale inosservanza degli stessi. Al contrario, eventuali omessi controlli sull’osservanza dei modelli predisposti dall’ente non ricadono sull’OdV ma sull’ente stesso.
L’OdV nel suo complesso non è quindi distinto dall’ente ma è "parte dell’ente" che, quale titolare del trattamento, definisce il perimetro e le modalità di esercizio dei compiti assegnati all’organismo, nonché il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono. In particolare, l’ente designerà i singoli membri dell’OdV come soggetti autorizzati, i quali dovranno attenersi alle istruzioni del titolare.