lineamenti di informatica giuridica

LINEAMENTI DI INFORMATICA GIURIDICA
A cura di Marco Mancarella
Con contributi di Giovanni Maglio, Eleonora Barone, Lucia Luna
CAPITOLO I
INFORMATICA GIURIDICA OGGI
1.1.
Informatica giuridica
L‟Informatica giuridica, a partire dalla metà del secolo scorso fino ad oggi, è stata oggetto
delle attenzioni degli studiosi che di volta in volta hanno tentato soluzioni definitorie con
cui stabilire gli ambiti propri della disciplina. E‟ attuale il grande fermento e la passione con
cui si cerca di delineare l‟ambito (o gli ambiti) entro cui è lecito parlare di Informatica
Giuridica1.
Comunemente, i primi segnali con cui si individua la differenziazione di una nuova materia
sia dal diritto che dall‟informatica, ma che interessa entrambi i settori, rimandano alla
pubblicazione nel 1949, sulla Minnesota Law Review, dell‟articolo di uno studioso
americano, Lee Loevinger2, che proponeva una nuova scienza denominata “Jurimetrics”
(potremmo tradurre: “Giurimetria”). Con questo termine, l‟autore indicava l‟uso dei metodi
delle cosiddette “scienze esatte”, in particolar modo dell‟informatica, nelle attività proprie
del diritto. Il richiamo alla cibernetica3, come l‟unico strumento con il quale potevano
essere risolti alcuni problemi propri della giurisprudenza, connota fin dalle origini
l‟Informatica giuridica come scienza empirica4. Nell‟opera di Loevinger si auspicava l‟uso
dell‟informatica nell‟applicazione delle leggi antitrust, con l‟intento esplicito di riuscire a
elaborare automaticamente i dati a disposizione delle agenzie antitrust e che dovevano
1
Per ogni approfondimento in ordine all‟evoluzione storica della disciplina e del relativo suo insegnamento in ambito
accademico si rinvia sin d‟ora a: G. Taddei Elmi (a cura di), Corso di Informatica giuridica, Edizioni Giuridiche Simone, Napoli, 2016, pp. 540.
2
Cfr. L. Loevinger, Jurimetrics. The Next Step Forward, in “Minnesota Law Review”, 1949, 33, pp. 455-493.
3
La “cibernetica” (dal greco kybernetes, latino gubernator = nocchiero) è quella scienza fondata alla fine degli anni 40 dallo
statunitense Norbert Wiener che studia il controllo e la comunicazione negli animali e nelle macchine. Nella sua evoluzione finisce con lo
specializzarsi nello studio dei messaggi, e specialmente i messaggi di comando, tra uomo e macchina, tra macchina e uomo, tra macchina
e macchina (in partic. in quest‟ultima branca: studio dei meccanismi attraverso i quali le macchine possono reagire agli stimoli ambientali
esterni, modificandosi).
4
Cfr.
G.
Oberto,
Appunti
per
un
Corso
di
Informatica
Giuridica,
2004,
consultabile
all‟URL:
http://giacomooberto.com/appunti/lezione1.htm, visionata nel mese di dicembre 2016.
1
essere elaborati e studiati per accertare posizioni dominanti di alcune imprese. Fino ad
allora l‟elettronica e le sue applicazioni avevano interessato solo l‟industria, o ambiti propri
delle scienze esatte. Con la Giurimetria si propone di intervenire ad utilizzare tecniche
elettroniche in area umanistica, in particolare nel trattamento dei problemi giuridici: era
nata la “scientific investigation of legal problem”5, cioè l‟informatica giuridica.
Considerato il contesto temporale nel quale vengono espresse, le idee di Loevinger
rappresentano una rivoluzione ed è rilevante l‟importanza del suo saggio, anche se non può
essergli riconosciuta una solida base teorica, tanto che esso non contiene una definizione di
giurimetria. Lo stesso autore, non era solo un giurista, ma un manager della Divisione
Antitrust degli USA, quindi non un “teorico interessato alla creazione di una nuova
disciplina, secondo rigorosi presupposti logici”6.
Quindici anni dopo, nel 1963, la giurimetria trova una compiuta sistemazione teorica
quando viene pubblicato il volume Jurimetrics7, un lavoro collettivo curato da Hans Baade.
Il giurista Hans Baade, insieme ad altri (ad es. G. Schubert, o Paul Hoffmann), conia il
termine “Lawtomation” (da law e automation) ed assume l‟uso del termine “Jurimetrics”
per indicare l‟ applicazione della scienza informatica al diritto.
In particolare, all‟interno della sua opera, Baade propone un primo ordine sistematico della
Giurimetria, isolando tre possibili campi di applicazione:
- l‟utilizzazione dell‟elaboratore elettronico per fini di documentazione, vale a dire di ricerca
e di reperimento dell‟informazione;
- l‟applicazione dei modelli logici (della logica simbolica) alle norme ed alle attività
giuridiche;
- la previsione delle sentenze future (la cosiddetta analisi behavioristica delle decisioni)..
Quest‟ultima funzione era sentita come particolarmente importante nei sistemi di Common
law, dove il precedente giudiziario (la sentenza di un Giudice) è vincolante.
Partendo dalle teorie a dalle proposte di Baade, negli USA, già a partire dal 1964 fu creato
un Law Research Service che potè avvalersi dell‟ausilio di un potente elaboratore
5
L. Loevinger, Jurimetrics. The Next Step Forward, cit., p. 483.
6
G. Fioriglio, Temi di informatica giuridica, in www.dirittodell‟informatica.it, 2004, p. 21; l‟edizione cartacea è stata pubblicata da
Aracne Editrice, Roma, 2004.
7
H. W. Baade, Jurimetrics, Basic Books, New York – London, 1963.
2
elettronico nel quale vennero inseriti precedenti giurisprudenziali e che poteva essere
interrogato anche a distanza con terminali collegati a mezzo di cavi telefonici8.
In realtà il sogno della previsione delle sentenze (dice Vittorio Frosini: usare il calcolatore
come oroscopo giuridico automatico) era destinato a restare una pia illusione:
l‟interpretazione delle norme giuridiche e la stessa lettura dei fatti concreti che di volta in
volta si presentano all‟attenzione del giudice è quanto mai imprevedibile.
Ciò nonostante l‟utilità dell‟informatica giuridica, sia a livello teorico che pratico, è più che
evidente così come l‟analisi della sua evoluzione storica consente di osservare.
Proseguendo nella descrizione dell‟evoluzione storica e concettuale dell‟informatica
giuridica, consideriamo il suo impatto nel sistema Italia, dove le teorie statunitensi
approdano solo verso la fine degli anni ‟60.
All‟interno dell‟accademia italiana, l‟informatica giuridica tende ad essere presentata
all‟inizio sotto il nome di “Giuscibernetica”9. Questa nuova scienza viene così definita da
Losano: “ogni applicazione della cibernetica al diritto”10.
Nel 1975 Vittorio Frosini introduce l‟espressione “Giuritecnica”11, ma neppure questa
definizione sembra funzionare. In effetti, il termine ormai comunemente accettato per
definire lo studio delle applicazioni informatiche alle scienze giuridiche è quello di
“Informatica giuridica”12.
La questione della definizione dell‟Informatica giuridica, che non viene certo fornita a
livello legislativo13, nasce fin dalle origini di questa disciplina e lo stesso suo fondatore ha
sempre insistito sul carattere empirico della giurimetria. Tanto che nel 1963, Lee Loevinger
scriveva: “Non è necessario, e forse è impossibile, dare una precisa definizione dell‟ambito
della giurimetria. Come in ogni disciplina empirica, la definizione verrà data dall‟attività dei
suoi cultori e di certo si modificherà ed estenderà, man mano che esperimenti ed esperienze
risolveranno problemi specifici”14.
8
Cfr. G. Oberto, Appunti per un Corso di Informatica Giuridica, cit.
9
M. Losano, Giuscibernetica. Macchine e modelli cibernetici nel diritto, Einaudi, Torino, 1969.
10
Ivi, p. 107.
11
V. Frosini, La giuritecnica: problemi e proposte, in “Informatica e diritto”, 1975, 1, pp. 26-35.
12
Per un percorso più puntuale che descrive la transizione verso l‟attuale concetto di Informatica Giuridica, si consiglia la
lettura di: D. A. Limone (a cura di), Dalla giuritecnica all’informatica giuridica, Giuffré, Milano 1995.
13
Lo statuto epistemologico dell‟Informatica giuridica e i caratteri differenziali tra Informatica giuridica e Diritto
dell‟Informatica in Italia sono stati ministerialmente declarati con DM 18 marzo 2005 (GU 5 aprile 2005, n. 78) collocando il Diritto
dell‟Informatica nel raggruppamento disciplinare IUS/01 – Diritto Privato e l‟Informatica giuridica nel raggruppamento disciplinare
IUS/20 – Filosofia del diritto.
14
Cfr. L. Loevinger, The Industrial Revolution in Law, MULL, 2, 2, 1960, pp. 56-62.
3
Da questo originario intendimento della disciplina risulta abbastanza chiaro quale fosse il
campo entro cui comprendere, in quel periodo, tale scienza: quello, per l‟appunto,
dell‟utilizzazione dell‟elaboratore elettronico per fini di documentazione, vale a dire per il
reperimento dell‟informazione, nonché l‟applicazione dei modelli logici (della logica
simbolica) alle norme ed alle attività giuridiche, fermo restando che la previsione delle
sentenze future (la cosiddetta analisi beavioristica delle decisioni) è rimasta ed è destinata a
rimanere altamente improbabile.
La definizione dell‟Informatica giuridica, quanto meno in Italia, è oggi orientata ad una
applicazione più pratica.
Il 28 giugno 2005, l‟ANDIG (Associazione nazionale docenti di informatica giuridica), si
riuniva a Roma presso la Facoltà di Giurisprudenza dell‟Università “La Sapienza”, con
all‟ordine del giorno la definizione di “Informatica Giuridica”, meno frammentaria di quella
utilizzata sia dalla comunità scientifica che dall‟uso comune. In quell‟occasione veniva
proposto un documento15 dalla cui discussione sarebbe scaturito il progetto di un
Convegno nazionale dal titolo “L‟informatica giuridica oggi” tenutosi a Roma, il 1
dicembre 2005, sempre presso la Facoltà di Giurisprudenza, Università “La Sapienza” 16.
In base alle risultanze del Convegno: “L‟informatica giuridica è, nel novero delle varie
discipline giuridiche, quella, particolare, unitaria e autonoma, che ha per oggetto sia il
diritto dell’informatica che l’informatica del diritto. Il primo ha per oggetto lo studio
delle leggi che regolano l‟uso del computer ed è, quindi, un diritto specializzato, analogo a
tutti gli altri diritti particolari, quali, ad esempio, il diritto industriale, bancario, il diritto
d‟autore, della navigazione, della circolazione stradale etc. Il secondo, invece, studia le
ragioni e le modalità dell‟influenza che l‟informatica può avere sull‟evoluzione del diritto,
fornendo nuovi strumenti per la sua conoscenza (soprattutto attraverso la ricercabilità
computerizzata della legislazione, della giurisprudenza e della dottrina), affrontando il
problema dell‟applicabilità automatica della legge con conseguente studio delle differenze e
delle affinità tra legislazione e software, prospettando la possibilità di migliorare la
formulazione delle leggi attraverso tecniche informatiche e, infine, di gestire i processi
telematicamente.
15
16
2007.
Limone D., Contributo per la definizione di Informatica giuridica, Assemblea Andig, Roma, 28 giugno 2005.
Cfr. N. Palazzolo (a cura di), L'informatica giuridica oggi, ESI, Napoli, 2007; Collana ITTIG-CNR, Serie "Studi e documenti", 7,
4
Entrambe le componenti dell‟informatica giuridica hanno, come presupposto indefettibile e
comune denominatore, l‟analisi della natura, delle caratteristiche, delle possibilità e dei limiti
d‟uso del computer”17.
Un‟ultima, ed aggiornata, definizione dell‟Informatica giuridica si è avuta a seguito del
documento congiunto predisposto dai Professori Ordinari di settore Donato A. Limone
(UniTelma-La Sapienza e già Direttore del Laboratorio eGovernment dell‟Università del
Salento) e Giovanni Sartor (Centro Interdipartimentale di Ricerca in Storia, Filosofia e
Sociologia del Diritto e Informatica Giuridica dell'Università di Bologna – CIRSFID) e
diffuso per una condivisione nell‟ambito della comunità accademica di riferimento, ovvero
la Società Scientifica di Filosofia del Diritto (SIFD), in data 3 aprile 2014 dal suo Presidente
Francesco Viola.
In base a questa recente definizione di Informatica giuridica, la materia oggi si articola in
una serie di settori, del tutto in linea con l‟evoluzione tecnologica e giuridica18.
La posizione assunta dal documento congiunto del prof. Donato A. Limone e del prof.
Giovanni Sartor è stata condivisa anche dalle Associazioni Scientifiche ANDIG
(Associazione nazionale dei Docenti di Informatica Giuridica e Diritto dell‟Informatica) e
SIIG (Società Italiana di Informatica Giuridica), come emerso nel Convegno nazionale
ANDIG del 18 novembre 2014 tenutosi in Roma presso l‟Università TELMA - La
Sapienza e confermato, per contenuti e discussione, nel successivo Convegno nazionale
17
Nota di Renato Borruso (Presidente On. Aggiunto Corte Suprema di Cassazione. Già Dir. del Centro Elettronico di
Documentazione della Corte medesima (CED). Docente di Informatica presso la Facoltà di Giurisprudenza della Luiss – Roma),
prodotta durante la riunione dell‟ANDIG e datata 13 giugno 2005.
18
Di seguito i settori elencati dall‟ANDIG: accessibilità totale e trasparenza; agenda digitale; amministrazione digitale;
amministrazione e Web 2.0; amministrazione Trasparente; banche dati giuridici; big data; cloud computing (nuvola informatica, nella
P.A., nel trattamento dei dati sanitari, etc.); Codice dell'Amministrazione Digitale; controllo sociale mediante le tecnologie; criminalità
informatica; crittografia e diritto; dati aperti; democrazia elettronica; diritti umani e società dell'informazione; documentazione
giuridica (information retrieval) automatica; eDiscovery (tecnologie per la identificazione e raccolta di elementi di prova registrati in
forma digitale); eLearning nel settore giuridico; giustizia telematica; governance di internet; identità digitale; informatica forense;
informatica parlamentare; informatica per le professioni legali; ingegneria della conoscenza giuridica; intelligenza artificiale e diritto;
legimatica (informatica nella normazione); liberation technologies (tecnologie informatiche per la liberazione); licenze Aperte e
interoperabilità; linguaggi di marcatura e diritto; linguaggi informatici e diritto; logica deontica, modale e diritto; media civici (Civic
media); metodologie e tecniche avanzate per la normazione; metodologie e tecniche di digitalizzazione; modelli connessionistici del
ragionamento giuridico; modelli di smart cities (città intelligenti); modelli di smart innovation (innovazione intelligente); modelli formali
della conoscenza giuridica; modelli formali del ragionamento giuridico; modelli formali dell'argomentazione giuridica; modelli formali
della conoscenza giuridica; neutralità di Internet; norme tecniche per il processo telematico; norme tecniche sulle firme elettroniche, sulla
posta elettronica certificata, sul Sistema Pubblico di Connettività; ontologie giuridiche formali; parlamenti trasparenti e accessibili;
privacy by design e privacy by default; profilazione dell'utente; programmazione logica e diritto; protocollo informatico e la
conservazione informatica dei documenti; requisiti dei dati pubblici digitali; robotica e diritto; sanità digitale; scuola digitale; sicurezza
delle tecnologie per i minori; sicurezza informatica; sistemi esperti; sistemi per il ragionamento basato sui casi; sistemi per il supporto
all‟argomentazione; sistemi per la raccolta e gestione delle prove; siti web delle P.A.; società dell'informazione; standard e modelli di
documento; stato digitale; tecnologia, politica e diritto dei dati digitali; tecnologia, politica e diritto dei documenti elettronici (dalla
crittografia alle firme elettroniche); tecnologia, politica e diritto del commercio elettronico; tecnologia, politica e diritto del software e dei
contenuti digitali; tecnologia, politica e diritto dell‟automazione digitale (dal software alla robotica); tecnologia, politica e diritto della
protezione dei dati; telelavoro; tutela dei dati personali trattati; elettronicamente; università telematica; voto elettronico.
5
ANDIG del 26 settembre 2015 svoltosi a Lecce19.
SIIG, ANDIG, SIFD e altre associazioni e professionisti del settore hanno poi proceduto
all‟invio nel maggio 2016 di una “Lettera aperta al Governo sul ruolo dell‟Informatica
Giuridica nella formazione del Giurista”20.
La lettera pone in immediato risalto il “Rinascimento digitale” che caratterizza l‟odierna
fase storica, all‟interno del quale l‟Informatica Giuridica è da considerarsi una disciplina
fondamentale per la comprensione, la regolazione, la gestione delle tecnologie applicate al
diritto. Riferimento primario di ogni iniziativa volta a rendere più razionale ed efficiente
l‟applicazione del diritto, nell‟amministrazione della giustizia così come nella pubblica
amministrazione.
In particolare relativamente alle Università, l‟intento è di promuovere l‟Informatica
Giuridica nelle Scuole di Giurisprudenza, quale elemento necessario della formazione
giuridica.
Nell‟ambito del settore scientifico disciplinare IUS/2021, l‟Informatica Giuridica promuove
ricerche su temi di Informatica, Logica e Diritto, ne coltiva gli aspetti interdisciplinari, cura
i collegamenti con studiosi di discipline connesse. Per studiare i fenomeni emergenti delle
nuove tecnologie, analizzare con senso critico l‟azione del diritto positivo nell‟introdurre le
tecnologie all‟interno della società civile, e proporre soluzioni di innovazione tecnologica e
sociale efficaci ed eticamente corretti, l‟Informatica Giuridica deve applicare conoscenze
tecnologiche e giuspositive con consapevolezza filosofico-giuridica e socio-giuridica. il tutto
19
Per un approfondimento dei contenuti dei Convegni ANDIG del 2014 e 2015 si rinvia al sito associativo consultabile
all‟URL: http:// www.andig.it.
20
Nello specifico la lettera è stata inviata a: Ministero dell‟Istruzione, dell'Università e della Ricerca, dott.ssa Stefania Giannini;
Ministero della Giustizia, dott. Andrea Orlando; Ministro per la Semplificazione e la Pubblica Amministrazione, dott.ssa Marianna Madia.
Di seguito i firmatari della lettera: Monica Palmirani, professore di Informatica Giuridica, Università degli Studi di Bologna e Presidente
della Società Italiana di Informatica Giuridica; Giovanni Sartor, professore di Informatica Giuridica, Università degli Studi di Bologna e
presso l‟Istituto Europeo di Firenze, referente per l‟Informatica Giuridica all‟interno della Società Italiana di Filosofia del diritto; Carla
Faralli, professore di Filosofia del Diritto, Università degli Studi di Bologna, Direttore del CIRSFID e Presidente della Società Italiana di
Filosofia del diritto; Donato Limone, professore di Informatica Giuridica, Università degli Studi di Roma Unitelma Sapienza e Presidente
dell‟Associazione Nazionale Docenti Informatica Giuridica e Diritto dell‟Informatica; Agata Amato Mangiameli, professore di Filosofia
del Diritto e di Informatica Giuridica, Università degli Studi di Roma Tor Vergata e Coordinatore del Centro studi giuridici “Di-con- per
donne”; Luisa Avitabile, professore di Filosofia del Diritto e Direttore del Dipartimento di Scienze Giuridiche de l‟Università La
Sapienza di Roma; Ugo Pagallo, professore di Filosofia del Diritto e di Informatica Giuridica, Università degli Studi di Torino; Giuseppe
Corasaniti, professore di Informatica Giuridica, Dipartimento di Informatica de l‟Università La Sapienza di Roma; Francesco Romeo,
professore di Informatica Giuridica, Università degli Studi di Napoli Federico II; Giovanni Ziccardi, professore di Informatica Giuridica,
Università degli Studi di Milano; Marco Mancarella, professore di Informatica Giuridica, Università del Salento di Lecce e Direttore del
Laboratorio di eGovernment; Stefano Pietropaoli, professore di Filosofia del Diritto e Informatica Giuridica, Università di Salerno;
Sebastiano Faro, Direttore dell‟ITTIG-CNR Andrea Lisi, Presidente ANORC; Fernanda Faini, Presidente del Circolo Giuristi Telematici;
Guido Scorza, professore a contratto del Master in Diritto delle Nuove Tecnologie dell‟Università di Bologna. Associazioni firmatarie,
invece: ANDIG, SIIG; SIFD; ITTIG; ANORC; Circolo dei giuristi informatici.
21
La declaratoria MIUR del settore IUS/20 è contenuta nel DM 18 marzo 2005, in base al quale: “Il settore comprende gli
studi relativi alla dimensione ontologica, assiologica, deontologica ed epistemologica del diritto. Gli studi si riferiscono, altresì, alla teoria
generale del diritto e dello Stato, nonché ai profili filosofico-giuridici della sociologia giuridica, della bioetica, dell‟informatica giuridica e
della retorica”.
6
sia in corsi universitari deputati alla formazione giuridica ma anche in quelli rivolti agli
operatori informatici.
La lettera conclude con una precisa richiesta rivolta al Governo: che lo stesso, nell‟ambito
della più ampia azione della Strategia per la crescita digitale 2014-20208, dell‟Agenda
Digitale, delle Competenze digitali, delle azioni di riforma del paese, possa introdurre, e in
alcune realtà preservare (e.g., l‟Università di Bologna e l‟Università degli Studi di Roma
Unitelma Sapienza hanno introdotto l‟Informatica Giuridica obbligatoria dal 2005-2006 D.M. 270/04), l‟insegnamento di queste competenze digitali fondamentali per la crescita
della cittadinanza digitale, per l‟economia della società dell‟informazione e l‟industria 4.0.
Il processo di piena legittimazione della materia, come delineata nei documenti promossi da
ANDIG e SIIG, si è concretizzato con la riforma del CAD del settembre 2016 (D.Lgs. n.
179/2016). Nella sua fase finale la riforma ha visto l‟apporto di una serie di Gruppi tematici
coordinati da Fernanda Faini, Presidente del Circolo dei Giuristi telematici: Gruppo
"Identità e cittadinanza digitale, organizzazione, sistemi e servizi" coordinato da Monica
Palmirani (CIRSFID); Gruppo “Documenti informatici e digitalizzazione dei procedimenti
amministrativi" coordinato da Andrea Caccia (UNINFO); Gruppo "Dati e sistema
pubblico di connettività" coordinato da Nello Iacono (Stati Generali dell'Innovazione).
La riforma ha condotto all‟espresso inserimento dell‟Informatica giuridica in alcuni articoli
del CAD:
-
art. 8 “Alfabetizzazione digitale”: “Lo Stato e i soggetti di cui all'articolo 2, comma
2 [le Pubbliche Amministrazioni], promuovono iniziative volte a favorire la diffusione della
cultura digitale tra i cittadini con particolare riguardo ai minori e alle categorie a rischio di
esclusione, anche al fine di favorire lo sviluppo di competenze di informatica giuridica e
l'utilizzo dei servizi digitali delle pubbliche amministrazioni con azioni specifiche e
concrete, avvalendosi di un insieme di mezzi diversi fra i quali il servizio radiotelevisivo”;
-
art. 13 “Formazione informatica dei dipendenti pubblici”: “Le pubbliche
amministrazioni [...] attuano anche politiche di formazione del personale finalizzate alla
conoscenza e all'uso delle tecnologie dell'informazione e della comunicazione, nonchè dei
temi relativi all'accessibilità e alle tecnologie assistive [...]. Le politiche di formazione [...]
sono altresì volte allo sviluppo delle competenze tecnologiche, di informatica giuridica e
manageriali dei dirigenti, per la transizione alla modalità operativa digitale”;
-
art. 17 “Strutture per l‟organizzazione, l‟innovazione e le tecnologie”: “Le pubbliche
7
amministrazioni garantiscono l'attuazione delle linee strategiche per la riorganizzazione e la
digitalizzazione dell'amministrazione definite dal Governo in coerenza con le regole
tecniche di cui all'articolo 71. A tal fine, ciascuno dei predetti soggetti affida a un unico
ufficio dirigenziale generale, fermo restando il numero complessivo di tali uffici, la
transizione alla modalità operativa digitale e i conseguenti processi di riorganizzazione
finalizzati alla realizzazione di un'amministrazione digitale e aperta, di servizi facilmente
utilizzabili e di qualità, attraverso una maggiore efficienza ed economicità [...] Il
responsabile dell'ufficio di cui al comma 1 e' dotato di adeguate competenze tecnologiche,
di informatica giuridica e manageriali e risponde, con riferimento ai compiti relativi alla
transizione, alla modalità digitale direttamente all'organo di vertice politico”.
Volendo riassumere, con la riforma del CAD realizzata dal D.Lgs. n. 179/2016
l‟Informatica giuridica ha acquisito un ruolo centrale sia per lo sviluppo di una “cultura
digitale” del cittadino (art. 8), che sotto il profilo formativo nella Pubblica Amministrazione
(art. 13), ove il nuovo ruolo dirigenziale di Chief Digital Officer - Ufficio unico dirigenziale
per la transizione alla modalità operativa digitale dovrà necessariamente essere svolto da
soggetti con un‟adeguata preparazione in materia (art. 17).
In conclusione, nel lungo excursus degli step fondamentali che negli ultimi anni hanno
finalmente delineato al meglio in Italia, e al passo con i tempi, la materia dell‟Informatica
giuridica, occorre citare anche la Deliberazione del Consiglio e dell‟Ufficio di Presidenza
della SIFD - 11 novembre 2016, nella quale è stato accolto l‟”Appello dei docenti di
ANDIG e SIIG alla SIFD”.
L‟appello deliberato parte dal presupposto che ogni giurista deve, quindi, acquisire
padronanza e consapevolezza dei fondamenti dell‟Informatica, delle sue applicazioni in
ambito giuridico, e dei relativi problemi giuridici e teorico-giuridici per meglio esercitare il
suo ruolo professionale nel settore privato e nel settore pubblico. Inoltre, il giurista esperto
di informatica giuridica può dare uno specifico contributo allo sviluppo delle applicazioni
informatico-giuridiche e far sì che esse operino nel rispetto delle norme e dei valori del
diritto.
Da ciò consegue che la formazione informatico-giuridica richiede un‟adeguata introduzione
ai fondamenti dell‟informatica giuridica, completabile con opportuni insegnamenti
specialistici. ANDIG e SIIG suggeriscono la seguente articolazione:
8
●
Formazione Universitaria:
-
insegnamento obbligatorio: Informatica giuridica 6 crediti - Laurea Magistrale,
Scienze Giuridiche (settore scientifico disciplinare IUS/20);
-
insegnamenti Opzionali: Intelligenza Artificiale e Diritto; Metodologie e tecniche
della normazione; Diritto dell‟amministrazione digitale; Protezione Dati personali; Social
Network e Diritti; Diritto della Sanità Digitale; Diritto della Sicurezza Informatica;
Informatica Forense;
●
Formazione post-universitaria: Master; Corsi di perfezionamento;
●
Formazione professionale: Corsi di specializzazione;
●
Ricerca: Dottorato nel settore scientifico disciplinare IUS/20.
L‟appello si conclude con la richiesta che ogni commissione di abilitazione alla qualifica di
Professore di I e II fascia venga supportata da acclarate competenze informatico-giuridiche
presenti nel raggruppamento IUS/20.
L‟accoglimento dell‟appello da parte della SIFD sarà di certo foriero di un rafforzamento
della disciplina negli anni.
1.2. Internet
L‟“Era digitale” in cui viviamo si caratterizza per alcuni suoi profili particolarmente
evidenti. Innanzitutto, in essa la rappresentazione di ogni forma espressiva umana (testi,
suoni, immagini) avviene attraverso la tecnologia digitale, tramite la quale ogni
informazione può essere trattata ed elaborata. Una tecnologia, per taluni, da intendersi
come vero e proprio “corpo esteso”, vivente, dotato di autonomia evolutiva: il
“Technium”. Un “corpo esteso”, costituito da flussi immateriali di informazioni, che
detiene connessioni profonde non solo con la mente umana, poiché di esso espressione
prima, ma anche con la vita ancestrale e con altri sistemi auto-organizzati.
Il tratto più saliente dell‟Era digitale è, però, un altro: l‟avvenuta convergenza tra le
tecnologie informatiche e quelle della comunicazione, convergenza rappresentata dal
concetto di “Information and Communication Technology” (I.C.T.). A partire dall‟ultimo
decennio del secolo scorso, la “convergenza digitale” è divenuta un fenomeno
9
progressivamente sempre più concreto e rilevante su scala globale, sia sotto il profilo
economico che normativo. Ciò ha indotto la Commissione Europea ad individuare nel
“Libro verde sulla convergenza tra i settori delle telecomunicazioni, dell‟audiovisivo e delle
tecnologie dell‟informazione” del 3 dicembre 1997 le seguenti possibili definizioni di
“convergenza digitale”: “capacità di differenti piattaforme di Rete di gestire servizi di tipo
fondamentalmente simile o unificazione di apparecchiature di largo consumo (ad esempio
telefono, televisione e computer)” (Cap. I.1 del Libro Verde).
La convergenza tecnologica, però, non si è potuta realizzare, se non con il supporto e la
parallela affermazione in ambito Europeo e poi nazionale, di un principio cardine in ambito
digitale: il principio di “neutralità tecnologica”, da intendersi come “non discriminazione tra
particolari tecnologie, non imposizione dell‟uso di una particolare tecnologia rispetto alle
altre e possibilità di adottare provvedimenti ragionevoli al fine di promuovere taluni servizi
indipendentemente dalla tecnologia utilizzata”22. Ovviamente, il concetto di “tecnologia”
contiene anche quello di Reti telematiche e, quindi, di Internet. Per tali ragioni, la
Commissione Europea il 18 dicembre 2009 ha emanato una “Dichiarazione sulla neutralità
della Rete”, nella quale si legge: “La Commissione ritiene che sia della massima importanza
conservare l‟apertura e la neutralità di Internet, tenendo pienamente conto della volontà dei
co-legislatori di dichiarare la neutralità della Rete come obiettivo politico e principio della
regolamentazione che dovrà essere promosso dalle autorità nazionali di regolamentazione,
rafforzare i correlati requisiti di trasparenza e conferire strumenti di salvaguardia alle
Autorità nazionali di regolamentazione per prevenire il degrado dei servizi e intralci o
rallentamenti del traffico sulle reti pubbliche”.
Come facilmente comprensibile da quanto sinora detto, il processo d‟innovazione della
comunicazione tra gli esseri umani, concretizzatosi nell‟ultimo ventennio a seguito
dell‟avvento di Internet, costituisce oggi l‟aspetto saliente dell‟Era digitale, la sua reale
ossatura intorno alla quale il settore pubblico e privato è oramai costretto a ruotare.
I primi passi della Rete sono rinvenibili nell‟ano 1969, quando il Ministero della Difesa
Statunitense creò un'agenzia, ARPA, preposta allo sviluppo di una rete che potesse reggere
al bombardamento nucleare, garantendo la continuità di comunicazione tra località diverse.
Il progetto coinvolse centri di ricerca, università e qualche azienda privata, tutti in qualche
22
Definizione contenuta nel Codice delle comunicazioni elettroniche (D. Lgs. n. 259/03 art. 4 co. 3 lett. h)). Sul tema si veda:
G. Pascuzzi, Il diritto dell’era digitale, Bologna, Il Mulino, 2010, pp. 14-23.
10
modo legati all'attività militare e dotati di computer che all'epoca costituivano quanto di più
moderno la tecnologia informatica americana potesse offrire. Contestualmente i Bell
Laboratories (famoso centro di ricerca americano di proprietà di AT&T) stavano lavorando
allo sviluppo del sistema operativo Unix, che sarebbe diventato uno standard per il mondo
accademico e della ricerca e anche per molte applicazioni militari. L'unione di questi filoni
avrebbe portato a quello che oggi è Internet, ma il percorso è costellato di alcuni eventi
determinanti.
Il primo appalto per la costruzione della rete fu concesso a una società chiamata Bolt,
Beranak and Newman (BBN) che collegò quattro università diverse: Stanford University,
UCLA (University of California at Los Angeles), UCSB (Univesity of California at Santa
Barbara) e la University of Utah, usando linee telefoniche e installò in ciascuna di queste un
IMP (Information Message Processor), vale a dire un particolare computer che gestiva il
traffico in rete. L'IMP fungeva da intermediario tra linee di connessione e mainframe, i
grandi elaboratori centralizzati su cui all'epoca risiedevano tutte le informazioni e tutti i
programmi. L'impianto divenne attivo il 2 settembre 1969 e così nacque ARPANET. Tutto
il traffico che viaggiava su queste connessioni non era confidenziale e serviva
prevalentemente a titolo di ricerca e sperimentazione. All'epoca i sistemi per trasmettere
messaggi da una località all'altra non erano molto efficaci e il primo obiettivo dei ricercatori
fu proprio quello di trovare soluzioni funzionali per convogliare i pacchetti su Arpanet.
Decisero di adottare un modello il cui sviluppo era già iniziato in Europa (per opera del
National Physics Lab inglese e della Sociètè Internationale de Tèlècommunications
Aeronatiques francese) e che sarebbe poi diventato comune in molti altri sistemi di
comunicazione: la commutazione di pacchetto. Mediante questa tecnica, i messaggi e le
informazioni vengono suddivisi in pacchetti di lunghezza fissa e ogni singolo pacchetto
diventa un'entità a se stante, capace di viaggiare sulla rete in modo completamente
autonomo perchè dotata al proprio interno dell'indirizzo sia di provenienza sia di
destinazione.
Non è importante che tutti i pacchetti che compongono un determinato messaggio
rimangano uniti durante il percorso e non è nemmeno indispensabile che arrivino nella
sequenza giusta. Le informazioni che essi convogliano al proprio interno sono sufficienti
per ricostruire, una volta arrivati a destinazione, l'esatto messaggio originale,
indipendentemente dal percorso seguito da ciascuno dei suoi frammenti. Grazie a questo
11
sistema si ottengono due benefici immediati: qualunque sia lo stato della rete, il pacchetto
può sempre trovare una via alternativa per giungere alla propria destinazione (requisito utile
per gli obiettivi militari e per chiunque desideri avere un impianto il più possibile resistente
ai guasti, anche a quelli accidentali). Inoltre i vari pacchetti provenienti da fonti diverse
possono essere convogliati tutti assieme su una singola linea ad alta velocità anzichè dover
ricorrere a tante linee separate, usate solo parzialmente. Si riesce in questo modo a
condensare il traffico su una linea collegata in permanenza che ripartisce dinamicamente la
propria capienza tra i vari computer collegati e che, in ogni caso, è quasi sempre
attraversata da qualche tipo di traffico e perciò giustifica il proprio costo. Se la linea venisse
usata da una singola macchina o da poche macchine, resterebbe quasi sempre inattiva visto
che anche l'utente più veloce passa la maggior parte del tempo a lavorare in locale
(leggendo quello che gli è arrivato dalla rete o preparando una risposta) e solo molto
sporadicamente trasmette o riceve qualcosa. In effetti Internet usata con un modem su
linea commutata, cioè la linea normale telefonica, non è molto efficiente poiché esistono
numerosi tempi morti dovuti al nostro personale modo di lavorare e al ritardo di reazione
dei server con cui chiediamo di collegarci.
Il primo protocollo sviluppato per la commutazione di pacchetto su ARPANET si
chiamava NCP (Network Control Protocol), ma non era particolarmente efficiente. Col
passare del tempo i progettisti di Arpanet definirono un insieme di circa 100 protocolli per
regolare il trasferimento dei pacchetti e questo insieme si è evoluto in quella che noi oggi
conosciamo con il nome di Internet Protocol Suite: una raccolta di standard trasmissivi che
verte su due protocolli primari, il Transmission Control Protocol (TCP) e l'Internet
Protocol (IP), più molti altri secondari che consentono la comunicazione tra computer e
reti molto diverse. La prima definizione di tali protocolli risale al 1973 e nel 1974 Vincent
Cerf e Robert Kahn ne stilarono le caratteristiche su un documento intitolato IEEE
Transactions on Communications (l‟Institute of Electrical and Electronics Engineers è
l'associazione di categoria che riunisce tutti gli ingegneri americani). Quello stesso anno fu
pubblicata la prima specifica per i protocolli da utilizzare su Internet. Si dovette attendere
fino al 1 gennaio 1983 per l'adozione ufficiale dell'intera Internet Protocol Suite.
Tornando un attimo indietro nel tempo vediamo che il 1972 rappresentò un'altra tappa
importante: l'Università dello Utah realizzò un sistema per controllare un computer a
distanza su Arpanet e divenne possibile trasferire file da un computer all'altro per mezzo
12
del protocollo FTP (File Transfer Protocol). Combinando tcp/ip ed ftp si era giunti al
coronamento dell'obiettivo tecnologico di ARPANET: trasferire dati da un punto all'altro
della rete. Quel che ancora rimaneva da dimostrare era se i dati sarebbero potuti fluire tra
due macchine di tipo anche diverso, utilizzando i tipi più disparati di collegamento (incluso
l'etere). L'esperimento chiave in questo senso fu condotto nel 1978: un computer che
viaggiava a bordo di un camion su un'autostrada californiana inviò dati a un altro computer
che si trovava a Londra. Il camion era collegato via radio con un terzo computer in
California, il quale inoltrava le informazioni sulla rete, queste attraversavano l'intero
continente nordamericano su linee terrestri e infine superavano l'Atlantico per mezzo di
una connessione satellitare. Già nel 1980 ARPANET si trasformò in uno strumento vitale
per le università e per i centri di ricerca americani, che avevano un bisogno sempre
maggiore di scambiare informazioni e di coordinare le proprie attività. Nacque così la posta
elettronica che si affiancava al semplice trasferimento di file, che aveva costituito la prima
applicazione di ARPANET. Nel 1983 Internet divenne a tutti gli effetti la rete delle reti,
utilizzando ARPANET come dorsale (rete ad alta velocità che unisce tra loro altre reti
locali).
Tuttavia restavano ancora esclusi tutti quegli atenei che non avevano rapporti con il
Dipartimento della Difesa. Al fine di risolvere questo problema e di estendere l'accesso a
tutti gli interessati, il Dipartimento della Difesa creò una propria rete alternativa, detta
MILNET, così da non dover più dipendere esso stesso da ARPANET e da lasciare campo
libero al mondo accademico, mentre il governo americano istituì la National Science
Foundation (NSF) con il duplice scopo di fornire risorse di elaborazione alle università
(mediante l'uso centralizzato di supercomputer) e di favorire la crescita di un sistema di
comunicazione veloce tra queste ultime.
Nei primi anni Ottanta la NSF costruì CSNET, una rete che univa le varie facoltà
d'informatica statunitensi; alla fine degli anni Ottanta costituì NSFNET con lo scopo
dichiarato di rimpiazzare Arpanet per mezzo di una rete dorsale alternativa. La transizione
è stata relativamente lunga e in effetti ARPANET è stata smantellata definitivamente solo
nel
1990.
Nel 1991 il governo degli Stati Uniti ha emanato una legge, l'High Performance Computing
Act, che decretava la nascita della National Research and Education Network (NREN detta anche "autostrada elettronica") il cui scopo è quello di costituire reti ad alta velocità
13
che uniscano le varie università e i vari centri di ricerca americani, fornendo anche
l'infrastruttura per eventuali attività commerciali. Sempre quello stesso anno, il CERN
(Consiglio Europeo per la Ricerca Nucleare) poneva le basi per una nuova architettura
capace di semplificare enormemente la navigazione di Internet, la World Wide Web. Nel
1993 è stato inventato il primo strumento grafico per esplorare Internet, il programma
Mosaic. A partire dal 1994 la World Wide Web ha trasformato Internet in un fenomeno di
massa e oggi esistono dorsali alternative a NSFNET che servono sia per aumentare la
quantità di traffico che può circolare su Internet sia per consentire la presenza di servizi
commerciali che sono vietati nel contesto accademico definito dalla National Science
Foundation.
A differenza delle quattro università che parteciparono alla versione originale di Arpanet,
l‟Internet moderna si compone di migliaia di singole reti, ciascuna che raccoglie a sua volta
un numero più o meno grande di host (macchine individuali). Il termine non si riferisce ai
singoli oggetti fisici al suo interno, bensì allo spazio complessivo che questo insieme di
computer rappresenta e che può essere attraversato in lungo e in largo da chi cerca notizie,
documenti, messaggi e file da scaricare. La natura dei protocolli tcp/ip è tale da consentire
l'interconnessione dei network più eterogenei: dalle LAN convenzionali (come Ethernet)
alle reti geografiche che si spargono sul territorio attraverso l'impiego di linee telefoniche
più o meno veloci, governate coi metodi trasmissivi più disparati. Non esiste computer al
mondo che non possa dialogare con il tcp/ip e questo comprende i personal computer, i
mini computer e i grandi mainframe (i mostri da centro di calcolo). Il sistema fisico di
connessione può essere il più vario: fibra ottica per le grandi distanze, cavo coassiale e
doppino telefonico, satellite, onde radio, raggi infrarossi. Si tratta di un mondo in continua
trasformazione, con pezzi che si aggiungono e pezzi che scompaiono, ma nel suo insieme
lo spazio Internet è sempre disponibile, a qualsiasi ora, e la sua esistenza non dipende
dall'iniziativa di una singola azienda oppure di un singolo governo. L'universalità di questa
rete consente agli utenti di scegliere il computer e i programmi che preferiscono, di
decidere liberamente il tipo di connessione da utilizzare (modem su linea privata, linea
ISDN, rete locale con collegamento geografico ad alta velocità)23.
23
La ricostruzione storica della genesi di Internet è tratta dalla pagina web del Dipartimento di di informatica e automazione
dell‟Università Roma Tre: http://www.dia.uniroma3.it/~necci/storia_internet.htm, consultato nel mese di dicembre 2014.
14
1.3.1. Diritto ad Internet
L‟analisi del diritto ad Internet e della possibilità di qualificarlo come diritto fondamentale
parte dalla Francia, Paese nel quale il dibattito politico e giuridico sul tema si è sviluppato
da diversi anni.
Il Consiglio Costituzionale francese24, con Décision n. 2009-580 del 10 giugno 2009, ha
stabilito che la connessione a Internet è un diritto fondamentale del cittadino e che quindi
nessuna autorità può alienarlo.
Più precisamente, il Consiglio Costituzionale francese ha deliberato che la H.A.D.O.P.I.25,
l‟alta autorità che dovrebbe staccare la connessione Internet dopo tre avvertimenti a tutti
coloro che fossero presi a scaricare file in modo illegale, non potrà mettere in atto questa
sua facoltà repressiva. La bozza di Legge istitutiva della H.A.D.O.P.I. viene riconosciuta
come costituzionale nei suoi intendimenti, di protezione della proprietà intellettuale, ma è
da riscrivere per quanto attiene all‟aspetto repressivo26. Il Consiglio Costituzionale motiva
dicendo che Internet rappresenta un “diritto alla libertà di espressione” e sanzionare
coloro che trasgrediscono alle leggi non spetta ad una “autorità” ma alla giustizia. Il
Consiglio Costituzionale francese, in altre parole, ha affermato che la libertà di
comunicazione e di espressione, enunciata dall‟art. 11 della “Dichiarazione dei Diritti
dell‟Uomo e del Cittadino”, fin dal 1789 è oggetto di una costante giurisprudenza
protettrice da parte del Consiglio Costituzionale. Ed ancora che questa libertà implica, oggi,
la libertà di accedere ai servizi pubblici di comunicazione online, avuto riguardo allo
sviluppo generalizzato dell‟Internet e alla sua partecipazione alla vita democratica in
funzione della libertà di espressione e diffusione delle idee. In sostanza, traendo spunto
anche da quanto affermato dal Parlamento Europeo con una Raccomandazione destinata al
Consiglio del 26 marzo 2009, l‟organo costituzionale francese ha ribadito che Internet è
uno strumento per formare e manifestare il pensiero, accedere alla Rete è un diritto
fondamentale del cittadino, e solo al termine di un regolare processo e del parere
24
Il Consiglio costituzionale francese svolge in larga parte le medesime funzioni che nel nostro Paese sono svolte dalla Corte
Costituzionale, ovvero si pone come Giudice delle Leggi.
25
“H.A.D.O.P.I.” è l‟acronimo del nome dell‟ente di monitoraggio e controllo che il Governo francese intendeva creare:
“Haute Autorité pour la Diffusion des Oeuvres et la Protection des droits sur Internet”.
26
Questa legge fa seguito alla Direttiva 2001/29/CE, recepita nell‟ordinamento francese con la Legge sul “Droit d‟Auteur et
aux Droits Voisins dans la Société de l‟Information – D.A.D.V.S.I.” del 3 agosto 2006, che tutela specificatamente i diritti di autore su
Internet. Successivamente all‟intervento del Consiglio Costituzionale, la Legge H.A.D.O.P.I., depurata delle parti definite incostituzionali,
è stata emanata il 12 giugno 2009. La Legge H.A.D.O.P.I. è stata poi completata da una successiva Legge, denominata “H.A.D.O.P.I. 2”,
adottata dal Senato il 15 settembre 2009.
15
dell‟autorità giudiziaria è possibile comprimere questo diritto. Non possono quindi essere le
major che si arrogano il diritto di “scandagliare” la Rete alla ricerca di downloads illegali,
non possono essere gli Internet Service Provider (I.S.P.) di propria iniziativa ad inviare
all‟utente minacciose missive di disconnessione dalla Rete, non può essere una società
(pubblica o privata che sia) a gestire il regolare accesso ad Internet e/o sanzionare
amministrativamente chi adotta comportamenti illeciti. La giustizia non è un fatto privato.
Nelle democrazie esiste un organo, la Magistratura, preposto all‟esercizio di simili funzioni.
Un cittadino ha dunque pieno diritto di accesso alla Rete e solo un tribunale può decidere
di sanzionarlo (civilmente e/o penalmente) se dovesse agire illegalmente.
Tale decisione segna un‟epoca. Infatti, è la prima volta che un‟autorità stabilisce in modo
inequivocabile che l‟accesso a Internet fa parte dei diritti fondamentali di espressione.
Il tema della necessità di garantire una tutela del diritto d‟accesso ad Internet è stato
affrontato da più parti, e attraverso diversi tipi di documenti. L‟Italia non è rimasta esclusa
da tale discussione, ma vi ha partecipato attivamente attraverso la proposta di una riforma
costituzionale che preveda una specifica tutela di Internet.
L‟iniziativa è sorta nell‟ambito dell‟“Internet Governance Forum”27 tenutosi a Roma nel
novembre 2010, nel corso del quale Rodotà, già Presidente dell‟Autorità Garante per la
protezione dei dati personali, ha proposto l‟inserimento nella Costituzione italiana di un art.
21-bis espressamente a tutela di Internet, il cui testo afferma: “Tutti hanno eguale diritto di
accedere alla rete Internet, in condizione di parità, con modalità tecnologicamente adeguate
e che rimuovano ogni ostacolo di ordine economico e sociale. La legge stabilisce
provvedimenti adeguati a prevenire le violazioni dei diritti di cui al Titolo I della parte I.”
Questa proposta s‟inscrive nell‟ambito dei principi costituzionali posti a tutela della libera
costruzione della personalità e dell‟eguaglianza tra i cittadini e non si limita a superare il
“divario digitale” (digital divide)28 che attualmente è ancora presente in Italia, ma intende
rafforzare il principio della neutralità del mezzo Internet e della sua configurazione come
bene comune, al quale deve essere garantito l‟accesso.
27
La prima edizione dell‟”Internet Governance Forum Italia” (I.G.F. Italia) si è tenuta nel 2008 su invito del Parlamento
europeo di organizzate I.G.F. nazionali. L‟iniziativa, che dal 2008 viene organizzazta annualmente, si propone di riunire la comunità
italiana della Rete per discutere sui temi propri dell‟I.G.F. delle Nazioni Unite. Per i dettagli sulle edizioni annuali è possibile consultare il
sito istituzionale della manifestazione, all‟U.R.L.: http://www.igf-italia.it/, consultato nel mese di giugno 2013.
28
Per “divario digitale” dobbiamo intendere il divario esistente tra chi ha accesso effettivo alle I.C.T. e chi ne è escluso, in tutto
o in parte, per una molteplicità di variabili: condizioni economiche, livello d‟istruzione, qualità delle infrastrutture, differenze di età o di
sesso, appartenenza a diversi gruppi etnici, provenienza geografica. Per un approfondimento: L. Sartori, Il divario digitale. Inernet e le nuove
disuguaglianze sociali, Bologna, Il Mulino, 2006; G. Iorio, Il divario digitale: internet e la cittadinanza elettronica, Roma, Punto di fuga, 2004.
16
L‟accesso ad Internet può essere attualmente considerato come una precostituzione della
cittadinanza e della democrazia e per tale ragione va tutelato, attraverso decisioni di
responsabilità pubblica che contrastino iniziative censorie.
L‟intervento di Rodotà aveva condotto alla proposta di un Disegno di Legge
Costituzionale, il n. 2485 del 6 dicembre 2010, di cui sono stati firmatari sedici senatori
della Repubblica italiana. Nella relazione di accompagnamento si fa riferimento alla
necessità di ampliare la sfera dei diritti fondamentali tutelati dal nostro ordinamento 29 per
garantire l‟accesso alla rete Internet a tutti i cittadini italiani, in considerazione che l‟accesso
alle reti telematiche è divenuto una componente essenziale della cittadinanza30.
Poiché Internet si configura come il più grande spazio pubblico di discussione e
partecipazione che l‟umanità abbia mai conosciuto, la proposta afferma che lo strumento a
tutela dell‟accesso a tale mezzo debba essere necessariamente di rango costituzionale, al fine
di poter garantire il diritto di partecipazione di ogni individuo lottando contro
l‟analfabetismo elettronico e l‟esclusione dal dibattito democratico nell‟era elettronica.
La relazione motiva la proposta di modifica costituzionale attraverso tre punti
fondamentali.
Il primo riguarda l‟affermazione di Internet come strumento principe per l‟esercizio della
democrazia partecipata, che conduce alla necessità della sua tutela come mezzo universale
ed aperto, fondato sulla libertà di espressione, sulla tolleranza e sul rispetto della privacy.
Il secondo punto fa riferimento al principio che l‟accesso alle reti telematiche, in condizioni
di parità ed uguaglianza, è garanzia della partecipazione democratica: pertanto il godimento
di tale diritto necessita dello sviluppo della banda larga per superare il divario digitale che
divide le zone periferiche dalle aree urbanizzate e diffondere i servizi che caratterizzano
un‟evoluta società dell‟informazione, quali l‟apprendimento a distanza e i servizi online
della Pubblica Amministrazione.
Il terzo punto riguarda la necessità di porre la tutela dell‟accesso alla rete Internet sotto una
norma di valore costituzionale, al fine di evitare qualsiasi limitazione di carattere
autoritaristico.
29
Facendo espresso riferimento agli artt. 2, 3, 4, 15, 21 e 42 della Costituzione.
30
Nella Legislatura in corso (XVII), la proposta d‟introduzione dell‟art. 21-bis nella Carta fondamentale è stata reiterata con il
Disegno di Legge n. 850, presentato alla Camera dei Dputati il 29 aprile 2013 dalla deputata on.le V. Tentori. È possibile seguirne l‟iter
parlamentare all‟U.R.L.: http://www.senato.it/leg/17/BGT/Schede_v3/Ddliter/40741.htm, consultato nel mese di giugno 2013.
17
Tale proposta di Disegno di Legge non ha condotto ad una modifica costituzionale,
tuttavia ha costituito un passaggio importante nel percorso verso il riconoscimento della
garanzia dei diritti in Rete, i quali, per loro stessa natura ontologica, non nascono in un solo
luogo e attraverso un‟unica iniziativa, ma sono in continua evoluzione.
Senza giungere ad una integrazione della Carta fondamentale, con l‟introduzione dell‟art.
21-bis, vi è chi legge nel già esistente art. 21 la possibilità di nuove declinazioni
interpretative, tali da donare un “nuovo volto alla libertà di manifestazione del pensiero
rispetto a come è stata tradizionalmente intesa. E cioè come libertà esercitabile, sia pure
non in via esclusiva, attraverso il filtro dei mezzi di comunicazione di massa: giornali, radio,
televisione”31. Infatti, “si può senz‟altro affermare che Internet ha consentito il recupero
della nozione di manifestazione del pensiero come libertà individuale, cioè senza “filtri”,
ovvero senza mediazioni di sorta, un open network”32. La libertà telematica di
manifestazione del pensiero, come implicita nell‟art. 21, presuppone necessariamente
l‟accesso ad Internet, oggi strumento principe di espressione del pensiero individuale. Si
giunge quindi a configurare un diritto ad Internet come un diritto di libertà informatica,
espressione di un nuovo liberalismo, fermento della nuova civiltà liberale promossa dalla
rivoluzione tecnologica33.
Una tale interpretazione dell‟art. 21 Cost. trova un suo fondamento nella lettura, anch‟essa
evolutiva, dell‟art. 19 della “Dichiarazione universale dei diritti dell‟uomo”, in base al quale:
“Ogni individuo ha diritto alla libertà di opinione e di espressione incluso il diritto di non
essere molestato per la propria opinione e quello di cercare, ricevere e diffondere
informazioni e idee attraverso ogni mezzo e senza riguardo a frontiere”.
Ricevere e diffondere informazioni e idee attraverso ogni mezzo è, quindi, un diritto
dell‟uomo ed, essendo Internet il mezzo più pervasivo atto alla ricezione e diffusione di
informazioni ed idee, l‟accesso stesso a tale mezzo diviene, pertanto, un diritto ai fini della
realizzazione del diritto superiore tutelato dalla succitata Dichiarazione.
Secondo tale interpretazione, dunque, alla “Rete delle Reti” è affidato un ruolo centrale per
la società moderna, vale a dire quello di consentire l‟accesso e la realizzazione del diritto di
manifestazione del pensiero, quindi del diritto di informare, ma anche del diritto di ricevere
informazioni, quindi del diritto di essere informati.
31
32
33
T.E. Frosini, Il diritto costituzionale di accesso a Internet, cit., pp. 6-7.
Ibidem.
Cfr. T.E. Frosini, Tecnologie e libertà costituzionali, in “Il diritto dell‟informazione e dell‟informatica”, 3, 2003, pp. 487 ss.
18
Si realizza pertanto la visione di un diritto in evoluzione, in quanto l‟accesso alla Rete non
può essere considerato meramente un servizio, ma soprattutto un mezzo per garantire la
libertà di espressione.
Considerando dunque lo sviluppo e la pervasività di Internet, nonché il ruolo acquisito da
tale mezzo per la partecipazione alla vita democratica, il diritto di ricevere e diffondere
informazioni ed idee si sostanzia anche attraverso la libertà di accedere ai servizi online34.
La Rete si colora con le tonalità dei diritti umani e il suo regime giuridico ne risulta
rafforzato, in quanto mezzo necessario ad assicurare la libertà di manifestazione del
pensiero e la partecipazione alla vita democratica.
Volendo ora volgere lo sguardo su scala globale e non limitata a singoli Stati, la promozione
del diritto alla liberà di espressione e opinione è divenuto terreno fertile in ambito O.N.U.
per una prima affermazione nel 2011, chiara e diretta, del diritto ad Internet quale diritto
umano.
Un passaggio importante in tal senso avviene attraverso un Rapporto delle Nazioni Unite
del giugno 2011, per mezzo del documento predisposto dal relatore speciale La Rue “Sulla
protezione e la promozione del diritto alla libertà di espressione e opinione”35, nel quale
viene affermato che “dato che Internet è diventato un mezzo indispensabile per la
realizzazione di tutta una serie di diritti umani, combattendo l‟ineguaglianza e accelerando
lo sviluppo e il progresso, assicurare l‟accesso universale a Internet dovrebbe essere una
priorità per tutti gli Stati”.
Il rapporto esplora le tendenze e le sfide per il diritto di tutti gli individui a ricercare,
ricevere e diffondere idee e informazioni di ogni genere attraverso Internet. Il relatore
speciale La Rue sottolinea la natura unica e trasformativa di Internet, non solo al fine di
permettere alle persone di esercitare il loro diritto alla libertà di opinione e di espressione,
ma anche una serie di altri diritti umani, e di promuovere il progresso della società nel suo
complesso.
Il documento sottolinea l‟applicabilità delle norme e standard internazionali sui diritti
umani al diritto alla libertà di opinione e di espressione attraverso il
mezzo di
34
B. Carotti, L‟accesso alla rete e la tutela dei diritti fondamentali, in “Giornale di diritto amministrativo”, 6, 2010, pp. 643-649.
35
Si tratta del documento A/HRC/17/27 presentato nella XVII Sessione del Consiglio dei Diritti Umani dell‟Organizzazione
delle Nazioni Unite sul tema n. 3, “Promozione e protezione di tutti i diritti umani, civili, politici, economici e culturali, incluso il diritto
allo sviluppo”.
19
comunicazione Internet e precisa le circostanze eccezionali in cui la diffusione di alcuni tipi
di informazioni può essere limitata.
Vengono distinte due dimensioni di accesso a Internet: rispettivamente, l‟accesso ai
contenuti e l‟accesso fisico all‟infrastruttura tecnica necessaria per l‟utilizzo di Internet.
Più specificamente, la relazione illustra alcuni dei modi in cui gli Stati censurano sempre più
frequentemente le informazioni online attraverso, in particolare: il blocco arbitrario o il
filtraggio dei contenuti; la criminalizzazione della legittima espressione e l‟imposizione di
responsabilità degli intermediari; lo scollegare gli utenti dall‟accesso a Internet, anche sulla
base dei diritti di proprietà intellettuale; gli attacchi informatici ed una protezione
inadeguata del diritto alla privacy e alla protezione dei dati.
Il relatore speciale, inoltre, chiarisce il problema di un accesso universale a Internet, che
dovrebbe costituire una priorità per tutti gli Stati: ogni Stato dovrebbe quindi sviluppare
una politica concreta ed efficace, in consultazione con referenti provenienti da tutti i settori
della società, compreso il settore privato ed i Ministeri, per rendere Internet ampiamente
disponibile e accessibile a tutte le fasce della popolazione.
A livello internazionale, il Relatore Speciale ribadisce il suo invito agli Stati, in particolare a
quelli più sviluppati, ad onorare il loro impegno nel facilitare il trasferimento di tecnologia
agli Stati in via di sviluppo e ad integrare programmi efficaci per favorire l‟accesso
universale a Internet nelle loro politiche di sviluppo e di assistenza.
Laddove l‟infrastruttura per l‟accesso a Internet è presente, il relatore speciale incoraggia gli
Stati a sostenere iniziative volte a garantire che le informazioni online possano essere
accessibili in modo significativo da parte di tutti i settori della popolazione, comprese le
persone con disabilità e le persone appartenenti a minoranze linguistiche.
Il relatore sottolinea, inoltre, che gli Stati dovrebbero includere l‟alfabetizzazione ad
Internet nei programmi scolastici e il sostegno di moduli di apprendimento analoghi al di
fuori delle scuole. Oltre alla formazione sulle competenze di base, viene affermato che
alcuni moduli dovrebbero essere dedicati a chiarire i benefici di accesso online alle
informazioni e al contribuire responsabilmente all‟informazione, nonché ad aiutare i
cittadini a imparare a proteggersi contro i contenuti nocivi e spiegare le possibili
conseguenze di rivelare informazioni private su Internet.
Quindi la pervasività del mezzo ed il modo in cui Internet viene utilizzato dalle popolazioni
di tutto il mondo lo fanno entrare a pieno nel novero dei diritti umani da tutelare e
20
rispettare, in quanto attraverso di esso possono essere agevolati e garantiti ulteriori diritti,
quali quelli civili e politici.
Tale documento ha condotto il 29 giugno 2012 alla Risoluzione A/HRC/20/L.13 del
Consiglio per i diritti umani dell‟O.N.U., approvata all‟unanimità da più di 70 Stati36 a
Ginevra: si tratta di un documento molto sintetico, ma dall‟indubbio valore contenutistico,
in quanto per la prima volta viene sancito che Internet è un diritto umano, in quanto luogo
immateriale nel quale i diritti umani vanno garantiti, nonostante non ricada nella
giurisdizione di alcuno Stato.
Molto sinteticamente, ma con delle affermazioni dal forte valore dogmatico, lontane dal
restare delle indicazioni prive di futuro, la Risoluzione rappresenta il primo documento
formale delle Nazioni Unite, le quali s‟impegnano a proteggere e tutelare i diritti umani
online nella stessa misura in cui essi vengono tutelati nel mondo fisico.
Compiute le dovute premesse, nelle quali vengono riaffermati i diritti umani e le libertà
fondamentali contemplati nella “Dichiarazione Universale dei Diritti Umani” e nei più
rilevanti trattati internazionali e preso in considerazione il documento predisposto da La
Rue, la risoluzione prende atto del fatto che l‟esercizio dei diritti umani, in particolare il
diritto alla libertà d‟espressione, in Internet è un tema di crescente interesse e importanza,
poiché il rapido ritmo dello sviluppo tecnologico permette agli individui di tutto il mondo
di utilizzare le nuove tecnologie dell‟informazione e della comunicazione.
Pertanto, la Risoluzione, entrando nello specifico, prevede cinque punti fondamentali:
afferma che gli stessi diritti che le persone hanno offline devono essere protetti anche
online, in particolare la libertà di espressione, che è applicabile a prescindere dalle frontiere
e attraverso ogni mezzo (il cui utilizzo è rimesso alla discrezione di ciascun individuo), in
conformità all‟art. 19 della “Dichiarazione Universale dei Diritti Umani” e del “Patto
internazionale dei diritti civili e politici”37; riconosce la natura globale e aperta di Internet
come forza trainante per accelerare il progresso nelle sue varie forme; invita tutti gli Stati a
promuovere e facilitare l‟accesso a Internet e la cooperazione internazionale finalizzata allo
36
I Paesi firmatari della Risoluzione ONU A/HRC/20/L.13 sono: Algeria, Argentina, Australia, Austria, Azerbaigian, Belgio,
Bolivia, Bosnia-Erzegovina, Brasile, Bulgaria, Canada, Cile, Costa Rica, Costa d‟Avorio, Croazia, Cipro, Repubblica Ceca, Danimarca,
Gibuti, Egitto, Estonia, Finlandia, Francia, Georgia, Germania, Grecia, Guatemala, Honduras, Islanda, India, Indonesia, Irlanda, Italia,
Lettonia, Libia, Liechtenstein, Lituania, Lussemburgo, Maldive, Malta, Mauritania, Messico, Monaco, Montenegro, Marocco, Paesi Bassi,
Nigeria, Norvegia, Palestina, Perù, Polonia, Portogallo, Qatar, Repubblica di Moldavia, Repubblica di Corea, Romania, Serbia, Slovacchia,
Slovenia, Somalia, Spagna, Svezia, l‟ex Repubblica iugoslava di Macedonia, Timor-Est, Tunisia, Turchia, Ucraina, Regno Unito di Gran
Bretagna e Irlanda del Nord, Stati Uniti d‟America, Ungheria,Uruguay. La Risoluzione è visionabile all‟U.R.L.:
http://ap.ohchr.org/documents/alldocs.aspx?doc_id=20280, consultato nel mese di giugno 2013.
37
Il “Patto internazionale sui diritti civili e politici” è un trattato delle Nazioni Unite, vincolante per le Nazioni firmatarie,
sottoscritto a New York il 16 dicembre 1966 e nato dall‟esperienza della “Dichiarazione Universale dei Diritti dell‟Uomo”.
21
sviluppo dei mezzi di informazione e di comunicazione in tutti i Paesi; incoraggia
procedure speciali affinché i Paesi prendano in considerazione questi temi all‟interno dei
loro attuali mandati; decide di continuare a portare avanti la promozione, protezione e il
godimento dei diritti umani, compreso il diritto alla libertà di espressione, in Internet e
tramite altre tecnologie, in quanto Internet può costituire uno strumento importante per lo
sviluppo e per l‟esercizio dei diritti umani.
Si tratta di un fondamentale documento che apre la via del dialogo tra i popoli, favorendo
l‟accesso alla vita democratica degli Stati.
Al di là delle su esposte considerazioni in tema di libertà di manifestazione del pensiero e,
dunque, d‟interpretazione evolutiva delll‟art. 21 della Costituzione, vi sono anche altre
norme della Carta fondamentale utili al riconoscimento ed inquadramento nel nostro
ordinamento del diritto ad Internet.
La Corte Costituzionale, con sentenza n. 307 del 2004, ha riconosciuto come il diritto allo
sviluppo culturale informatico, soprattutto attraverso lo strumento Internet, sia
“corrispondente a finalità di interesse generale, quale è lo sviluppo della cultura, nella specie
attraverso l‟uso dello strumento informatico, il cui perseguimento fa capo alla Repubblica
in tutte le sue articolazioni (art. 9 Cost.)”.
Ma il diritto ad Internet trova ulteriore fondamento nel principio di uguaglianza di cui
all‟art. 3 della nostra Costituzione in base alla Legge n. 4 del 2004, incentrata
sull‟accessibilità degli strumenti informatici e telematici per i diversamente abili, ma che
detta al suo art. 1 un principio valido per ogni individuo: “La Repubblica riconosce e tutela
il diritto di ogni persona ad accedere a tutte le fonti di informazione e ai relativi servizi, ivi
compresi quelli che si articolano attraverso gli strumenti informatici e telematici”.
Pertanto, la norma configura l‟accesso ad Internet come strumento di realizzazione
dell‟eguaglianza sostanziale tra i cittadini38.
Da quanto detto consegue che “negare l‟accesso alla rete significherebbe […] ledere diritti
fondamentali, quali la libertà di espressione, il diritto all‟informazione, all‟istruzione, allo
sviluppo e all‟eguaglianza. Quindi, il diritto di accesso a Internet è una libertà fondamentale
il cui esercizio è strumentale all‟esercizio di altri diritti e libertà costituzionali”39. Ancor più
38
V.P. Costanzo, Profili costituzionali di Internet, in E. Tosi (a cura di), I problemi giuridici di Internet, Milano, Giuffrè, 2003,
pp. 69 ss.; M. Pietrangelo, Il diritto all‟uso delle tecnologie nei rapporti con la Pubblica Amministrazione: luci ed ombre, in “Informatica
e diritto”, 2005, 1-2, pp. 73-88; P. Costanzo, L‟accesso ad Internet in cerca d‟autore, in “Diritto all‟Internet”, 3, 2005, pp. 249-251.
39
T.E. Frosini, Il diritto costituzionale di accesso a Internet, cit., p. 9.
22
precisamente, il diritto ad Internet si deve considerare come un diritto sociale, “o meglio
una pretesa soggettiva a prestazioni pubbliche, al pari dell‟istruzione, della sanità e della
previdenza. Un servizio universale, che le istituzioni nazionali devono garantire ai loro
cittadini attraverso investimenti statali, politiche sociali ed educative, scelte di spesa
pubblica”40.
Abbandonando l‟analisi del processo di affermazione del diritto ad Internet su scala
internazionale e sul piano costituzionale, in Italia ha fatto eco un‟innovativa norma di rango
ordinario introdotta con l‟art. 13-ter del Decreto Legge n. 179/2012, come convertito con
Legge n. 221/2012, il quale ha disposto all‟art. 13-ter: “Lo Stato riconosce l‟importanza del
superamento del divario digitale, in particolare nelle aree depresse del Paese, per la libera
diffusione della conoscenza fra la cittadinanza, l‟accesso pieno e aperto alle fonti di
informazione e agli strumenti di produzione del sapere. A tal fine, promuove una «Carta
dei diritti», nella quale sono definiti i principi e i criteri volti a garantire l‟accesso
universale della cittadinanza alla rete Internet senza alcuna discriminazione o forma di
censura. Lo Stato promuove la diffusione dei principi della «Carta dei diritti» a livello
internazionale e individua forme di sostegno al Fondo di solidarietà digitale per
la
diffusione della società dell‟informazione e della conoscenza nei Paesi in via di sviluppo”.
Riconoscere “l‟accesso universale della cittadinanza alla rete Internet senza alcuna
discriminazione o forma di censura” significa porre le basi per il pieno riconoscimento di
un diritto, e non semplice principio, valevole su scala universale, ad Internet.
Dal (futuro) pieno ed incondizionato riconoscimento del diritto fondamentale del cittadino
all‟accesso ad Internet scaturiscono tutte le diverse libertà che da esso hanno origine e che
attengono al mezzo tecnologico, in un continuo processo estensivo dell‟”orizzonte
giuridico di Internet”41.
Si parla infatti di libertà informatica o di comunicazione elettronica intesa come diritto
all‟accesso alla Rete, ma anche, come già detto parlando dell‟istituto dell‟habeas data, di
diritto al controllo della propria identità digitale, vale a dire della possibilità di costruire il
proprio profilo digitale escludendo l‟ingerenza di estranei.
Nasce, pertanto, un complesso corollario di esigenze connesse alla rete Internet, che sono,
a titolo esemplificativo, il diritto alla protezione dei dati, il diritto all‟oblio di informazioni
40
41
Ivi, p. 8.
V. Frosini, L‟orizzonte giuridico dell‟Internet, cit., p. 271.
23
immesse nella Rete, il diritto all‟anonimato e quello dell‟accesso alla propria identità
elettronica, sulla quale risulta fondamentale mantenere il controllo in modo che attori
esterni possano raccogliere e trattare i dati informatici digitali di un soggetto solo con
l‟espresso consenso dell‟interessato42.
Nell‟era dei diritti dell‟ Internet si configura pertanto un danno alla persona che può essere
inteso sia come esclusione dalla connettività (che genera danni relazionali, della sfera di
attività professionale e delle abitudini di vita), sia come violazione della propria identità
personale elettronica.
Il profilo digitale di un utente, infatti, è costruito sul rilascio di dati visibili, al quale il
soggetto interessato ha acconsentito, ma soprattutto sui dati invisibili derivanti dalle azioni
compiute attraverso la navigazione in Internet: ogni azione viene registrata dall‟elaboratore
elettronico e dalla Rete come “file di log”, attraverso il quale vengono registrati dati come la
località dalla quale ci si connette, l‟orario, il tempo di permanenza in un sito e la tipologia di
siti visitati o di azioni compiute, che permettono di delineare l‟immagine di ciascun utente
sulla base delle proprie preferenze o interessi, i quali costituiscono un patrimonio molto
appealing per gli operatori di marketing.
Si tratta di figure che possono essere definite “native” di Internet, in quanto sono
strettamente interconnesse con il mezzo e non esisterebbero senza di esso 43. Negli ultimi
tempi in Italia si sono moltiplicate sentenze favorevoli al risarcimento del danno anche in
fattispecie connesse ai diritti in Internet: ciò fa riflettere su come si tratti di diritti in
evoluzione e voci emergenti del diritto che richiedono ancora ampie riflessioni teoriche e
pratiche44.
Si tratta dunque di diritti di ultima generazione che sono diretto effetto dell‟evoluzione
epocale che ha rappresentato l‟avvento di Internet.
42
Cfr. D. Bianchi, Internet e il danno alla persona. I casi e le ipotesi risarcitorie, Torino, Giappichelli, 2012.
43
Una completa ricostruzione dell‟evoluzione del rapporto tra Internet e riservatezza dei dati personali è svolto da: G.
Pascuzzi, Il diritto dell‟era digitale, cit., pp. 47-93. L‟Autore sottolinea come l‟avvento dell‟Era digitale abbia comportato dei cambiamenti
sul piano delle regole giuridiche in tema di riservatezza. Si è infatti assistito: al passaggio dal diritto ad essere lasciati soli al diritto al
controllo sulle informazioni che riguardano l‟individuo; all‟ampliarsi delle ragioni sottese alla tutela della privacy, non più solo diretta ad
evitare discriminazioni ma anche a tranquillizzare i consumatori eCommerce; ad una inadeguatezza delle regole tradizionali di derivazione
statuale, destinate ad operare in ambiti spaziali definiti, dinanzi invece allo spazio globale offerto da Internet; ad un‟implementazione
degli approcci alternativi, rispetto alla Legge, per disciplinare il trattamento dei dati personali (ad esempio, codici deontologici, tecnologie
fondate sul principio di anonimizzazione dei dati ed altro ancora); ad un affidamento alla stessa tecnologia del rispetto delle norme sul
trattamento dei dati personali, con contestuale richiesta alla tecnologia di incorporare la regola.
44
Cfr. P. Cendon (a cura di), Trattato dei nuovi danni. Volume II. Malpractice medica. Prerogative della persona.Voci
emergenti della responsabilità, Padova, Cedam, 2011; D. Bianchi, Internet e il danno alla persona, Torino, Giappichelli, 2012.
24
Oggi per il diritto si pone la necessità di dover regolamentare un fenomeno caratterizzato
per sua stessa natura dalla mancanza di delimitazioni fisiche e di dimensioni spaziotemporale.
A fronte della labilità dei confini dell‟Internet, non potendo il diritto regolamentare la
pervasività del mezzo, deve allargare la propria competenza tutelandone le libertà.
Si pone, dunque, una nuova sfida per il diritto, che deve porsi in continua discussione ed
evoluzione, così come è in evoluzione il mutamento sociale e tecnologico.
Dopo un periodo di consultazione pubblica ad opera della Camera dei Deputati, si è giunti
alla definizione il 28 luglio 2015 della Dichiarazione dei diritti di Internet, frutto del lavoro
di una Commissione mista di 23 membri fra deputati, esperti del settore, rappresentanti
delle imprese, delle associazioni e della società civile, fortemente voluta dalla Presidente
della Camera On.Le L. Boldrini e coordinata dal giurista Stefano Rodotà.
La Dichiarazione è fondata sul pieno riconoscimento di libertà, eguaglianza, dignità e
diversità di ogni persona. Sussiste, però, un punto di debolezza giuridica del documento,
ovvero quale tipo di forza giuridica si possa dare alla Dichiarazione presentata in
Parlamento dalla Commissione mista, visto che ad oggi non si comprende se sarà tradotta
in Legge o, ipotesi improbabile, andrà ad integrarsi con la Costituzione italiana del 1948.
I punti essenziali della Dichiarazione dei diritti di Internet sono i seguenti:
- Neutralità della rete. La Dichiarazione stabilisce che i dati trasmessi e ricevuti da ogni
persona in rete non subiscano discriminazioni.
- Tutela dati personali. La Carta sancisce che i dati possano essere raccolti e trattati solo
con il consenso effettivamente informato della persona interessata o in base a altro
fondamento legittimo previsto dalla legge.
- Anonimato. Sì del trattato all‟anonimato in rete come libero esercizio delle libertà civili e
politiche senza subire discriminazioni o censure.
- Diritto all’oblio. Diritto inviolabile di ciascuno a ottenere la cancellazione dai motori di
ricerca dei dati o informazioni che, per il loro contenuto o per il tempo trascorso dal
momento della loro raccolta, non abbiano più rilevanza.
- Sicurezza. E‟ un bene da tutelare, di interesse pubblico, è scritto nella bozza. Divieto di
limitazioni di manifestazione del pensiero, ma garanzia della tutela della dignità delle
persone.
25
- Governo della rete. Il difficile tema della regolamentazione internazionale. Nella Carta è
scritto: ”La gestione della Rete deve assicurare il rispetto del principio di trasparenza, la responsabilità
delle decisioni, l’accessibilità alle informazioni pubbliche, la rappresentanza dei soggetti interessati.”45
Dopo un anno di lavoro, è stato consolidato il testo definitivo della “Dichiarazione dei
Diritti in Internet”, approvata dalla Commissione parlamentare e pubblicata il 28 luglio
201546.
1.3.2. Il diritto all’oblio
Come si è già detto, il diritto all‟oblio47 rappresenta uno degli aspetti più delicati del diritto
ad Internet, costituendo un risvolto pressochè imprescindibile nell‟utilizzo della Rete, in
quanto per il funzionamento stesso di tale strumento, la conservazione dei dati e delle
informazioni personali può durare nel corso del tempo per svariati anni, perdendo di
attualità, di interesse e, soprattutto, potendo non essere più aggiornati alla realtà effettiva.
Proprio per cercare di limitare la situazione appena descritta, negli anni si è delineata
sempre di più la figura di quello che è stato chiamato diritto all‟oblio, soprattutto con
riferimento a fatti di cronaca, spesso giudiziaria48.
45
Elencazione ripresa dalla pagina web della Rivista “Leggi Oggi”: http://www.leggioggi.it/2014/10/13/costituzione-internetpresentata-bozza-ufficiale-testo/, consultata nel mese di dicembre 2014.
46
Disponibile
all‟URL
:
http://www.camera.it/application/xmanager/projects/leg17/commissione_internet/TESTO_ITALIANO_DEFINITVO_2015.pdf,
consultazione effettuata nel mese di ottobre 2015.
47
Secondo Finocchiaro, con l‟espressione “diritto all‟oblio” si fa riferimento ad almeno tre differenti accezioni: quella
tradizionale, più risalente nel tempo, elaborata dalla dottrina civilistica e dalla giurisprudenza, in epoca antecedente all‟avvento della Rete;
quella relativo al l‟utilizzo di Internet e delle reti telematiche, per le modalità proprie di diffusione dell‟informazione; quella che si riferisce
al diritto alla cancellazione, al blocco, al congelamento dei dati o all‟opposizione al trattamento dei dati previsti dalla direttiva 95/46/CE
del Parlamento europeo e del Consiglio del 24 ottobre 1995 “relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati
personali, nonché alla libera circolazione di tali dati” (G. Finocchiaro, “Il diritto all‟oblio nel quadro dei diritti della personalità” in “Il
diritto dell‟informazione e dell‟informatica”, 2014, pp. 592 e ss.).
L‟A., inoltre, da conto che il quadro non muta nella proposta di regolamento del Parlamento europeo e del Consiglio
“concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento
generale sulla protezione dei dati)” del 25 gennaio 2012, ove all‟art. 17 si disciplinano il diritto all‟oblio e il diritto alla cancellazione dei
dati.
48
Si pensi, infatti, agli archivi storici dei quotidiani presenti nei loro siti web, reperibili attraverso motori di ricerca esterni, su
cui spesso il Garante Privacy si è pronunciato, esprimendo il principio che, “tenuto conto delle peculiarità del funzionamento della rete
Internet che possono comportare la diffusione di un gran numero di dati personali riferiti a un medesimo interessato e relativi a vicende
anche risalenti nel tempo – e dalle quali gli interessati stessi hanno cercato di allontanarsi, intraprendendo nuovi percorsi di vita personale
e sociale – che però, per mezzo della rappresentazione istantanea e cumulativa derivante dai risultati delle ricerche operate mediante i
motori di ricerca, rischiano di riverberare comunque per un tempo indeterminato i propri effetti sugli interessati come se fossero sempre
attuali; e ciò, tanto più considerando che l'accesso alla rete Internet e il successivo utilizzo degli esiti delle ricerche effettuate attraverso gli
appositi motori può avvenire per gli scopi più diversi e non sempre per finalità di ricerca storica in senso proprio”; provvedimento del
08.04.2009,
reperibile
all‟indirizzo
internet
http://www.garanteprivacy.it/web/guest/home/docweb/-/docwebdisplay/docweb/1617673, consultato ottobre 2015.
26
Ma anche la Suprema Corte di Cassazione (con la nota sentenza della sez. III, n.
5525/2012) ha avuto modo di pronunciarsi sull‟argomento, statuendo che «il soggetto
titolare dei dati personali oggetto di trattamento deve ritenersi titolare del diritto all'oblio
anche in caso di memorizzazione nella rete Internet, mero deposito di archivi dei singoli
utenti che accedono alla rete e, cioè, titolari dei siti costituenti la fonte dell'informazione. A
tale soggetto, invero, deve riconoscersi il relativo controllo a tutela della propria immagine
sociale che, anche quando trattasi di notizia vera, e a fortiori se di cronaca, può tradursi
nella pretesa alla contestualizzazione e aggiornamento dei dati, e se del caso, avuto riguardo
alla finalità di conservazione nell'archivio ed all'interesse che la sottende, finanche alla
relativa cancellazione».
Secondo la sentenza della Suprema Corte è in ogni caso il principio di correttezza (quale
generale principio di solidarietà sociale) a fondare in termini generali l'esigenza del
bilanciamento in concreto degli interessi, e, conseguentemente, il diritto dell'interessato
ad opporsi al trattamento, quand'anche lecito, dei propri dati.
La Corte, infatti, ritiene che «se l'interesse pubblico sotteso al diritto all'informazione (art.
21 Cost.) costituisce un limite al diritto fondamentale alla riservatezza (artt. 21 e 2 Cost.), al
soggetto cui i dati pertengono è correlativamente attribuito il diritto all'oblio (Cass., n.
3679/1998), e cioè a che non vengano ulteriormente divulgate notizie che per il trascorrere
del tempo risultino ormai dimenticate o ignote alla generalità dei consociati. Atteso che il
trattamento dei dati personali può avere ad oggetto anche dati pubblici o pubblicati (Cass.,
n. 11864/2004), il diritto all'oblio salvaguarda in realtà la proiezione sociale dell'identità
personale, l'esigenza del soggetto di essere tutelato dalla divulgazione di informazioni
(potenzialmente) lesive in ragione della perdita (stante il lasso di tempo intercorso
dall'accadimento del fatto che costituisce l'oggetto) di attualità delle stesse, sicché il relativo
trattamento viene a risultare non più giustificato ed anzi suscettibile di ostacolare il soggetto
nell'esplicazione e nel godimento della propria personalità. Il soggetto cui l'informazione
oggetto di trattamento si riferisce ha in particolare diritto al rispetto della propria identità
personale o morale, a non vedere cioè “travisato o alterato all'esterno il proprio patrimonio
intellettuale, politico, sociale, religioso, ideologico, professionale» (Cass., n. 7769/1985), e
pertanto alla verità della propria immagine nel momento storico attuale”49.
49
In argomento si veda anche la più recente sentenza Cass. Civ. 16111/13, “La diffusione di una notizia con relativa foto della
persona, con riferimento a un episodio di cronaca giudiziaria collegandola a vicende di molti anni addietro, relative a una parte
27
In tale quadro prettamente italiano, si inserisce, in maniera dirompente, la Sentenza della
Corte di Giustizia UE del 13 maggio 201450.
Il caso riguardava un cittadino spagnolo che aveva presentato alla A.E.P.D. (l‟Agenzia di
protezione dei dati) un reclamo contro l‟editore di un giornale a grande diffusione in quella
nazione, nonché contro Google Spain e Google Inc., in quanto, cercando il proprio nome
sul motore di ricerca Google, l‟elenco di risultati riportava dei links verso alcune pagine
web del quotidiano, risalenti al gennaio e marzo 1998, nelle quali era contenuto l‟annuncio
della vendita all‟asta di alcuni immobili, a seguito di un pignoramento degli stessi in suo
danno.
Mario Costeja Gonzalez, questo il nome del cittadino spagnolo, si rivolgeva all‟autorità
Garante privacy spagnola, chiedendo sia che fosse ordinato al giornale di sopprimere o
modificare le pagine in questione sia che fosse ordinato a Google Spain o a Google Inc. di
eliminare o di occultare i suoi dati personali, in modo che cessassero di comparire tra i
risultati di ricerca e non figurassero più nei links.
Ciò sul presupposto che il pignoramento effettuato nei suoi confronti era stato interamente
definito da diversi anni e la notizia dello stesso era ormai priva di qualsiasi rilevanza.
L‟autorità garante spagnola accoglieva il reclamo di Costeja nei confronti di Google Spain e
Google Inc. chiedendo alle due società di adottare le misure necessarie per rimuovere i dati
dai loro indici e per rendere impossibile in futuro l‟accesso ai dati stessi.
In seguito a ciò, Google Spain e Google Inc. hanno esperito i rimedi giurisdizionali innanzi
alla
competente
autorità
giudiziaria
spagnola
(Audiencia
Nacional),
chiedendo
l‟annullamento della decisione.
Su input dell‟Audencia Nacional, la Corte di giustizia UE ha potuto esaminare il caso ed
affermare alcuni principi di portata rilevantissima.
Con la sentenza in questione, infatti, è stato affermato che l’attività di un motore di
dell'esistenza della persona ritenuta ormai chiusa, rispetto alla quale si vuole soltanto essere dimenticato, costituisce violazione della legge
sul diritto alla riservatezza e deve prevedere un risarcimento del danno in favore dell'offeso. Ciò che conta, ai fini del corretto
bilanciamento fra diritto alla riservatezza e diritto di cronaca, è l'essenzialità dell'informazione e l'interesse pubblico delle notizie
divulgate. Il diritto del soggetto a pretendere che proprie, passate vicende personali siano pubblicamente dimenticate (nella specie cd.
diritto all'oblio) trova limite nel diritto di cronaca solo quando sussista un interesse effettivo e attuale alla loro diffusione, nel senso che
quanto recentemente accaduto trovi diretto collegamento con quelle vicende stesse e ne rinnovi l'attualità. Altrimenti viene a essere
violato il diritto alla riservatezza, mancando la concreta proporzionalità tra la causa di giustificazione (il diritto di cronaca) e la lesione del
diritto antagonista”, pubblicata in Diritto dell'Informazione e dell'Informatica (Il) 2013, 6, 829.
In dottrina, prima della sentenza della CGUE sul caso Google Spain, si veda SALERNO A. “Il diritto all‟oblio nella più
recente giurisprudenza”, Articolo del 07 marzo 2014, in Giustiziacivile.com.
50
Resa nella causa C‐131/12, promossa da Google Spain SL e Google Inc. contro Agencia Espanola de Proteccion de Datos
(AEPD) e Mario Costeja Gonzalez; il testo integrale della sentenza è reperibile all‟indirizzo internet
http://curia.europa.eu/juris/document/document.jsf?text=&docid=152065&pageIndex=0&doclang=it&mode=lst&dir=&occ=first&p
art=1&cid=808007, consultato nel mese di novembre 2016.
28
ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su
Internet, nell’indicizzarle in modo automatico, nel memorizzarle temporaneamente
e, infine, nel metterle a disposizione degli utenti di Internet secondo un
determinato ordine di preferenza, deve essere qualificata come «trattamento di dati
personali», qualora tali informazioni contengano dati personali, e che il gestore di detto
motore di ricerca deve essere considerato come il «responsabile» del trattamento
summenzionato.
Pertanto, il gestore di un motore di ricerca è obbligato a sopprimere, dall‟elenco di risultati
che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link
verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona,
anche nel caso in cui tale nome o tali informazioni non vengano previamente o
simultaneamente cancellati dalle pagine web di cui trattasi, e ciò eventualmente anche
quando la loro pubblicazione su tali pagine web sia di per sé lecita.
Ovviamente, nel valutare i presupposti di applicazione di tali disposizioni, si deve verificare
in particolare se l‟interessato abbia diritto a che l‟informazione in questione riguardante la
sua persona non venga più, allo stato attuale, collegata al suo nome da un elenco di risultati
che appare a seguito di una ricerca effettuata a partire dal suo nome, senza per questo che
la constatazione di un diritto siffatto presupponga che l‟inclusione dell‟informazione in
questione in tale elenco arrechi un pregiudizio a detto interessato.
Dato che l‟interessato può, sulla scorta dei suoi diritti fondamentali derivanti dagli articoli 7
e 8 della Carta51, chiedere che l‟informazione in questione non venga più messa a
disposizione del grande pubblico in virtù della sua inclusione in un siffatto elenco di
risultati, i diritti fondamentali di cui sopra prevalgono, in linea di principio, non
soltanto sull’interesse economico del gestore del motore di ricerca, ma anche
sull’interesse di tale pubblico ad accedere all’informazione suddetta in occasione di
una ricerca concernente il nome di questa persona.
Tuttavia, così non sarebbe qualora risultasse, per ragioni particolari, come il ruolo ricoperto
da tale persona nella vita pubblica, che l‟ingerenza nei suoi diritti fondamentali è giustificata
dall‟interesse preponderante del pubblico suddetto ad avere accesso, in virtù dell‟inclusione
summenzionata, all‟informazione di cui trattasi.
51
Carta
dei
diritti
fondamentali
dell‟Unione
Europea,
reperibile
http://www.europarl.europa.eu/charter/pdf/text_it.pdf, consultato nel mese di novembre 2016.
29
all‟indirizzo
internet
Ovviamente, la sentenza ha avuto un impatto molto rilevante nel modo di funzionamento
dei motori di ricerca e nell‟organizzazione degli stessi, tanto che Google ha creato
un‟apposita pagina52 dove far pervenire le richieste basate sui principi esposti nella sentenza
ed una ulteriore53 dove è possibile conoscere i dati aggregati dell‟attività in questione, divisa
per numero di richieste, paesi e domini internet maggiormente interessati.
Ovviamente, la decisione della Corte di Giustizia ha portata generale e non si applica solo a
Google, ma a tutti i motori di ricerca54, fermo restando che l‟attività di deindicizzazione
(ossia la rimozione dell‟informazione dai risultati della ricerca) non comporta
automaticamente il venir meno della presenza dell‟informazione dal sito web che
originariamente ha caricato la stessa; in tal caso, la richiesta va indirizzata direttamente al
gestore del sito web, con una richiesta di cancellazione e/o modifica.
A rafforzare ulteriormente il diritto all'oblio, è intervenuto il Reg. U.E. Del Parlamento e
del Consiglio n. 679 del 04 maggio 2016, il quale, al Considerando n. 66, afferma che “è
opportuno che il diritto di cancellazione sia esteso in modo tale da obbligare il titolare del
trattamento che ha pubblicato dati personali a informare i titolari del trattamento che
trattano tali dati personali di cancellare qualsiasi link verso tali dati personali o copia o
riproduzione di detti dati personali. Nel fare ciò, è opportuno che il titolare del trattamento
adotti misure ragionevoli tenendo conto della tecnologia disponibile e dei mezzi a
disposizione del titolare del trattamento, comprese misure tecniche, per informare della
richiesta dell'interessato i titolari del trattamento che trattano i dati personali”.
Ma il vero cardine della tutela del diritto all'oblio è disciplinata dall'art. 17, proprio per
chiarezza intitolato “Diritto alla cancellazione («diritto all'oblio»)”;
in base a tale articolo, l'interessato ha il diritto di ottenere dal titolare del trattamento la
cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.
Il titolare del trattamento, quindi, ha l'obbligo di cancellare senza ingiustificato ritardo i dati
personali, se sussiste uno dei motivi seguenti:
a) i dati personali non sono piu necessari rispetto alle finalita per le quali sono stati raccolti
o altrimenti trattati;
52
Si rinvia all‟URL: https://support.google.com/legal/contact/lr_eudpa?product=websearch, consultata nel mese di dicembre
2016.
53
Si rinvia all‟URL: http://www.google.com/transparencyreport/removals/europeprivacy/?hl=it, consultata nel mese di
dicembre 2016.
54
Si vedano anche alcune decisioni del Garante in merito alle richieste ricevute a seguito della sentenza della CGUE, reperibili
all‟indirizzo internet http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3623678#1, consultato nel
mese di novembre 2016.
30
b) l'interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro
fondamento giuridico per il trattamento;
c) l'interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente
per procedere al trattamento;
d) i dati personali sono stati trattati illecitamente;
e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal
diritto dell'Unione o dello Stato membro cui e soggetto il titolare del trattamento;
f) i dati personali sono stati raccolti relativamente all'offerta di servizi della societa
dell'informazione.
Inoltre, il titolare del trattamento se ha reso pubblici dati personali ed è obbligato, ai sensi
del primo comma, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di
attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del
trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare
qualsiasi link, copia o riproduzione dei suoi dati personali.
Il comma 3, prevede che quanto appena detto, non si applica nella misura in cui il
trattamento sia necessario:
a) per l'esercizio del diritto alla liberta di espressione e di informazione;
b) per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto
dell'Unione o dello Stato membro cui e soggetto il titolare del trattamento o per
l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici
poteri di cui e investito il titolare del trattamento;
c) per motivi di interesse pubblico nel settore della sanita pubblica;
d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini
statistici; o
e) per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Di rilievo sono anche le Linee guida sull'esercizio del diritto all'oblio adottate dal Gruppo di
lavoro dei Garanti privacy europei (Working Party 29) nel 201455, da ultimo prese come
riferimento dal Garante italiano per negare la tutela della deindicizzazione ad un soggetto
resosi responsabile di atti di terrorismo negli anni ‟70 dello scorso secolo, sulla scorta del
55 reperibili
all‟indirizzo
internet
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2014/wp225_en.pdf, consultato novembre 2016.
31
principio che la storia non si cancella56.
1.4. eGovernment e Società dell’informazione
Il termine eGovernment deriva dall‟acronimo inglese “e” = electronic e “government” = governo:
letteralmente, dunque, “governo elettronico”. Ma limitarsi ad una definizione del termine
così superficiale e letterale, considerata la ricchezza delle sue sfaccettature ed applicazioni,
non è possibile.
Per eGovernment, pertanto, è giusto intendere, secondo una recente esplicitazione in grado di
cogliere il meglio delle varie definizioni che negli ultimi anni sono state proposte a livello
politico e normativo, “l‟ottimizzazione continua nell‟erogazione dei servizi, nella
partecipazione dei cittadini, nella governance, attraverso la trasformazione delle relazioni
interne ed esterne per mezzo delle tecnologie, di Internet e dei nuovi mezzi di
comunicazione di massa, combinati con i cambiamenti organizzativi e le nuove
professionalità richieste per migliorare i servizi pubblici e i processi democratici, il tutto
finalizzato a supportare le politiche pubbliche”57.
Una definizione complessa, come quella ora richiamata, sembra condurre l‟interprete verso
un nuovo approccio al tema. L‟eGovernment diviene il grimaldello per scardinare l‟arcaico
concetto di Amministrazione, a favore di una nuova visione della Cosa Pubblica incentrata
sull‟innovazione, ovvero su di un mutamento complesso nel contesto ambientale,
nell‟organizzazione, nella tecnologia, in grado di condurre ad una miscela di eventi e risorse
che conduca al cambiamento: detto in altre parole, l‟eGovernment come iGovernment, ove la
“i” rappresenta la necessaria innovazione procedurale e organizzativa di cui la Pubblica
Amministrazione ha bisogno per il raggiungimento dei paramenti di efficacia, efficienza
economicità prescritti nel nostro ordinamento.
L‟eGovernment si palesa, dunque, come la massima espressione dell‟applicazione
dell‟Information and Communication Technology (ICT) all‟apparato pubblico, o anche
56 Cfr provvedimento del 31.03.2016, reperibile all‟indirizzo internet http://garanteprivacy.it/web/guest/home/docweb/-/docwebdisplay/docweb/4988654, consultato novembre 2016.
57
A. Romano, L. Marasso, M. Marinazzo, Italia chiama eGovernment, Milano, Guerini e Associati, 2008, p. 26. Nel testo citato è
possibile approfondire le varie definizioni di eGovernment affermatesi negli ultimi anni su scala nazionale ed internazionale.
32
l‟espressione “pubblica” delle ICT nell‟odierna “Società dell‟informazione”. A tal proposito
è importante richiamare il Rapporto Delors (1993), con il quale si formalizza la definizione di
“Società dell’informazione”, e la successiva redazione del Rapporto “eEurope. Una società
dell’informazione per tutti” (1994), che consolida i contenuti del lavoro precedente e delinea
l‟impegno istituzionale dell‟Unione Europea a valorizzare l‟informazione e gestirla come
bene comune della società. Nella Società dell‟informazione l‟utilizzo delle ICT determina
una sorta di rivoluzione per molti aspetti simile a quella industriale, ma con un potenziale di
diffusione privo di limiti temporali o confini geografici, dettato dall‟interscambio di dati,
rapido ed efficace, tra soggetti di diritto (privati, cittadini, imprese, organizzazioni
istituzionali e amministrazioni pubbliche), un sistema, quindi, in grado di disegnare nuovi
modelli sociali, politici ed economici al centro dei quali vi è lo scambio di conoscenza. La
ricostruzione temporale-evolutiva del tema, le politiche internazionali e gli impegni
istituzionali assunti a livello europeo, oltre che nazionale, rappresentano la premessa per
valutare aspettative sociali, economiche, giuridiche nell‟ambito della complessa relazione tra
gestione informativa e sviluppo sostenibile.
Compresa la portata del concetto di “eGovernment” e di “Società dell‟informazione”,
occorre ora distinguere all‟interno dei modelli di eGovernment quattro categorie o spazi di
sviluppo per l‟Amministrazione elettronica: il modello G2C (Government to Citizen) riguarda
lo sviluppo di servizi con destinatario il singolo individuo in quanto cittadino; il modello
G2B (Government to Business) riguarda invece lo sviluppo dei servizi governativi con
destinatari le imprese e gli attori economici; il modello G2E (Government to Employee)
riguardante lo sviluppo dei servizi in seno alla stessa Amministrazione con destinatari gli
impiegati ed i funzionari; il modello G2G (Government to Government) riguardante, infine, lo
sviluppo di servizi e applicazioni volti ad instaurare o migliorare la collaborazione e la
cooperazione tra i servizi delle diverse istituzioni governative.
Oggi l‟eGovernment si fonda principalmente su quattro obiettivi principali: 1) raccolta del
maggior numero di informazioni in uno spazio sempre più ridotto; 2) trattamento e
trasmissione delle informazioni ad una velocità sempre maggiore; 3) interscambio delle
informazioni (interoperabilità), anche se raccolte con tecniche e linguaggi diversi; 4)
conservazione (non deperibilità) e sicurezza (non modificabilità da parte di soggetti non
autorizzati) delle informazioni.
33
L‟eGovernment, inteso come complesso delle politiche di introduzione delle ICT nelle
Pubbliche Amministrazioni, non ha avuto sempre gli stessi obiettivi e soltanto negli ultimi
anni si è iniziato a considerarlo in termini unitari, con una forte attenzione ai contenuti e
all‟impatto organizzativo nei processi di informatizzazione delle attività e dei processi. In
questo senso si può parlare, laddove essa si realizza, di una organica politica di eGovernment,
in cui non è più sufficiente creare infrastrutture e reti di interconnessione, né è sufficiente
ampliare l‟accesso alle informazioni con la creazione di servizi informativi aperti se, poi,
non si è in grado di garantire che tutte le informazioni detenute dalle Amministrazioni
siano raccolte e conservate in formato elettronico e messe a disposizione avvalendosi delle
ICT, e se le Amministrazioni non siano in grado di assicurare la necessaria qualità delle
informazioni raccolte e la loro necessaria sicurezza.
Il passaggio dalla semplice creazione di infrastrutture e reti di interconnessione ad una
gestione “sicura” di dati digitali qualitativamente certi è facile ravvisarlo analizzando
semplicemente i documenti programmatici del nostro Governo italiano in tema di
eGovernment nell‟ultimo ventennio.
In Italia è possibile suddividere il periodo di attuazione dell‟eGovernment in tre fasi: una
prima fase dal 2001 al 2003, una seconda fino al 2005 ed una terza ad oggi ancora in corso,
avviatasi con l‟approvazione nel 2005 del Codice dell‟Amministrazione Digitale58.
La prima fase di attuazione dell‟eGovernment, nelle Regioni e negli Enti Locali, si è
sviluppata, come detto, a cavallo tra 2001 ed il 2003, lungo tre linee di azione tra loro
interconnesse:
1) promozione di progetti di eGovernment nelle Regioni e negli Enti Locali, volti allo
sviluppo di servizi infrastrutturali e di servizi finali per cittadini e imprese;
58
Volendo fare un discorso più ampio rispetto a quello della semplice “attuazione” dell‟eGovernment e, dunque, volendo
analizzare le fasi storiche di evoluzione dell‟informatica nella Pubblica Amministrazione, esse possono essere così sintetizzate: a) la prima
fase è consistita nell‟informatizzazione parziale, da parte di singole Amministrazioni Pubbliche, di attività amministrative, con il
prevalente obiettivo di semplificarne l‟esercizio e ridurne il costo, sostituendo il lavoro umano con le capacità di elaborazione automatica
(anni ‟50-„60 del secolo scorso); b) in una seconda fase, resa possibile dall‟accresciuta capacità di calcolo e di elaborazione dell‟ICT, le
singole Amministrazioni si sono poste obiettivi più generali, consistenti nella integrale informatizzazione di tutte le proprie attività (anni
‟70-„80 del secolo scorso); c) una terza fase si è aperta allorché è stato posto il problema della interconnessione tra i sistemi informativi
delle diverse Amministrazioni Pubbliche per consentire tra esse uno scambio di informazioni in grado di semplificare lo svolgimento
delle attività amministrative, con l‟obiettivo, quindi, della creazione di una rete unitaria delle Pubbliche Amministrazioni (anni ‟90 del
secolo scorso); d) nella quarta fase, le nuove ICT hanno permesso di utilizzare tutte le potenzialità offerte dalla rete con un approccio del
tutto nuovo al problema dei rapporti con l‟esterno, ponendo al centro cittadini e imprese (primo decennio del XXI secolo). Per una
visuale completa dell‟evoluzione politico-normativa dell‟informatica pubblica e, conseguentemente, dell‟eGovernment, si veda: P. Giacalone,
La normativa sul governo elettronico, Milano, Franco Angeli, 2007; C. Rabbito, L’informatica al servizio della Pubblica Amministrazione e del cittadino,
Bologna, Gedit Edizioni, 2007; A. Contaldo, Dalla teleamministrazione all’e-government: una complessa transizione in fieri, in “Foro
Amministrativo”, n. 4, 2002, pp. 1111-1127; G. Duni, Teleamministrazione (voce), in Enciclopedia Giuridica Treccani, Roma, XXX, n. 5, 1993.
34
2) definizione di un comune quadro di riferimento tecnico, organizzativo e metodologico
per la realizzazione di progetti di eGovernment;
3) creazione, su tutto i territorio nazionale, di Centri Regionali di Competenza (CRC),
aventi come obiettivo il sostegno alle Regioni e agli Enti Locali per la preparazione e
realizzazione di progetti di eGovernment.
In tale prima fase, il Ministro per l‟innovazione e le tecnologie ha stabilito, con Decreto del
14 novembre 2002, un finanziamento di 120 milioni di euro, di cui 80 per 98 progetti in
grado di realizzare servizi ai cittadini e alle imprese.
Ulteriore passo in avanti lungo la strada dell‟eGovernment è stato compiuto nel 2001, con la
creazione del Ministero per l‟Innovazione e le Tecnologie, presieduto dal Ministro Stanca,
volto a soddisfare l‟esigenza di un coordinamento centrale sulle iniziative di sviluppo e
diffusione delle nuove tecnologie, il tutto attraverso l‟esercizio di molte delle deleghe in
tema di innovazione, precedentemente appartenute alla Funzione Pubblica e ad altri
ministeri.
Il 2001 è da considerarsi un anno fondamentale dal punto di vista dell‟innovazione
normativa, con riforme che cambiano i tradizionali rapporti tra centro e periferia. Prende
avvio e si consolida la Riforma del Titolo V della Costituzione, approvato con la Legge
Costituzionale n. 3/2001, dal titolo "Modifiche al titolo V della parte seconda della
Costituzione". La Riforma del 2001 è incentrata sul decentramento amministrativo,
attraverso la delega, di gran parte delle funzioni amministrative del Governo a Regioni ed
Enti locali. Ciò ha comportato, nell‟ottica di una riorganizzazione dei poteri pubblici dal
basso verso l‟alto, l‟affermazione del principio di sussidiarietà, favorendo i livelli di
Amministrazione più vicini al cittadino, con l‟obiettivo di rivalutare il rapporto tra
cittadinanza e Pubblica Amministrazione, incanalando gli interventi dello Stato in un‟azione
maggiormente efficace in quanto ramificata sul territorio. La Riforma del 2001 si fonda, in
definitiva, sul medesimo principio cardine sotteso al “pacchetto Bassanini” del 1997 59, con
il quale si è intrapresa, concretamente, la strada del decentramento amministrativo.
Nel 2002 sono state pubblicate dal Ministro Stanca le “Linee Guida del Governo per lo
sviluppo della società dell‟informazione”, contenenti 10 obiettivi prioritari, da raggiungere
entro la legislatura, raggruppati in 5 macro aree (servizi on-line ai cittadini e imprese,
efficienza, valorizzazione delle risorse umane, trasparenza, qualità), volti a fornire
59
Per “pacchetto Bassanini” si intende: la L. n. 59/97, la L. n. 127/97 e il D.Lgs. n. 112/98.
35
indicazioni rispetto allo sviluppo dei progetti di eGovernment nel nostro Paese. La Pubblica
Amministrazione inizia ad essere intesa come fornitrice di servizi.
In tale prima fase è stato importante è il ruolo assunto dalle Regioni nell‟implementazione
di processi di eGovernment sul territorio e nella predisposizione di servizi infrastrutturali per
gli enti locali, i cittadini e le imprese, con un forte coinvolgimento degli enti più vicini al
cittadino, i Comuni, nella direzione di una più ampia cooperazione tra Amministrazioni, sia
di natura orizzontale che verticale.
Nell‟ottica di un sempre maggiore coordinamento tra centro e periferia, prende vita nella
primavera del 2002 il FORMEZ – Centro di Formazione Studi e, con l‟art. 176 del Dlgs
n.196/2003, il Centro Nazionale per l‟Informatica nella Pubblica Amministrazione
(CNIPA). Il CNIPA sostituisce l‟Autorità per l‟Informatica nella Pubblica Amministrazione
(AIPA), creata con il D.Lgs. n. 39/93, e si occupa della progettazione e
dell‟implementazione dell‟eGovernment. Il confronto tra CNIPA, Regioni ed Enti Locali ha
poi permesso di definire gli obiettivi e le modalità di realizzazione della seconda fase
dell‟eGovernment.
La seconda fase di attuazione è stata avviata su approvazione della Conferenza Unificata
Stato, Regioni, Città e Autonomie locali il 27 novembre 2003 e si è posta come obiettivo
principale l‟allargamento alla maggior parte delle Amministrazioni locali dei processi di
innovazione già avviati, attraverso il “riuso” delle iniziative realizzate nella prima fase, sia
per ciò che concerne l‟organizzazione di servizi per cittadini e imprese che la realizzazione
di servizi infrastrutturali in tutti i territori regionali.
L‟introduzione delle nuove tecnologie dell‟informazione e della comunicazione, a seguito
dell‟avvio di questa seconda fase di eGovernment, ha iniziato ad interessare concretamente
l‟attività di tutti i livelli istituzionali. Infatti, la concertazione tra Governo, Regioni e
Autonomie locali ha condotto, nel 2005, all‟emanazione del Codice dell‟Amministrazione
Digitale (CAD) con D.lgs. n. 82/2005, con il preciso obiettivo di realizzare una Pubblica
Amministrazione efficiente e amica, erogante servizi ICT caratterizzati da immediatezza e
trasparenza. Inizia con il CAD la terza fase di attuazione dell‟eGovernment nel nostro Paese,
che dura sino ad oggi.
1.5. Habeas corpus e habeas data
36
Nella società dell‟informazione, vita privata, riservatezza, oblio, assumono una dimensione
ampliata e dilatata, in cui la stessa funzione regolatrice del diritto è costretta a superare
schemi predefiniti di tutela. Le informazioni private di ogni singolo individuo circolano
quotidianamente in molteplici attività. Si pensi alla corrispondenza elettronica, ai pagamenti
con carte di credito e di debito, agli accessi in Internet, alle telefonate, solo per citare alcuni
esempi: si tratta di azioni di routine, che tuttavia lasciano una traccia “elettronica” indelebile
nelle banche dati degli apparati che gestiscono il servizio e offrono una radiografia
permanente dei rapporti, delle relazioni, delle scelte, dei gusti (anche sessuali), delle
preferenze e dei movimenti fisici sul territorio di ogni individuo. Le tecnologie
informatiche offrono numerosi vantaggi attratti nell‟area dei valori economici ma
rappresentano una sfida continua a vecchi diritti, che rischia di tradursi, nel tempo, in una
potenziale violazione della dignità umana, dei diritti e delle libertà fondamentali, con spazi
per la discriminazione, la stigmatizzazione e la sopraffazione burocratica60.
L‟emergere di nuovi diritti, che ridefiniscono l‟integrità stessa della persona e che ne
legittimano la tutela, comporta una rivisitazione della distinzione tra habeas corpus e habeas
data. L‟antico habeas corpus, legato alla libertà personale intesa come libertà fisica, oggi è
anche un habeas data61.
Nella tradizione dottrinale, prima ancora che nella prassi giurisprudenziale, la nozione di
libertà personale, intesa come “autonomia e disponibilità della propria persona” ha subito
una particolare estensione, dimostrata dall‟attenzione della Corte Costituzionale nel valutare
l‟inclusione o l‟esclusione delle ipotesi di limitazione della libertà personale, rispetto alle
previsioni della Costituzione italiana che fa riferimento alla detenzione, all‟ispezione, alla
perquisizione personale, e in generale a “qualsiasi altra restrizione della libertà personale”.
La tutela del corpo fisico è, oggi, anche tutela delle informazioni personali che lo
riguardano. In questo passaggio, la cultura giuridica tradizionale si scontra con l‟affermarsi
di una società dell‟informazione in cui viene meno la corrispondenza piena e oggettiva ai
termini, alle nozioni, alle regole costituzionali vigenti. La necessità di interpretare fenomeni
del tutto nuovi e la “eterogenesi dei fini” determina l‟avvio di un percorso evolutivo in cui
prevale la ratio e non l‟intentio del Legislatore. Infatti, è attraverso una interpretazione
evolutiva della Costituzione che la Corte Costituzionale italiana è riuscita a ricondurre nella
60
Cfr. S. Rodotà. Tecnopolitica. La democrazia e le nuove tecnologie della comunicazione, Roma-Bari, Laterza, 2004; Id., Tecnologie e
diritti, Bologna, Il Mulino, 1995.
61
Sul punto: G. Preite, Welfare State. Storie, Politiche, Istituzioni, cit., p. 175.
37
sfera delle garanzie legate alla persona “nuovi diritti” come il diritto di accesso o il diritto
all‟oblio (solo per citarne alcuni).
L‟interpretazione evolutiva della Costituzione è, inoltre, una necessità legata al
“anacronismo legislativo” le cui cause sono individuabili:
nel mutamento dei costumi sociali, ovvero nell‟esigenza di superare l‟incompatibilità con
regole precedentemente valide;
nell‟evoluzione tecnologica, ovvero nella necessità di estendere l‟interpretazione delle
norme costituzionali alle nuove tecnologie (ad esempio, l‟art. 15 Cost. deve essere inteso
come riferibile anche alle comunicazioni per posta elettronica o agli sms dei telefoni
cellulari; l‟art. 21 Cost. sulla libertà di stampa si applica anche alle pubblicazioni in Internet);
nell‟evoluzione indotta dal diritto internazionale, cui la Corte Costituzionale fa riferimento
per aggiornare il significato delle disposizioni costituzionali62.
In Italia, i diritti della sfera individuale assumono valenza costituzionale con una tecnica a
spirale, che inizia con l‟habeas corpus (art. 13 Cost. sulla libertà della persona fisica), ossia
con la garanzia e la tutela del bene fisicamente connesso all‟individuo, e che si allarga
all‟ambito spaziale immediatamente circostante e così via in maniera ricorsiva, creando una
continuità nella tutela della sfera individuale che porta la libertà personale a saldarsi con
altri diritti sanciti dalla Costituzione. In tal modo se da un lato si rafforza e si completa la
garanzia complessiva dei diritti individuali, dall‟altro si assiste ad una variazione della tutela
mano a mano che ci si allontana dal punto di origine63. Tale constatazione ha indotto
l‟Autorità Garante per la protezione dei dati personali a richiedere, sul piano legislativo, un
rapido passaggio dall‟antico habeas corpus ad un più attuale habeas data. Per il Garante, la
tutela dei dati è un diritto fondamentale della persona, una componente essenziale della
nuova cittadinanza, come si evince dall‟art. 8 della Carta dei diritti fondamentali dell‟Unione
Europea. Non vi è dubbio che il valore della privacy debba essere opportunamente
controbilanciato con quello della sicurezza, ma a tutela dello stesso concetto di democrazia
è importante che le ragioni della sicurezza non prevalgano incondizionatamente sui diritti
fondamentali. I Paesi europei (così evoluti in molti settori e ambiti del sapere giuridico),
hanno dunque Carte costituzionali arretrate, in cui non sono riconosciuti molti diritti ormai
62
63
Cfr. R. Bin., G. Pitruzzella, Diritto Costituzionale, cit., pp. 481 e 490.
Ibidem.
38
comuni nell‟animo sociale, a differenza di Paesi extraeuropei che, inaspettatamente e per
una serie di svariate motivazioni, hanno già costituzionalizzato la maggior parte di questi.
L‟analisi ricognitiva che passa dal diritto di habeas corpus della cultura giuridica europea
alla garanzia costituzionale di habeas data, assume evidenza nella comparazione con le
moderne costituzioni64. Si prenda come esempio la Costituzione del Brasile. Questa
contiene dichiarazioni solenni i cui contenuti non sono rintracciabili nelle Costituzioni
europee, nonostante la maggior parte di questi diritti fossero stati pensati, analizzati ed
elaborati proprio dalla dottrina europea, sanciti poi in leggi ordinarie o in sentenze degli
Stati più evoluti. Tuttavia, già alcune costituzioni degli anni settanta (in particolare di paesi
europei), prendevano in considerazione queste nuove esigenze, ma, come già anticipato, è
soprattutto nelle Costituzioni degli Stati di recente indipendenza o di recente affermazione
di regimi democratici che si possono rinvenire i nuovi diritti e le relative garanzie. Non ci si
deve quindi meravigliare se è proprio nelle Carte costituzionali dei Paesi africani, degli ex
“Paesi satellite” dell‟Europa dell‟Est ed in particolare dell‟America Latina che si trovano le
più rilevanti novità in tema di diritti costituzionali. Altri Stati hanno infatti seguito altre vie
per tutelare questi diritti, ricorrendo ad esempio alla legislazione ordinaria o all‟adattamento
del diritto interno in seguito alla ratifica di atti internazionali, oppure all‟intervento delle
Authority.
Di contro, le Carte Costituzionali dei Paesi dell‟America Latina, rappresentano un esempio
concreto di produzione giuridica e di garanzie che danno rilevanza e ruotano intorno a
nuovi diritti, tra i quali: la libertà d‟informazione (intesa come diritto alla
autodeterminazione informativa della persona, ossia il diritto a determinare il quando, il
come e il quantum di una informazione personale oggetto di comunicazione ai terzi) e la
libertà informatica (come garanzia personale a conoscere e accedere alle informazioni
personali esistenti nelle banche dati, in formato elettronico, a controllare il loro contenuto e
quindi a poterle modificare in caso di inesattezza o indebita archiviazione o trattamento,
nonché a decidere sulla loro circolazione o trasmissione).
L‟ulteriore ed originale elemento di novità previsto in tutte le moderne Costituzioni dei
paesi dell‟America Latina riguarda l‟istituzione della garanzia costituzionale di habeas data65,
64
Cfr. G. Preite, Il riconoscimento biometrico: sicurezza versus privacy, Trento, UniService, 2007.
65
In America Latina è possibile inquadrare le diverse esperienze costituzionali di habeas data in tre categorie: 1) gli Stati la cui
Costituzione cita in maniera diretta, completa e precisa il principio di habeas data (Guatemala, Brasile, Colombia, Paraguay, Perù,
Ecuador, Argentina, Venezuela); b) gli Stati che prevedono la garanzia attraverso la legislazione o in forma indiretta attraverso il ricorso
39
in funzione della quale le persone hanno il diritto di pretendere che l‟immagine che gli altri
hanno di esse corrisponda all‟esatta realtà66. Emerge, dunque, “il problema del
riconoscimento di un diritto all‟identità personale come nuovo diritto della personalità,
costituito dalla proiezione sociale della personalità dell‟individuo cui si correla un interesse
del soggetto a essere rappresentato nella vita di relazione con la sua vera identità”67.
La locuzione habeas indica un nuovo e specifico strumento di tutela, simmetrico rispetto al
preesistente e tradizionale habeas corpus, proprio per proteggere l‟intimità e la libertà del
cittadino contro gli abusi dei registri informatizzati e della comunicazione mendacea online
in genere. Una tale esigenza nasce e si sviluppa con le nuove forme di comunicazione
interpersonale, e anche interistituzionale, tipiche dell‟era tecnologica quali, lo sviluppo
dell‟informatica e delle tecnologie dell‟informazione, l‟interconnessione delle reti mondiali,
lo sviluppo dei nuovi canali comunicativi digitali, la gestione e la trasmissione telematica di
dati.
Per quel che concerne il Brasile, il costituente ha creato questo nuovo strumento della
libertà del cittadino idoneo alla sua salvaguardia nei confronti dell‟informatica. Nel caso
della Costituzione brasiliana del 1988, è garantita l‟azione di habeas data per assicurare: a) la
conoscenza di ogni informazione personale; b) il diritto di rettifica e correzione dei dati; c)
l‟accesso all‟informazione; d) la tutela della segretezza delle fonti68. Ciò si realizza attraverso
il procedimento di “Amparo”, una particolare “azione di difesa” che tutela i diritto
costituzionali del cittadino.
A differenza della Costituzione del Brasile, in quella del Paraguay l‟istituto dell‟habeas data
ha un contenuto decisamente più ampio in quanto include l‟accesso alle informazioni
relative anche ai beni personali. Inoltre permette non solo la rettifica dei dati, ma la loro
distruzione se questi sono sbagliati o se illegittimamente ledono i diritti. Ogni persona ha il
diritto di conoscere come le informazioni verranno usate e quale sia lo scopo. Sono queste
le sostanziali differenze rispetto alla Costituzione del Brasile, differenze che offrono più
garanzie e ampliano l‟oggetto di tutela di questo diritto.
di amparo costituzionale, di cui diremo appresso nel testo (Cile, Costa Rica, Bolivia, Nicaragua, Honduras); c) le altre esperienze, che
prevedono una tutela indiretta dello habeas data (Panama, Messico, Uruguay e Salvador). L‟analisi è ripresa da: T.E. Frosini, Il diritto
costituzionale di accesso a Internet, in “Rivista A.I.C.”, 1, 2011, pp. 5-6, disponibile all‟U.R.L.: http://www.rivistaaic.it/il-dirittocostituzionale-di-accesso-a-internet.html, consultato nel mese di settembre 2015.
66
E. R. Acuña, Habeas data costituzionale: nuova garanzia giurisdizionale del diritto pubblico latinoamericano in “Diritto
Pubblico comparato ed Europeo”, IV, 2002, p. 1928. Sul tema anche: G. Ziccardi, Informatica giuridica. Controcultura, informatica
giuridica, libertà del software e della conoscenza, cit., pp. 29-30.
67
T.E. Frosini, Il diritto costituzionale di accesso a Internet, cit., p. 5.
68
Ibidem.
40
Nello Stato del Perù, l‟inserimento dell‟istituto di habeas data nella Costituzione, è
avvenuto invece in forma “contratta”, in quanto non è contemplato il diritto alla rettifica
dei dati personali, ma i diritti contro le cui violazioni è ammesso il ricorso sono
specificamente disciplinati col rinvio agli articoli della Costituzione.
In Ecuador, la Costituzione del 1997, accanto al paragrafo dedicato all‟habeas corpus e a
quello del difensore civico, vi è quello dedicato all‟habeas data; il paragrafo successivo
invece contempla il giudizio di amparo. Non è certo casuale la collocazione del paragrafo in
tema di habeas data in questa sezione della Costituzione intitolata “Delle garanzie dei
diritti”. Come per la Costituzione del Brasile, qui l‟inserimento dell‟istituto di habeas data è
stato voluto per la protezione di particolari “livelli” di libertà del cittadino, inerenti alle
informazioni personali da altri detenute. Oltre alla possibilità di correzione e rettificazione
dei dati è ammesso anche il loro annullamento.
Il principio di “autodeterminazione informatica”, nel quale abbiamo visto si sostanzia
l‟istituto dell‟habeas data, riducendosi da tensione di “affermazione” a sforzo di “negazione
della esclusività altrui”69, assume il significato di tentativo infruttuoso di preservare ciò che
di più caro rimane: il feticcio di una libera volontà. Non potendo “affermare se stesso”, il
soggetto non può fare altro che “limitare gli influssi esterni”, non eliminandoli, ma
riducendone la portata e la consistenza a un accettabile livello, modalità, procedura. Come
ampiamente descritto nei primi capitoli del presente lavoro, lo sviluppo delle I.C.T. e la
loro utilizzazione in tutti i campi dell‟agire umano hanno rappresentato una svolta
significativa nell‟applicazione e nell‟interazione del sapere informatico con tutti gli altri.
1.6.1. L'Agenda Digitale
Con l'avvento e la diffusione sempre più ampia degli strumenti della Società
dell'Informazione, le Istituzioni pubbliche ad ogni livello, sia locale che internazionale e
sovranazionale, hanno sentito l'esigenza di dotarsi di uno strumento di pianificazione
strategica, che consentisse di individuare gli obiettivi da perseguire per favorire lo sviluppo
delle tecnologie ICT da parte dei propri cittadini, in maniera da calendarizzare la loro
69
Definita, da altri, “autodecisione sui dati personali”. Si veda: V. Frosini, Contributi ad un diritto dell’informazione, Napoli, Liguori,
1991, p. 115.
41
attuazione, in un arco temporale prefissato, più o meno lungo in base alle finalità
perseguite.
E' apparsa, quindi, la c.d. Agenda Digitale o Digital Agenda nella versione internazionale, la
quale rappresenta lo strumento di pianificazione utilizzato dalle Istituzioni pubbliche per
delineare le strategie finalizzate ad una crescita inclusiva, intelligente e sostenibile.
In tale ambito si possono, quindi, distinguere l'Agenda Digitale Europea (DAE), che svolge
un ruolo preminente di guida, l'Agenda Digitale Italia (ADI), l'Agenda Digitale delle
Regioni.
1.6.2. L'Agenda Digitale Europea
L‟Agenda Digitale Europea è stata presentata dalla Commissione Europea nel maggio 2010,
ed in seguito sottoscritta da tutti gli Stati membri che si sono impegnati alla sua attuazione.
L'Agenda digitale per l'Europa (Digital Agenda for Europe, DAE) si propone di aiutare i
cittadini e le imprese europee ad ottenere il massimo dall'utilizzo delle tecnologie ICT.
Lo scopo dell‟Agenda Digitale Europea è quello di sfruttare al meglio il potenziale delle
tecnologie dell‟informazione e della comunicazione per favorire l‟innovazione, la crescita
economica e la competitività, ottenendo vantaggi socio-economici sostenibili grazie ad un
mercato digitale unico basato su Internet veloce e superveloce nonchè su applicazioni
interoperabili70.
Essa è la prima di alcune iniziative pilota del programma “Europa 2020”, ossia la strategia
con la quale l'Europa punta a rilanciare l'economia dell'UE nel prossimo decennio, negli
ambiti della vita on line, della crescita e lavoro, della scienza e tecnologia, delle
telecomunicazioni e internet, dei contenuti e media digitali.
Come sottolineato dalla stessa Unione Europea, “in un mondo che cambia, l'U.E. si
propone di diventare un'economia intelligente, sostenibile e solidale. Queste tre priorità che
si rafforzano a vicenda intendono aiutare l'U.E. e gli Stati membri a conseguire elevati livelli
70
Per ulteriori approfondimenti, si rimanda al sito dedicato reperibile all'indirizzo internet https://ec.europa.eu/digital-singlemarket/, consultato dicembre 2016.
42
di occupazione, produttività e coesione sociale”71.
Lanciata, come detto, nel maggio 201072, l'Agenda digitale per l'Europa contiene 101 azioni,
raggruppate intorno a sette aree prioritarie, basate su altrettanti pilastri (pillars) e dirette:
- a creare un nuovo e singolo mercato digitale per il libero scambio di contenuti on-line tra i
vari Paesi aderenti;
- ad identificare procedure per la definizione di standards migliorati ed aumentare
l'interoperabilità;
- a proporre una strategia per la sicurezza digitale dell'UE specie in materia di cyber attacchi
e protezione dei dati personali;
- ad implementare lo sviluppo ed il miglioramento della banda larga ed ultra-larga per
l'accesso ad Internet;
- a supportare la ricerca e l'innovazione attraverso consistenti investimenti e l'eliminazione
della frammentazione degli sforzi dei singoli Paesi aderenti;
- ad avviare una grande coalizione per le competenze digitali e per l'occupazione;
- ad aumentare i benefici legati all'utilizzo delle ICT nella vita dei cittadini europei.
Successivamente, il 18 dicembre 2012, gli obiettivi dell'Agenda Digitale Europea sono stati
aggiornati con la revisione delle priorità digitali, intese a promuovere le condizioni per
creare crescita e occupazione in Europa e specificamente finalizzate a:
- creare un nuovo e stabile quadro normativo per quanto riguarda la banda larga;
- realizzare nuove infrastrutture per i servizi pubblici digitali attraverso prestiti per collegare
l'Europa;
- Avviare una grande coalizione per le competenze digitali e per l'occupazione;
- Proporre una strategia per la sicurezza digitale dell'UE;
- Aggiornare il framework normativo dell'UE sul copyright;
- Accelerare il cloud computing attraverso il potere d'acquisto del settore pubblico;
- Lanciare una nuova strategia industriale sull'elettronica.
La piena attuazione di questa Agenda Digitale aggiornata aumenterebbe il PIL europeo del
5%, l'equivalente di 1.500 € a persona, nel corso dei prossimi anni.
71
Testo ripreso dal portale europeo: https://ec.europa.eu/info/european-semester/framework/europe-2020-strategy_en,
consultato dicembre 2016. In pratica, l'Unione si è posta cinque ambiziosi obiettivi – in materia di occupazione, innovazione, istruzione,
integrazione sociale e clima/energia – da raggiungere entro il 2020. Ogni Stato membro ha adottato per ciascuno di questi settori i propri
obiettivi nazionali. Interventi concreti a livello europeo e nazionale vanno a consolidare la strategia.
72
Si rinvia all‟URL: http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52010DC0245R(01)&from=EN,
consultato dicembre 2016.
43
Ciò aumenterebbe di 3,8 milioni i nuovi posti di lavoro in tutti i settori dell'economia, nel
lungo periodo.
I progressi di tali obiettivi sono misurati nel quadro di valutazione annuale del digitale.
Più recentemente, l'Agenda Digitale Europea è stata ancora aggiornata.
La strategia del Digital Single Market (Mercato Digitale Unico), adottata il 6 maggio 2015,
include 16 iniziative da concludere entro la fine del 2016.
Il D.S.M., nelle aspettative dell'Unione, può creare opportunità per le start-up e per le
società già esistenti in un mercato di oltre 500 milioni di persone, contribuendo ad
apportare all'economia europea qualcosa come € 415 miliardi all'anno, creando posti di
lavoro e trasformando i servizi pubblici.
La strategia del DSM è basata su tre grandi pilastri:
Accesso: miglior accesso per consumatori e imprese a beni e servizi digitali in tutta
Europa;
Ambiente: creare i giusti presupposti e far sì che gli attori abbiano le stesse condizioni per
far fiorire servizi digitali innovativi;
Economia & Società: massimizzare il potenziale di crescita della economia digitale.
1.6.3. L'Agenda Digitale Italiana
Inserita nel più ampio contesto europeo, l‟Agenda Digitale Italiana (ADI) ha un enorme
ruolo nel definire lo sviluppo del Paese, dal momento che il digitale rappresenta oggi uno
strumento di competitività e sviluppo molto efficace.
L‟Agenda Digitale, del resto, riguarda non solo il settore dell‟ICT, ma qualsiasi settore,
ambito o comparto sia pubblico che privato, imprenditoriale o meno.
L'Agenda Digitale Italiana è stata istituita il primo marzo 2012 con decreto del Ministro
dello sviluppo economico, di concerto con il Ministro per la pubblica amministrazione e la
semplificazione, il Ministro per la coesione territoriale, il Ministro dell'istruzione,
dell'università e della ricerca e il Ministro dell'economia e delle finanze.
Nel D. L. del 18 ottobre 2012 n. 179, intitolato “Ulteriori misure urgenti per la crescita del
Paese” - c.d. provvedimento Crescita 2.0 -, sono previste le misure per l'applicazione
concreta dell'ADI.
I principali interventi sono previsti nei seguenti settori: identità digitale, amministrazione
44
digitale, istruzione digitale, sanità digitale, divario digitale, pagamenti elettronici e
fatturazione, giustizia digitale.
La strategia italiana Agenda Digitale si basa sul documento del 07 aprile 2014 73, nel quale
viene elaborata una strategia paese, attraverso l‟individuazione di specifiche priorità e
modalità di intervento collegate a chiare azioni, i cui risultati sono misurabili sulla base di
specifici indicatori, in linea con lo scoreboard dell‟Agenda Digitale Europea (ADE).
Nello specifico sono state declinate le priorità strategiche negli ambiti della Crescita Digitale
e dello sviluppo di Infrastrutture Digitali; il documento descrive, anche sulla base
dell‟analisi e del bilanciamento della domanda e dell‟offerta di ICT, tali priorità di
intervento collegandole a specifiche azioni perseguite e/o da perseguire con riferimento ai
citati ambiti, sviluppati secondo le specifiche priorità: Identità digitali, Dati pubblici e
condivisione, Competenze digitali e inclusione, Amministrazione Digitale, Comunità
Intelligenti, Mercato digitale74.
Per quanto riguarda, invece, le Infrastrutture Digitali75, sono previste azioni riguardanti
Infrastrutture a banda ultralarga, Data Center, Sistema Pubblico di Connettività e Sicurezza.
I risultati raggiunti da tali azioni saranno misurati sulla base di specifici indicatori,
appositamente individuati.
Gli Attori coinvolti nella prima stesura della strategia (2012) sono: Ministero dello Sviluppo
Economico; Ministero delle infrastrutture e dei trasporti; Ministero della Funzione Pubblica
e semplificazione; Ministero dell‟Istruzione, Università e Ricerca; Ministero dell‟Economia
e delle Finanze; Dipartimento di Coesione Territoriale; Dipartimento per l‟Editoria della
Presidenza del Consiglio; Regioni, Comuni e Province italiane.
L‟Italia, inoltre, ha istituito una Cabina di regia volta a definire una strategia nazionale per lo
sviluppo del Paese puntando sull‟economia digitale (D. L. 9 febbraio 2012, n. 5, convertito
nella legge 4 aprile 2012, n. 35).
Gli obiettivi della Cabina ricalcano le azioni definite nell‟iniziativa faro – “digital agenda”
all‟interno della strategia europea EU2020.
Con il Decreto Sviluppo 2012, del 15 giugno 2012 e successive modificazioni, è stata
73
Reperibile all'indirizzo internet: http://www.agid.gov.it/agenda-digitale/agenda-digitale-italiana, consultato nel mese di
novembre 2016.
74
Si veda il documento Strategia per la crescita digitale del 03 marzo 2015, risultato della consultazione pubblica avviata a fine
2014: http://www.governo.it/GovernoInforma/documenti/piano_crescita_digitale.pdf , consultato novembre 2016.
75
Si veda il documento Strategia italiana per la banda ultralarga, reperibile all‟indirizzo internet
http://www.agid.gov.it/sites/default/files/documenti_indirizzo/StrategiaBandaUltraLarga2014.pdf, consultato dicembre 2016.
45
istituita l‟Agenzia per l‟Italia digitale con il compito operativo di portare avanti gli obiettivi
definiti con la strategia italiana dalla Cabina di Regia di cui sopra, monitorando l'attuazione
dei piani di ICT delle pubbliche amministrazioni e promuovendone annualmente di nuovi,
in linea con l‟Agenda digitale europea.
Con il D. L. 69/2013 il Governo ha rivisto la strategia dell'Agenda e il ruolo della Cabina di
Regia, con l'istituzione di un “Tavolo permanente, composto da esperti”.
Il periodico aggiornamento della strategia, invece, è ad opera dell‟Agenzia per l‟Italia
digitale su indirizzo del Commissario di Governo per l‟attuazione dell‟Agenda Digitale, in
coerenza con le novità che emergono a livello regionale e locale attraverso il costante
monitoraggio che l‟Agenzia per l‟Italia fa sul territorio.
Da segnalare, che l'art. 24-ter del D. L. n. 90 del 24 giugno 2014, introdotto in sede di
conversione in L. n. 114 del 11 agosto 2014, ha previsto l'emanazione di apposite regole
tecniche per l'attuazione dell'Agenda Digitale Italiana, attraverso le modalità di cui all'art. 71
del C.A.D.
1.6.4. L'Agenda Digitale delle Regioni e degli enti locali
Il livello regionale e locale rappresenta un ambito fondamentale per la definizione, la
concertazione e l‟attuazione della Società dell‟informazione e della conoscenza in quanto
consente di coniugare un obiettivo europeo ad un‟unica progettualità ed un‟unica
regolamentazione a livello nazionale, con le azioni programmatico - legislative proprie delle
Regioni, valorizzandone le funzioni e le esperienze, e con l‟utilizzo sistemico dei fondi
strutturali europei, nazionali e regionali, operando ad un livello locale per rispettare le
specificità, ma adeguato alla valorizzazione delle economie di scala e delle possibili sinergie
di rete.
L‟Agenzia per l'Italia digitale sta lavorando con le regioni per la definizione delle agende
digitali regionali.
Il lavoro è coordinato, lato regioni, dal CISIS, l‟organo tecnico delle regioni per le
tematiche dell‟agenda digitale.
Nel giugno 2012, nell‟ambito di una Conferenza Stato-Regioni, è stato presentato il
46
documento di posizionamento delle regioni per quanto riguarda l‟agenda digitale76.
Al momento sono disponibili on line le agende digitali delle seguenti regioni: Lombardia 77,
Veneto78, Toscana79, Umbria80, Puglia81, Basilicata82, mentre altre regioni stanno attuando la
propria Agenda Digitale.
1.7. eDemocracy
Il termine e-democracy, inteso come utilizzazione delle nuove tecnologie della comunicazione
e dell'informazione nell'ambito dei processi politici e sociali, compare alla fine del secolo
scorso ed il suo significato, tanto sotto il profilo teorico quanto sotto il profilo pratico, è
complesso. Il concetto racchiude in sé un insieme di modalità che favoriscono la
partecipazione diretta dei cittadini ai processi politici ed istituzionali e che introducono
forme innovative di democrazia.
In base ad una condivisa definizione dobbiamo intendere l‟eDemocracy, in senso
generale, come una democrazia caratterizzata dall’uso, da parte dei cittadini, degli
strumenti ICT per una maggiore responsabilizzazione degli attori pubblici nelle
loro azioni.83
Ci sono numerosi modelli di democrazia elettronica, ognuno dei quali poggia su
una concezione differente di democrazia (liberal-individualista, autonomo-marxista, contropubblica e quant'altre) che ognuna promette, ma l'evoluzione della e-democracy può essere
rappresentata da alcune forme che costituiscono, sostanzialmente, delle fasi di sviluppo
della democrazia elettronica con l'uso delle nuove tecnologie dell'informazione e della
comunicazione e che si propongono d'integrare e rivitalizzare la tradizionale democrazia
rappresentativa mediante l'innesto su di essa di nuovi processi partecipativi: l'eGovernment,
la eDemocracy amministrativa, la eDemocracy consultiva, la eDemocracy partecipativa, la
eDemocracy deliberativa.
76
Documento
disponibile
all‟URL:
http://www.regioni.it/download.php?id=256657&field=allegato&module=news,
consultato nel mese di dicembre 2016.
77
Si veda l‟URL: http://www.agendadigitale.regione.lombardia.it/, consultato nel mese di dicembre 2016.
78
Si veda l‟URL: http://agendadigitale.regione.veneto.it/, consultato nel mese di dicembre 2016.
79
Si veda l‟URL: http://www.regione.toscana.it/agendadigitale, consultato nel mese di dicembre 2016.
80
Si veda l‟URL: http://www.agendadigitale.regione.umbria.it/, consultato nel mese di dicembre 2016.
81
Si veda l‟URL: http://www.regione.puglia.it/index.php?page=pressregione&opz=display&id=17848, consultato nel mese di
dicembre 2016.
82
Si veda l‟URL: http://www.ibasilicata.it/web/guest/agenda-digitale, consultato nel mese di dicembre 2016.
83
Cfr. L. De Pietro, Dieci lezioni per capire e attuare l’eGovernment, Marsilio, Padova, 2011.
47
L'eGovernment o amministrazione elettronica, in senso stretto, come già
anticipato nel capitolo dedicato all‟argomento, non è altro che il processo
d'informatizzazione della pubblica amministrazione che semplifica il lavoro degli enti e
rende rapidi ed efficienti i servizi per i cittadini; inoltre, attiva modalità di trasparenza
informativa ed è il presupposto dei più complessi processi di e-democracy. Esso non è in sé
democratico, ma lo diventa se viene orientato verso le finalità della democrazia. Esso non
può significare solo maggiore efficienza dell'esercizio del potere, ma deve anche favorire
una maggiore distribuzione del potere medesimo facendo aumentare le possibilità
d'intervento diretto dei cittadini. Il suo tasso di democraticità si misura in termini di
trasparenza dell'attività della pubblica amministrazione, di controllo diffuso sui processi
amministrativi, di semplificazioni procedurali, di liberazione del cittadino dalla tirannia della
burocrazia, e via continuando. La sfera della politica è stata così investita dalle nuove
tecnologie dell‟informazione e della comunicazione attraverso l‟utilizzo di Internet da parte
delle istituzioni governative come strumento di comunicazione con i cittadini, con le
imprese e tra i diversi ambiti dell‟amministrazione nella dimensione di e-government. Governo
elettronico ed amministrazione digitale rappresentano un nuovo modello che le
amministrazioni pubbliche non possono tralasciare e che le spinge a riorganizzare
conseguentemente le funzioni interne delle proprie strutture nella dimensione di
governance elettronica.
L‟eDemocracy amministrativa è la forma avanzata dell'e-government che, forzando
il tradizionale principio di segretezza e gestione delle informazioni di atti amministrativi
pubblici, ha favorito l'estensione del principio di trasparenza dalla semplice accessibilità alle
informazioni al principio di verificabilità delle procedure
e delle deliberazioni
amministrative.
L‟eDemocracy consultiva rafforza la trasparenza e si basa sul principio che gli
enti pubblici debbano stimolare e favorire la consultazione dei cittadini attraverso cui
devono esprimere la propria opinione su determinate questioni. Tuttavia, con tale forma di
democrazia elettronica, che talvolta giunge a coinvolgere nelle consultazioni anche i
residenti, i cittadini non esercitano un reale potere decisionale ma soltanto un ruolo
appunto consultivo.
L‟eDemocracy partecipativa, intesa come forma di potere esercitato mediante
l'interazione dell'uomo col computer, ha anch'essa lo scopo di stimolare la partecipazione
48
attiva ed ampliare il coinvolgimento dei cittadini e, sebbene talvolta utilizzi il voto
elettronico (in genere, a scopo consultivo), si risolve in una forma sperimentale
d'integrazione delle modalità tradizionali di voto. L'avvento delle nuove tecnologie
dell'informazione e della comunicazione, tuttavia, consente di generare spazi di dibattito
pubblico, attraverso livelli diversi di discussione, da cui derivano processi
e atti di
deliberazione politica. Con le nuove forme di coinvolgimento nell'ambito della
partecipazione politica, in ogni caso, si stanno offrendo maggiori possibilità ai cittadini
d'influenzare il dibattito pubblico e soprattutto di conseguire una più ampia deliberazione.
L‟eDemocracy deliberativa è una forma che presuppone la partecipazione dei
cittadini ai processi decisionali e si basa essenzialmente sulla centralità dell'individuazione di
soluzioni tecniche dirette a favorire processi di comunicazione interattivi e trasparenti
unitamente all'attivazione di meccanismi di partecipazione e di deliberazione. Questa forma
ingloba anche circuiti comunitari non ufficiali, come dimostra il progetto Your Voice Europe
attuato in occasione del processo di elaborazione della Costituzione europea, con cui il
dibattito è stato reso pubblico ed interattivo attraverso Internet. La democrazia elettronica
deliberativa, le cui deliberazioni sono processi di natura politica e frutto di un'attività
d'interazione fra individui di una determinata comunità, non è considerata da molti un
nuovo modello di democrazia, ma un approfondimento delle teorie precedenti. In ogni
caso, essa incide notevolmente sulle forme di organizzazione delle istituzioni in termini di
coinvolgimento ed ampliamento della partecipazione dei cittadini, di trasparenza ed
efficienza amministrativa e, soprattutto, di nuovi modelli decisionali più vicini alla
democrazia diretta piuttosto che alla democrazia rappresentativa.
CAPITOLO II
INFORMATICA GIURIDICA E AMMINISTRAZIONE DIGITALE
49
2.1 Introduzione all’amministrazione digitale
Il testo di riferimento per la disciplina dell‟Amministrazione digitale è da considerarsi il
Codice dell’Amministrazione Digitale - CAD, emanato con Decreto Legislativo del 7
marzo 2005, n. 82, ovvero un corpo organico di disposizioni concernente l‟uso delle
tecnologie info-telematiche nelle Pubbliche Amministrazioni.
Entrato in vigore il 1º gennaio 2006, il codice si presenta come una sorta di “costituzione”
del mondo digitale, un prezioso strumento nato per facilitare la vita ai cittadini e per
rendere più produttivo ed efficiente il lavoro dei dipendenti pubblici.
Scopo del CAD, in effetti, è proprio quello di rendere obbligatoria l‟innovazione della PA
offrendo ai cittadini e alle imprese il diritto di confrontarsi ed interagire in ogni momento
con qualunque amministrazione attraverso le reti, la posta elettronica, Internet.
In particolare, esso si presenta come una sorta di “Testo unico” poiché riunisce ed ordina
molte norme che già si erano susseguite nel corso degli anni in materia di eGovernement ed
innovazione e, al tempo stesso, sancisce nuovi diritti ed opportunità, in linea con il
panorama tecnologico in costante evoluzione.
La versione iniziale del CAD è stata oggetto di significativi interventi di modifica ed
aggiornamento da parte del legislatore; in particolare si segnalano le novelle rappresentate
dal D. Lgs. n. 235/2010 e dal D.L. n. 179/2012 (c.d. “Agenda Digitale Italiana”) che hanno
reso ancor più stringente l‟obbligo per le Amministrazioni di organizzarsi in modo da
rendere sempre disponibili tutte le informazioni in modalità digitale.
Le riforme hanno evidenziato l‟attitudine delle nuove tecnologie a porsi quale strumento
privilegiato di dialogo con i cittadini, con conseguente impatto sui processi di
comunicazione e di interazione tra PA e privati, nonché sull‟organizzazione e sugli
strumenti della PA digitale.
In particolare, le riforme al CAD introdotte con il D.Lgs. n. 235/2010, in vigore dal 25
gennaio 2011, si sono poste come finalità quella di poter delineare una Pubblica
Amministrazione finalmente moderna, digitale e libera dal vincolo della burocrazia, che
spesso si traduce in inutile e dispendioso aggravamento dei procedimenti amministrativi.
Attraverso una corretta applicazione del CAD, in effetti, è possibile affermare che
l'amministrazione digitale non è più banalmente una mera enunciazione concettuale o una
“dichiarazione di principio” ma, al contrario, essa apporta un insieme di innovazioni
50
normative che vanno ad incidere concretamente sui comportamenti e sulle prassi delle
amministrazioni e sulla qualità dei servizi resi. La riforma rende, in tal modo, stringenti gli
obblighi per la PA, effettivi i diritti per cittadini e imprese e riconosce maggiore sicurezza
agli operatori sulla validità, anche giuridica, dell'amministrazione digitale.
Tuttavia, l‟importante opera di rinnovamento normativo in tema di amministrazione
digitale avviata con il D.Lgs. n. 235/2010 si inserisce in un più ampio processo volto al
rinnovamento della PA, già avviato in precedenza con il Decreto legislativo n. 150 del 27
ottobre 2009.
Quest‟ultimo intervento normativo, intervenuto in attuazione della Legge 4 marzo 2009,
n.15 introduce principi di primaria importanza, quanto a portata giuridica ed a forza di
incidenza, in tema di efficienza e trasparenza della PA, ottimizzazione della produttività del
lavoro pubblico, meritocrazia, premialità e responsabilizzazione dei dirigenti ma anche di
tutti i dipendenti della pubblica amministrazione.
Nel corso del 2016, però, importanti novità normative hanno segnato lo scenario di
riferimento dell‟Amministrazione digitale:
a) l‟entrata in vigore, dal primo luglio 2016, del nuovo Regolamento eIDAS (Electronic
IDentification Authentication and Signature), che ridefinisce il quadro normativo in materia
di servizi fiduciari, introducendo un‟innovazione rispetto alla Direttiva Europea
1999/93/EC relativa ad un quadro comunitario per le firme elettroniche;
b) l‟emanazione, conseguente al citato Regolamento eIDAS che l‟ha resa necessaria, del
Decreto legislativo 26 agosto 2016, n. 179 recante “Modifiche ed integrazioni al Codice
dell'amministrazione digitale, in materia di riorganizzazione delle amministrazioni
pubbliche”, volto a riformare il testo legislativo originario del CAD e ad introdurre ulteriori
novità in materie correlate, una su tutte la trasparenza.
Tali interventi di riforma si mostrano intimamente connessi fra loro, proponendosi come
fine ultimo quello di rendere più efficace la pubblica amministrazione, sistematizzando e
accelerando il processo di digitalizzazione iniziato oltre dieci anni fa.
L‟ampia riforma del CAD era ritenuta ormai necessaria, ad oltre dieci anni dall‟emanazione
del CAD, al fine di attribuire concretezza ed attualità ai diritti di cittadinanza digitale dei
cittadini e delle imprese, garantendo, contestualmente, il diritto di accesso ai dati, ai
documenti e ai servizi di loro interesse in modalità digitale. Fermo restando la più pressante
51
necessità di fare fronte alle profonde novità introdotte dal Regolamento eIDAS, tali da
minare, se non recepiti nella giusta misura e forma, lo stesso impianto del CAD.
L‟opportunità della riforma dell‟intero CAD nasce quindi, essenzialmente, dalla necessità di
adeguare lo stesso al Regolamento eIDAS. Esso stabilisce le condizioni per il
riconoscimento reciproco in ambito di identificazione elettronica e le regole comuni per le
firme elettroniche, l‟autenticazione web ed i relativi servizi fiduciari per le transazioni
elettroniche.
L‟obiettivo fondamentale di questo provvedimento comunitario è quello dell‟eliminazione
delle barriere esistenti all‟impiego transfrontaliero dei mezzi di identificazione elettronica
utilizzati negli Stati membri almeno per l‟autenticazione nei servizi pubblici. Il
Regolamento, difatti, mira a garantire l‟accesso ai servizi online transfrontalieri offerti dagli
Stati membri attraverso un‟identificazione e un‟autenticazione elettronica sicura.
A tal fine, il provvedimento in esame anzitutto disciplina l‟identificazione elettronica da
intendersi come “il processo per cui si fa uso di dati di identificazione personale in forma
elettronica che rappresentano un‟unica persona fisica o giuridica, o un‟unica persona fisica
che rappresenta una persona giuridica”, preoccupandosi del riconoscimento reciproco fra
gli Stati membri dei mezzi di identificazione e autenticazione elettroniche per accedere ad
un servizio prestato da un organismo del settore pubblico online in uno Stato membro.
Grazie all‟applicazione del Regolamento, firme elettroniche, sigilli, validazioni temporali
elettroniche, servizi elettronici di recapito certificato e certificati di autenticazione di siti
web potranno essere usati ovunque nell'UE da cittadini, aziende e pubbliche
amministrazioni, aumentando di fatto la certezza legale e la sicurezza delle transazioni
elettroniche e favorendo, conseguentemente, la realizzazione di un mercato unico digitale.
L‟idea di fondo, in effetti, è proprio quella di costituire un mercato unico digitale, in cui si
assisterà ad una maggiore fruibilità dei servizi online di tutte le pubbliche amministrazioni
dell‟Unione rafforzando così il concetto di cittadinanza europea84.
Passando ad esaminare la seconda importante novità normativa intervenuta in tema di
amministrazione digitale, il Decreto legislativo 26 agosto 2016, n. 179 recante “Modifiche
ed integrazioni al Codice dell'amministrazione digitale, in materia di riorganizzazione delle
amministrazioni pubbliche”, ha ad oggetto una complessa riforma che investe la quasi
84
M.Iaselli, Codice dell’amministrazione digitale: le modifiche in Gazzetta, 15 settembre 2016, disponibile al seguente URL:
http://www.altalex.com/documents/news/2016/02/04/codice-amministrazione-digitale-le-modifiche-approvate-dal-consiglio-deiministri consultato nel mese di novembre 2016.
52
totalità degli articoli del Codice dell‟Amministrazione Digitale di cui al d.lgs. n. 82 del 2005.
Tale novella, ritenuta ormai impellente al fine di promuovere e rendere effettivi i diritti di
cittadinanza digitale dei cittadini e delle imprese, garantisce, contestualmente, il diritto di
accesso ai dati, ai documenti e ai servizi di loro interesse in modalità digitale, semplificando
le modalità di accesso ai servizi alla persona. Detto in altre parole, il D.Lgs. n. 179/2016
realizza quanto indicato nell‟art. 1 della Legge n. 124/2015, con la quale il Parlamento ha
delegato il governo ad emanare il detto decreto, ovvero una vera e propria “carta della
cittadinanza digitale”.
I principi ed i criteri direttivi della riforma, esplicitamente previsti dalla normativa legislativa
di riferimento, ovvero l‟art. 1 della Legge n. 124/2015, sono principalmente volti a favorire
“l‟accesso dell‟utenza ai servizi delle amministrazioni pubbliche in modalità digitale”85.
L‟obiettivo principale della riforma rimane quello di spostare l‟attenzione dal processo di
digitalizzazione ai diritti digitali di cittadini e imprese. Con la “carta della cittadinanza
digitale” si riconoscono concretamente numerosi diritti a cittadini e imprese e si costituisce
la base giuridica per implementare Italia Login, la piattaforma di accesso che, attraverso il
Sistema pubblico d‟identità digitale (SPID) e l‟Anagrafe nazionale della popolazione
residente, permetterà ai cittadini di accedere ai servizi pubblici, e a quelli degli operatori
privati che aderiranno, con un unico nome utente e un‟unica password (prenotazioni di
visite mediche, iscrizioni a scuola, pagamento dei tributi). Ciò consentirà di superare la
complessità della situazione attuale per cui ogni pubblica amministrazione o Ente pubblico
85
Più nel dettaglio, tali principi contenuti nell‟art. 1 della Legge n. 124/2015 riguardano:
- la definizione di un livello minimo delle prestazioni in materia di servizi on line delle Amministrazioni pubbliche con
particolare riferimento alla qualità, fruibilità, accessibilità, tempestività e sicurezza di tali servizi;
- la piena applicazione del principio del “digital first” (cosiddetto principio “innanzitutto digitale”), in base al quale il digitale è
il canale principale per tutte le attività amministrative;
- il potenziamento della connettività a banda larga e ultralarga e dell‟accesso alla rete Internet presso gli uffici pubblici, in
specie nei settori sanitario, scolastico e turistico, agevolando per quest‟ultimo la creazione di una rete wi-fi ad accesso libero attraverso
autenticazione tramite il “Sistema pubblico di identità digitale” (SPID);
- la partecipazione con modalità telematiche ai processi decisionali pubblici;
- l'armonizzazione della disciplina del “Sistema pubblico di identità digitale” (SPID) consistente, in estrema sintesi,
nell'utilizzo del cosiddetto PIN unico per accedere ai servizi forniti dall‟Amministrazione;
- la promozione dell'elezione del domicilio digitale; l‟adeguamento dell'ordinamento nazionale “alla disciplina europea in
materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche”, materia di recente normata dal regolamento (UE)
n. 910/2014 del 23 luglio 2014 (electronic IDentification Authentication and Signature - eIDAS), che, come innanzi detto, troverà
automatica applicazione anche in Italia a decorrere dal 1° luglio 2016;
- l‟individuazione del pagamento elettronico come mezzo principale di pagamento nei confronti delle pubbliche
amministrazioni e degli esercizi di pubblica utilità, ritenuto il “volano per i processi di digitalizzazione e archiviazione documentale
digitale”.
Inoltre, nel predisporre il testo di riforma, il legislatore - in ossequio, peraltro, a quanto previsto dell‟Agenda digitale europea
(ADE) e, in coerenza con gli obiettivi posti da tale documento, anche dall‟Agenda digitale italiana (ADI) - si propone di superare
“l‟arretratezza” tecnologica del Paese, ponendo le condizioni per combattere i principali ostacoli a fondamento del gap di cui si è in
precedenza detto, come, ad esempio, l‟uso ancora eccessivo della carta nell‟ordinario funzionamento delle Amministrazioni, la
complessità e l‟incompletezza della vigente disciplina in materia di domicilio digitale dei cittadini e delle imprese o ancora,
l‟“l‟analfabetismo” della cultura digitale della cittadinanza, con particolare riguardo alle categorie a rischio di esclusione.
53
che garantisce servizi on-line richiede proprie modalità di registrazione e di utilizzo dei
servizi.
Tra le tematiche di maggiore interesse del nuovo Codice dell‟Amministrazione Digitale, in
effetti, rilevano, nello specifico, il perfezionamento del Sistema Pubblico di Identità
Digitale (SPID) ed il programma “digital first”.
Il sistema SPID assume un ruolo centrale nel novellato CAD e viene definito come un
insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'AgID,
secondo modalità definite con specifico decreto ministeriale, identificano cittadini, imprese
e pubbliche amministrazioni per consentire loro l‟accesso ai servizi in rete. Esso, dunque, è
legato alla creazione di un domicilio e di un‟identità digitali che consentiranno a cittadini e
imprese di dialogare con la pubblica amministrazione attraverso un unico punto di accesso,
abbattendo tempi e costi.
È chiaro, quindi, l‟intento del legislatore di semplificare al massimo l‟accesso ai servizi on
line dei cittadini, superando le difficoltà connesse alle carte elettroniche, anche se il pericolo
“sicurezza” incombe sempre, poiché è evidente che con tale sistema si moltiplicano le
identità digitali di un cittadino, che saranno diverse per ogni servizio. Proprio per far fronte
a possibili abusi, il sistema è continuamente monitorato dall‟Autorità Garante.
Il “digital first” consiste nell‟obbligo per le P.A. di garantire il passaggio in digitale di tutti i
procedimenti amministrativi attualmente in cartaceo, permettendo dunque ai cittadini di
entrare in contatto con le amministrazioni senza recarsi fisicamente agli sportelli.
L‟obiettivo finale è quello di consentire a tutte le P.A. di produrre atti e documenti solo in
formato elettronico, abolendo totalmente il cartaceo.
Nel commentare le novella normativa, c‟è chi ha individuato i principali capisaldi della
riforma del CAD, le cd. 3C, nei concetti di cittadinanza digitale, cultura digitale e
concorrenza digitale86.
L‟art. 1 della Legge n. 124/2015 è rubricato “Carta della cittadinanza digitale”, per cui la
novità più rilevante del decreto di riforma del CAD è il riconoscimento della centralità del
cittadino nella relazione con le P.A. e le società a controllo pubblico e dei diritti di
cittadinanza digitale. Quest‟ultima rappresenta uno status, ossia il complesso dei diritti di
utilizzo delle ICT nella relazione tra cittadino/imprese e la pubblica amministrazione, ai fini
86
F. Trojani, Riforma Codice Amministrazione Digitale: transizione, modalità operativa digitale, fiducia degli operatori. 12 ottobre 2016,
disponibile al seguente URL:
http://www.leggioggi.it/2016/10/12/riforma-codice-amministrazione-digitale-transizione-modalitaoperativa-digitale-fiducia-degli-operatori/ consultato nel mese di ottobre 2016.
54
della fruizione dei servizi pubblici e dell‟accesso ai dati e ai documenti in modalità
dematerializzata, nonché mediante l‟utilizzo delle tecnologie dell‟informazione e della
comunicazione.
È questo il fulcro della riforma, che trova i propri corollari nella novella degli articoli 3,
3bis, 5, 64 e 65 del CAD.
La cittadinanza digitale, come status, per poter essere piena ed effettiva, presuppone che
siano adottate azioni in concreto tese al superamento dei possibili ostacoli sia di natura
tecnologia, sia di natura cognitiva e delle competenze individuali.
Pertanto, si deve immaginare il cittadino al centro della relazione con le P.A. e si deve
prevedere che qualunque rapporto e interazione necessari con i soggetti pubblici possano
avvenire mediante l‟utilizzo delle ICT; da qui:
- diritto all‟uso delle tecnologie e all‟utilizzo delle ICT per presentare domande, istanze e
dichiarazioni;
- diritto all‟utilizzo di sistemi di pagamento elettronico;
- diritto al ricevimento delle comunicazioni elettroniche;
- facoltà di non dover conservare documenti, che per legge devono essere conservati dalle
pubbliche amministrazioni.
Perché la cittadinanza digitale possa dirsi effettiva, si segnalano le opportune modifiche e
integrazioni da parte del D. Lgs. 179/2016 agli articoli 8 e 13 del CAD:
- quanto al primo, al comma 1 all‟espressione alfabetizzazione informatica si è sostituita quella
più compiuta di cultura digitale tra i cittadini, che è un obiettivo di politica e di crescita, con
“particolare riguardo alle categorie a rischio di esclusione, anche al fine di favorire l‟utilizzo
di servizi digitali delle pubbliche amministrazioni”;
- nell‟art. 13, dopo il comma 1, è stato introdotto il comma 1bis, che dispone che “le
politiche di formazione di cui al comma 1 sono altresì volte allo sviluppo delle competenze
tecnologiche e manageriali dei dirigenti, per la transizione alla modalità operativa digitale”.
Quanto alla cultura digitale, il Governo nel 2014 ha adottato il “Programma nazionale per
la cultura, la formazione e le competenze digitali”, avente un orizzonte temporale che
coincide con la programmazione europea (2014-2020), parte integrante dell‟Agenda
Digitale Italiana, a cui contribuiscono per la definizione dell‟Asse Strategico “Competenze
digitali”.
55
Il Programma nazionale si propone di definire il quadro strategico e operativo entro cui
sviluppare la cultura e le competenze digitali del Paese.
Inoltre, è uno strumento che intende raccordare e porre in rete le iniziative territoriali e
settoriali già esistenti: si tratta di un lavoro in progress, che deve far proprie le nuove esigenze
della cittadinanza, e mantenere un allineamento costante tra scelte strategiche, direttrici
operative e piano di azione.
Lo sviluppo delle competenze digitali e in generale della consapevolezza digitale è
fondamentale per il nostro Paese, che sconta su questo campo uno svantaggio molto grave
nei confronti della gran parte dei Paesi Europei, come rilevato da diversi rapporti
internazionali. Ne paghiamo le conseguenze sul fronte dello sviluppo economico-sociale,
ma anche dell‟inclusione e dell‟esercizio dei diritti democratici. Le competenze digitali (in
continua evoluzione) sono necessarie per un utilizzo efficace degli strumenti e dei servizi
digitali di uso comune nella vita quotidiana compreso l‟ambito lavorativo, senza finalità
professionali specifiche. Il nesso con il concetto di cittadinanza digitale nasce proprio
dall‟idea che saper utilizzare strumenti e servizi digitali ad un livello anche basilare, ma
comunque adeguato allo scopo, sia una condizione oggigiorno sempre più necessaria per
poter partecipare alle dinamiche sociali, economiche e politiche della realtà in cui viviamo
ed esercitare i nuovi diritti legati proprio alla pervasività del digitale.
Infine, il riconoscimento della cittadinanza digitale e la promozione della cultura digitale,
non possono prescindere dalla vitalità del mercato e dalla fornitura di nuovi servizi, per cui
è necessario promuovere la cd. “concorrenza digitale”. Questa non è rinvenibile nella
Legge delega n. 124/2015, né nel D.Lgs. n. 179/2016. Tuttavia, si evince dal principio di
cui alla lettera m) dell‟art. 1 del D.Lgs. n. 179/2016, secondo cui occorre “assicurare la
neutralità tecnologica delle disposizioni del CAD”. Il principio di neutralità tecnologica
presuppone che si possano utilizzare tecnologie differenti, che prescindano da una tipologia
di tecnologia o da un‟altra; ciò favorisce la promozione della concorrenza e la crescita di
piccole e medie imprese, a tutto vantaggio dei cittadini e degli utilizzatori delle soluzioni e
delle tecnologie.
Scopo del CAD è, ai sensi dell‟articolo 2 comma 1 del Codice, promuovere e regolare la
disponibilità, la gestione, l'accesso, la trasmissione, la conservazione e la fruibilità
dell'informazione in modalità digitale, utilizzando le tecnologie dell'informazione e della
56
comunicazione
all'interno
della
Pubblica
Amministrazione
e
nei
rapporti
tra
amministrazione e privati.
Il CAD riconosce nella PA il destinatario privilegiato ma, allo stesso tempo, racchiude
importanti norme indirizzate alla generalità dei soggetti (inclusi cittadini, professionisti e
imprese) soprattutto per quanto riguarda l‟utilizzo di alcuni strumenti come la Posta
Elettronica Certificata, i documenti informatici e le firme elettroniche, atti a semplificarne i
rapporti tra Pubbliche amministrazioni, cittadini e imprese.
L‟art. 2, comma 1 del CAD prevede che “lo Stato, le Regioni e le autonomie locali
assicurano la disponibilità, la gestione, l‟accesso, la trasmissione, la conservazione e la
fruibilità dell‟informazione in modalità digitale e si organizzano ed agiscono a tale fine
utilizzando con le modalità più appropriate e nel modo più adeguato al soddisfacimento
degli interessi degli utenti le tecnologie dell‟informazione e della comunicazione”.
Per adempiere a tale disposizione, tuttavia, è previsto che gli Enti si organizzino ed
agiscano utilizzando le ICT nel modo più appropriato: appare evidente l‟intenzione del
legislatore di garantire effettività e certezza di tutela, pur nel rispetto dell‟autonomia
organizzativa di ciascuna Amministrazione.
Il successivo comma 2 individua i soggetti pubblici e privati a cui è rivolta la disciplina
dettata dal Codice. In particolare, il Codice, nella sua interezza, si applica alle:
– Amministrazioni pubbliche destinatarie della normativa sul pubblico impiego
(art. 1, comma 2, D.Lgs. 30 marzo 2001, n. 165) e quindi a tutte le amministrazioni dello
Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le
aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i
Comuni, le Comunità montane, e loro consorzi e associazioni, le istituzioni universitarie, gli
Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura
e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le
amministrazioni, le aziende e gli enti i del Servizio sanitario nazionale, l'Agenzia per la
rappresentanza negoziale delle pubbliche amministrazioni (ARAN) e le Agenzie di cui al
decreto legislativo 30 luglio 1999, n. 300 e, fino alla revisione organica della disciplina di
settore, il CONI;
57
– società a controllo pubblico, come definite nel decreto legislativo87 adottato in
attuazione dell'articolo 18 della legge n. 124 del 2015, escluse le società quotate come
definite dallo stesso decreto legislativo adottato in attuazione dell'articolo 18 della legge n.
124 del 2015.
In base ai commi 3 e 4 dell‟art. 2, il CAD si applica anche a:
- privati, per quanto attiene alle disposizioni riguardanti il documento informatico e le
firme elettroniche, i trasferimenti, libri e scritture, la formazione di documenti informatici,
la riproduzione e conservazione dei documenti, i requisiti per la gestione e conservazione
dei documenti informatici, la trasmissione informatica dei documenti (si tratta delle
disposizioni di cui al capo II, agli articoli 40, 43 e 44 del capo III, nonché al capo IV);
- gestori di servizi pubblici88 e organismi di diritto pubblico89, per quanto attiene le
disposizioni concernenti l'accesso ai documenti informatici e la fruibilità delle informazioni
digitali contenute nel Capo V.
Ai sensi del comma 5 dell‟art. 2, le disposizioni del CAD si applicano nel rispetto della
disciplina in materia di trattamento dei dati personali e, in particolare, delle
disposizioni del Codice in materia di protezione dei dati personali approvato con decreto
legislativo 30 giugno 2003, n. 196.
Per quanto riguarda invece la sfera di non applicabilità del CAD, in base al suo art. 2,
comma 6, tale testo unico non trova applicazione limitatamente a:
* l‟esercizio delle attività e funzioni ispettive e di controllo fiscale, di ordine e sicurezza
pubblica, difesa e sicurezza nazionale, polizia giudiziaria e polizia economico-finanziaria;
* consultazioni elettorali.
87
D.Lgs. 19 agosto 2016, n. 175 , “Testo unico in materia di società a partecipazione pubblica”, pubblicato in G.U. Serie
Generale n.210 del 8-9-2016. Si fa presente che la Corte Costituzionale è intervenuta sulla legittimità costituzionale delle disposizioni di
delegazione contenute nella Legge n. 124 del 2015 con la sentenza n. 251/2016. L‟arresto giurisprudenziale, però, non ha comportato, ad
oggi, effetti sul D.Lgs. n. 175/2016, che continua dunque a produrre i suoi effetti.
88
Possono essere “gestori di pubblico servizio” soggetti di varia natura che hanno in concessione servizi pubblici: ad es.
l‟ENEL o gli ordini professionali.
Un servizio pubblico è una tipologia di servizio reso alla collettività, oggettivamente non economica, ma suscettibile di essere
organizzata in forma d'impresa, secondo la disciplina dei vari ordinamenti giuridici.
89
In base all‟art. 3, comma 1, lett d) del D.Lgs. n. 50 del 2016 (che ha sostituito il D. Lgs n. 163/2006, c.d. Codice dei contratti
pubblici) per “organismo pubblico” occorre intendere qualsiasi organismo, anche in forma societaria il cui elenco non tassativo è
contenuto nell‟allegato IV:
1) istituito per soddisfare specificatamente esigenze di interesse generale, aventi carattere non industriale o commerciale;
2) dotato di personalità giuridica;
3) la cui attività sia finanziata in modo maggioritario dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto
pubblico oppure la cui gestione sia soggetta al controllo di questi ultimi oppure il cui organo d'amministrazione, di direzione o di
vigilanza sia costituito da membri dei quali più della metà è designata dallo Stato, dagli enti pubblici territoriali o da altri organismi di
diritto pubblico.
58
Le disposizioni del novellato CAD trovano, altresì, applicazione, come espressamente
previsto dall‟articolo in esame, al processo civile, penale, amministrativo, contabile e
tributario, in quanto compatibili e salvo che non sia diversamente disposto dalle
disposizioni in materia di processo telematico.
2.2. Principi ispiratori e principali diritti del CAD
Come già sottolineato, con la Legge n. 124/2015 (cd. Legge Madia) il Governo è stato
delegato a modificare ed integrare il Codice dell‟amministrazione digitale, di cui al D.Lgs. n.
82/2005, “al fine di garantire ai cittadini e alle imprese, anche attraverso l‟utilizzo delle
tecnologie dell‟informazione e della comunicazione, il diritto di accesso a tutti i dati, i
documenti e i servizi di loro interesse in modalità digitale, nonché al fine di garantire la
semplificazione nell‟accesso ai servizi alla persona”.
Il legislatore è mosso dall‟intento di favorire un nuovo processo di innovazione e di
crescita, in un momento in cui occorre razionalizzare le risorse pubbliche e favorire la
semplificazione delle relazioni tra PA e tra enti, cittadini ed imprese.
La scelta del Parlamento non è stata quella di riscrivere l‟intero corpo delle disposizioni in
tema di digitalizzazione amministrativa (che in alcuni casi rimangono ancora frammentate e
a volte di difficile ricostruzione), ma di conservare la struttura normativa consolidata (ossia
il D.Lgs. n. 82/2005 – CAD), integrando lo stesso. È opportuno precisare che a seguito
dell‟adozione del D.Lgs. 26 agosto 2016, n. 179 (pubblicato in GU n. 214 del 13/09/2016,
in vigore dal 14 settembre 2016), recante modifiche ed integrazioni al Codice
dell‟amministrazione digitale in attuazione della delega di cui all‟art. 1 della legge 124/2015,
rimangono in vigore le disposizioni in tema di documentazione amministrativa (contenute
nel DPR n. 445/2000) e le regole in materia di conservazione di archivi e documenti (di cui
al D.Lgs. n. 42/2004).
Già nei suoi primi articoli, il nuovo Codice dell‟Amministrazione Digitale contiene la
disciplina dei principi ispiratori dell‟organizzazione e dell‟operato delle pubbliche
amministrazioni e dei più importanti diritti, riconosciuti ai cittadini ed alle imprese nei
confronti delle PA ed attuabili mediante l‟uso delle tecnologie ICT.
59
I due principi fondamentali sui quali è incentrato il CAD sono il principio dell‟effettività
della riforma ed il principio degli incentivi all‟innovazione della PA.
In base al primo principio, vengono introdotte misure premiali e sanzionatorie favorendo,
da una parte, le amministrazioni virtuose (anche con la possibilità di quantificare e
riutilizzare i risparmi ottenuti grazie alle tecnologie digitali) e sanzionando, dall‟altra, le
amministrazioni inadempienti.
Il principio degli incentivi all‟innovazione della PA, invece, stabilisce che dalla
razionalizzazione della propria organizzazione e dall‟informatizzazione dei procedimenti, le
PA ricaveranno dei risparmi da utilizzare per il finanziamento di progetti d‟innovazione e
per l‟incentivazione del personale in essi coinvolto.
Oltre ai suddetti principi ispiratori rientra senza dubbio, ai sensi dell‟articolo 2 del CAD,
quello di assicurare “la disponibilità, la gestione, l‟accesso, la trasmissione, la conservazione
e la fruibilità dell‟informazione in modalità digitale” attraverso un utilizzo appropriato delle
tecnologie ICT.
In tema di innovazione organizzativa e digitalizzazione, l‟art. 12 del CAD, così come
modificato dal D.Lgs. n. 179/2016, enuncia il principio secondo il quale le Amministrazioni
pubbliche, nell‟organizzare in autonomia la loro attività, si avvalgono delle tecnologie
dell‟informazione e della comunicazione per la realizzazione degli obiettivi di efficienza,
efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione nel
rispetto dei principi di uguaglianza e di non discriminazione. Inoltre, tale articolo prevede
che le Amministrazioni pubbliche utilizzino le tecnologie ICT per garantire l‟effettivo
riconoscimento dei diritti di cittadinanza digitale, in conformità a quanto previsto dal Piano
triennale per l‟informatica nella pubblica amministrazione, anche al fine di assicurare, nei
rapporti interni e in quelli con altre amministrazioni e con i privati, la consultazione, la
circolazione e lo scambio di dati e informazioni.
Per un miglior perseguimento degli obiettivi su indicati, l‟articolo 15 del CAD dispone che
la riorganizzazione gestionale e strutturale delle amministrazioni pubbliche debba avvenire
attraverso il migliore utilizzo delle tecnologie ICT, nell‟ambito di una strategia coordinata
che assicuri lo sviluppo coerente del processo di digitalizzazione.
In concreto, le pubbliche amministrazioni provvedono a razionalizzare e semplificare i
procedimenti amministrativi, le attività gestionali, i documenti, la modulistica, le modalità di
accesso e di presentazione delle istanze da parte dei cittadini e delle imprese.
60
Tuttavia, il compito di promuovere l‟innovazione della PA spetta agli organi di governo,
nell‟esercizio delle funzioni di indirizzo politico e nell‟emanazione delle direttive generali
per l‟attività amministrativa.
In effetti, secondo il disposto dell‟articolo 117, comma 2, lettera r) della Costituzione,
spetta allo Stato disciplinare il “coordinamento informatico dei dati dell’amministrazione statale,
regionale e locale, dettando anche le norme tecniche necessarie a garantire l’interoperabilità e la sicurezza dei
sistemi informatici e dei flussi informativi”. Il CAD, dunque, si è reso possibile proprio in
funzione dell‟applicazione di tale articolo costituzionale, che ha condotto ad una delega del
Parlamento al Governo (contenuta nell‟articolo 10 della Legge 29 luglio 2003, n. 229) per la
sua emanazione nel 2005.
Al fine precipuo dell‟art. 117 della Costituzione, l‟articolo 14 del CAD prevede che,
nell‟ambito dei rapporti tra Stato, regioni e autonomie locali, l‟Agid (Agenzia per l‟Italia
digitale) assicuri il coordinamento informatico dei dati delle predette amministrazioni con la
finalità di progettare e monitorare l‟evoluzione strategica del Sistema informativo della
pubblica amministrazione, favorendo, altresì, l'adozione di infrastrutture e standard che
riducano i costi sostenuti dalle singole amministrazioni e migliorino i servizi erogati. Viene
inoltre aggiunto un ulteriore articolo 14bis in cui viene affidata all‟Agid la promozione
dell‟innovazione digitale nel Paese e l‟utilizzo delle tecnologie digitali nell'organizzazione
della pubblica amministrazione e nel rapporto tra questa, i cittadini e le imprese, nel rispetto
dei principi di legalità, imparzialità e trasparenza e secondo criteri di efficienza, economicità
ed efficacia. Essa inoltre collabora con le istituzioni dell'Unione europea svolgendo i
compiti necessari per l'adempimento degli obblighi internazionali assunti dallo Stato nelle
materie di competenza.
Chiarito, a livello generale, il quadro normativo dei principi fondamentali del CAD, è
opportuno soffermarsi sui nuovi diritti fruibili da cittadini ed imprese che si avvalgono delle
moderne tecnologie informatiche nei confronti delle pubbliche amministrazioni.
La Sezione II del Capo I del CAD enuncia i cd. “diritti dei cittadini e delle imprese”,
alla luce delle modifiche più significative introdotte nel CAD dal D.lgs. n. 179/2016.
L‟art. 3 (“Diritto all‟uso delle tecnologie”), da ritenersi un articolo centrale per tutto
l‟impianto del nuovo CAD, prevede e dispone che:
1) chiunque ha il diritto di usare le soluzioni e gli strumenti del CAD nei rapporti
con le P.A. che al CAD sono soggette;
61
2) la P.A. deve gestire i procedimenti amministrativi in modo da consentire al cittadino di
verificare, anche con mezzi telematici, i termini previsti ed effettivi per lo specifico
procedimento e il relativo stato di avanzamento, nonchè di individuare l'ufficio e il
funzionario responsabile del procedimento;
3) tutti i cittadini e le imprese hanno il diritto all'assegnazione di un'identità digitale
attraverso la quale accedere e utilizzare i servizi erogati in rete dalla P.A. attraverso la quale
hanno il diritto di essere identificati dalle medesime P.A. di inviare loro comunicazioni e
documenti e di riceverne dalle stesse per il tramite di un proprio indirizzo di posta
elettronica certificata, così come previsto dall'articolo 3 bis del CAD (domicilio digitale del
cittadino).
L‟articolo in esame procede, inoltre, a riordinare e razionalizzare la vigente disciplina in
materia d‟identità digitale, elevando la disponibilità di una identità digitale assegnata
nell‟ambito dello SPID al rango di “diritto di cittadinanza digitale” e riconoscendo a
tutti gli iscritti all‟Anagrafe nazionale della popolazione residente (ANPR) il diritto di essere
identificati dalle pubbliche amministrazioni tramite l‟identità digitale.
Ai fini della partecipazione a tutti i procedimenti amministrativi, dunque, la nuova
formulazione dell‟articolo in commento si mostra innovativa poiché, da un lato, estende a
“chiunque” il diritto all‟uso delle tecnologie, ovvero – rispetto alla disposizione vigente –
anche a soggetti di diritto diversi da cittadini e imprese (come ad es. cittadini non italiani,
associazioni, ecc.) e, dall‟altro, chiarisce gli obblighi che gravano sui soggetti destinatari
delle disposizioni al fine di rendere effettivo l‟esercizio del suddetto diritto.
Scopo della norma è quello di soddisfare le esigenze degli utenti consentendo a tutti gli
interessati di verificare - anche da “remoto” - i tempi di risposta previsti ed effettivi per
ogni specifico procedimento amministrativo e il relativo stato di avanzamento, nonché di
individuare l‟ufficio e il responsabile del procedimento90.
Proseguendo con l‟analisi delle modifiche maggiormente rilevanti, l‟art. 3 bis (“Domicilio
digitale delle persone fisiche”) riordina la vigente disciplina in materia di domicilio digitale e
prevede, al fine di facilitare la comunicazione tra l‟Amministrazione e i cittadini, la facoltà
per ogni cittadino di indicare al Comune di residenza un proprio domicilio digitale,
che dovrà costituire il mezzo esclusivo di comunicazione da parte pubbliche
90
Per maggiori informazioni si rinvia al sito web istituzionale: http://www.quotidianogiuridico.it/documents/2016/09/15/lemodifiche-al-codice-dell-amministrazione-digitale-in-gu ultima consultazione novembre 2016.
62
amministrazioni. Il medesimo articolo stabilisce che sarà messo a disposizione degli
iscritti all’ANPR un domicilio digitale, qualora questi ultimi non abbiano ancora
provveduto a indicarne uno, secondo le modalità che saranno stabilite con un prossimo
decreto del Ministro dell‟interno di concerto con il Ministro delegato per la semplificazione
e la pubblica amministrazione, sentito il Garante per la protezione dei dati personali.
Più nel dettaglio, l‟articolo in esame prevede che l‟invio della documentazione digitale
dall‟Amministrazione ai cittadini possa avvenire in due modi: direttamente, nei confronti di
chi eleggerà un “domicilio digitale” oppure indirettamente nei confronti di chi non avrà
eletto il suddetto domicilio, attraverso la predisposizione, da parte dello Stato, di una
“casella di posta virtuale” che sarà utilizzata dalle pubbliche amministrazioni per inviare
le comunicazioni ai destinatari.
Il domicilio digitale così delineato “costituisce mezzo esclusivo di comunicazione e
notifica” per le Pubbliche Amministrazioni: detto in altre parole, le Amministrazioni
saranno costrette ad effettuare comunicazioni e notifiche ai cittadini utilizzando
esclusivamente il domicilio indicato in ANPR, appena quest‟ultima sarà portata a regime.
La novella in esame prevede, altresì, la possibilità di eleggere un domicilio speciale di cui
all‟articolo 47 del Codice civile diverso dal domicilio digitale di cui al comma 1 e che,
qualora l‟indirizzo digitale indicato quale domicilio speciale faccia riferimento a un servizio
che non consenta la prova dell‟avvenuta ricezione di una comunicazione o del tempo di
ricezione, colui che lo ha eletto non può opporre eccezioni relative a tali circostanze.
Con l‟art. 5 (“Effettuazione di pagamenti con modalità informatiche”), il legislatore impone
alla P.A. di accettare, tramite apposita piattaforma, i pagamenti spettanti a qualsiasi titolo
attraverso sistemi di pagamento elettronico, ivi inclusi, per i micro-pagamenti, quelli basati
sull'uso del credito telefonico. Resta ferma la possibilità di accettare anche altre forme di
pagamento elettronico, senza discriminazione in relazione allo schema di pagamento
abilitato per ciascuna tipologia di strumento di pagamento elettronico.
Il successivo art. 5-bis del CAD (“Comunicazioni tra imprese e Amministrazioni
Pubbliche”), è invece rimasto invariato dopo l‟intervento del D.Lgs. n. 179/2016. In base a
tale norma, lo scambio di informazioni e documenti - anche a fini statistici - o la
presentazione di istanze, dichiarazioni o dati fra le imprese e le amministrazioni pubbliche
avviene esclusivamente utilizzando le moderne tecnologie ICT. Con le stesse modalità
63
informatiche e telematiche le Amministrazioni Pubbliche adottano e comunicano atti e
provvedimenti amministrativi nei confronti delle imprese.
Norma di particolare interesse è poi quella contenuta nell‟art. 6 del CAD (“Utilizzo della
posta elettronica certificata”), la quale prevede un rinvio all‟articolo 3-bis dello stesso
Codice, al fine di coordinare la disciplina delle comunicazioni attraverso posta elettronica
certificata con quella del domicilio digitale delle persone fisiche, in modo da evitarne la
sovrapposizione.
La Posta Elettronica Certificata - PEC trova la sua disciplina non solo nell‟art. 6 citato
ma anche nell‟art. 48 del CAD e, dettagliatamente, nel D.P.R. 11 Febbraio 2005 n.68. Come
meglio si avrà modo di approfondire in seguito, essa rappresenta un sistema di
comunicazione via e-mail, grazie al quale è possibile inviare e ricevere documentazione
elettronica con valore legale equiparato alla Posta Raccomandata con ricevuta di
ritorno (A/R).
Inoltre, il sistema di Posta Certificata, grazie ai protocolli di sicurezza utilizzati, è in grado di
garantire la certezza del contenuto non rendendo possibili modifiche al messaggio, sia per
quanto riguarda i contenuti che gli eventuali allegati. La Posta Elettronica Certificata
garantisce, in caso di contenzioso, l'opponibilità a terzi dell‟avvenuta consegna del
messaggio: nel caso in cui il messaggio sia stato effettivamente consegnato, il destinatario
non può negare l‟avvenuta ricezione, dal momento che la ricevuta di avvenuta consegna del
messaggio, firmata ed inviata al mittente dal Gestore di PEC scelto dal destinatario, riporta
la data e l‟ora in cui il messaggio è stato consegnato nella casella di PEC del destinatario,
certificandone l‟avvenuta consegna.
Uno strumento di grande utilità per i privati e le Amministrazioni è disciplinato nell‟art. 6bis del CAD, intitolato “Indice nazionale degli indirizzi Pec delle imprese e dei
professionisti”.
Il legislatore ha previsto, sempre mirando ad incentivare lo scambio di informazioni e
documenti in modalità telematica tra la Pubblica Amministrazione, le imprese e i
professionisti, l‟istituzione di un pubblico elenco delle PEC attive e attribuite a due
categorie di soggetti tenuti per legge ad averle (imprese e professionisti iscritti agli albi
professionali), denominato “Indice nazionale degli indirizzi di posta elettronica certificata”
(INI-PEC: www.inipec.gov.it) e gestito dal Ministero per lo sviluppo economico. Le
Amministrazioni e i privati possono accedere all'INI-PEC tramite sito web e senza
64
necessità di autenticazione. L'indice è realizzato in formato aperto, secondo la definizione
di cui all'articolo 68, comma 3 del CAD.
Il medesimo articolo prevede, inoltre, che l‟indice INI-PEC costituisca il mezzo esclusivo
di comunicazione dei professionisti e delle imprese con gli organi amministrativi.
Infine, la novella introduce il comma 6 ter all‟articolo in esame, il quale disciplina il
pubblico elenco denominato “indice degli indirizzi della pubblica amministrazione e dei
gestori di pubblici servizi”, consultabile alla pagina web www.indicepa.gov.it, la cui gestione
è affidata all‟Agid e nel quale sono indicati gli indirizzi di posta elettronica certificata da
utilizzare per le comunicazioni e per lo scambio di informazioni nonché per l'invio di
documenti a tutti gli effetti di legge tra le pubbliche amministrazioni, i gestori di pubblici
servizi ed i privati; stabilendo, altresì, che la mancata comunicazione degli elementi
necessari al completamento dell'indice e del loro aggiornamento viene valutata ai fini della
responsabilità dirigenziale e dell'attribuzione della retribuzione di risultato ai dirigenti
responsabili.
Il CAD, come dimostra il successivo art. 7 intitolato “Qualità dei servizi resi e
soddisfazione dell‟utenza”, è particolarmente attento anche alle modalità di erogazione
telematica dei servizi pubblici.
Secondo tale disposizione, le Pubbliche Amministrazioni provvedono a riorganizzazione ed
aggiornare i servizi resi agli utenti; a tal fine, implementano l'utilizzo delle tecnologie
dell'informazione e della comunicazione sulla base di una preventiva valutazione delle reali
esigenze dei cittadini e delle imprese, anche avvalendosi di strumenti utili per la valutazione
del grado di soddisfazione dei fruitori dei loro servizi.
I cittadini e le imprese, in effetti, hanno diritto non solo ad essere garantiti nell‟ascolto delle
loro effettive esigenze (con riguardo ai servizi che ricevono dalle Amministrazioni) ma
anche ad ottenere servizi pubblici di qualità in linea con le loro richieste.
La novella, al fine di dare effettività ai principi di cittadinanza digitale, stabilisce che gli
utenti possono ricorrere, in ogni ipotesi di violazione dei citati obblighi ovvero di
erogazione di servizi on-line con standard inferiori a quelli previsti dalla legge, all‟azione di
cui al D.Lgs. 20 dicembre 2009, n. 198, ovvero alla cosiddetta “class action
amministrativa”. In ogni caso, per i servizi in rete, ogni Amministrazione dovrà consentire
agli utenti di esprimere la loro soddisfazione rispetto alla qualità del servizio reso e dovrà
pubblicare, sul proprio sito, i dati risultanti.
65
Ma per giungere ad un‟effettiva fruibilità dei servizi online da parte dei cittadini, occorre
partire da una reale alfabetizzazione degli stessi di cui si occupa l‟art. 8 del CAD, intitolato,
per l‟appunto, “Alfabetizzazione informatica dei cittadini”.
Più nello specifico, lo Stato intende promuovere la “cultura digitale” tra i cittadini,
intendendo con tale locuzione quel complesso di attività volta a facilitare l‟acquisizione di
nozioni sull‟uso degli strumenti informatici da parte dei cittadini, con particolare attenzione
alle categorie a rischio di esclusione sociale (ad esempio, gli anziani) e all‟uso dei servizi
telematici delle Amministrazioni Pubbliche.
Occorre in primis puntare, come dispone la norma in esame, sulla conoscenza delle
tecnologie informatiche da parte dei cittadini “anche al fine di favorire lo sviluppo di
competenze di informatica giuridica”. Ovviamente, lo scopo è quello di favorire l‟utilizzo
dei servizi telematici delle Amministrazioni Pubbliche, superando il gap di conoscenza
tecnologica che divide non solo le generazioni ma spesso anche le diverse zone della stessa
nazione. I cittadini hanno diritto di partecipare al processo democratico e di esercitare i
diritti politici usufruendo delle possibilità offerte dalle nuove tecnologie.
In particolare, le P.A. dovranno favorire la disponibilità di connettività alla rete Internet
presso gli uffici pubblici e altri luoghi pubblici, in particolare nei settori scolastico, sanitario
e di interesse turistico, anche prevedendo che la porzione di banda non utilizzata dagli
stessi uffici sia messa a disposizione degli utenti attraverso un sistema di autenticazione
tramite SPID, carta d'identità elettronica o carta nazionale dei servizi.
Il rapporto tra nuove tecnologie ed esercizio dei diritti è preso in considerazione dall‟art. 9
del CAD, dal titolo “Partecipazione democratica elettronica”. Lo Stato favorisce ogni
forma di uso delle nuove tecnologie per promuovere una maggiore partecipazione dei
cittadini, anche residenti all'estero, al processo democratico e per facilitare l'esercizio dei
diritti politici e civili sia individuali che collettivi. La norma, dunque, potrebbe
rappresentare al meglio il fondamento giuridico per lo sviluppo nel nostro Paese di
politiche e discipline specifiche in tema di voto elettronico. L‟obiettivo della disposizione,
ancora più chiaro con l‟intervento della riforma, è quello di porre in essere forme di
democrazia basate sulla trasparenza dell‟azione amministrativa e sull‟utilizzo di modalità
informatiche avanzate, capaci di migliorare il rapporto cittadino-politica, sia nei mezzi sia
nei contenuti, ed il processo di formazione delle decisioni che riguardano la collettività.
Uno strumento attuativo potrebbe essere rappresentato dall‟eVoting (voto elettronico) per
66
sostituire la carta nel normale processo di voto nei seggi elettorali, di cui meglio si dirà in
altra parte del presente testo. Ma l’eVoting non è stato espressamente considerato
nell’art. 9, neanche a seguito del processo di riforma conclusosi con il D.Lgs. n. 179/2016,
motivo per il quale è lecito ritenere che vi sia una sorta di resistenza del legislatore ad
un‟estensione generalizzata nel Paese di tale strumento, oggi invece diffuso in maniera
massiva nel mondo.
Sempre nel capo I del CAD, ma all‟interno della successiva sezione III, l‟art. 17 definisce
due nuove figure obbligatorie all‟interno delle Pubbliche Amministrazioni, con ruoli di
rilievo per la gestione digitale degli enti.
La prima figura, definibile in inglese come “chief digital officer” (CDO), si concretizza
nell‟individuazione in ogni Amministrazione di un unico ufficio dirigenziale generale, fermo
restando il numero complessivo di tali uffici, cui è affidata la transizione alla modalità
operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di
un'amministrazione digitale e aperta, di servizi facilmente utilizzabili e di qualità, attraverso
una maggiore efficienza ed economicità.
Al suddetto ufficio sono inoltre attribuiti i compiti relativi a:
a) coordinamento strategico dello sviluppo dei sistemi informativi, di telecomunicazione e
fonia, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi
comuni;
b) indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, forniti dai
sistemi informativi di telecomunicazione e fonia dell'amministrazione;
c) indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica
relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di
connettività;
d) accesso dei soggetti disabili agli strumenti informatici e promozione dell'accessibilità
anche in attuazione di quanto previsto dalla Legge 9 gennaio 2004, n. 4;
e) analisi periodica della coerenza tra l'organizzazione dell'amministrazione e l'utilizzo delle
tecnologie dell'informazione e della comunicazione, al fine di migliorare la soddisfazione
dell'utenza e la qualità dei servizi nonché di ridurre i tempi e i costi dell'azione
amministrativa;
f) cooperazione alla revisione della riorganizzazione dell'amministrazione ai fini di cui alla
lettera e);
67
g) indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la
gestione dei sistemi informativi di telecomunicazione e fonia;
h) progettazione e coordinamento delle iniziative rilevanti ai fini di una più efficace
erogazione di servizi in rete a cittadini e imprese mediante gli strumenti della cooperazione
applicativa tra pubbliche amministrazioni, ivi inclusa la predisposizione e l'attuazione di
accordi di servizio tra amministrazioni per la realizzazione e compartecipazione dei sistemi
informativi cooperativi;
i) promozione delle iniziative attinenti l'attuazione delle direttive impartite dal Presidente
del Consiglio dei Ministri o dal Ministro delegato per l'innovazione e le tecnologie;
j)
pianificazione
e
coordinamento
del
processo
di
diffusione,
all'interno
dell'amministrazione, dei sistemi di posta elettronica, protocollo informatico, firma digitale
o firma elettronica qualificata e mandato informatico, e delle norme in materia di
accessibilità e fruibilità.
Il responsabile dell'ufficio è dotato di adeguate competenze tecnologiche, di informatica
giuridica e manageriali e risponde, con riferimento ai compiti relativi alla transizione, alla
modalità digitale direttamente all’organo di vertice politico. In assenza del vertice
politico, il CDO risponde direttamente a quello amministrativo dell‟ente.
Nel rispetto della propria autonomia organizzativa, le pubbliche amministrazioni diverse
dalle Amministrazioni dello Stato, individuano il CDO tra quelli di livello dirigenziale
oppure, ove ne siano privi, tra le proprie posizioni apicali.
La seconda figura è invece il “difensore civico digitale” (DCD), sempre disciplinata nel
nuovo art. 17 del CAD.
Le pubbliche amministrazioni, fermo restando il numero complessivo degli uffici,
individuano, di norma tra i dirigenti di ruolo in servizio, un DCD in possesso di adeguati
requisiti di terzietà, autonomia e imparzialità.
Al difensore civico per il digitale chiunque può inviare segnalazioni e reclami relativi ad
ogni presunta violazione del presente Codice e di ogni altra norma in materia di
digitalizzazione ed innovazione della pubblica amministrazione: se tali segnalazioni sono
fondate, il DCD invita l‟ufficio responsabile della presunta violazione a porvi rimedio
tempestivamente e comunque nel termine di trenta giorni. Il difensore segnala le
inadempienze all‟ufficio competente per i procedimenti disciplinari.
68
Nel rispetto della propria autonomia organizzativa, le pubbliche amministrazioni diverse
dalle Amministrazioni dello Stato, individuano il DCD tra quelli di livello dirigenziale.
Al fine di facilitare l‟attività di tali nuove figure e, di certo, la stessa interpretazione del CAD
da parte del cittadino, sempre l‟art. 17, al comma 1quinquies, attribuisce all‟AgID l‟onere di
pubblicazione sul proprio sito di una guida di riepilogo dei diritti di cittadinanza digitali
previsti dal presente CAD. Quando sarà pubblicato costituirà, di certo, uno strumento
utilissimo per orientarsi nell‟ormai ampio capo dei diritti di cittadinanza digitali, campo
probabilmente destinato ad ampliarsi ancor più nel tempo.
2.3 Documento informatico e firme elettroniche
Il Codice dell‟Amministrazione Digitale, come novellato dal D.Lgs. n. 179/2016, definisce
il documento informatico all‟articolo 1, comma 1, lett. p), come:
il documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente
rilevanti 91.
Tale definizione è il frutto delle evoluzioni che si sono a lungo susseguite in questa
materia92 e costituisce il punto centrale attorno a cui ruota gran parte del Codice e che, da
ultimo, sono state oggetto della incisiva azione della normativa europea, con il
Regolamento del Parlamento e del Consiglio del 23 luglio 2014 n. 910, c.d. Regolamento
eIDAS. Risulterebbe difficile, in effetti, poter parlare di Pubblica Amministrazione digitale
senza che la parte più corposa e rilevante della sua attività (vale a dire la formazione, la
91
Per “atto”, in diritto, si deve intendere un fatto consistente in un comportamento umano rilevante per l'ordinamento
giuridico, poichè volontario. Elemento costitutivo è dunque l'imputazione a un soggetto di diritto, che può essere la persona fisica che
ne ha voluto l‟accadimento o la persona giuridica per la quale detta persona fisica ha agito in qualità di organo, nonchè la volontarietà
che, a sua volta, implica la consapevolezza da parte di chi ha agito, ossia la sua capacità di comprendere e, quindi, liberamente volere.
Esempi sono da considerarsi il testamento, la sentenza, il contratto, l'atto amministrativo.
Per “fatto” si deve intendere un accadimento che avviene nella realtà materiale (“fatto naturalistico”) e non si concretizza in
un comportamento umano. Se il fatto è considerato all‟interno di una norma, allora il suo verificarsi diviene rilevante per l‟ordinamento
(fatto giuridico”). E‟ lecito affermare che tutti i fatti giuridici sono altresì fatti naturalistici, mentre non è vero il contrario. Un esempio di
fatto giuridico è il decorso del tempo.
Per “dato” si deve intendere una descrizione elementare, spesso codificata, di un‟entità, di un fenomeno, di una transazione,
di un avvenimento o di altro. Nasce dall‟osservazione di aspetti e fenomeni elementari; esso permette di effettuare dei calcoli, risolvere un
problema, caratterizzare un fenomeno o esprimere un‟opinione. Il dato può divenire “informazione” per un soggetto solo se comporta
un reale aumento di conoscenza.
92
La definizione oggi riportata nell‟art. 1, comma 1, lett. p), del CAD è stata introdotta compiutamente nel nostro ordinamento
con il Regolamento attuativo dell‟art. 15, comma 2, della Legge n. 59/97 (DPR n. 531/1997), a seguito dei lavori della Commissione
creata ad hoc dall‟Autorità per l‟Informatica nella Pubblica Amministrazione - AIPA, coordinata dal prof. Donato A. Limone.
69
trasmissione e la conservazione della documentazione amministrativa) sia realizzata in
forma elettronica93.
Sul punto occorre però precisare che l‟introduzione della locuzione “documento
elettronico” nella definizione del CAD di “documento informatico” (presente nel nostro
ordinamento sin dagli anni ‟90 del secolo scorso94) è stata essenzialmente dovuta alla
necessità di assolvere al Regolamento eIDAS che, appunto, non definisce i documenti
informatici ma quelli elettronici. In futuro tale riferimento all‟elettronica potrebbe perdere
di necessità e vigore, dato la possibile realizzazione di computer quantici (volti quindi ad
utilizzare i quanti e non gli elettroni), come già da tempo preannunciato da Google: ciò
porterà all‟abbandono del documento elettronico in favore del documento quantico.
Al di là delle doverose puntualizzazioni sull‟introduzione della locuzione “documento
elettronico”, l‟intero concetto di Amministrazione Digitale ruota di fatto intorno a quella
che viene chiamata “rappresentazione informatica” e può essere definita non solo come il
risultato della trasformazione in bit, e successiva memorizzazione su supporto informatico,
di quegli atti, fatti o dati che possano avere rilevanza giuridica, ma anche come il contenuto
elettronico vero e proprio, a prescindere da quale che sia la sua genesi.
Per cui “documento informatico” può essere un file di testo, una foto, un video, un audio,
che rappresenti informaticamente o conservi elettronicamente un atto, un fatto o un dato
rilevanti giuridicamente.
Il Reg. eIDAS, infatti, dal canto suo, definisce «documento elettronico», qualsiasi contenuto
conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o
audiovisiva.
Per maggiori informazioni si rinvia al sito web istituzionale: http://www.agid.gov.it/agenda-digitale/pubblicaamministrazione/gestione-procedimenti-amministrativi/documento-informatico, ultima consultazione nel mese di ottobre 2015.
94 La Legge 7 agosto 1990, n. 241, come più appresso nel testo si dirà, ha ricompreso la forma informatica tra quelle possibili del
documento amministrativo, come anche il D.Lgs. 12 febbraio 1993, n. 39 ha riconosciuto la possibilità di atti amministrativi predisposti
tramite sistemi informativi automatizzati. Sempre nel periodo, la Legge 23 dicembre 1993, n. 547, modificando ed integrando alcune norme
del codice penale e di procedura penale in tema di criminalità informatica, ha introdotto l'art. 491-bis c.p., il quale precisa che ai fini
dell'applicazione delle disposizioni concernenti la falsità in atti, per documento informatico è da intendersi “qualunque supporto
informatico contenente dati o informazioni avanti efficacia probatoria o programmi specificatamente dedicati ad elaborarli”.
Al di là di tali doverose citazioni, storicamente si fa risalire alla Legge 15 marzo 1997, n. 59, art. 15, comma 2, la prima compiuta
affermazione giuridica del documento informatico: “Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con
strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti
informatici, sono validi e rilevanti a tutti gli effetti di legge”. Norma che poi trovo ampia disciplina nel regolamento attuativo contenuto
nel DPR 10 novembre 1997, n. 513 recante criteri e modalità per la formazione, l‟archiviazione e la trasmissione di documenti con
strumenti informatici e telematici. La bozza di disegno di legge è stata presentata il 18 settembre 1996 dall‟allora Autorità Informatica per
la Pubblica Amministrazione - AIPA e costituisce il risultato del lavoro compiuto dalla commissione creata ad hoc dall‟Autorità e
coordinata da Donato A. Limone. (Cfr. D.A. Limone, La validità giuridica dei documenti informatici. La firma digitale, in AA.VV., Liber
amicorum in onore di Vittorio Frosini, II, Studi giuridici, Giuffrè, Milano, 1999, pp. 165-170).
93
70
Il CAD dedica l‟intero capo II alla disciplina del documento informatico e delle firme
elettroniche mentre il Reg. eIDAS dedica il capo IV al documento elettronico95 e la sez. IV
del capo III alle firme elettroniche (artt. 25-34)
Una volta stabilita la rilevanza giuridica del documento informatico-elettronico, è venuta
meno la necessità di prevederlo espressamente, come in precedenza con l‟art. 20 co. 1 del
CAD96, tanto che tale disposizione è stata abrogata. Vengono, invece, rafforzate e
disciplinate dal co. 1Bis dello stesso art. 20, la validità (specie nella accezione di forma
scritta) ed efficacia probatoria dei documenti informatici, come vedremo più avanti, dopo
aver illustrato il quadro delle firme elettroniche.
La Sezione II del Capo II del CAD è interamente dedicata alle firme elettroniche ed ai
certificatori.
Il Codice, infatti, distingue due macro-categorie di firme:
1. la firma elettronica (semplice)97;
2. le firme elettroniche avanzate, categoria nella quale rientrano:
-
la firma elettronica avanzata98;
-
la firma elettronica qualificata99;
-
la firma (qualificata) digitale100.
Le firme elettroniche di un documento informatico, e in particolare le firme elettroniche
avanzate e qualificate, tra cui quella digitale, si propongono di soddisfare tre esigenze che
non tutte le tipologie di firma elettronica però soddisfano:
95
Costituito, in realtà, dal solo articolo 46, rubricato “Effetti giuridici dei documenti elettronici”, il cui testo é: “A un
documento elettronico non sono negati gli effetti giuridici e l‟ammissibilita come prova in procedimenti giudiziali per il solo motivo della
sua forma elettronica”.
96
“Il documento informatico da chiunque formato, la memorizzazione su supporto informatico e la trasmissione con
strumenti telematici conformi alle relative regole tecniche sono validi e rilevanti agli effetti di legge”. Si veda anche il DPCM 13
novembre 2014 dal titolo “Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione
temporale dei documenti informatici nonchè di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni ai
sensi degli articoli 20, 22, 23-bis, 23-ter, 40, comma 1, 41, e 71, comma 1, del Codice dell'amministrazione digitale di cui al decreto
legislativo n. 82 del 2005” (in Gazzetta Ufficiale Serie Generale n.8 del 12-1-2015).
97
Definita nel Reg. eIDAS all‟art. 3 co. 1 n. 10): dati in forma elettronica, acclusi oppure connessi tramite associazione logica
ad altri dati elettronici e utilizzati dal firmatario per firmare.
98
Definita nel Reg. eIDAS all‟art. 3 co. 1 n. 11): una firma elettronica che soddisfi i requisiti di cui all‟articolo 26 (ossia:
a) e connessa unicamente al firmatario;
b) e idonea a identificare il firmatario;
c) e creata mediante dati per la creazione di una firma elettronica che il firmatario puo, con un elevato livello di sicurezza,
utilizzare sotto il proprio esclusivo controllo;
d) è collegata ai dati sottoscritti in modo da consentire l‟identificazione di ogni successiva modifica di tali dati.
99
Definita nel Reg. eIDAS all‟art. 3 co. 1 n. 12): una firma elettronica avanzata creata da un dispositivo per la creazione di una
firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche.
100
Definita nel CAD art. 1 co. 1 lett s) come: un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche,
una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica,
rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di
documenti informatici.
71
●
che il destinatario possa verificare l'identità del mittente (autenticità);
●
che il mittente non possa disconoscere un documento da lui firmato (non ripudio);
●
che il destinatario non possa inventarsi o modificare un documento firmato da
qualcun altro (integrità).
Volendo ora procedere alla disamina delle singole tipologie di firma elettronica e partendo
da quelle più basilari, secondo l‟art. 3, comma 1, n. 10) del Reg. eIDAS, le firme
elettroniche semplici possono essere definite come:
dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e
utilizzati dal firmatario per firmare
sparisce, pertanto, l'inciso “utilizzati come metodo di identificazione elettronica”, dalla
definizione precedentemente contenuta nel CAD.
Sotto il profilo pratico, la categoria delle firme elettroniche semplici può essere definita
come una categoria residuale, nella quale confluiscono tutte le tipologie di firma che non
detengono caratteri tali da configurarle come firme avanzate. Un classico esempio di scuola
di firma elettronica semplice è quello della firma elettronica contenuta in una normale
email: le credenziali di accesso riconosciute dal fornitore del servizio, infatti, integrano gli
estremi di una firma elettronica semplice e, nella normalità dei casi, non di una firma
avanzata.
Per quanto riguarda, invece, la firma elettronica avanzata, in base all‟art. 3, comma 1, 11)
del Reg. eIDAS, esse deve essere definita come:
una firma elettronica che soddisfi i requisiti di cui all’articolo 26.
L‟art. 26 del Reg. eIDAS, a sua volta, stabilisce che una firma può essere considerata
avanzata se:
a) è connessa unicamente al firmatario;
b) è idonea a identificare il firmatario;
c) è creata mediante dati per la creazione di una firma elettronica che il firmatario puo, con
un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; e
72
d) è collegata ai dati sottoscritti in modo da consentire l‟identificazione di ogni successiva
modifica di tali dati.
Con il Decreto del Presidente del Consiglio dei Ministri del 22 febbraio 2013 dal titolo
“Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche
avanzate, qualificate e digitali” le firme avanzate hanno trovato una precisa
regolamentazione tecnica nel nostro ordinamento.
Come su evidenziato, all‟interno della categoria delle firme elettroniche avanzate è possibile
distinguere un altro gruppo di firme aventi caratteristiche di particolare importanza, ovvero
le “firme qualificate”, definite tali in quanto rilasciate da un certificatore accreditato
presso l‟Agenzia per l‟Italia Digitale101.
Tra queste, grande importanza occupa la “firma digitale”, la quale è un particolare tipo
di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una
privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario
tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la
provenienza e l'integrità di un documento informatico o di un insieme di documenti
informatici; quindi, le sue caratteristiche tecniche più importanti sono:
- la chiave pubblica (contenuta nel certificato qualificato)
- la chiave privata (custodita dal mittente).
Il sistema consente al titolare, tramite la chiave privata, e al destinatario, tramite la chiave
pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di
un documento informatico o di un insieme di documenti informatici. In altre parole, il
meccanismo si basa sul fatto che, se con una delle due chiavi si cifra (o codifica) un
messaggio, allora quest'ultimo sarà decifrato solo con l'altra: da questa asimmetria nasce
anche la definizione del meccanismo come “crittografia asimmetrica”.
Affinchè il sistema risulti sicuro, è necessario che solo l'utente che intende crittare il
documento, e nessun altro, abbia accesso alla chiave privata: l'unica copia della chiave deve
101
In base all‟art. 1, comma 1, lett. g) del CAD, il “certificatore” è il soggetto che presta servizi di certificazione delle firme
elettroniche o che fornisce altri servizi connessi con queste ultime. nella realtà pratica, i certificatori accreditati sono soggetti pubblici o
privati che emettono certificati qualificati (per la firma digitale) e certificati di autenticazione (per le carte nazionali dei servizi). Nel settore
l‟Agenzia per l‟Italia Digitale - AGID svolge i seguenti compiti: offre l‟elenco di certificatori accreditati a cui cittadini, amministratori e
dipendenti di società e pubbliche amministrazioni possono richiedere la firma digitale; sottoscrive la lista dei certificati delle chiavi di
certificazione; definisce le linee guida per la vigilanza sui gestori qualificati; autorizza i certificatori a svolgere la propria attività
conferendogli il ruolo di “certificatori accreditati”; effettua vigilanza sui certificatori accreditati. Uno dei principali requisiti per svolgere
l'attività di certificatore di firma elettronica è quello di rivestire la forma di società con capitale sociale non inferiore a quello richiesto per
svolgere l'attività bancaria (2.000.000€, come una S.p.A): da ciò consegue che i certificatori non sono soggetti singoli, come ad es. i notai,
ma grosse società di capitali. La materia è disciplinata dalla Direttiva europea 1999/93/CE, dal Regolamento eIDAS 910/2014/EC e dal
DPCM 22 febbraio 2013 e dal CAD. Per un elenco aggiornato dei certificatori accreditati, si rinvia all‟URL:
http://www.agid.gov.it/identita-digitali/firme-elettroniche/certificatori-attivi, consultato nel mese di settembre 2015.
73
essere “in mano” all'utente, che deve impedirne l'accesso a terzi. Vi sono, però, soluzioni
alternative, come l‟uso di una “firma digitale remota”, ovvero una tipologia di firma
digitale, accessibile via rete (Intranet e/o Internet), nella quale la chiave privata del
firmatario viene conservata assieme al certificato di firma, all'interno di un server remoto
sicuro (basato su un HSM - Hardware Security Module) da parte di un certificatore
accreditato. Il firmatario viene identificato dal servizio e autorizza l'apposizione della firma
tramite un meccanismo di sicurezza fra i quali:
●
PIN Firma di tipo statico102;
●
Token OTP103;
●
Riconoscimento grafometrico della firma autografa104;
●
Telefono Cellulare (come OTP) seguito da PIN Firma.
Il meccanismo di firma digitale è semplice, riassumibile nelle seguenti fasi:
a.
l‟utente, avviando lo strumento di firma digitale sul proprio computer, ricava
innanzitutto l'impronta digitale del documento con l'ausilio di una “funzione hash”
(pubblica), detta anche message digest: l‟impronta digitale si concretizza in un file di
dimensioni relativamente piccole (128, 160 o più bit), che contiene una sorta di codice di
controllo relativo al documento stesso; la funzione hash è fatta in modo da rendere minima
la probabilità che da testi diversi si possa ottenere il medesimo valore dell'impronta, inoltre,
è one-way, a senso unico, questo significa che dall'impronta è impossibile ottenere
nuovamente il testo originario, quindi questa è “non invertibile”;
b.
l‟utente utilizza, poi, la propria chiave privata per cifrare l'impronta digitale: il
risultato di questa codifica è la firma; la firma prodotta dipende dall'impronta digitale del
documento e, quindi, dal documento stesso, oltre che dalla chiave privata dell'utente;
c.
a questo punto la firma viene allegata al documento che si intende sottoscrivere,
insieme alla chiave pubblica;
d.
il destinatario del documento su cui è apposta una firma digitale può verificarne
l'autenticità: per farlo, decifra la firma del documento con la chiave pubblica del
102
Per PIN si intende una Personal Identification Number, ovvero un codice numerico che consente l'uso di dispositivi elettronici
solo a chi ne è a conoscenza.
103
Una One-Time Password - OTP (password usata una sola volta) è una password che è valida solo per una singola sessione di
accesso o una transazione. Un sistema di autenticazione basato su OTP fornisce un sicuro strumento di controllo ad accessi logici che si
avvale di un duplice fattore: un dato noto, il codice identificativo associato all‟utente; un dato non noto e sempre diverso, ovvero una
password casuale.. Il sistema OTP si avvale, quindi, di un dispositivo portatile, “token”, che genera la password casuale. Il token può
avere una connessione USB o essere completamente off-line; basterà digitare il codice generato nel computer per generare un percorso di
firma.
104
Si veda l‟approfondimento in tema di “Biometria e firma grafometrica” posto al termine del presente capitolo.
74
mittente, ottenendo l'impronta digitale del documento, e quindi confronta quest'ultima
con quella che si ottiene applicando la funzione hash al documento ricevuto; se le due
impronte sono uguali, l'autenticità e l'integrità del documento sono garantite; si tratta, in
realtà, di un‟operazione sostanzialmente automatica svolta dal computer, quindi pressoché
immediata e semplice da realizzare per il destinatario, previa installazione sul proprio device
del software di verifica, scaricabile gratuitamente dal sito dell‟Agenzia per l‟Italia Digitale
(AgID)105.
Nel loro uso combinato, dunque, le due chiavi servono a garantire e a verificare la
provenienza e l‟integrità di un documento informatico o di un insieme di documenti
informatici106.
La firma digitale rappresenta l‟equivalente elettronico della tradizionale firma autografa su
carta ed è univocamente associata al documento elettronico sul quale è apposta,
attestandone con certezza, l'integrità, l'autenticità, la non ripudiabilità.
L‟utilizzatore di firma elettronica qualificata o di firma (qualificata) digitale deve prestare
particolare attenzione ai casi di scadenza temporale del proprio certificato di firma, di
revoca o sospensione dello stesso. Infatti, l‟apposizione di una firma digitale con
certificato scaduto, revocato o sospeso equivale a mancata sottoscrizione. È ciò che
stabilisce l‟art. 24 comma 4-bis del CAD, prevedendo per la validità della sottoscrizione
l‟utilizzo di un certificato qualificato in corso di validità, attraverso il quale si possano
rilevare gli elementi identificativi del titolare e del certificatore. Normalmente il certificato
di firma digitale, rilasciato dall‟ente certificatore, ha una durata biennale e o triennale107.
Nel caso in cui il certificato di firma digitale sia scaduto, è necessario rivolgersi al proprio
ente certificatore al fine di procedere al rinnovo, oppure dotarsi di nuovo certificato presso
uno dei soggetti abilitati dall‟Agenzia per l‟Italia Digitale108.
105
Per i software di verifica della firma digitale, si veda il contenuto all‟URL: http://www.agid.gov.it/agendadigitale/infrastrutture-architetture/firme-elettroniche/software-verifica, ultima consultazione dicembre 2015.
106
Per
maggiori
informazioni
si
rinvia
al
sito
web
istituzionale:
http://egov.formez.it/sites/all/files/3_firme_elettroniche_16_07_2013.pdf, ultima consultazione nel mese di ottobre 2015.
107
L‟art. 1 del D.P.R. 10 novembre 1997 n. 513, ora abrogato, stabiliva che la validità del certificato di firma non poteva essere
superiore a 3 anni; l‟art. 19, commi 5 e 6, DPCM 22 febbraio 2013 – Regole tecniche sulle firme avanzate, stabiliscono ora che è lo stesso
certificatore a determinare il periodo di validità dei certificati qualificati anche in funzione della robustezza crittografica delle chiavi
impiegate, fermo restando sempre il potere dell‟AgID di determinare il periodo massimo di validità del certifi cato qualifi cato in funzione
degli algoritmi e delle caratteristiche delle chiavi.
108
Per l‟elenco si rimanda all‟URL: http://www.agid.gov.it/identita-digitali/firme-elettroniche/certificatori-attivi, consultato nel
mese di dicembre 2016.
75
Revoca o sospensione del certificato hanno effetto dal momento della pubblicazione, salvo
che il revocante, o chi richiede la sospensione, non dimostri che di essa ne erano già a
conoscenza tutte le parti interessate.
Per quanto attiene alla validità nel tempo di firme qualificate o digitali il cui certificato sia
scaduto, revocato o sospeso, in base all‟art. 62, comma 1, delle Regole tecniche del 2013
sono comunque da ritenersi valide se alle stesse è associabile un riferimento
temporale opponibile ai terzi che collochi la generazione di dette firme
rispettivamente in un momento precedente alla scadenza, revoca o sospensione del
suddetto certificato. Detto in altre parole, gli odierni sistemi di firma digitale evidenziano,
nella loro normalità, il campo “signing time” (momento della firma), inserendo in
automatico data e ora di sottoscrizione nella busta crittografica della firma qualificata o
digitale: tale indicazione di data e ora può essere ritenuta un riferimento temporale,
considerando quest‟ultimo come “l‟informazione contenente la data e l‟ora con riferimento
al Tempo Universale Coordinato (UTC), della cui apposizione è responsabile il soggetto
che forma il documento” (Regole tecniche sul documento informatico – DPCM 13
novembre 2014). Riassumendo, se il riferimento temporale generato dal meccanismo di
firma qualificata o digitale è anteriore alla data e ora di scadenza, revoca o sospensione del
certificato allora la firma detiene comunque validità nel tempo.
Di seguito un‟analisi comparativa tra la firma analogica (quella tradizionale su carta) e le
firme elettroniche, al fine di evidenziare le differenze109:
Firma analogica
Creazione
manuale
Firma elettronica
tramite un algoritmo di
creazione
Apposizione
direttamente sul
fuori dal documento: il
documento: la firma è parte
documento firmato è quindi
integrante del documento
costituito dalla coppia
(documento, firma)
Verifica
confronto con una firma
uso di valutazioni tecniche
autenticata (metodo
(metodo insicuro) o
109
La tabella, integrata e modificata in talune sue parti, prende
https://it.wikipedia.org/wiki/Firma_digitale, consultato nel mese di dicembre 2016.
76
spunto
da
quella
pubblicata
all‟URL:
insicuro basato su perizia
mediante algoritmo di
calligrafica)
verifica pubblicamente noto
e certificazione (metodo
sicuro, come nelle firme
qualificate)
Validità temporale
illimitata
limitata: ad es., i certificati
di firma qualificata hanno
una validità temporale
Automazione dei
non possibile
possibile
processi
Una volta descritto il quadro delle firme elettroniche, anche nell‟ottica comparativa con le
firme analogiche, possiamo passare a descrivere le diverse ipotesi che si possono incontrare
in base al tipo di firma elettronica apposta al documento informatico.
Occorre distinguere due situazioni tra loro differenti, ossia:
- l’efficacia probatoria del documento informatico;
- la sua capacità di soddisfare il requisito della forma scritta.
2.3.2 L’efficacia probatoria
Per quanto riguarda l’efficacia probatoria del documento informatico, essa è da intendersi
come la “forza” che determinati documenti hanno come prova di un fatto una volta
assunti in un processo; pertanto, è la capacità di quei determinati atti di provare il loro
contenuto.
Riprendendo in parte quanto già detto, distinguiamo ora tre diverse situazioni che possono
venirsi a creare nella realtà pratica:
a.
il documento informatico sprovvisto di firma elettronica è liberamente
valutabile dal Giudice, tenuto conto delle sue caratteristiche oggettive di qualità,
sicurezza, integrità ed immodificabilità (art. 20, comma 1-bis, del CAD)110;
110
La norma che riconosce un effetto probatorio anche al documento informatico privo di qualsiasi modalità di firma
elettronica è da considerarsi come una norma di chiusura nel nostro ordinamento, in quanto in grado di regolare anche casi limite nei
quali l‟interprete difficilmente potrebbe trovare soluzione. Si pensi, ad esempio, alla possibilità di un tablet di conservare un testamento
olografo, con apposizione di un segno autografo da parte dell‟autore (quindi non una firma elettronica qualificata o digitale). Il tutto nel
77
b.
altrettanto si può dire per il documento informatico cui è apposta una firma
elettronica semplice (art. 21, comma 1, del CAD);
c.
il documento informatico sottoscritto con firma elettronica avanzata,
qualificata o digitale, formato nel rispetto delle regole tecniche che garantiscano
l'identificabilità dell'autore, l'integrità e l'immodificabilità del documento stesso, ha
l'efficacia probatoria prevista dall‟art. 2702 del Codice Civile per la scrittura privata (alla
quale, quindi, il documento informatico è parificato ai fini probatori) : in base all‟art. 2702
c.c. la scrittura privata (quindi il semplice atto redatto tra le parti senza particolari
formalità) fa piena prova, fino a querela di falso111, della provenienza delle dichiarazioni
da chi l'ha sottoscritta:
1) se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione;
2) ovvero se questa è legalmente considerata come riconosciuta (art. 21, comma 2, del
CAD)112.
Circa l‟esposta portata probatoria del documento informatico, si rende necessaria una
doppia riflessione.
Nei casi a) e b) su riportati il Giudice non accerta semplicemente se il requisito della forma
scritta sia stato realizzato, ma è chiamato egli stesso a soddisfare il detto requisito tramite la
sua decisione: detto con altre parole, nei casi a) e b) la forma scritta del documento
informatico non è auto-evidente ma si palesa solo a seguito di una decisione (rectius:
valutazione) del Giudice, successiva alla predisposizione del documento. L‟idoneità di un
documento a soddisfare la forma scritta è una questione che dovrebbe, al contrario,
pieno rispetto dei requisiti di legge di qualità, sicurezza, integrità e immodificabilità. Applicando l‟art. 20, comma 2, del CAD il
testamento olografo così predisposto avrebbe una sua efficacia probatoria (M. Q. Silvi, Atto giuridico e documento informatico, Ledizioni,
Milano, 2013, par. 6.2.2.2.).
111
La querela di falso è l'unico strumento per contestare l'aspetto estrinseco di un atto pubblico e di una scrittura privata
riconosciuta, quindi anche di un documento informatico sottoscritto con firma avanzata. È un particolare procedimento giurisdizionale,
quindi da svolgersi innanzi ad un Giudice, disciplinato dagli articoli 221-227 del Codice di Procedura Civile. Il procedimento per querela
di falso, per costante indirizzo della giurisprudenza, ha il fine di privare “un atto pubblico (od una scrittura privata riconosciuta) della sua
intrinseca idoneità a „far fede‟, a servire, cioè, come prova di atti o di rapporti, mirando così, attraverso la relativa declaratoria, a
conseguire il risultato di provocare la completa rimozione del valore del documento, eliminandone, oltre all'efficacia sua propria, qualsiasi
ulteriore effetto attribuitogli, sotto altro aspetto, dalla legge, e del tutto a prescindere dalla concreta individuazione dell'autore della
falsificazione” (cfr., ex multis, Cass. n. 8362/2000; Cass. n. 18323/2007). Per cui, la querela di falso può essere proposta soltanto allo
scopo di togliere a un documento (atto pubblico o scrittura privata) la sua idoneità a far fede come prova di determinati rapporti.
Nell‟eventualità del disconoscimento, la legge stabilisce che l'utilizzo del dispositivo di firma elettronica qualificata o digitale si
presume riconducibile al titolare, salvo che questi dia prova contraria (c‟è quindi inversione dell‟onere della prova) (art. 21, co. 2, C.A.D.)
Si ha per riconosciuta, ai sensi dell‟art. 2703 cod.civ., la firma elettronica o qualsiasi altro tipo di firma avanzata che venga
autenticata dal notaio o altro pubblico ufficiale a ciò autorizzato (art. 25, co. 1, C.A.D.) mediante apposita attestazione.
112
La sottoscrizione è da intendersi legalmente riconosciuta quando ci troviamo dinanzi ad una “scrittura privata autenticata”
(quindi sottoscritta dalla parte dinanzi a soggetti indicati dall‟ordinamento in base all‟art. 2703 del Codice Civile) o quando vi è stato un
“riconoscimento tacito della scrittura privata” (si rimanda al contenuto articolato di cui all‟art. 215 del Codice di Procedura Civile).
L‟impianto normativo in tema di strumenti processuali volti ad accertare o, al contrario, mettere in dubbio l‟autenticità della
sottoscrizione olografa è completato dall‟istituto del “disconoscimento” (art. 214 del Codice di Procedura Civile) e quella della
“verificazione della scrittura privata” “ (art. 216 del Codice di Procedura Civile).
78
cronologicamente precedere l‟esecuzione dell‟atto e potrebbe venire in rilievo, al più, in un
momento cronologicamente contestuale all‟esecuzione dell‟atto ma non in uno
cronologicamente successivo (decisione del Giudice in sede di controversia giudiziale)113. I
casi a) e b), quindi, sono casi particolari nel nostro ordinamento, utili essenzialmente a dare
completezza ad un impianto normativo sul documento informatico, diversamente debole.
Per quanto attiene il caso di cui alla lett. c), il legislatore aggiunge che:
l'utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al
titolare, salvo che questi dia prova contraria.
Ciò significa che nel momento in cui un soggetto adopera un dispositivo di firma
elettronica qualificata o digitale deve sempre prestare il massimo dell‟attenzione: infatti,
l‟uso indebito del dispositivo da parte di un altro soggetto porrebbe il titolare in una
posizione processualmente scomoda, in quanto sarebbe costretto a fornire lui la prova di
essere stato spogliato del possesso del dispositivo.
2.3.3. Il requisito della forma scritta
Volendo ora affrontare la questione del requisito della forma scritta di un documento,
primariamente occorre sottolineare come la rappresentazione di un atto, fatto o dato può
avere diverse forme (modalità di rappresentazione): scritta, orale, attraverso segnali ottici o
sonori, ed altre ancora. La forma scritta, pertanto, è solo una delle possibili, visto il
principio di libertà delle forme previsto nel nostro ordinamento, ma detiene una valenza
fondamentale, perché solo ad essa, e quindi per esemplificare non ad un documento orale,
è possibile riconoscere un particolare valore in determinate circostanze.
La forma scritta è posta soprattutto a tutela di una o di entrambe le parti in un rapporto
negoziale (come un contratto), poiché serve ad attirare l'attenzione dei contraenti rispetto
all'atto che stanno per compiere ed alla sua importanza. Inoltre, con l'atto scritto si certifica
la volontà delle parti e si agevola la prova della sua esistenza.
Normalmente la forma scritta si riconduce nel nostro ordinamento a due concetti:
113
Cfr. M. Q. Silvi, Atto giuridico e documento informatico, cit., par. 6.2.2.3.2.
79
a)
forma scritta ad substantiam (“ai fini della sostanza”), richiesta per l'esistenza
stessa del negozio (come per es. per un contratto di compravendita di una casa);
b)
forma scritta ad probationem (“ai fini della prova”), richiesta solo per provare
l’esistenza del negozio giuridico (come per es. per un contratto di agenzia114): nella
generalità dei casi, un negozio giuridico può essere provato in giudizio mediante qualsiasi
mezzo (ad es. mediante testimoni), accade però, che, in talune ipotesi, la legge, con
disposizioni
espresse,
stabilisca
che
possa
esser
provato
in
giudizio
solo
mediante documenti, ossia per mezzo di atti aventi forma scritta; è necessario sottolineare
che il negozio mancante della forma ad probationem è perfettamente valido ed efficace, ma,
in caso di processo, l‟unico modo per provare l'esistenza di quel particolare negozio sarà la
forma che la legge richiedeva, salva la possibilità di ottenere una confessione115 o un
giuramento116 in giudizio.
I privati possono convenzionalmente prevedere per i loro atti determinate forme, come nel
caso in cui si stabilisca che la disdetta del contratto debba necessariamente avvenire per
iscritto attraverso un telegramma; anche in questo caso è da ritenersi, salvo diversa volontà,
che il mancato rispetto della forma prevista convenzionalmente comporti la nullità dell'atto.
Compreso il concetto di forma scritta e la sua portata nell‟ordinamento, occorre ora
soffermarsi sull‟idoneità del documento informatico, cui sia apposta o meno una firma
elettronica, a soddisfare il requisito della forma scritta.
Distinguiamo ora due casi:
- l‟idoneità del documento informatico sprovvisto di qualsivoglia firma elettronica a
soddisfare il requisito della forma scritta è liberamente valutabile in giudizio, sempre
tenendo conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed
immodificabilità, come previsto dal citato art. 20, comma 1-bis, del CAD117;
In base all‟art. 1742 c.c. col contratto di agenzia una parte assume stabilmente l' incarico di promuovere, per conto dell' altra, verso
retribuzione, la conclusione di contratti in una zona determinata.
115 La confessione è disciplinata dagli artt. 2730 e 2735 c.c..
116 Il giuramento decisorio in giudizio è disciplinato dall‟art. 2739 c.c..
117 La più attenta dottrina ha giustamente sottolineato come tale impostazione normativa, reintrodotta con la riforma 2016, comporta un
ritorno al passato, ovvero all‟impostazione di cui al D.Lgs. 23 gennaio 2002, n. 10, volto all‟attuazione in Italia della direttiva
1999/93/CE relativa ad un quadro comunitario per le firme elettroniche: “Come allora, sarebbe dunque lecito chiedersi se il requisito
della forma scritta sia richiesto ad substantiam oppure ad probationem. Sul punto il legislatore non ha dipanato i dubbi che erano stati
precedentemente sollevati in relazione alla versione presentata a inizio anno. Permangono infatti margini di incertezza circa la reale
portata del requisito della forma scritta e cioè se questa venga richiesta ai fini della validità dell‟atto [ad substantiam], a fini probatori [ad
probationem] ovvero ancora a fini informativi. A ben vedere, i contratti formali sono già disciplinati nelle norme che richiamano l‟art. 1350
c.c., richiedendo la firma digitale, la firma qualificata o la firma elettronica avanzata. Dunque, si ritiene che questa novella si riferisca alla
firma semplice a fini informativi” (G. Finocchiaro, Documento informatico e firme elettroniche, cosa cambia nel nuovo CAD, articolo
del 21 settembre 2016, pubblicato in ForumPA e disponibile all‟URL: http://www.forumpa.it/pa-digitale/finocchiaro-documentoinformatico-e-firme-elettroniche-cosa-cambia-nel-nuovo-cad, consultato nel mese di dicembre 2016; per un approfondimento in tema di
documento informatico e firme elettroniche si veda G. Finocchiaro, Documento informatico. Tipologia, in P. Cendon, Commentario al Codice
114
80
- al contrario rispetto al primo caso su delineato, il documento informatico cui sia
apposta una firma elettronica semplice è da intendersi sempre idoneo a soddisfare il
requisito della forma scritta, come previsto dal citato artt. 21, comma 1, del CAD.
Lo scopo della “forma scritta digitale” è quello, quindi, di ottenere garanzie circa la qualità,
l'integrità, la sicurezza e l‟immodificabilità nel tempo di un documento, o meglio di un
determinato “atto”, “fatto” o “dato”, in modo da consentirne la sua corretta
documentazione.
Il CAD, pertanto, pone le condizioni di equivalenza tra forma informatica e forma scritta.
Il modello legislativo detiene una chiara impostazione: la forma informatica deve essere
trattata come species del genus forma scritta.
Come anticipato, in taluni casi la forma scritta diviene essenziale per attribuire validità al
documento (forma scritta ad substantiam), anche informatico. In particolare, l’art. 1350
del Codice Civile, rubricato con il titolo di “Atti che devono farsi per iscritto”, impone a
pena di nullità118 una determinata forma per taluni atti e contratti ai fini di una loro validità
giuridica. La norma elenca al suo primo comma, in n. 13 punti, gli atti e contratti che a
pena di nullità devono necessariamente farsi:
-
o per atto pubblico (per iscritto, redatto interamente dal notaio o da altro pubblico
ufficiale autorizzato ad attribuirgli pubblica fede nel luogo dove l‟atto è formato);
-
o per scrittura privata (sempre per iscritto, ma in assenza di particolari
formalità)119.
Civile. Artt. 1321-1342, vol. XIII, Milano, Giuffrè, 2009, pp. 311-312, nonchè F. Delfini (a cura di), Diritto dell’informatica, Torino, UTET
Giuridica, 2014, pp. 309-319). Per fini informativi occorre intendere, secondo l‟Autrice, casi come quelli di cui alla disciplina dei
consumatori, nella quale alcune informazioni devono essere fornite al consumatore necessariamente “per iscritto” o confermate “per
iscritto”: la forma informativa non richiede la sottoscrizione.
118
La nullità di un atto o contratto è la forma di invalidità più grave (ad esempio quando il contratto o atto è contrario a norme
imperative del nostro ordinamento) e determina il venir meno di tutti gli effetti da esso prodotti, come se lo stesso non fosse mai venuto
ad esistenza. L‟annullabilità di un atto o contratto, al contrario, è una forma meno grave di invalidità (ad esempio quando il consenso è
stato estorto con la violenza) e determina il prodursi degli effetti dell‟atto o contratto, come un qualsiasi contratto valido, ma questi
possono venire meno se viene fatta valere con successo l'azione di annullamento da chi ne è interessato.
119
Art. 1350 c.c.: “Devono farsi per atto pubblico o per scrittura privata, sotto pena di nullità:
1) i contratti che trasferiscono la proprietà di beni immobili;
2) i contratti che costituiscono, modificano o trasferiscono il diritto di usufrutto su beni immobili, il diritto di superficie, il
diritto del concedente e dell'enfiteuta;
3) i contratti che costituiscono la comunione di diritti indicati dai numeri precedenti;
4) i contratti che costituiscono o modificano le servitù prediali, il diritto di uso su beni immobili e il diritto di abitazione;
5) gli atti di rinunzia ai diritti indicati dai numeri precedenti;
6) i contratti di affrancazione del fondo enfiteutico;
7) i contratti di anticresi;
8) i contratti di locazione di beni immobili per una durata superiore a nove anni;
9) i contratti di società o di associazione con i quali si conferisce il godimento di beni immobili o di altri diritti reali
immobiliari per un tempo eccedente i nove anni o per un tempo indeterminato;
10) gli atti che costituiscono rendite perpetue o vitalizie, salve le disposizioni relative alle rendite dello Stato;
11) gli atti di divisione di beni immobili e di altri diritti reali immobiliari;
12) le transazioni che hanno per oggetto controversie relative ai rapporti giuridici menzionati nei numeri precedenti;
81
Dal combinato del CAD (art. 21, comma 2-bis) e del Codice Civile si comprende che:
- gli atti di cui ai punti dal n. 1 al n. 12 dell’art. 1350 c.c., se predisposti con documento
informatico, devono essere sottoscritti, a pena di nullità, con firma elettronica qualificata
o con firma (qualificata) digitale: si tratta, ad esempio, degli atti di acquisto di una
casa120;
- gli atti di cui al n. 13 dell’art. 1350 c.c.121 soddisfano comunque il requisito della forma
scritta se sottoscritti con una qualsiasi firma elettronica avanzata (quindi anche
qualificata o digitale)122: si tratta, ad esempio, degli atti di consenso informato, ovvero quella
forma di autorizzazione del paziente a ricevere un qualunque trattamento sanitario, medico
o infermieristico, previa la necessaria informazione sul caso da parte del medico
proponente123.
Volendo schematizzare quanto detto negli ultimi due paragrafi in tema di efficacia
probatoria e forma scritta del documento informatico:
DOCUMENTO INFORMATICO E FIRME ELETTRONICHE
Liberamente
valutabile
dal
Giudice sia sotto
il
profilo
dell‟efficacia
probatoria che
della
forma
scritta,
tenuto
conto
delle
caratteristiche
oggettive
di
Liberamente valutabile dal
Giudice sotto il profilo
dell‟efficacia probatoria,
tenuto
conto
delle
caratteristiche oggettive di
qualità, sicurezza, integrità
ed immodificabilità
Piena prova fino a querela di falso, se colui
contro il quale è prodotto ne riconosce la
sottoscrizione o se è legalmente considerata come
riconosciuta
Soddisfa il requisito della Soddisfa il requisito della forma scritta ex art. 1350
forma scritta
n. 13 c.c.
13) gli altri atti specialmente indicati dalla legge”.
120
Ragionando a contrario, consegue che ai sensi dell‟art. 1350 c.c., comma 1, gli atti e contratti di cui ai nn. 1-12 sono invalidi se
conclusi mediante la formazione di:
-documenti informatici sottoscritti con firme diverse da quella elettronica qualificata o digitale;
- documenti informatici sprovvisti di sottoscrizione;
- documenti informatici sottoscritti con firma elettronica qualificata o digitale ma senza il rispetto delle condizioni previste
dalle regole tecniche di cui all‟art. 71 CAD, da rispettarsi sempre.
Sul punto si veda: M. Q. Silvi, Atto giuridico e documento informatico, cit., par. 6.1.
121
Ossia tutti gli altri atti specialmente indicati dalla legge.
122
Per maggiori informazioni si rinvia al sito web istituzionale:
http://www.agid.gov.it/identita-digitali/firmeelettroniche#navfoglia, consultato nel mese di ottobre 2014.
123
Ragionando a contrario, consegue che ai sensi dell‟art. 1350 c.c., comma 1, gli atti e contratti di cui al n. 13 sono invalidi se
conclusi mediante la formazione di:
- documenti informatici sottoscritti con firme diverse da quella avanzata;
- documenti informatici sprovvisti di sottoscrizione;
- documenti informatici sottoscritti con firma avanzata ma senza il rispetto delle condizioni previste dalle regole tecniche di
cui all‟art. 71 CAD, da rispettarsi sempre.
82
qualità, sicurezza,
integrità
ed
immodificabilità
Se NON vi è
Se vi è una FIRMA
alcuna tipologia
ELETTRONICA
di firma
(SEMPLICE)
elettronica
Se vi è una FIRMA
ELETTRONICA
AVANZATA
Soddisfa anche il
requisito della forma
scritta ex art. 1350
nn. 1-12 c.c. se vi è
una:
FIRMA
ELETTRONICA
QUALIFICATA
FIRMA
(QUALIFICATA)
DIGITALE
2.3.4. Il quadro normativo europeo introdotto dal Regolamento 910/2014
Con il Regolamento del Parlamento Europeo e del Consiglio n. 910 del 23 luglio 2014124
sono state introdotte importanti norme, destinate a disciplinare il documento elettronico e
le firme elettroniche (oltre ai sistemi di identificazione) in maniera uniforme per tutta
l‟Unione Europea.
Il Regolamento, infatti, a differenza delle Direttive, ha immediata forza di legge all‟interno
degli ordinamenti giuridici di tutti gli stati membri, senza che sia necessario un ulteriore atto
normativo nazionale per il suo recepimento.
Il Regolamento n. 910/14, anche denominato eIDAS (electronic IDentification
Authentication and Signature) definisce, all‟art. 3 n. 35) il documento elettronico (e non, si
badi, informatico) come
qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o
audiovisiva.
124
Regolamento in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e
che
abroga
la
direttiva
1999/93/CE,
reperibile
all‟indirizzo
internet
http://eur-lex.europa.eu/legalcontent/IT/TXT/HTML/?uri=CELEX:32014R0910&from=EN, consultato ottobre 2015.
83
Come si può notare, la definizione di documento elettronico è radicalmente diversa rispetto
a quella di documento informatico, in quanto fa riferimento, in maniera molto ampia, al
concetto di “contenuto” ed a quello di “conservazione in forma elettronica”.
Al successivo art. 46, poi, il legislatore europeo si preoccupa di conferire al documento
elettronico la dignità giuridica fondamentale per il funzionamento dell‟ordinamento,
stabilendo quelli che sono gli effetti giuridici dei documenti elettronici:
A un documento elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti
giudiziali per il solo motivo della sua forma elettronica.
Con tale affermazione, letta insieme ai considerando 26 e 27, il legislatore europeo intende
sottolineare il principio di neutralità tecnologica del documento elettronico, in modo da
evitare di imporre requisiti che solo una specifica tecnologia potrebbe offrire, ma, anzi,
facendo in modo che gli effetti giuridici prodotti dal regolamento siano ottenibili mediante
qualsiasi modalità tecnica.
E‟ stato, quindi, ribadito che per stabilire il valore giuridico la efficacia probatoria di un
documento elettronico occorre far riferimento al livello di certezza dell‟autenticità
dell‟origine e dell‟integrità che il documento stesso è in grado di assicurare sin dalla sua
formazione e per tutto il suo ciclo di vita, oltre naturalmente la garanzia di leggibilità del
documento stesso nel corso del tempo.
La collocazione sistematica dell‟art. 46 sugli effetti giuridici del documento elettronico,
pressochè al termine del testo del regolamento, insieme alla scarna per quanto ampia
definizione che viene data dello stesso, sembra quasi far perdere di importanza alla figura
del documento elettronico e di voler spostare maggiormente l‟attenzione sugli aspetti
relativi alla identificazione e ai servizi fiduciari, in modo da rafforzare la sicurezza giuridica
complessiva e dare maggiore fiducia agli utenti.
Importanza superiore, infatti, viene rivestita dalla disciplina relativa alle firme elettroniche,
laddove il Regolamento arriva addirittura ad abrogare la Direttiva 1999/93, sinora cardine
normativo per le firme elettroniche.
84
Il Regolamento, quindi, prevede tre tipologie di firme125:
1) firma elettronica (semplice), definita come dati in forma elettronica, acclusi oppure
connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per
firmare;
2) firma elettronica avanzata, ossia una firma elettronica che soddisfi i requisiti di cui
all‟articolo 26 del Regolamento eIDAS, e, quindi, che soddisfa i seguenti requisiti:
a) è connessa unicamente al firmatario126; b) è idonea a identificare il firmatario; c) è creata
mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato
livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; d) è collegata ai dati
sottoscritti in modo da consentire l‟identificazione di ogni successiva modifica di tali dati;
3) firma elettronica qualificata, definita una firma elettronica avanzata creata da un
dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato
qualificato per firme elettroniche.
Per quanto riguarda gli effetti giuridici delle firme elettroniche, l‟art 25 del Regolamento
eIDAS stabilisce che:
1. a una firma elettronica non possono essere negati gli effetti giuridici e l‟ammissibilità
come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o
perché non soddisfa i requisiti per firme elettroniche qualificate;
2.
una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma
autografa;
3.
una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno
Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri.
Oltre al documento elettronico e alle firme elettroniche, il Regolamento eIDAS introduce
una nuova figura giuridica, il Sigillo elettronico, la cui definizione è quella di
dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma
elettronica per garantire l’origine e l’integrità di questi ultimi.
125
Per le specifiche relative ai formati delle firme elettroniche avanzate si veda il Regolamento di esecuzione 1506/15, reperibile
all‟indirizzo internet http://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32015D1506&from=IT tecniche ,
consultato ottobre 2015
126
Ossia una persona fisica che crea una firma elettronica.
85
Il sigillo elettronico può essere generato esclusivamente da un “creatore di un sigillo”, ossia
una persona giuridica che crea un sigillo elettronico e serve per provare l‟emissione di un
documento elettronico da parte di tale persona giuridica, dando la certezza dell‟origine e
dell‟integrità del documento stesso.
Il regolamento eIDAS oltre al semplice sigillo elettronico, prevede poi anche il sigillo
elettronico avanzato127 ed il sigillo elettronico qualificato (i.e. sigillo digitale)
128
,
rilevando che in caso di impiego di quest‟ultimo, a norma dell‟art. 35 secondo comma del
regolamento eIDAS, vi è una “presunzione di integrità dei dati e di correttezza dell‟origine
di quei dati a cui il sigillo elettronico qualificato è associato”.
Da tali definizioni balza subito evidente la differenza tra sigillo elettronico e firma
elettronica:
- il sigillo elettronico non è in grado di assicurare l’identità del firmatario;
- la firma elettronica è in grado di assicurare l’identità del firmatario (e la ratio è
comprensibile, visto che il sigillo non è collegato ad una persona fisica).
Inoltre il sigillo, diversamente dalla firma elettronica, non si traduce in un documento
elettronico con forma scritta, nelle varie gradazioni dell'efficacia probatoria di questa
secondo le previsioni del Codice dell‟Amministrazione Digitale. Alla luce di tali
considerazioni si ritiene che il sigillo elettronico possa avere molteplici utilizzi anche nel
nostro ordinamento, ad esempio in tema di fatturazione elettronica.
2.3.5. La firma grafometrica
La firma grafometrica è una sottoscrizione elettronica attraverso la quale viene acquisita la
firma autografa del titolare. Ciò avviene tramite l‟apposizione della firma con una penna
elettronica su un dispositivo hardware comunemente rappresentato da una tavoletta grafica
che consente la registrazione dei dati biometrici legati alla sottoscrizione, intendendo per
dati biometrici quella particolare categoria di dati ricavati da “proprietà biologiche, aspetti
comportamentali, caratteristiche fisiologiche, tratti biologici o azioni ripetibili laddove tali
127
Un sigillo elettronico che soddisfi i requisiti sanciti all‟articolo 36, ossia quando soddisfa i seguenti requisiti: a) è connesso
unicamente al creatore del sigillo; b) è idoneo a identificare il creatore del sigillo; c) è creato mediante dati per la creazione di un sigillo
elettronico che il creatore del sigillo elettronico può, con un elevato livello di sicurezza, usare sotto il proprio controllo per creare sigilli
elettronici; d) è collegato ai dati cui si riferisce in modo da consentire l‟identificazione di ogni successiva modifica di detti dati.
128
Un sigillo elettronico avanzato creato da un dispositivo per la creazione di un sigillo elettronico qualificato e basato su un
certificato qualificato per sigilli elettronici.
86
caratteristiche o azioni sono tanto proprie di un certo individuo quanto misurabili, anche se
i metodi usati nella pratica per misurarli tecnicamente comportano un certo grado di
probabilità”129.
Sulla base del DPCM 22 febbraio 2013, la firma grafometrica è una tipologia di firma
elettronica avanzata che deve rispettare determinate caratteristiche. Ciò significa che il
legislatore ha regolamentato tale sottoscrizione come soluzione neutra non individuando
una tecnologia tassativa, ma prevedendo delle condizioni al verificarsi delle quali la firma
grafometrica potrà essere considerata una firma elettronica avanzata.
Affinché ciò si verifichi è, pertanto, necessario che la firma grafometrica rispetti dei
requisiti tecnologici sanciti dal citato DPCM.
Nella realtà pratica, in Italia la firma grafometrica ha iniziato a diffondersi innanzitutto nel
settore bancario, a seguito di alcuni provvedimenti del Garante per la protezione dei dati
personali emessi a seguito di richiesta di verifica preliminare da parte di taluni istituti 130.
Considerata la veloce diffusione di pratiche non controllate in tema di biometria, il Garante
è poi intervenuto con il Provvedimento generale prescrittivo in tema di biometria - 12
novembre 2014, avente come allegati le Linee guida in materia di riconoscimento
biometrico e firma grafometrica e un modulo per la comunicazione all'Autorità di
violazioni dei sistemi biometrici131. Con tale Provvedimento generale il Garante ha
individuato alcune tipologie di trattamento che, per le specifiche finalità perseguite,
presentano un livello ridotto di rischio e non necessitano più della verifica preliminare da
parte dell'Autorità.
La semplificazione riguarda solo le specifiche tipologie di trattamento che devono in ogni
caso essere effettuate nel rispetto delle rigorose misure di sicurezza individuate dal Garante,
e comunque rispettando i presupposti di legittimità previsti dal Codice privacy, in
particolare informando sempre gli interessati sui loro diritti, sugli scopi e le modalità del
129
Definizione ricavata dal Parere 3/2012 sugli sviluppi nelle tecnologie biometriche, WP193, adottato il 27 aprile 2012 dal
“Gruppo per la tutela dei dati personali Articolo 29” costituito da rappresentanti delle Autorità di protezione dati dei diversi stati
membri. La definizione è stata fatta propria dal Garante per la protezione dei dati personali con il Provvedimento 12 novembre 2014 e
relative “Linee Guida in materia di riconoscimento biometrico e firma grafometrica”. Per un approfondimento sulla tematica: G. Preite,
Il riconoscimento biometrico: sicurezza versus privacy, Trento, Editrice UNI Service, 2007.
130
Per comprendere il concetto di “verifica preliminare” occorre fare riferimento all‟art. 17 del D.Lgs. n. 196/2003, anche
definito Codice Privacy, in base al quale: il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i
diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli
effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti; le misure e gli
accorgimenti ora citati sono prescritti dal Garante in applicazione dei principi sanciti dal Codice Privacy, nell'ambito della “verifica
preliminare all'inizio del trattamento”, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di
un interpello del titolare.
131
Per una consultazione del Provvedimento generale del 12 novembre 2014 e dei relativi allegati, si rinvia all‟URL:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3556992, consultato nel mese di settembre 2015.
87
trattamento. Di seguito alcuni aspetti specifici esaminati dal Garante nel Provvedimento
generale:
• Autenticazione informatica
Le caratteristiche biometriche dell'impronta digitale o dell'emissione vocale di una persona
possono essere utilizzate come credenziali di autenticazione per l'accesso a banche dati e
sistemi informatici. Tale trattamento può essere effettuato anche senza il consenso
dell'utente.
• Controllo di accesso fisico ad aree “sensibili” e utilizzo di apparati e macchinari pericolosi
Le caratteristiche dell'impronta digitale o della topografia della mano possono essere
trattate per consentire l'accesso ad aree e locali ritenuti “sensibili” oppure per consentire
l'utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati. Tale trattamento può
essere realizzato anche senza il consenso dell'utente.
• Sottoscrizione di documenti informatici
L'analisi dei dati biometrici associati all'apposizione a mano libera di una firma autografa
può essere utilizzata per la firma elettronica avanzata. Questa modalità è però consentita
solo con il consenso degli interessati, consenso non necessario invece in ambito pubblico,
se devono essere perseguite specifiche finalità istituzionali. Dovranno comunque essere
resi disponibili sistemi alternativi (cartacei o digitali) di sottoscrizione, che non comportino
l'utilizzo di dati biometrici.
• Scopi facilitativi
L'impronta digitale e la topografia della mano possono essere utilizzate anche per
consentire l'accesso fisico di utenti ad aree fisiche in ambito pubblico (ad es. biblioteche) o
privato (ad es. aree aeroportuali riservate). Anche in questo caso l'utilizzo è consentito solo
con il consenso degli interessati. Dovranno comunque essere previste modalità alternative
per l'erogazione del servizio per chi rifiuta di far utilizzare i propri dati biometrici.
Ogni sistema di rilevazione deve essere configurato in modo tale da raccogliere un numero
limitato di informazioni (principio di minimizzazione), escludendo l'acquisizione di dati
ulteriori rispetto a quelli necessari per il conseguimento della finalità perseguita. Ad
esempio, in caso di autenticazione informatica, i dati biometrici non devono essere trattati
in modo da poter desumere anche informazioni di natura sensibile dell'interessato.
Tra le numerose misure di sicurezza individuate dal Garante nel Provvedimento generale vi
è quella che obbliga a cifrare il riferimento biometrico con tecniche crittografiche, con una
88
lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati. Particolare
attenzione è inoltre rivolta alla messa in sicurezza dei dispositivi mobili (come tablet o pc)
che potrebbero più facilmente essere compromessi o smarriti.
Anche al fine di prevenire eventuali furti di identità biometrica, tutte le violazioni dei dati o
gli incidenti informatici ("data breaches") che possano avere un impatto significativo sui
sistemi biometrici o sui dati personali custoditi, devono poi essere comunicati da chi
detiene i dati al Garante entro 24 ore dalla scoperta, così da consentire di adottare
opportuni interventi a tutela delle persone interessate. A tal fine è stato allegato al
Provvedimento generale un modulo che consente di semplificare il predetto adempimento.
Sono esclusi dalle modalità semplificate individuate nel provvedimento del Garante i
trattamenti che prevedono la realizzazione di archivi biometrici centralizzati, per i quali
continua ad essere obbligatorio richiedere una verifica preliminare. Rimane in vigore anche
l'obbligo di notificazione al Garante per i trattamenti non esplicitamente esclusi dal
provvedimento, come quelli effettuati da esercenti le professioni sanitarie e da avvocati.
2.3.6. Copie di documenti e duplicati
Come detto, in genere, i documenti possono essere sia analogici che informatici.
Per entrambi, comunque, si pone il problema della circolazione del documento, che
normalmente esiste anzitutto nella sua versione “originale”.
Tuttavia, il documento originale può essere fatto circolare non direttamente, ma attraverso
delle sue copie, appositamente realizzate.
Per quanto riguarda le varie ipotesi rinvenibili nel CAD, troviamo:
1) la copia informatica di documento analogico (ad esempio il caso di un
documento originariamente cartaceo e il cui contenuto viene riportato interamente
in bit), definita dall‟art. 1, comma, 1 lettera i-bis, come “il documento informatico avente
contenuto identico a quello del documento analogico da cui è tratto”132; l‟art. 22, comma 1,
del CAD stabilisce il valore legale di atti pubblici, scritture private o documenti in genere,
ivi compresi gli atti e documenti amministrativi, originariamente su supporto analogico e
132
Art. 22, comma 1: i documenti informatici contenenti copia di atti pubblici, scritture private e documenti in genere, compresi
gli atti e documenti amministrativi di ogni tipo formati in origine su supporto analogico, spediti o rilasciati dai depositari pubblici
autorizzati e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli articoli 2714 e 2715 del codice civile, se ad essi è apposta o
associata, da parte di colui che li spedisce o rilascia, una firma digitale o altra firma elettronica qualificata. La loro esibizione e produzione
sostituisce quella dell'originale.
89
poi rilasciati con copia informatica da un pubblico ufficiale o altro soggetto autorizzazione,
come un notaio, attribuendo loro efficacia (ai sensi degli artt. 2714 e 2715 c.c.), quando sia
apposta la firma digitale o altra firma elettronica qualificata da parte del soggetto che le ha
rilasciate; le copie così create sostituiscono gli originali analogici ad ogni effetto di legge,
anche sotto il profilo dell‟esibizione e produzione in giudizio e l‟assoluzione degli obblighi
di conservazione;
2) la copia per immagine su supporto informatico di documento analogico (ad
esempio la scansione di un documento originariamente cartaceo), definita dall‟art. 1,
comma 1, lettera i-ter, come “il documento informatico avente contenuto e forma identici a
quelli del documento analogico da cui è tratto”133; l‟art. 22, commi 2 e 3, del CAD dispone
che tali copia hanno la stessa efficacia probatoria degli originali da cui sono tratte, se la loro
conformità è attestata da un notaio o altro pubblico ufficiale autorizzato (come un notaio),
con dichiarazione allegata al documento informatico e asseverata secondo le regole
tecniche di cui all‟art. 71 CAD o se la loro conformità all‟originale non è disconosciuta,
purché gli originali siano stati formati a loro volta nel rispetto delle regole tecniche;
3) la copia (o estratto) informatica di documento informatico (ad esempio quando si
genera copia di un file passando da un estensione .doc a una .pdf), definita dall‟art. 1,
comma 1, lettera i-quater, come “il documento informatico avente contenuto identico a
quello del documento da cui è tratto su supporto informatico con diversa sequenza di
valori binari”134; l‟art. 23-bis, comma 2, del CAD dispone che tali copie hanno il medesimo
valore giuridico dei documenti informatici da cui sono tratte, se prodotte in conformità alle
regole tecniche di cui all‟art. 71 del CAD e la loro conformità all‟originale è attestata da un
pubblico ufficiale autorizzato o se la loro conformità non è espressamente disconosciuta; in
tali casi, se previsto, resta fermo l‟obbligo di conservazione del documento originale
informatico;
4) la copia analogica di un documento informatico (ad esempio, la stampa di un file
gestito e conservato dall‟Amministrazione); l‟art. 23 del CAD dispone che tali copie hanno
133
Art. 22, commi 2 e 3: le copie per immagine su supporto informatico di documenti originali formati in origine su supporto
analogico hanno la stessa efficacia probatoria degli originali da cui sono estratte, se la loro conformità è attestata da un notaio o da altro
pubblico ufficiale a ciò autorizzato, con dichiarazione allegata al documento informatico e asseverata secondo le regole tecniche stabilite
ai sensi dell'articolo 71; le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico
nel rispetto delle regole tecniche di cui all'articolo 71 hanno la stessa efficacia probatoria degli originali da cui sono tratte se la loro
conformità all'originale non è espressamente disconosciuta.
134
Art. 23 bis co. 2: le copie e gli estratti informatici del documento informatico, se prodotti in conformità alle vigenti regole
tecniche di cui all'articolo 71, hanno la stessa efficacia probatoria dell'originale da cui sono tratte se la loro conformità all'originale, in tutti
le sue componenti, è attestata da un pubblico ufficiale a ciò autorizzato o se la conformità non è espressamente disconosciuta.
90
la stessa efficacia probatoria dell‟originale da cui sono tratte se la conformità all‟originale è
attestata da un pubblico ufficiale autorizzato oppure se il documento informatico originale
è conforme alle vigenti regole tecniche e la conformità all‟originale non sia disconosciuta;
in tali casi, se previsto, resta fermo l‟obbligo di conservazione del documento originale
informatico;
Altra figura, distinta rispetto alla copia, e peculiare per il documento informatico, è il c.d.
duplicato informatico, ossia il documento informatico ottenuto mediante la
memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima
sequenza di valori binari del documento originario: si tratta quindi del caso in cui si
genera la copia di un file mantenendo la stessa estensione (da un .pdf ad un .pdf)135.
Il duplicato informatico, per espressa disposizione dell‟art. 23-bis del C.A.D., ha il
medesimo valore giuridico, ad ogni effetto di legge, del documento informatico da cui
è tratto, se prodotto in conformità alle regole tecniche di cui all'articolo 71.
Le norme ora esposte in tema di copie e duplicati si applicano anche all‟attività della
Pubblica Amministrazione. Due possono essere i classici casi in un‟Amministrazione, che
di seguito richiamiamo applicando la normativa già enucleata.
Un primo caso può essere quello della richiesta di un cittadino di copia anallogica di un
documento originariamente informatico dell‟Amministrazione.
In base al citato art. 23 CAD si deve provvedere per mezzo del soggetto incaricato (che in
tal caso svolge la funzione di pubblico ufficiale) alla stampa del documento originario
informatico e all’attestazione di conformità all‟originale informatico del documento
stampato, quindi apponendo il relativo timbro e firma. In questo modo la stampa di un
documento originale informatico avrà la stessa efficacia del documento da cui è tratta136.
Al fine di garantire la provenienza e conformità dell‟atto alla sua versione originale, sulle
copie analogiche dei documenti informatici che l‟Amministrazione rilascia al cittadino è
possibile apporre un timbro digitale, se l‟applicativo lo consenta. Si tratta di un codice a
barre bidimensionale (glifo), disciplinato dall‟art. 23, comma 2bis: “Sulle copie analogiche di
documenti informatici può essere apposto a stampa un contrassegno, sulla base dei criteri
definiti con le regole tecniche di cui all'articolo 71, tramite il quale è possibile accedere al
135
Come definito dall‟art. 1, comma 1 lett. i-quinquies) del CAD.
136
Il successivo comma 2, poi, specifica che le copie e gli estratti su supporto analogico del documento informatico, conformi
alle vigenti regole tecniche, hanno la stessa efficacia probatoria dell'originale se la loro conformità non è espressamente disconosciuta.
Resta fermo, ove previsto l'obbligo di conservazione dell'originale informatico.
91
documento informatico, ovvero verificare la corrispondenza allo stesso della copia
analogica. Il contrassegno apposto ai sensi del primo periodo sostituisce a tutti gli effetti di
legge la sottoscrizione autografa del pubblico ufficiale e non può essere richiesta la
produzione di altra copia analogica con sottoscrizione autografa del medesimo documento
informatico. I programmi software eventualmente necessari alla verifica sono di libera e
gratuita disponibilità”137. In altre parole, con la stampa di un documento amministrativo
informatico è possibile l‟apposizione automatica di un timbro digitale, tale da non
necessitare la copia creata di una dichiarazione di conformità firmata dal Pubblico Ufficiale.
Il Timbro digitale, ove previsto negli applicativi, permette quindi di snellire notevolmente la
fase di creazione di copie conformi analogiche derivanti da un file.
Altro classico caso che si verifica nelle Amministrazioni è la ricezione di documenti
cartacei, di cui si rende poi necessaria la scansione e acquisizione. In particolare, al
fine di garantire al documento informatico così ottenuto la stessa efficacia del corrispettivo
analogico è necessario che il soggetto incaricato (secondo quanto previsto dall‟art. 22 del
CAD) vi apponga una firma digitale.
2.3.7. Documento amministrativo informatico e procedimento amministrativo informatico
L‟art. 22, comma 1, lett. d), della Legge n. 241/1990 dal titolo “Nuove norme sul
procedimento amministrativo”, come novellato nel 2005138, così definisce il documento
amministrativo:
ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto
di atti, anche interni o non relativi ad uno specifico procedimento, detenuti da una pubblica
amministrazione e concernenti attività di pubblico interesse, indipendentemente dalla natura pubblicistica o
privatistica della loro disciplina sostanziale.
Pertanto, documento amministrativo può essere considerato una rappresentazione
informatica di atti, anche interni, formati o utilizzati dalla Pubblica Amministrazione. Detto
Attraverso la circolare n. 62 del 30 aprile 2013 l‟AgID ha emanato le Linee guida che definiscono le modalità tecniche di generazione,
apposizione e verifica del contrassegno riportato elettronicamente, necessarie per l‟uso del contrassegno a stampa (timbro digitale), con il
quale si rende possibile la verifica della corrispondenza del documento analogico riprodotto in remoto rispetto all‟originale informatico.
138 Articolo così sostituito dall'art. 15 della Legge n. 15 del 2005.
137
92
in altre parole, il “documento amministrativo informatico” si configura come species del
genus “documento amministrativo”.
L'art. 23 ter del CAD (norma introdotta dal D.Lgs.n. 235/2010) ha poi disciplinato gli atti
formati dalle Pubbliche Amministrazioni mediante strumenti informatici.
In base alla norma, gli atti formati dalle Pubbliche Amministrazioni con strumenti
informatici, nonché i dati e i documenti informatici detenuti dalle stesse, costituiscono
informazione primaria ed originale da cui è possibile effettuare, su diversi o identici tipi di
supporto, duplicazioni e copie per gli usi consentiti dalla legge.
Sempre secondo il CAD, le Pubbliche Amministrazioni sono obbligate a formare gli
originali dei propri atti come documenti informatici (art. 40, comma 1), nel rispetto
delle disposizioni del Codice e delle relative regole tecniche. Va sottolineato che formare gli
originali significa non solo redigere il testo con l‟ausilio degli strumenti informatici ma
anche sottoscrivere gli atti in modalità elettronica. Pertanto, l‟art. 40 non attribuisce alle
Amministrazioni un potenziale strumento per operare, il documento informatico, ma ne
prescrive la totale e assoluta obbligatorietà.
Da ultimo, del documento amministrativo informatico si è interessato il DPCM 13
novembre 2014, contenente le “Regole tecniche in materia di formazione, trasmissione,
copia, duplicazione, riproduzione e validazione temporale dei documenti informatici
nonché di formazione e conservazione dei documenti informatici delle pubbliche
amministrazioni ai sensi degli articoli 20, 22, 23-bis, 23-ter, 40, comma 1, 41, e 71, comma
1, del Codice dell'amministrazione digitale, di cui al decreto legislativo n. 82 del 2005”.
Le regole tecniche dedicano il capo III alla disciplina del documento amministrativo
informatico che presenta specifiche peculiarità rispetto al documento informatico
disciplinato nei capi precedenti.
Nella formazione dei documenti amministrativi, difatti, assumono una particolare rilevanza
anche l‟acquisizione delle istanze, dichiarazioni e comunicazioni di cui agli articoli 5-bis
(comunicazioni tra imprese e Amministrazioni), 40-bis (protocollo informatico) e 65
(istanze e dichiarazioni presentate alle Pubbliche Amministrazioni per via telematica) del
CAD.
Particolarmente importante è la specificazione secondo la quale il documento
amministrativo informatico assume le caratteristiche di immodificabilità e di integrità
anche con la sua semplice registrazione nel registro di protocollo, negli ulteriori registri,
93
nei repertori, negli albi, negli elenchi, negli archivi o nelle raccolte di dati contenute nel
sistema di gestione informatica dei documenti, come richiesto dalla normativa di settore.
Ai fini della trasmissione telematica di documenti amministrativi informatici, le Pubbliche
Amministrazioni pubblicano sui loro siti gli standard tecnici di riferimento, le codifiche
utilizzate e le specifiche per lo sviluppo degli applicativi software di colloquio, rendendo
eventualmente disponibile gratuitamente sul proprio sito il software per la trasmissione di
dati coerenti alle suddette codifiche e specifiche.
Dato l‟impianto normativo ora citato, il documento amministrativo informatico trova oggi
una sua puntuale disciplina. Per il procedimento amministrativo informatico la situazione è
più complessa.
Il “procedimento amministrativo”, in senso lato, è da intendersi come una sequenza di
atti amministrativi che portano all’emanazione di un atto finale (il provvedimento),
e che quindi concorrono al conseguimento di un interesse pubblico. Pertanto, il
procedimento amministrativo rappresenta la forma esteriore attraverso la quale si dispiega
l‟azione amministrativa, ovvero quel particolare iter procedurale che rende l‟atto efficace e
perfetto, nel pieno rispetto dell‟art. 97 della nostra Costituzione139 e della disciplina primaria
di settore dettata dalla Legge n. 241/1990.
Compreso il concetto di “procedimento amministrativo” è giusto ora sottolineare come
non esista una definizione normativa di “procedimento amministrativo informatico”, né
tantomeno una sua puntuale disciplina all‟interno di un unico testo legislativo.
Infatti, la Legge n. 241/1990 sul procedimento amministrativo è stata ideata e scritta con
obiettivi essenzialmente “analogici” (si pensi che non era ancora nata Internet), poi nel
tempo integrata sempre più in senso “digitale”. Si veda, ad esempio, l‟art. 3-bis, introdotto
con la Legge n. 15/2005, secondo il quale la Pubblica Amministrazione, per conseguire
maggiore efficienza nella sua attività, deve incentivare l‟uso della telematica, nei rapporti
interni, tra le diverse Amministrazioni e tra queste e i privati.
Lo stesso Consiglio di Stato, con i rilievi allo schema del CAD svolti dalla sezione
consultiva per gli atti normativi (Adunanza del 7 febbraio 2005), richiamava l‟attenzione del
Legislatore sulla necessità di una “perimetrazione” del Codice con riferimento alla
139
L‟art. 97 Cost. così dispone: “Le Pubbliche Amministrazioni, in coerenza con l‟ordinamento dell‟Unione europea, assicurano
l‟equilibrio dei bilanci e la sostenibilità del debito pubblico. I pubblici uffici sono organizzati secondo disposizioni di legge, in modo che
siano assicurati il buon andamento e l‟imparzialità dell‟amministrazione. Nell‟ordinamento degli uffici sono determinate le sfere di
competenza, le attribuzioni e le responsabilità proprie dei funzionari. Agli impieghi nelle pubbliche amministrazioni si accede mediante
concorso, salvo i casi stabiliti dalla legge”.
94
disciplina del procedimento amministrativo. Richiamo non considerato appieno dal
Legislatore nel testo finale del CAD.
Ad oggi, quindi, una disciplina unica e puntuale sul procedimento amministrativo
informatico, contenuta in un unico testo legislativo, non esiste. È fondata, comunque, la
posizione in dottrina secondo la quale, in base alla normativa vigente (essenzialmente CAD
e D.P.R. n. 445/2000), sia possibile oggi espletare e gestire il procedimento amministrativo
esclusivamente in forma elettronica140. L‟interprete, dunque, può oggi ricostruire una
disciplina compiuta del procedimento amministrativo informatico, ma sempre da una
sommatoria di norme contenute in diversi testi normativi di settore. Il CAD,
probabilmente, poteva essere il luogo ideale ove ricostruire un‟unica disciplina sul
procedimento amministrativo informatico o, comunque, è auspicabile possa divenirlo in
futuro.
Delle norme di interesse in tema di procedimento amministrativo e web sono contenute nel
cd. Decreto Trasparenza, ovvero il D.Lgs. n. 33/2013. Il suo art. 35, c. 1, lett. d) dispone
che le Amministrazioni pubblichino nella sezione “Amministrazione trasparente”, sottosezione di primo livello “Attivita e procedimenti”, sotto-sezione di secondo livello
“Tipologie di procedimento”, gli atti e i documenti da allegare alle istanze, oltre che la
modulistica necessaria, compresi i fac-simile per le autocertificazioni.
Nella pubblicazione della modulistica sui siti istituzionali è innanzitutto necessario
rispettare le disposizioni previste dalla L. n. 4/2004 in tema di accessibilità. Pertanto, i
moduli pubblicati dovranno essere dei file accessibili. Una specifica accortezza, non
richiesta dalla norma e quindi di rado considerata dalle Amministrazioni, è quella di
pubblicare file editabili e salvabili, al fine di ridurre la mole di documenti cartacei in entrata.
2.3.8 Fascicolo informatico
140
Cfr. A. Masucci. Procedimento amministrativo e nuove tecnologie. Il procedimento amministrativo elettronico ad istanza di parte, Giappichelli,
Torino, 2011. Per un approfondimento in tema di procedimento amministrativo informatico: G. Duni, L‟Amministrazione digitale,
Giuffrè, Milano, 2008; A. G. Orofino, Forme elettroniche e procedimenti amministrativi, Cacucci, Bari, 2008; C. Giurdanella E. Guarnaccia,
Elementi di Diritto Amministrativo Elettronico, Halley Editore, Milano 2005; L. Sergio, Enti locali e Amministrazione digitale, Manni, San Cesario
di Lecce, 2010. Una riflessione più attenta al rapporto tra informatica e Amministrazione, con uno sguardo d‟analisi informatico-giuridica
ai procedimenti e ai principi che li sovraintendono, è rinvenibile in: G. Taddei Elmi, Corso di Informatica giuridica, Esselibri, Napoli, 2007,
pp. 213-228.
95
Come detto nel precedente paragrafo, le Pubbliche Amministrazioni sono del tutto
obbligate a formare gli originali dei propri atti come documenti informatici (art. 40, comma
1, D.Lgs. n. 82/2005), nel rispetto delle disposizioni del CAD e delle relative regole
tecniche. Quindi, ogni documento amministrativo deve non solo nascere informaticamente
ma anche essere gestito con le stesse modalità: l‟art. 41, infatti, dispone che per la gestione
amministrativa dei documenti occorre utilizzare le tecnologie dell'informazione e della
comunicazione e, più nello specifico, occorre raccogliere in un fascicolo informatico gli
atti, i documenti e i dati di ogni procedimento amministrativo, da chiunque formati. Tale
fascicolo deve poter essere, inoltre, alimentato e consultato da tutte le Amministrazioni
coinvolte nel procedimento.
Di conseguenza, l‟unico fascicolo che l‟ufficio deve creare è quello informatico avendo cura
di inserire nello stesso sia i documenti digitali (ricevuti da privati-altre Amministrazioni o
formati dall‟Amministrazione) sia i documenti analogici acquisiti al sistema informatico (ad
esempio, tramite scansione).
Il fascicolo informatico deve essere realizzato garantendo la possibilità di essere
direttamente consultato ed alimentato da tutte le Amministrazioni coinvolte nel
procedimento. Le regole per la costituzione, l'identificazione e l'utilizzo del fascicolo
devono essere conformi ai principi di una corretta gestione documentale ed alla disciplina
della formazione, gestione, conservazione e trasmissione del documento informatico, ivi
comprese le regole concernenti il protocollo informatico ed il sistema pubblico di
connettività, e comunque rispettano i criteri dell'interoperabilità e della cooperazione
applicativa.
In base al comma 2-ter dell‟art. 41 del CAD, il fascicolo informatico deve recare
l'indicazione:
●
dell‟Amministrazione titolare del procedimento, che cura la costituzione e la
gestione del fascicolo medesimo;
●
delle altre amministrazioni partecipanti;
●
del responsabile del procedimento;
●
dell‟oggetto del procedimento;
●
dell‟elenco dei documenti contenuti;
●
dell‟identificativo del fascicolo medesimo.
96
Il fascicolo informatico può contenere aree a cui hanno accesso solo l'amministrazione
titolare e gli altri soggetti da essa individuati; esso è formato in modo da garantire la
corretta collocazione, la facile reperibilità e la collegabilità, in relazione al contenuto ed alle
finalità, dei singoli documenti; è inoltre costituito in modo da garantire l'esercizio in via
telematica dei diritti previsti dalla citata Legge n. 241/1990, in primis quelli di accesso ai
documenti.
I documenti così ottenuti saranno conservati nell‟archivio digitale dell‟Ente e trasmessi, ove
necessario, a privati o altre PA.
2.3.10 Servizi in Rete
Tutti gli Uffici pubblici sono obbligati ad erogare i servizi in modalità esclusivamente
telematica.
Infatti, il D.L. n. 5/2012 introducendo il comma 3-bis del CAD, ha previsto che a partire
dal 1 gennaio 2014 le P.P.A.A. utilizzano esclusivamente i canali e i servizi telematici per
l‟erogazione dei propri servizi.
A norma dell‟art. 63 del Codice dell‟Amministrazione Digitale, le P.P.A.A. ai fini
dell‟individuazione delle modalità di erogazione dei servizi in rete devono tenere conto dei
criteri di valutazione di efficacia, economicità ed utilità nel rispetto dei principi di
eguaglianza e non discriminazione, tenendo comunque presenti le dimensioni dell'utenza, la
frequenza dell'uso e l'eventuale destinazione all'utilizzazione da parte di categorie in
situazioni di disagio.
Con il D. L.vo 179/16, di riforma del C.A.D., è stato introdotto l'Art. 64-bis, rubricato
“Accesso telematico ai servizi della Pubblica Amministrazione”, il quale stabilisce che le
PP.AA. rendono fruibili i propri servizi in rete, in conformità alle regole tecniche di cui
all'art. 71, tramite il punto unico di accesso telematico attivato presso la Presidenza del
Consiglio dei ministri, senza nuovi o maggiori oneri per la finanza pubblica.
Per l‟accesso ai servizi in rete delle Amministrazioni il CAD prevede i seguenti strumenti di
autenticazione:
●
la Carta d‟Identità Elettronica - CIE;
●
la Carta Nazionale dei Servizi; - CNS;
97
●
lo SPID.
Con l‟istituzione dello SPID sarà possibile utilizzare per l‟autenticazione solo questo
sistema o la carta di identità elettronica o la carta nazionale dei servizi: non altri strumenti.
Al fine di verificare le esigenze degli utenti per l‟erogazione dei servizi, gli Uffici possono
predisporre dei questionari da rivolgere agli utenti (ad es. in relazione alla dotazione
tecnologica) nei quali chiedere quali sono i servizi che si ritengono maggiormente rilevanti.
Tali accorgimenti possono guidare l‟amministrazione nell‟identificazione delle priorità
relative alla digitalizzazione dei servizi.
2.3.9. Istanze e dichiarazioni
La normativa vigente in tema di digitalizzazione prevede all‟art. 65 del D.Lgs. n. 82/2005
che le istanze e le dichiarazioni presentate alle Amministrazioni sono valide:
a) se sottoscritte mediante la firma digitale o la firma elettronica qualificata, il cui
certificato è rilasciato da un certificatore qualificato;
b) ovvero, quando l'istante o il dichiarante è identificato attraverso il sistema pubblico di
identità digitale (SPID), nonché attraverso carta di identità elettronica (CIE) e cara
nazionale dei servizi (CNS);
c) ovvero sono sottoscritte e presentate unitamente alla copia del documento d'identità;
c-bis) ovvero se trasmesse dall'istante o dal dichiarante mediante la propria casella di posta
elettronica certificata purché le relative credenziali di accesso siano state rilasciate previa
identificazione del titolare, anche per via telematica secondo modalità definite con regole
tecniche, e ciò sia attestato dal gestore del sistema nel messaggio o in un suo allegato. In tal
caso, la trasmissione costituisce dichiarazione vincolante per chi spedisce la PEC: la
dichiarazione dell'indirizzo PEC vincola quindi solo il dichiarante e rappresenta espressa
accettazione dell'invio, tramite posta elettronica certificata, da parte delle Pubbliche
Amministrazioni, degli atti e dei provvedimenti che lo riguardano.
Sono fatte salve le disposizioni normative che prevedono l'uso di specifici sistemi di
trasmissione telematica nel settore tributario.
98
Il mancato avvio del procedimento da parte del titolare dell'ufficio competente a seguito di
istanza o dichiarazione inviate validamente comporta responsabilità dirigenziale e
responsabilità disciplinare dello stesso.
Le istanze e le dichiarazioni inviate con modalità telematiche sono da ritenersi equivalenti
alle istanze e alle dichiarazioni sottoscritte con firma autografa apposta in presenza del
dipendente addetto al procedimento.
2.4 Posta Elettronica Certificata
La PEC trova la sua disciplina agli articoli 6 e 48 del CAD e, dettagliatamente, nel D.P.R.
11 Febbraio 2005 n.68. Essa rappresenta un nuovo sistema di comunicazione via e-mail,
grazie al quale è possibile inviare e ricevere documentazione elettronica con valore legale
equiparato alla Posta Raccomandata con ricevuta di ritorno (A/R)141.
Rispetto alla posta elettronica ordinaria, tale strumento di comunicazione telematica
consente di associare al messaggio la prova legale della sua spedizione e della sua ricezione
da parte del destinatario: esattamente, dunque, come una raccomandata “cartacea”. Si
potrebbe affermare, esemplificando, che la posta elettronica certificata (PEC) sta alla lettera
(cartacea) Raccomandata come la posta elettronica ordinaria sta alla lettera (cartacea)
ordinaria. Ovviamente, rispetto alla raccomandata cartacea, la PEC presenta tutta una serie
di vantaggi in termini di flessibilità ed economia ai quali si aggiungono aspetti più peculiari
tipici del suo funzionamento142.
141
Per una sua massiva diffusione il Governo ha attivato in passato la cd. CEC-PAC, ovvero una PEC gratuita per il cittadino
attivabile tramite apposito portale delle Poste Italiane (www.postacertificata.gov.it). La CEC-PAC (Comunicazione Elettronica Certificata
tra la Pubblica Amministrazione e il Cittadino) è una modalità di posta elettronica, gratuita per il cittadino e oramai dismessa, che però ha
permesso di comunicare esclusivamente con la pubblica amministrazione, non potendo essere utilizzata per comunicazioni tra aziende o
tra cittadini. Il servizio di CEC-PAC non è mai decollato, basti pensare che l‟82% delle caselle attivate non è mai stata utilizzata, come
evidenziato dalla stessa AGID. Inoltre, sempre fonte AGID, con la dismissione di CEC - PAC vengono recuperati quasi 19 milioni di
euro da investire in altri servizi ai cittadini e imprese, come delineato nel documento “Strategia per la crescita digitale 2014-2020”
predisposto nel marzo 2015 dalla Presidenza del Consiglio, insieme al Ministero dello Sviluppo Economico, all‟Agenzia per l‟Italia
Digitale e all‟Agenzia per la Coesione, per il perseguimento degli obiettivi dell‟Agenda Digitale (documento disponibile all‟URL:
http://www.agid.gov.it/sites/default/files/documentazione/strategia_crescita_digitale_ver_def_21062016.pdf, consultato nel mese di
dicembre 2016).
Nel 2015 l‟AGID ha avviato un processo di dismissione della CEC-PAC, oramai concluso, per far convergere tutte le
comunicazioni di posta certificata su sistemi di PEC standard, abitualmente utilizzati nelle comunicazioni tra cittadini, professionisti e
imprese.
Dal 18 settembre 2015 al 17 marzo 2018, è comunque garantita agli utenti del servizio CEC-PAC la possibilità di richiedere
l'accesso ai log dei propri messaggi di posta elettronica certificata.
142
M. IASELLI, Diritto e nuove tecnologie.Prontuario giuridico informatico, Montecatini Terme (PT), Altalex Editore, 2011, pp. 369.
99
In via riassuntiva, il soggetto che possiede un indirizzo PEC (perché lo richiede e lo ottiene
dalla pubblica amministrazione o semplicemente lo acquista da un fornitore accreditato
dalla legge) per spedire un messaggio PEC dovrà utilizzare il proprio indirizzo di posta
elettronica certificato attraverso un client di posta elettronica opportunamente configurato
(Outlook, Mail, Thunderbird ed altri ancora) oppure collegandosi attraverso un web
browser (Internet Explorer, Safari, Chrome ed altri ancora) al dominio di posta certificata
del proprio fornitore, utilizzando l‟interfaccia apposita ed inserendo user Id e password.
Fin qui, l‟utente si comporta esattamente come farebbe per utilizzare un indirizzo di posta
elettronica ordinaria, fatto salvo che la connessione per la PEC è sempre (e non solo
eventualmente, come avviene per la posta elettronica ordinaria) cifrata per esigenza di
sicurezza previste dalla legge.
Il messaggio viene quindi composto dall‟utente (mittente) che lo invia al proprio gestore
PEC; questi provvede all‟identificazione del mittente ed ai controlli di sicurezza e formali,
come ad esempio la verifica dell‟assenza di virus informatici nel messaggio e nei suoi
eventuali allegati. Se tali controlli vanno a buon fine, il gestore mittente provvede
all‟imbustamento informatico del messaggio e dei suoi eventuali allegati, che vengono
firmati digitalmente - insieme al messaggio - dal gestore mittente e trasmessi al gestore
destinatario.
L‟utente mittente riceve un messaggio di ricevuta di accettazione dal proprio gestore
PEC, che costituisce prova legale di spedizione del messaggio e della data e dell‟ora della
spedizione, del contenuto del messaggio ed anche dei suoi allegati (ad esempio, immagini,
documenti di testo, suoni, video ed altro ancora) nonché prova legale della sua riferibilità
alla persona fisica o giuridica del mittente.
Ad ulteriore garanzia dell‟avvenuta spedizione del messaggio PEC, il gestore destinatario,
(alla pari del gestore mittente) dopo aver effettuato i controlli di sicurezza e formali del
messaggio, provvede a ad inviare al gestore mittente - non all‟utente mittente - una ricevuta
di presa in carico del messaggio che abbia superato i controlli di sicurezza e formali.
Nel caso in cui il messaggio non venga preso in carico dal gestore mittente o da quello
destinatario per qualsiasi motivo, l‟utente mittente riceverà comunque da questi l‟invio di
un messaggio di anomalia che certificherà, in ogni caso, l‟invio del messaggio da parte della
persona fisica o giuridica dal proprio dominio PEC.
100
Se il messaggio PEC oltrepassa tutti i controlli viene quindi recapitato dal gestore
destinatario nella casella postale PEC dell‟utente destinatario, con contestuale invio di
ricevuta di consegna al mittente, la quale costituirà prova legale a tutti gli effetti di
ricezione da parte del destinatario titolare dell‟indirizzo PEC, con certificazione legale di
ricezione, in quel preciso momento, di quel preciso messaggio e di quegli specifici allegati,
proprio dall‟utente mittente al quale è assegnato il relativo indirizzo PEC143.
Detto in altre parole, sia la ricevuta di accettazione che quella di consegna rappresentano
prove legali. Infatti, la posta certificata fornisce al mittente una prova, firmata dal provider
scelto dal destinatario, di tutto il contenuto che è stato recapitato, inclusa la data e l‟ora
della comunicazione.
Quanto finora esposto può essere illustrato attraverso il seguente schema esemplificativo
sul funzionamento della PEC144:
Ai sensi dell‟art. 3 del D.P.R 11 febbraio 2005 n.68, “Il documento informatico trasmesso
per via telematica si intende spedito dal mittente se inviato al proprio gestore, e si
intende consegnato al destinatario se reso disponibile all'indirizzo elettronico da questi
143
Ivi, pp.370-371.
144
Rappresentazione grafica ripresa dal sito web: https://www.pec.it/ComeFunziona.aspx (ultima consultazione nel mese di
dicembre 2015).
101
dichiarato, nella casella di posta elettronica del destinatario messa a disposizione dal
gestore”.
La Posta Elettronica Certificata garantisce, in caso di contenzioso, l'opponibilità a terzi
dell‟avvenuta consegna del messaggio: nel caso in cui il messaggio sia stato effettivamente
consegnato, il destinatario non può negare l‟avvenuta ricezione, dal momento che la
ricevuta di avvenuta consegna del messaggio, firmata ed inviata al mittente dal Gestore di
PEC scelto dal destinatario, riporta la data e l‟ora in cui il messaggio è stato consegnato
nella casella di PEC del destinatario, certificandone l‟avvenuta consegna. Sotto il profilo
probatorio, quindi, il comma 3 dell'art. 6 dispone che “la ricevuta di avvenuta consegna
fornisce al mittente prova che il suo messaggio di posta elettronica certificata è
effettivamente pervenuto all'indirizzo elettronico dichiarato dal destinatario e certifica il
momento della consegna tramite un testo, leggibile dal mittente, contenente i dati di
certificazione”, con la precisazione che “la ricevuta di avvenuta consegna è rilasciata
contestualmente alla consegna del messaggio di posta elettronica certificata nella casella di
posta elettronica messa a disposizione del destinatario dal gestore, indipendentemente
dall'avvenuta lettura da parte del soggetto destinatario”.
Volendo ora soffermarsi sui processi all‟interno di un‟Amministrazione, occorre
evidenziare che scaricare e consultare la posta elettronica ormai fa parte dei doveri di
ufficio così come evadere la corrispondenza tradizionale.
Al fine di evitare conseguenze individuali e/o esporre l‟ufficio a procedimenti conseguenti
a tale mancanza, è sempre necessario provvedere quotidianamente in tal senso.
Si fa infatti presente che ai sensi dell‟art. 12, comma 1-ter, i dirigenti rispondono
dell‟applicazione delle norme in materia di digitalizzazione ferme restando le eventuali
responsabilità penali, civili e contabili previste dalle norme vigenti. Il rispetto di tali obblighi
è, inoltre, rilevante ai fini della valutazione della performance organizzativa ed individuale.
Sotto il profilo pratico, può capitare che vi siano istanze e dichiarazioni inviate ad una
Pubblica Amministrazione per mezzo di un indirizzo PEC di proprietà di un terzo,
quindi per mezzo di una PEC non di proprietà del soggetto che propone l‟istanza o invia la
dichiarazione. In tali casi, l‟istanza e la dichiarazione sono valide solo se conformi a quanto
richiesto dal combinato degli artt. 65 D. Lgs. n. 82/2005 e 38 D.P.R. n. 445/2000.
Di conseguenza, le istanze o le dichiarazioni inviate mediante l'indirizzo PEC di un terzo
sono valide solo se:
102
- sottoscritte con la firma digitale o la firma elettronica qualificata del richiedente;
- quando sia allegata alla PEC l‟istanza o dichiarazione con una sottoscrizione (anche
scansionata) ed una copia del documento di identità (in corso di validità) del
sottoscrittore.
Solo da tali tipologie di sottoscrizione può derivare la garanzia di paternità della
dichiarazione e l'autenticità delle informazioni relative al sottoscrittore, lasciando alla casella
PEC del terzo il mero ruolo di mero “vettore”.
L‟art. 13, c. 1, lett. d) del D.Lgs. n. 33/20133 prevede che le amministrazioni pubblichino
nella
sezione
“Amministrazione
trasparente”,
sotto-sezione
di
primo
livello
“organizzazione”, sotto-sezione di secondo livello “telefono e posta elettronica”, l‟elenco
completo dei numeri di telefono e delle caselle di posta elettronica istituzionali e delle
caselle di posta elettronica certificata dedicate, cui il cittadino possa rivolgersi per qualsiasi
richiesta inerente i compiti istituzionali.
Le amministrazioni devono altresì assicurare un servizio che renda noti al pubblico i tempi
di risposta ad un‟istanza pervenuta via PEC.
La normativa vigente ha previsto, a seconda del destinatario della comunicazione, diversi
strumenti per individuare facilmente i recapiti PEC. Questi sono:
●
l’Indice delle Pubbliche Amministrazioni - IPA (www.indicepa.gov.it), in cui
sono presenti tutti i riferimenti relativi agli Enti Pubblici, ivi compresi gli indirizzi di PEC, e
che deve necessariamente essere aggiornato ogni semestre (artt. 47, 57-bis CAD);
●
l’Indice Nazionale degli Indirizzi di Posta Elettronica Certificata - INI-PEC
(www.inipec.gov.it), per reperire i recapiti telematici di imprese e professionisti iscritti agli
Albi (art. 6-bis CAD);
●
l’Anagrafe Nazionale della Popolazione Residente – ANPR (in fase di
realizzazione per il 2017), per conoscere il recapito telematico dei cittadini (art. 62 CAD).
Va segnalato che l‟ANPR non è ancora pienamente operativo. Nell‟attesa, i cittadini hanno
comunque la facoltà di indicare alle Pubbliche Amministrazioni un proprio indirizzo di
Posta Elettronica Certificata che avrà la funzione di domicilio digitale (art. 3-bis CAD).
Un ultimo, ma non per importanza, aspetto in tema di PEC, è quello che concerne la sua
protocollazione e conservazione a norma.
103
Il ricevimento di una PEC fa sorgere l‟obbligo giuridico in capo all‟Ufficio di protocollare
la comunicazione. L‟Amministrazione dovrà, quindi, provvedere a conservare la busta di
consegna e gli eventuali allegati per la successiva protocollazione. È inoltre necessario
associare alla registrazione di protocollo la ricevuta di consegna contenuta nel messaggio.
2.5 Identità digitali (carte elettroniche, SPID, ANPR).
Il Codice dell‟Amministrazione Digitale, per come recentemente riformato145, anche in
considerazione dell‟impatto prodotto negli ultimi due anni dal Regolamento europeo
sull‟identificazione elettronica (eIDAS)146 (emanato nel 2014 ma efficace dal 1° luglio 2016),
si occupa oggi con maggiore attenzione della problematica dell‟identità digitale, non sempre
affrontata in passato in maniera specifica o sistematica quanto, piuttosto, limitatamente a
singoli aspetti e modalità applicative.
Per identità digitale si deve intendere, ai sensi della neo introdotta lettera u-quater
dell’art. 1 comma 1 del nuovo CAD, “la rappresentazione informatica della corrispondenza tra un
utente e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma
digitale secondo le modalità fissate nel decreto attuativo dell’articolo 64”.
Già il citato regolamento europeo aveva provveduto ad assegnare nuove definizioni alla
materia, con il precipuo obiettivo di creare regole uniformi nelle procedure di accesso e
identificazione elettronica; all‟art. 3 del suddetto atto normativo, infatti, si legge “ai fini del
presente regolamento si intende per:
1) «identificazione elettronica», il processo per cui si fa uso di dati di identificazione personale in forma
elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta
una persona giuridica;
2) «mezzi di identificazione elettronica», un’unità materiale e/o immateriale contenente dati di
identificazione personale e utilizzata per l’autenticazione per un servizio online;
3) «dati di identificazione personale», un insieme di dati che consente di stabilire l’identità di una persona
fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica;
Si rammenta che il D.Lgs. del 7 marzo 2005 n. 82, con il quale è stato introdotto nel nostro ordinamento il Codice
dell‟Amministrazione Digitale è stato da ultimo sistematicamente modificato dal D.Lgs. del 26 agosto 2016 n. 179.
146
Il riferimento è al Regolamento (UE) n. 910/2014 del Parlamento Europeo e del Consiglio, del 23 luglio 2014, in materia di
identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, che abroga la direttiva 1999/93/CE.
145
104
4) «regime di identificazione elettronica», un sistema di identificazione elettronica per cui si forniscono mezzi
di identificazione elettronica alle persone fisiche o giuridiche, o alle persone fisiche che rappresentano persone
giuridiche”.
L‟intervento del legislatore europeo è stato giustificato dall‟oggettiva difficoltà, riscontrata
nelle esperienze dei vari Stati membri, di sviluppare sistemi di identificazione digitale che
fossero riconosciuti reciprocamente, andando così ad abbattere la barriera elettronica,
creata dai singoli regimi nazionali, che impediva ai prestatori di servizi di godere
pienamente dei vantaggi del mercato interno.
Il 1 luglio 2016 le disposizioni contenute nel regolamento sono divenute operative ed
efficaci, con lo scopo di rafforzare la fiducia nelle interazioni elettroniche fra cittadini,
imprese e pubbliche amministrazioni, rendendo le stesse quanto più possibile sicure.
L‟ultimo e più recente passo in avanti nella regolamentazione della materia, a livello
nazionale, si è avuto, come già ampiamente anticipato, con le novelle apportate al vecchio
CAD dal D.Lgs. del 26 agosto 2016 n. 179.
Ad oggi, in particolare, il nostro legislatore affronta il tema dell‟identificazione elettronica
sotto i diversi aspetti in cui esso si declina: carte elettroniche, sistema per l‟identità digitale
(SPID) e anagrafe nazionale della popolazione residente (ANPR).
Invero, tralasciando l‟esame delle cosiddette “identità digitali deboli”, “utilizzate dagli
operatori online per l’accesso a servizi digitali (email, social network e-Commerce) costituite, di norma, da
nome utente e password, oltre a una serie di attributi funzionali alla fruizione del servizio ” 147, le quali
non hanno, come vedremo nel paragrafo sulle prove informatiche, una valenza univoca in
un procedimento civile o penale, il CAD si occupa delle diverse misure di identificazione
digitale definite “forti”.
Per quel che riguarda le carte elettroniche, il CAD (sia nella vecchia che nella nuova
versione) distingue due tipologie, delle quali dà una definizione all‟art. 1, precisando:
- alla lettera c) cosa debba intendersi per “carta d'identità elettronica” (CIE), ovvero “il
documento d'identità munito di elementi per l’identificazione fisica del titolare rilasciato su supporto
informatico dalle amministrazioni comunali con la prevalente finalità di dimostrare l'identità anagrafica del
suo titolare”;
Agenzia per l'Italia Digitale – Presidenza del Consiglio dei Ministri, Agenda digitale italiana per l’Europa 2020, così definisce le
Identità Digitali all'URL: http://www.agid.gov.it/agenda-digitale/identita-digitali, consultato il 15 novembre 2016.
147
105
- alla lettera d) “carta nazionale dei servizi” (CNS), ovvero “ il documento rilasciato su
supporto informatico per consentire l’accesso per via telematica ai servizi erogati dalle pubbliche
amministrazioni”.
La disciplina applicativa di tali strumenti è poi contenuta negli artt. 64 e seguenti del
suddetto Codice, recentemente oggetto di intervento riformatore, ove vengono specificate
le caratteristiche tecniche che le carte elettroniche devono possedere e la funzione peculiare
delle stesse. In particolare, è bene sin da subito chiarire che prima della novella del 2016 la
CIE e la CNS costituivano gli strumenti cardine previsti dal legislatore per consentire
l‟accesso dei cittadini ai servizi erogati in rete dalle pubbliche amministrazioni, con specifica
delimitazione alle attività per le quali era richiesta l‟autenticazione informatica; oggi ad esse
è stato affiancato, e reso preminente, lo SPID
148
, il quale costituisce, insieme alle carte
elettroniche, l‟unico sistema di accesso ai servizi in rete erogati da una PA.
Pur essendo fortemente assimilabili, l‟elemento discretivo che rende le citate carte
elettroniche non sovrapponibili è dato dalla maggiore sicurezza garantita dalla CIE rispetto
alla CNS: invero, la seconda non possiede alcune caratteristiche tecniche possedute dalla
prima, come per esempio la foto del soggetto, la banda ottica, gli ologrammi di sicurezza,
etc., che fanno sì da una parte che la CNS dia meno garanzie sull‟identificazione del suo
possessore, ma che, per converso, permettono una più agevole distribuzione dello
strumento, indipendentemente dai canali istituzionali abilitati a rilasciare la CIE.
Se la CIE ha la funzione principale di sostituire il classico documento di riconoscimento
cartaceo, utilizzando la CNS, inserita in un apposito lettore collegato ad un pc, si può fruire
di numerosi servizi messi a disposizione dalle PA, quali la firma digitale, la tessera sanitaria,
il codice fiscale, i pagamenti on-line, semplicemente accedendo da remoto agli uffici
pubblici in rete, in qualunque posto del territorio nazionale ci si trovi.
Non tragga in inganno la definizione della carta d‟identità elettronica come documento per
l‟identificazione “fisica” del titolare.
Infatti, come appare evidente nella Sezione III del Capo V del CAD, intitolato “Dati delle
pubbliche amministrazioni e servizi in rete”, tanto la carta nazionale dei servizi quanto la carta di
identità elettronica costituiscono strumenti per l‟accesso ai servizi erogati in rete dalle
pubbliche amministrazioni per i quali sia necessaria “l'identificazione informatica” 149.
148
149
Di cui si parlerà innanzi, nel medesimo paragrafo.
Cfr. art. 64 CAD.
106
Con tale disposizione il legislatore ha voluto chiaramente definire le suddette carte
elettroniche come strumento forte per l‟affermazione dell‟identità digitale, codificando
espressamente il loro utilizzo per poter ricevere i servizi delle PA in un‟ottica di
informatizzazione amministrativa completamente equivalente al modello fisico/cartaceo.
Da ultimo è bene dare atto che, se ad oggi il cittadino italiano ha ancora facoltà di scelta tra
la richiesta di rilascio di una carta di identità cartacea o di una carta di identità digitale, a
partire dal 2017 il documento digitale sostituirà definitivamente quello cartaceo150.
Invero, mediante un processo di adeguamento graduale, tutti i comuni italiani avranno
l‟obbligo di emettere esclusivamente la Carta d‟Identità Elettronica e, come stabilito
dalla circolare del Ministero dell’Interno n. 18 del 19 ottobre 2016, dalla prima metà del
2017 verrà avviato un piano di dispiegamento per l‟abilitazione di tutti i comuni al rilascio
della nuova CIE 151.
Tale nuova carta di identità porterà dei vantaggi rilevanti per i cittadini, in quanto è previsto
che la stessa contenga anche il codice fiscale dell‟intestatario, le impronte digitali e gli
estremi dell‟atto di nascita; ulteriore novità è costituita, poi, dalla possibilità di aggiungere
alla memoria del microchip elettronico anche la volontà di essere donatore di organi, la
propria tessera elettorale e l‟abilitazione all‟utilizzo dei servizi della Pubblica
Amministrazione mediante l‟inserimento della propria firma digitale152.
Come già anticipato, tuttavia, l‟art. 64 del CAD, per come riformato, pare oggi dare priorità,
in materia di accesso ai servizi in rete delle PA, ad un altro strumento, ovvero al Sistema
Pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID), di cui
all‟art. 64, comma 2-bis e seguenti, CAD.
Tale sistema, unitamente alle carte elettroniche, è definito dal legislatore, nella norma in
questione, come unica via di accesso ai servizi in rete delle Pubbliche Amministrazioni.
Viene, infatti, specificato nel medesimo articolo 64, ai commi 2-octies e 2-nonies, che “le
pubbliche amministrazioni consentono mediante SPID l'accesso ai servizi in rete da esse erogati che
richiedono identificazione informatica. L’accesso […] può avvenire anche con la carta di identità elettronica
e la carta nazionale dei servizi”.
In dettaglio, il documento di identità cartaceo non potrà più essere emesso dagli uffici comunali italiani, fermo restando che le
carte in corso di validità rimarranno valide fino alla data di scadenza.
151
Per attuare l‟adeguamento in questione è prevista l‟apertura di un portale ad hoc, ovvero il Portale istituzionale della CIE,
sul quale reperire tutte le informazioni necessarie e prenotare l‟appuntamento con i vari uffici comunali delegati al rilascio delle nuove
CIE.
152
Tali informazioni sono state diffuse su varie testate e siti di informazione online, tra i quali si rinvia all‟URL:
www.forexinfo.it/Carta-d-identita-elettronica-2017, consultata nel dicembre 2016.
150
107
La stessa previsione dello SPID all‟interno del CAD demanda, tuttavia, a successivi decreti
attuativi e regolamenti la determinazione, in concreto, dei tempi e delle modalità di
adozione e funzionamento del Sistema. Ebbene, tali atti normativi sono stati emanati a
partire dal 2014, con la finalità di disciplinare le modalità di accreditamento, di
autorizzazione ed operative. L‟ultima Determina è stata pubblicata il 7 ottobre del 2016153.
L‟accesso al sistema SPID si caratterizza per il fatto che esso è gestito come un grande
insieme, dove i diversi soggetti privati e pubblici, previo accreditamento da parte dell‟AgID
(Agenzia per l‟Italia Digitale) possono interagire anche in assenza delle carte elettroniche,
dando quindi valore, per esempio, ai metodi di identificazione digitale debole che in tal
caso, invece, si verranno ad affermare quale forma “perfetta” di identificazione digitale.
Nello specifico la struttura dello SPID prevede che la richiesta dell‟utente venga inoltrata ad
un identity provider (ovvero ad un soggetto privato previamente accreditato da AgID) che ne
verifica le credenziali e lo reindirizza verso il service provider competente, affinché l‟utente
possa interagire, avendo già superato la fase di identificazione.
In definitiva, dunque, lo SPID è il nuovo sistema di login che consente a cittadini e
imprese di accedere con un’unica identità digitale, da più dispositivi, a tutti i servizi
on-line di pubbliche amministrazioni e imprese aderenti.
Il vantaggio immediato del suddetto strumento è costituito dal venir meno delle molteplici
password, chiavi e codici, necessari sino ad oggi per utilizzare i servizi on-line di PA e
imprese.
L‟identità SPID è, tra l‟altro, costituita da credenziali con caratteristiche differenti in base al
livello di sicurezza richiesto per l‟accesso. Esistono, infatti, tre livelli di sicurezza,
progressivamente crescenti, ognuno dei quali corrisponde a un diverso livello di identità
SPID; in dettaglio:

livello 1: permette l‟accesso ai servizi con nome utente e password (di almeno otto
caratteri, da cambiare ogni 180 giorni);

livello 2: permette l'accesso ai servizi con nome utente e password insieme ad un
codice temporaneo che viene inviato via sms o con app mobile dedicata;
Cfr. al riguardo Determinazione n. 239/2016 adottata dall‟AgID, avente ad oggetto l‟“Emanazione Schema di convenzione
per l‟adesione al Sistema Pubblico per la gestione dell‟Identità digitale (SPID) tra l‟Agenzia per l‟Italia digitale e i privati in qualità di
fornitori di servizi accessibili nell‟ambito SPID”.
153
108

livello 3: permette l'accesso ai servizi con nome utente e password e l'utilizzo di un
dispositivo di accesso (ad es. smart card).
È, altresì, riservata alle Pubbliche Amministrazioni e ai privati la possibilità di definire
autonomamente il livello di sicurezza necessario per poter accedere ai propri servizi digitali
154
.
Come già anticipato, all‟interno della macro-area dell‟identificazione digitale va inserita
anche l‟ANPR, ovvero l‟Anagrafe Nazionale della Popolazione Residente, disciplinata
dall‟art. 62 del CAD.
In base alle nuove disposizioni155 l‟ANPR assorbe al suo interno l‟indice Nazionale delle
Anagrafi (INA)156 e l‟Anagrafe degli italiani residenti all‟estero (AIRE)157; entro la fine 2016
la stessa dovrebbe subentrare anche alle anagrafi comunali. Con i nuovi regolamenti è stata
concretamente avviata l‟attuazione dell‟ANPR, così destinata ad assumere un ruolo
strategico nel processo di digitalizzazione della pubblica amministrazione, in un‟ottica di
miglioramento dei servizi offerti al cittadino, nel quadro dell‟agenda digitale italiana.
L‟obiettivo prefissato con la creazione della suddetta anagrafe è rappresentato dall‟ampia
fruibilità e interscambiabilità, tra comuni, di ampie base dati contenenti i riferimenti di tutta
la popolazione italiana residente sia in Italia che all‟estero, potenziando, così, il
travalicamento dei confini fisici nella gestione amministrativa.
L‟ANPR garantirà la possibilità di effettuare con cadenza annuale il censimento generale
della popolazione e delle abitazioni, realizzando anche l‟archivio nazionale delle strade e dei
numeri civici.
Non può certo tacersi che la creazione di una base dati così voluminosa comporta criticità
nella gestione della sicurezza del trattamento di tali dati. Per ovviare, almeno in parte, alle
più diffuse problematiche, il legislatore ha attribuito un ruolo fondamentale al Garante per
la protezione dei dati personali. È stato stabilito, infatti, che la base di dati relativa
Cfr. in tal senso Agenzia per l'Italia Digitale – Presidenza del Consiglio dei Ministri, Agenda digitale italiana per l‟Europa
2020, già citata. Lo SPID viene così definito all'URL: http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/spid/percorsoattuazione, consultato nel mese di novembre 2016.
155
Si fa riferimento alla pubblicazione del D.P.C.M. n. 109 del 23 agosto 2013, ovvero al Regolamento recante disposizioni
sull‟Anagrafe Nazionale della Popolazione Residente; del D.P.C.M. n. 194 del 10 novembre 2014, ovvero Regolamento recante modalità
di attuazione e di funzionamento dell'Anagrafe nazionale della popolazione residente (ANPR) e di definizione del piano per il graduale
subentro dell'ANPR alle anagrafi della popolazione residente; del D.P.R. n. 126 del 17.7.2015 che adegua il Regolamento anagrafico della
popolazione residente.
156
L‟INA è stato istituito con la funzione di promuovere la circolarità delle informazioni anagrafiche essenziali al fine di
consentire, alle amministrazioni pubbliche centrali e locali collegate la disponibilità, in tempo reale, dei dati relativi alle generalità delle
persone residenti in Italia, certificati dai comuni e, limitatamente al codice fiscale, dall'Agenzia delle entrate.
157
L‟AIRE contiene i dati dei cittadini italiani che hanno dichiarato di voler risiedere all´estero per un periodo di tempo
superiore ai dodici mesi o per i quali sia stata accertata d´ufficio tale residenza; l´iscrizione presuppone la comunicazione, da parte
dell´Ufficio consolare di residenza al comune di iscrizione, dell´esatto e completo indirizzo estero.
154
109
all‟ANPR debba essere sottoposta a un audit di sicurezza, da effettuarsi con cadenza
annuale, in conformità alle regole tecniche di cui all‟articolo 51 del CAD158; i risultati del
citato controllo sono, poi, inseriti nella relazione annuale del Garante per la protezione dei
dati personali159.
Nonostante le scadenze imposte agli enti comunali, si dà atto che l‟adozione di un sistema
di Anagrafe unica a livello nazionale ha incontrato non poche difficoltà tecniche e
resistenze; motivo per cui il Ministero dell‟Interno con la circolare n. 13 del 29 luglio
2016 ha sollecitato i Comuni a completare le attività necessarie per il subentro dei dati
anagrafici dalle banche dati locali ad ANPR.
Gli strumenti ora descritti rientrano, oramai, in un‟unica strategia di sviluppo governativa,
volta alla costruzione di un ecosistema digitale per l‟identificazione online, denominato
“Italia Login”160.
Italia Login vuole essere la casa online del cittadino e dell‟impresa italiana. Un‟unica
piattaforma che sostituisca l‟eterogeneità dell‟offerta attuale e sappia integrare i piani
verticali avviati (sanità, scuola, giustizia, eccetera) in un‟unica piattaforma di accesso,
attraverso SPID e ANPR, che abiliterà la profilazione.
Ogni cittadino italiano avrà un profilo civico online dal quale potrà accedere alle
informazioni e ai servizi pubblici che lo riguardano, in maniera profilata. Un luogo di
interazione personalizzato con la pubblica amministrazione e le sue ramificazioni,
arricchito dalle segnalazioni sulle opportunità e gli obblighi pubblici che il sistema filtrerà
in relazione al profilo anagrafico.
L‟intervento vuole rappresentare la vera semplificazione della pubblica amministrazione,
uno “Stato” facile da usare e accedere su multipiattaforma, anche mobile:
• la Pubblica Amministrazione offre a cittadini ed alle imprese i propri servizi online,
comunica l‟avvio di ogni procedimento amministrativo che li riguardi, attiva un canale
aperto di comunicazione;
• Cittadini ed imprese devono trovare in un solo luogo i servizi necessari, fare operazioni
in pochi passaggi dovunque si trovino, trovare nei propri mezzi di interazione la risposta
agli atti necessari nel suo ruolo di cittadino.
Non a caso, l‟art. 51 CAD è rubricato “Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni”.
In questi termini un articolo di D. Montagna, visionabile all‟URL: http://saperi.forumpa.it/story/70783/il-nuovo-sistemaunificato-d-identita-digitale-peculiarita-e-profili-privacy, consultato ad ottobre 2016.
160 Per un approfondimento si veda quanto pubblicato dall‟Agenzia per l‟Italia Digitale: http://www.agid.gov.it/agenda-digitaleitaliana/verso-italia-login, consultato nel mese di dicembre 2016.
158
159
110
Un luogo unico dove il cittadino con il suo profilo unico:
• riceve e invia tutte le comunicazioni con le PA e ne conserva lo Storico;
• accede a tutti i servizi via via disponibili;
• riceve avvisi di scadenze, effettua e riceve versamenti e ne conserva lo storico;
• archivia i propri documenti;
• interagisce con l‟anagrafe digitale;
• esprime valutazioni su servizi e fornisce feedback e suggerimenti;
• partecipa alla vita democratica.
Ogni Amministrazione pubblica dovrà portare i propri servizi all‟interno di questa “casa”
online del cittadino.
La piattaforma avrà un set di API161, documentate in un apposito sito, che garantiranno
l‟interoperabilità del servizio e il suo utilizzo attraverso l‟interfaccia unica. E naturalmente
gli uffici, interoperabili, si occuperanno di scambiarsi le informazioni in relazione alle
funzioni che devono svolgere senza imporre al cittadino di trovarle per loro.
Ogni cittadino avrà una chiave d‟accesso ai servizi digitali pubblici, avrà un‟identità digitale
garantita da un sistema standard, avrà un domicilio su Internet e un sistema facile e sicuro
per i pagamenti e per ricevere scadenze ed avvisi.
Si tratta di un cambiamento di paradigma che pone il cittadino al centro e
l‟amministrazione al suo servizio, avendo una focalizzazione particolare sulla semplicità e
l‟usabilità. Una nuova piattaforma relazionale che nel tempo integrerà flussi applicativi delle
relazioni con i cittadini di tutta la Pubblica Amministrazione.
2.6. Il protocollo informatico
Una gestione moderna della Pubblica Amministrazione, che sia in grado, tra l'altro, di
perseguire gli obblighi legali di efficacia, efficienza, trasparenza, semplicità ed economicità,
deve necessariamente basarsi sull'utilizzo consapevole ed adeguato delle tecnologie della
comunicazione e della informazione.
In informatica con application programming interface – API (in italiano: interfaccia di programmazione di un'applicazione) si indica ogni
insieme di procedure disponibili al programmatore, normalmente raggruppate a formare un set di strumenti specifici per l'espletamento
di un determinato compito all'interno di un certo programma; spesso le API si traducono in librerie software disponibili in un
certo linguaggio di programmazione.
161
111
L'informatica giuridica, quindi, svolge un ruolo imprescindibile nell'organizzazione di
ciascuna pubblica amministrazione, tanto centrale quanto locale, in modo da far funzionare
al meglio l'apparato ed erogare i servizi all'utenza.
L'attivita di protocollazione dei documenti amministrativi, in arrivo o in uscita dall‟ufficio
(registratura, nella terminologia del legislatore del regio decreto del 25 gennaio 1900, n. 35,
che approva il “regolamento per gli Uffici di registratura e di archivio delle
amministrazioni) è una delle attività più importanti e delicate dell'organizzazione
amministrativa e consiste nella registrazione del documento (in genere cartaceo), mediante
l‟attribuzione allo stesso - e sua contestuale trascrizione su un registro - di un numero
ordinale progressivo e della data di arrivo o di partenza, seguendo una numerazione su base
annuale, preceduta da una sigla o da altro numero che indica il titolo, la classe e sottoclasse
di classificazione degli atti.
Applicando a tale attività le logiche e gli strumenti informatici, con i dovuti adeguamenti,
ecco che il protocollo tradizionale diventa informatico.
In tale ambito, il c.d. Protocollo informatico, oltre a non essere la semplice trasposizione
informatica della tradizionale attività di protocollazione, nel corso degli anni (almeno un
quindicennio) ha subito diversi rimaneggiamenti del quadro normativo che lo disciplina,
pur rimanendo sostanzialmente immutato nell'impianto fondamentale.
Come al solito, la normativa in materia è completa e consentirebbe di informatizzare e
digitalizzare tutta la gestione dell'attività amministrativa.
Inizialmente, infatti, era il D.P.R. 428 del 20.10.1998, Regolamento recante norme per la
gestione del protocollo informatico da parte delle amministrazioni pubbliche, a disciplinare
specificamente la materia, seguìto ed integrato dal D.P.C.M. 31.10.2000, recante le cc.dd.
Regole tecniche.
Il quadro normativo appena descritto è stato integralmente trasfuso in un nuovo
provvedimento, il D.P.R. 445 del 28.12.2000, il T.U. sulla semplificazione amministrativa
che ha reso obbligatoria per le Pubbliche Amministrazioni la registrazione di tutti i flussi
documentali. In particolare, l‟art. 61 del Decreto dispone che ciascuna Amministrazione
debba istituire un servizio per la tenuta del protocollo informatico, della gestione dei flussi
112
documentali e degli archivi per ciascuna delle Aree Organizzative Omogenee (AOO)162 in
cui essa si sviluppa.
Successivamente al D.P.R. 445/00, l'assetto normativo è stato rimodulato sulla base del
C.A.D., il quale, pur non contenendo la completa disciplina del protocollo informatico, in
parte ancora mantenuta nel D.P.R. 445/00, ne completa alcuni aspetti e, soprattutto,
contiene la definizione legislativa aggiornata di gestione informatica dei documenti, al cui
interno si colloca il protocollo informatico.
Tale definizione, infatti, considera la gestione informatica dei documenti come l'insieme
delle attivita finalizzate alla registrazione e segnatura di protocollo, nonche alla
classificazione, organizzazione, assegnazione, reperimento e conservazione dei documenti
amministrativi formati o acquisiti dalle amministrazioni, nell'àmbito del sistema di
classificazione d'archivio adottato, effettuate mediante sistemi informatici.
La normativa si completa con il recente D.P.C.M. 03.12.2013, recante le regole tecniche per
il protocollo informatico ai sensi degli articoli 40-bis, 41, 47, 57-bis e 71, del C.A.D, che
sostituiscono le precedenti di cui al D.P.C.M. 31.10.2000.
Vanno, altresì, segnalate la Circolare AIPA del 7 maggio 2001 n. 28 e la successiva
Circolare AgID n. 60 del 23 gennaio 2013 ed infine, da ultimo, le “Istruzioni per la
produzione e conservazione del registro giornaliero di protocollo”, emanate dall‟AGID per
aiutare le PP.AA. a rispettare l‟obbligo, a partire dall'11 ottobre 2015, di inviare in
conservazione il registro giornaliero di protocollo entro la giornata lavorativa
successiva.
2.6.2. Il nucleo minimo del protocollo informatico
Ai sensi dell'art. 56 del D.P.R. 445/00 (.T.U.), le operazioni di registrazione e le
operazioni di segnatura di protocollo nonché le operazioni di classificazione
costituiscono operazioni necessarie e sufficienti per la tenuta del sistema di gestione
informatica dei documenti da parte delle pubbliche amministrazioni, ossia quella che viene
considerata la funzionalità minima del protocollo informatico.
L‟Area Organizzativa Omogenea è il nucleo minimo di cui deve dotarsi l‟Ente per legge e attorno al quale possono nascere diverse
strutture secondarie, non obbligatorie. Pertanto, nel caso di più AOO abbiamo un insieme di unità organizzative dell‟Amministrazione
che usufruiscono, in modo omogeneo e coordinato, degli stessi servizi per la gestione dei flussi documentali.
162
113
Le due attività più importanti sono, quindi, la registrazione del protocollo e la segnatura di
protocollo.
La prima è effettuata per ogni documento ricevuto o spedito dalle pubbliche
amministrazioni mediante la memorizzazione delle seguenti informazioni:
a) numero
di
protocollo
del documento generato automaticamente dal sistema e
registrato in forma non modificabile;
b) data di registrazione di protocollo assegnata automaticamente dal sistema e registrata in
forma non modificabile;
c) mittente per i documenti ricevuti o, in alternativa, il destinatario o i destinatari per i
documenti spediti, registrati in forma non modificabile;
d) oggetto del documento, registrato in forma non modificabile;
e) data e protocollo del documento ricevuto, se disponibili;
f) l'impronta del documento informatico, se trasmesso per via telematica, costituita
dalla sequenza di simboli binari in grado di identificarne univocamente il contenuto,
registrata in forma non modificabile.
Invece, la segnatura di protocollo consiste nell‟apposizione o associazione all‟originale del
documento, in forma permanente e non modificabile, delle informazioni riguardanti il
documento stesso. Essa consente di individuare ciascun documento in modo
inequivocabile e le informazioni minime previste sono:
a) il progressivo di protocollo;
b) la data di protocollo;
c) l'identificazione in forma sintetica dell'amministrazione o dell'area organizzativa
individuata.
In base al comma 2 dell'art. 55 T.U., l'operazione di segnatura di protocollo va effettuata
contemporaneamente all'operazione di registrazione di protocollo.
Il D.P.C.M. 03.12.2013, inoltre, prevede che le pubbliche amministrazioni individuino
obbligatoriamente le Aree Organizzative Omogenee163 e i relativi uffici di riferimento,
nominino, in ciascuna delle Aree Organizzative Omogenee individuate, il responsabile
della gestione documentale, e un suo vicario, per casi di vacanza, assenza o impedimento
del primo, adottino il manuale di gestione, definiscano i tempi, le modalita e le misure
163
L'Area Organizzativa Omogenea (AOO) è definita come un insieme di funzioni e di strutture, individuate dalla
amministrazione, che opera su tematiche omogenee e che presenta esigenze di gestione della documentazione in modo unitario e
coordinato ai sensi dell‟articolo 50, comma 4, del D.P.R. 28 dicembre 2000, n. 445
114
organizzative e tecniche finalizzate all‟eliminazione dei protocolli di settore e di reparto, dei
protocolli multipli, dei protocolli di telefax, e, piu in generale, dei protocolli diversi dal
protocollo informatico.
Al servizio della gestione dei flussi documentali deve essere preposto un dirigente ovvero
un funzionario, comunque in possesso di idonei requisiti professionali o di
professionalità tecnico archivistica acquisita a seguito di processi formazione
definiti secondo le procedure prescritte dalla disciplina vigente (art. 61, co. 2, D.P.R.
n. 445/2000). È comunque raccomandabile che tale figura venga ricoperta dal soggetto
preposto all‟archivio dell‟ente in quanto è il soggetto più indicato ad assumersi la
responsabilità di garantire l‟operatività ed il rispetto delle norme in materia di
conservazione.
Un dubbio classico all‟interno delle Amministrazioni è quello connesso al “cosa”, nella
realtà della pratica quotidiana, occorra protocollare: l‟Amministrazione, a norma
dell‟art. 53 del D.P.R. n. 445/2000 ha l‟obbligo di provvedere alla registrazione di
protocollo per tutti i documenti ricevuti o spediti. Sono esclusi da tale obbligo gli atti
infraprocedimentali tra i quali, a titolo esemplificativo, rientrano le circolari scolastiche.
Non è, altresì, obbligatorio protocollare documenti come le offerte commerciali, le
comunicazioni augurali, le newsletter e altri casi similari. Occorre sottolineare che le
istruzioni relative alle comunicazioni sottratte alla protocollazione, in conformità con le
norme di legge, devono essere sempre indicate nel manuale di gestione del protocollo
informatico.
Per quanto attiene le PEC e PEO (Posta Elettronica Ordinaria), l‟art. 40-bis del CAD
impone alle Amministrazioni la loro protocollazione. In particolare, dovranno formare
oggetto di registrazione di protocollo, sia in entrata che in uscita:
a) i messaggi Posta Elettronica Ordinaria inviati tra Pubbliche Amministrazioni;
b) i messaggi Posta Elettronica Ordinaria contenenti comunicazioni tra Amministrazione e
dipendenti;
c) i messaggi di Posta Elettronica Certificata in genere.
2.6.3 I requisiti di sicurezza
In ottemperanza all‟art. 6 del DPCM 3 dicembre 2013, i sistemi di protocollo devono
115
necessariamente comprendere una “funzionalità minima” e eventualmente, sulla base del
rapporto tra costi e benefici nell‟ambito dei propri obiettivi di miglioramento dei servizi e di
efficienza operativa, delle funzionalità aggiuntive.
L‟art. 7 prevede, inoltre, che nel rispetto delle funzionalità minime il sistema di protocollo
informatico deve assicurare:
a) l‟univoca identificazione ed autenticazione degli utenti;
b) la protezione delle informazioni relative a ciascun utente nei confronti degli altri;
c) la garanzia di accesso alle risorse esclusivamente agli utenti abilitati;
d) la registrazione delle attività rilevanti ai fini della sicurezza svolte da ciascun utente, in
modo tale da garantirne l‟identificazione.
Inoltre, deve sempre essere possibile il controllo differenziato all‟accesso alle risorse del
sistema per ciascun utente o gruppi di utenti oltre che il tracciamento di tutti gli eventi di
modifica al fine di poterli ricondurre all‟autore della stessa.
Rientra tra le misure minime anche il rispetto degli artt. da 31 a 36 dell‟allegato B al D.Lgs.
n. 196/2003 (Codice in materia di protezione dei dati personali), di cui meglio si dirà nella
parte del presente testo dedicata all‟analisi della materia dei dati personali.
2.6.4. Il manuale di gestione
Tra gli obblighi delle PP.AA., ai fini di una corretta istituzione del protocollo informatico,
vi è la accurata redazione del manuale di gestione, ossia di quel documento che descrive il
sistema di gestione, anche ai fini della conservazione, dei documenti informatici e fornisce
le istruzioni per il corretto funzionamento del servizio per la tenuta del protocollo
informatico, della gestione dei flussi documentali e degli archivi.
Nel manuale di gestione sono riportati, in particolare:
a) la pianificazione, le modalità e le misure volte all'eliminazione degli altri protocolli;
b) il piano di sicurezza dei documenti informatici;
c) le modalità di utilizzo di strumenti informatici per la formazione dei documenti
informatici e per lo scambio degli stessi all‟interno ed all‟esterno dell‟area organizzativa
omogenea, ivi comprese le caselle di posta elettronica, anche certificata, utilizzate;
d) la descrizione di eventuali ulteriori formati utilizzati per la formazione del documento
informatico in relazione a specifici contesti operativi esplicitati e motivati;
116
e) l‟insieme minimo dei metadati associati ai documenti soggetti a registrazione particolare e
gli eventuali ulteriori metadati rilevanti ai fini amministrativi, definiti, per ogni tipologia di
documento, nell‟ambito del contesto a cui esso si riferisce;
f) la descrizione del flusso di lavorazione dei documenti ricevuti, spediti o interni, incluse le
regole di registrazione per i documenti pervenuti secondo particolari modalità di
trasmissione, tra i quali, in particolare, documenti informatici pervenuti attraverso canali
diversi dalla posta elettronica e la cooperazione applicativa, nonchè tramite fax,
raccomandata o assicurata;
g) l‟indicazione delle regole di smistamento ed assegnazione dei documenti ricevuti con la
specifica dei criteri per l‟ulteriore eventuale inoltro dei documenti verso aree organizzative
omogenee della stessa amministrazione o verso altre amministrazioni;
h) le modalità di formazione, implementazione e gestione dei fascicoli informatici relativi ai
procedimenti e delle aggregazioni documentali informatiche con l‟insieme minimo dei
metadati ad essi associati;
i) l‟indicazione delle unità organizzative responsabili delle attività di registrazione di
protocollo, di organizzazione e tenuta dei documenti all‟interno dell‟area organizzativa
omogenea;
j) l‟elenco dei documenti esclusi dalla registrazione di protocollo;
k) l‟elenco dei documenti soggetti a registrazione particolare e le relative modalità di
trattamento;
l) i registri particolari definiti per il trattamento di registrazioni informatiche anche associati
ad aree organizzative omogenee definite dall‟amministrazione sull‟intera struttura
organizzativa e gli albi, gli elenchi e ogni raccolta di dati concernente stati, qualita personali
e fatti;
m) il sistema di classificazione, con l‟indicazione delle modalità di aggiornamento, integrato
con le informazioni relative ai tempi, ai criteri e alle regole di selezione e conservazione,
con riferimento alle procedure di scarto;
n) le modalità di produzione e di conservazione delle registrazioni di protocollo
informatico e, in particolare, l‟indicazione delle soluzioni tecnologiche ed organizzative
adottate
per
garantire
l‟immodificabilità
della
registrazione
di
protocollo,
la
contemporaneità della stessa con l‟operazione di segnatura, nonchè le modalità di
registrazione delle informazioni annullate o modificate nell‟ambito di ogni sessione di
117
attività di registrazione;
o) la descrizione funzionale ed operativa del componente «sistema di protocollo
informatico» del sistema di gestione informatica dei documenti con particolare riferimento alle modalità di utilizzo;
p) i criteri e le modalità per il rilascio delle abilitazioni di accesso interno ed esterno alle
informazioni documentali;
q) le modalità di utilizzo del registro di emergenza, inclusa la funzione di recupero dei dati
protocollati manualmente.
Il manuale di gestione deve reso pubblico dalle pubbliche amministrazioni mediante la
pubblicazione sul proprio sito istituzionale.
Sul sito dell'AgID sono reperibili anche le linee guida per una corretta redazione del
manuale di gestione164.
Un caso particolare è quello del verificarsi di un‟anomalia nel protocollo informatico. L‟art.
63 del D.P.R. n. 445/2000 dispone che, nel caso in cui si verifichi un‟anomalia del sistema
di protocollo informatico che non consenta di registrare documenti, il responsabile del
servizio debba autorizzare la registrazione di protocollo (anche manuale) su uno o più
registri di emergenza. In tale registro dovranno essere riportate le cause dell‟anomalia, la
data e l‟ora di inizio dell‟interruzione, nonché la data di ripristino del sistema.
Una volta ripristinata la funzionalità del sistema, le informazioni relative ai documenti
protocollati in emergenza andranno inserite tramite l‟apposita funzionalità per il ripristino
dei dati. La procedura di emergenza da seguire deve necessariamente indicata nel manuale
di gestione del protocollo informatico da tenere ai sensi dell‟art. 5 del DPCM 3 dicembre
2013.
Un ambito particolarmente delicato del protocollo informatico è quello della
regolamentazione degli accessi al sistema. Nell‟ambito del sistema di gestione documentale
dell‟ufficio i dati relativi al sistema di protocollo informatico, nonché al sistema di gestione
dei fascicoli informatici deve consentire l’accesso soltanto ai soggetti (pubblici e
privati) legittimati. In proposito, si osserva che il Garante per la protezione dei dati
personali con provvedimento n. 280 dell‟11 ottobre 2012, ha affermato che l‟accesso ai
documenti deve essere limitato al personale autorizzato per cui vanno individuati e
164
http://www.agid.gov.it/sites/default/files/documenti_indirizzo/guida_alla_redazione_del_manuale_di_gestione_quaderno_n_21b.pdf
118
configurati i profili di autorizzazione dei diversi incaricati, così da limitare l‟accesso al solo
personale assegnato a questo compito.
2.6.5. La semplificazione e la digitalizzazione dei processi amministrativi.
La sola istituzione del protocollo informatico, magari attraverso pacchetti software
generalisti, non consente di ottenere tutti i vantaggi che una completa implementazione
della gestione digitale dei documenti e dei processi amministrativi comporta in termini di
risultati concreti e di conformità alla normativa.
Accanto ad esso, occorre introdurre un altro strumento finalizzato alla completa
riorganizzazione e riprogettazione dei processi amministrativi, attraverso la completa
digitalizzazione dell'attività e dei processi amministrativi stessi165.
Tale attività viene chiamata di reingegnerizzazione o, nel lessico internazionale, Business
Process Reengineering (B.P.R.).
La reingegnerizzazione166 si caratterizza, pertanto, come una specifica modalità di
cambiamento
di
una
organizzazione,
nel
caso
particolare
di
una
Pubblica
Amministrazione167, con il fine precipuo di semplificarla.
165
Linee guida alla realizzazione dei sistemi di protocollo informatico e gestione dei flussi documentali nelle pubbliche
amministrazioni (GEDOC 2) http://archivio.pubblica.istruzione.it/amministrazione/allegati/gedoc2.pdf
166
A.I.P.A.:
La
Reingegnerizzazione
dei
Processi
nella
Pubblica
Amministrazione,
http://archivio.cnipa.gov.it/site/_contentfiles/00131300/131335_bpr.pdf ; Ministero per l'Innovazione e le Tecnologie, 9 dicembre
2002 “Direttiva sulla trasparenza dell‟azione amministrativa e gestione elettronica dei flussi
documentali.”
http://archivio.digitpa.gov.it/sites/default/files/normativa/Direttiva%209%20dic%202002%20%20Trasparenza20amm_va%20e%20flussi%20documentali.pdf
167
Una Pubblica Amministrazione è una complessa macchina il cui funzionamento è determinato da persone, strutture
organizzative, procedure operative, strumenti informatici di supporto, modalità di interazioni con altre entità dello Stato e della società
civile. Tale macchina opera, come ovvio, secondo principi e criteri che variano a seconda della PA considerata e che tengono conto del
ruolo che quella amministrazione svolge all‟interno della struttura dello Stato. Cionondimeno, esiste un tratto comune che lega
amministrazioni anche assai diverse tra loro come, ad esempio, il Ministero della Pubblica Istruzione e il Ministero della Difesa. Ogni
amministrazione consuma e produce un‟enorme quantità di informazioni. Tali informazioni si materializzano sotto forma di documenti
che hanno varia natura sia per ciò che concerne i contenuti (per esempio l‟ordine di trasferimento di un impiegato o la cartella esattoriale
inviata ad un contribuente non in regola) che la loro struttura fisica (per esempio un messaggio di posta elettronica o una classica lettera
su carta). I documenti vengono prodotti, utilizzati, comunicati e mantenuti nell'esercizio delle attività amministrative che ogni p.a. svolge
per il raggiungimento degli obiettivi stabiliti nel proprio mandato istituzionale. Tali attività sono articolate per processi o, in alcuni casi,
per veri e propri "procedimenti amministrativi", caratterizzati da sequenze di atti governate da regole e procedure più o meno complesse
a seconda dello scopo e contesto del processo considerato. L'attività di protocollo è quella fase del processo che certifica provenienza e
data certa di acquisizione del documento, mediante la sua identificazione univoca nell'ambito di una sequenza numerica collegata con
l'indicazione temporale. La registrazione di protocollo svolge, quindi, un ruolo essenziale nella gestione dei procedimenti prevista ai sensi
della legge 241/1990 e, più in generale, in tutti i processi amministrativi che prevedono fasi di attività e termini certi per la loro
conclusione. Un processo amministrativo può essere supportato da strumenti informatici che siano in grado di facilitare e, laddove
possibile, automatizzare le attività previste. Le tecnologie disponibili per queste scopo sono molteplici e sono spesso identificate con
l‟espressione sistemi di supporto al lavoro cooperativo (CSCW, Computer Supported Cooperative Work). Tali sistemi sono poi spesso
raggruppati in due grandi famiglie di prodotti: i workflow management systems (WFMS) e i sistemi di groupware. Anche per le attività
di protocollazione sono disponibili supporti informatici in grado di creare e gestire il protocollo informatico, cioè l‟insieme delle
registrazioni che vengono effettuate ogni qual volta un documento venga ricevuto o prodotto. Tali sistemi possono essere modularmente
119
La caratteristica fondamentale della reingegnerizzazione/semplificazione consiste nel
considerare i processi come se si trattasse di ripensarli da zero, senza essere condizionati da
come si svolgono attualmente, ma ipotizzando soluzioni alternative, anche radicali.
Il tipo di riprogettazione radicale è dovuto, oltre che alla riprogettazione organizzativa,
anche all'introduzione di tecnologie dell'informazione e della comunicazione (ICT) che
consentono di superare gli ostacoli che in passato avevano condotto a mettere in sequenza
le attività, a separare le mansioni, a introdurre attività di controllo, ecc.
Di norma, l'intervento complessivo sul processo è realizzato grazie a tecnologie
dell'informazione e della comunicazione in grado di rendere condivise le informazioni che
tradizionalmente erano nella disponibilità esclusiva di un solo ufficio.
Tale caratteristica di trasversalità organizzativa è un aspetto imprescindibile della
reingegnerizzazione, anche in ambiente pubblico, se si vogliono davvero ottenere i
miglioramenti discontinui che il BPR ha dimostrato di poter raggiungere.
Tutto ciò trova, anzitutto, fondamento normativo nella previsione dell'art. 23-ter del
C.A.D., il quale stabilisce che gli atti formati dalle pubbliche amministrazioni con strumenti
informatici, nonchè i dati e i documenti informatici detenuti dalle stesse, costituiscono
informazione primaria ed originale da cui è possibile effettuare, su diversi o identici tipi di
supporto, duplicazioni e copie per gli usi consentiti dalla legge.
Il comma 2 dispone che i documenti costituenti atti amministrativi con rilevanza interna al
procedimento amministrativo sottoscritti con firma elettronica avanzata hanno l'efficacia
prevista dall'art. 2702 del codice civile, ossia di scrittura privata.
L'architettura normativa della digitalizzazione prosegue con l'art. 12 C.A.D., in base al
quale, le pubbliche amministrazioni, nell'organizzare autonomamente la propria attività,
utilizzano le tecnologie dell'informazione e della comunicazione per la realizzazione degli
obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e
partecipazione nel rispetto dei principi di uguaglianza e di non discriminazione.
Il comma 2 specifica che le pubbliche amministrazioni, poi, adottano le tecnologie
dell'informazione e della comunicazione nei rapporti interni, tra le diverse amministrazioni
e tra queste e i privati, con misure informatiche, tecnologiche e procedurali di sicurezza.
Il comma 5 stabilisce che le pubbliche amministrazioni utilizzano le tecnologie
integrati in un sistema vero e proprio di supporto al lavoro cooperativo, oppure includere essi stessi alcune forme di minime supporto ai
processi e ai flussi amministrativi (v. Linee Guida Gedoc 2, cit.).
120
dell'informazione e della comunicazione, garantendo, nel rispetto delle vigenti normative,
l'accesso alla consultazione, la circolazione e lo scambio di dati e informazioni, nonchè
l'interoperabilità dei sistemi e l'integrazione dei processi di servizio fra le diverse
amministrazioni, nel rispetto delle regole tecniche.
Tale comma va letto insieme al comma 5-bis, in base al quale le pubbliche amministrazioni
implementano e consolidano i processi di informatizzazione in atto, ivi compresi quelli
riguardanti l'erogazione, attraverso le tecnologie dell'informazione e della comunicazione in
via telematica di servizi a cittadini ed imprese, anche con l'intervento di privati.
Dal canto suo, l'art. 15 del C.A.D. prevede che la riorganizzazione strutturale e gestionale
delle pubbliche amministrazioni, volta al perseguimento degli obiettivi di cui all'articolo 12,
comma 1, avviene anche attraverso il migliore e più esteso utilizzo delle tecnologie
dell'informazione e della comunicazione nell'àmbito di una coordinata strategia che
garantisca il coerente sviluppo del processo di digitalizzazione.
Le pubbliche amministrazioni, inoltre, provvedono in particolare a razionalizzare e
semplificare i procedimenti amministrativi, le attività gestionali, i documenti, la modulistica,
le modalità di accesso e di presentazione delle istanze da parte dei cittadini e delle imprese,
assicurando che l'utilizzo delle tecnologie dell'informazione e della comunicazione avvenga
in conformità alle prescrizioni tecnologiche definite nelle regole tecniche.
Proseguendo nel richiamo della normativa, occorre indicare l'art. 40 del C.A.D., in base al
quale le pubbliche amministrazioni formano gli originali dei propri documenti con mezzi
informatici, secondo le disposizioni di cui al C.A.D. e le regole tecniche, mentre l'art. 41,
disciplina il Procedimento e fascicolo informatico, prevedendo che le pubbliche
amministrazioni gestiscono i procedimenti amministrativi utilizzando le tecnologie
dell'informazione e della comunicazione, nei casi e nei modi previsti dalla normativa
vigente.
Il comma 2-bis prosegue stabilendo che il fascicolo informatico è realizzato garantendo la
possibilità di essere direttamente consultato ed alimentato da tutte le amministrazioni
coinvolte nel procedimento.
Le regole per la costituzione, l'identificazione e l'utilizzo del fascicolo sono conformi ai
principi di una corretta gestione documentale ed alla disciplina della formazione, gestione,
conservazione e trasmissione del documento informatico, ivi comprese le regole
concernenti il protocollo informatico ed il sistema pubblico di connettività e comunque
121
rispettando i criteri dell'interoperabilità e della cooperazione applicativa; regole tecniche
specifiche possono essere dettate 168.
Infine, non si può non menzionare l'art. 42, sulla Dematerializzazione dei documenti delle
pubbliche amministrazioni, le quali valutano in termini di rapporto tra costi e benefici il
recupero su supporto informatico dei documenti e degli atti cartacei dei quali sia
obbligatoria o opportuna la conservazione e provvedono alla predisposizione dei
conseguenti piani di sostituzione degli archivi cartacei con archivi informatici, nel rispetto
delle regole tecniche.
Nel suddetto ambito, poi, ricoprono un ruolo molto importante anche l'art. 43 C.A.D. sulla
riproduzione e conservazione dei documenti, e l'art. 47 C.A.D. sulla trasmissione dei
documenti attraverso la posta elettronica tra le P.A.
In tale modo, opportunamente reingegnerizzato, il processo di gestione documentale da
parte delle Pubbliche amministrazioni, sia in entrata che in uscita, può in concreto diventare
interamente digitale, dando vita ad un vero e proprio Workflow Management System169.
2.7.1 Sistema di conservazione digitale dei documenti informatici
Per sistema di conservazione si intende quell‟infrastruttura che garantisce attraverso
l‟adozione di precise regole, procedure e tecnologie, dalla presa in carico fino all‟eventuale
scarto, la conservazione dei documenti informatici, dei documenti amministrativi
informatici e dei fascicoli informatici o delle aggregazioni di dati informatiche.
Tale sistema, oltre alle misure previste dall‟art. 44 del CAD, indicanti i requisiti che il
sistema di conservazione dei documenti deve assicurare in materia di identificazione dei
soggetti, integrità dei documenti, reperibilità dei dati e sicurezza, deve consentire l‟accesso
168
2-ter. Il fascicolo informatico reca l'indicazione: a) dell'amministrazione titolare del procedimento, che cura la costituzione e
la gestione del fascicolo medesimo; b) delle altre amministrazioni partecipanti; c) del responsabile del procedimento; d) dell'oggetto del
procedimento; e) dell'elenco dei documenti contenuti, salvo quanto disposto dal comma 2-quater ; e-bis) dell'identificativo del fascicolo
medesimo. 2-quater. Il fascicolo informatico puo contenere aree a cui hanno accesso solo l'amministrazione titolare e gli altri soggetti da
essa individuati; esso è formato in modo da garantire la corretta collocazione, la facile reperibilita e la collegabilita, in relazione al
contenuto ed alle finalita, dei singoli documenti; e inoltre costituito in modo da garantire l'esercizio in via telematica dei diritti previsti
dalla citata legge n. 241 del 1990. 3. Ai sensi degli articoli da 14 a 14-quinquies della legge 7 agosto 1990, n. 241, previo accordo tra le
amministrazioni coinvolte, la conferenza dei servizi e convocata e svolta avvalendosi degli strumenti informatici disponibili, secondo i
tempi e le modalita stabiliti dalle amministrazioni medesime.
169
Un Workflow Management System è un sistema che permette di definire, creare e gestire l‟esecuzione di workflow (ossia la
definizione formale di un processo, utilizzata per la gestione di particolari attività ) attraverso l‟utilizzo di software in esecuzione
all‟interno di uno o più motori di workflow. Normalmente, un WFMS è un componente software che prende in input la descrizione
formale del processo di business e mantiene lo stato di esecuzione delegando le attività alle applicazioni e/o persone necessarie al
completamento dello stesso.
122
agli oggetti conservati per tutto il periodo indicato dalle norme, indipendentemente
dall‟evoluzione del contesto tecnologico.
Il DPCM 3 dicembre 2013 prevede che la conservazione dei documenti debba avvenire
innanzitutto mediante l‟invio degli stessi ad un sistema di conservazione che garantisca le
caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità.
Passo successivo, per portare correttamente a termine il procedimento di conservazione, è
l‟apposizione, sull‟insieme dei documenti, o su un‟evidenza informatica contenente una o
più impronte dei documenti, o di un insieme di essi, del riferimento temporale e della firma
digitale da parte del responsabile della conservazione che attesta così lo svolgimento
corretto del processo.
I Documenti amministrativi informatici devono essere conservati nel tempo in modalità
esclusivamente digitale, nel rispetto degli articoli 40, 44 e 44-bis del Codice
dell‟Amministrazione Digitale.
Nel concreto, gli Enti dovranno assicurare che la conservazione avvenga perseguendo gli
obiettivi di autenticità, integrità, affidabilità, leggibilità e reperibilità degli stessi.
Dal punto di vista tecnico, le regole che presidiano il processo di conservazione sono
dettate dal DPCM 3 dicembre 2013, che prevede le caratteristiche del sistema che ogni
Amministrazione deve implementare.
Il DPCM 21 marzo 2013 ha dettato la disciplina per i documenti analogici “originali unici”.
Il decreto indica sia le tipologie di documenti analogici originali unici per i quali permane
l‟obbligo della conservazione dell‟originale cartaceo (e per i quali, dunque, non è possibile
procedere alla conservazione sostitutiva), sia le particolari tipologie per le quali, in ragione
di esigenze di natura pubblicistica, permane l'obbligo della conservazione dell'originale
analogico oppure, in caso di conservazione sostitutiva, la necessità di autenticare la
conformità all'originale ad opera di un notaio o di un altro pubblico ufficiale a ciò
autorizzato, con dichiarazione da questi firmata digitalmente ed allegata al documento
informatico ai sensi dell'art. 22, comma 5, del Codice dell'amministrazione digitale.
Gli Enti hanno comunque la la facoltà di conservare, in originale analogico unico,
documenti diversi da quelli stabiliti dal decreto.
Con il D.P.C.M. 21.03.2013 il legislatore, in ottemperanza all‟art. 22 comma 5 del CAD, ha
individuato le tipologie di documenti analogici originali unici per i quali, in ragione di
esigenze di natura pubblicistica, permane l'obbligo della conservazione dell'originale
123
cartaceo oppure, in caso di conservazione sostitutiva, la loro conformità all'originale
deve essere autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato con
dichiarazione da questi apposta e firmata digitalmente.
Il decreto, all‟allegato A, prevede un‟elencazione tassativa di tali documenti. A titolo
esemplificativo, tra i documenti da conservare obbligatoriamente in originale cartaceo
rientrano gli atti giudiziari, processuali o di polizia giudiziaria e gli atti notarili. Possono,
invece, essere conservati digitalmente distruggendo l‟originale analogico documenti come i
decreti del Presidente del Consiglio dei Ministri, decreti ministeriali, interministeriali e i
titoli del debito pubblico.
Resta ferma, in ogni caso, la facoltà delle Amministrazioni di conservare, in originale
analogico unico, documenti diversi da quelli stabiliti dal decreto. Tuttavia, atteso che il
processo di conservazione deve essere svolto in modalità esclusivamente digitale, la
conservazione anche in forma cartacea dei documenti originali unici per i quali non sussiste
l‟obbligo, comporterebbe solamente un aggravio di costi e oneri che, auspicabilmente
dovrebbero essere evitati.
Così come previsto dall‟art. 44 del CAD e dal DPCM 3 dicembre 2013, le pubbliche
amministrazioni possono gestire il processo di conservazione sostitutiva sia internamente
che affidando lo stesso a soggetti pubblici o privati che offrano idonee garanzie
organizzative e tecnologiche.
In particolare, il responsabile della conservazione può chiedere che la conservazione dei
documenti informatici o la certificazione della conformità del relativo processo di
conservazione sia svolta da soggetti accreditati o meno.
Questi ultimi (i c.d. conservatori accreditati) sono soggetti pubblici o privati che ottengono
uno specifico riconoscimento (l‟accreditamento) dei requisiti summenzionati ad opera
dell‟Agenzia per l‟Italia Digitale in seguito ad un‟apposita richiesta.
I conservatori non accreditati sono soggetti pubblici o privati che offrono idonee garanzie
organizzative e tecnologiche. Nel caso in cui si opti, come spesso accade, per conservatori
non accreditati, il responsabile dovrà verificare, prima dell‟affidamento, che l‟operatore
prescelto possieda tutti i requisiti tecnici necessari alla corretta erogazione del servizio di
conservazione.
La figura principale da nominare è certamente quella del responsabile della conservazione.
124
Tale soggetto è responsabile della definizione e attuazione delle politiche del sistema di
conservazione che gestisce in piena autonomia.
Secondo quanto disposto dalle regole tecniche cui al DPCM 3 dicembre 2013, la figura del
responsabile della conservazione può essere svolta da un dirigente o da un funzionario a
ciò designato.
Sarà poi necessario nominare un responsabile della sicurezza che, di concerto col
responsabile della conservazione, provvederà a predisporre, all‟interno del piano generale
della sicurezza, il piano di sicurezza del sistema di conservazione.
È importante sottolineare che a norma dell‟art. 7, comma 4, del DPCM 3 dicembre 2013, il
ruolo di responsabile della conservazione può essere svolto dal responsabile della
gestione documentale.
Una Pubblica Amministrazione al fine di garantire la sicurezza del sistema di conservazione
dovrà prevedere, per mezzo del responsabile della sicurezza di concerto con il responsabile
della conservazione, la redazione di un piano di sicurezza del sistema di conservazione, nel
rispetto delle misure previste dagli artt. da 31 a 36 del D.Lgs. n. 196/2003 (codice in
materia di protezione dei dati personali) e dal disciplinare tecnico cui all‟allegato B allo
stesso decreto.
Più in dettaglio, è necessario che sia redatto un piano che disciplini le procedure di
sicurezza del sistema di conservazione al fine di ridurre al minimo i rischi di: distruzione e
perdita accidentale dei dati, accesso non autorizzato, trattamento dati non consentito dalla
legge, trattamento non conforme alle finalità.
Il piano dovrà, altresì, essere coerente con le disposizioni in tema di continuità operativa e
disaster recovery, nonché con quelle in materia di sicurezza dei dati delle P.P.A.A., dettate
rispettivamente dagli artt. 50 e 51 del Codice dell‟Amministrazione Digitale.
In particolare, il piano di continuità operativa ha lo scopo di fissare gli obiettivi e i principi
da perseguire e descrivere le procedure per la gestione delle operazioni indispensabili per il
servizio e il ritorno alla normale operatività dei sistemi.
Il piano di disaster recovery, parte integrante di quello di continuità operativa, stabilisce le
misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione
dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione.
125
2.7.2 Manuale di conservazione digitale
Il manuale di conservazione deve necessariamente illustrare l‟organizzazione, i soggetti
coinvolti e i ruoli svolti dagli stessi, il modello di funzionamento, la descrizione del
processo, la descrizione delle architetture e delle infrastrutture utilizzate, le misure di
sicurezza adottate ed ogni altra informazione utile alla gestione e alla verifica del
funzionamento, nel tempo, del sistema di conservazione.
Il documento, a norma dall‟art. 8, comma 2 delle regole tecniche in materia di
conservazione cui al DPCM 3 dicembre 2013, deve quanto meno riportare:
a) i dati dei soggetti che nel tempo hanno assunto la responsabilità del sistema di
conservazione, descrivendo in modo puntuale, in caso di delega, i soggetti, le funzioni e gli
ambiti oggetto della delega stessa;
b) la struttura organizzativa comprensiva delle funzioni, delle responsabilità e degli obblighi
dei diversi soggetti che intervengono nel processo di conservazione;
c) la descrizione delle tipologie degli oggetti sottoposti a conservazione, comprensiva
dell‟indicazione dei formati gestiti, dei metadati da associare alle diverse tipologie di
documenti e delle eventuali eccezioni;
d) la descrizione delle modalità di presa in carico di uno o più pacchetti di versamento,
comprensiva della predisposizione del rapporto di versamento;
e) la descrizione del processo di conservazione e del trattamento dei pacchetti di
archiviazione;
f) la modalità di svolgimento del processo di esibizione e di esportazione dal sistema di
conservazione con la produzione del pacchetto di distribuzione;
g) la descrizione del sistema di conservazione, comprensivo di tutte le componenti
tecnologiche, fisiche e logiche, opportunamente documentate e delle procedure di gestione
e di evoluzione delle medesime;
h) la descrizione delle procedure di monitoraggio della funzionalità del sistema di
conservazione e delle verifiche sull‟integrità degli archivi con l‟evidenza delle soluzioni
adottate in caso di anomalie;
i) la descrizione delle procedure per la produzione di duplicati o copie;
126
j) i tempi entro i quali le diverse tipologie di documenti devono essere scartate ovvero
trasferite in conservazione, ove, nel caso delle pubbliche amministrazioni, non già presenti
nel manuale di gestione;
k) le modalità con cui viene richiesta la presenza di un pubblico ufficiale, indicando anche
quali sono i casi per i quali è previsto il suo intervento;
l) le normative in vigore nei luoghi dove sono conservati i documenti.
2.8. Continuità operativa ed interoperabilità
Sarà utile anzitutto chiarire che i concetti di continuità operativa ed interoperabilità
rappresentano gli elementi portanti di un eGovernement maturo in quanto valorizzano il
dialogo e l‟interazione fra enti pubblici ed istituzioni, al fine di semplificare e rendere più
efficiente l‟operato amministrativo, garantendo servizi di qualità ai cittadini170.
La società ed il mondo in cui viviamo stanno assumendo sempre più le sembianze di un
sistema globale in cui ogni elemento, per funzionare al meglio, necessita di informazioni
che deve attingere da altri sistemi. Per agevolare tale dialogo, è necessario che i diversi
elementi del sistema interscambino fra loro le informazioni.
Se poi pensiamo alla Pubblica Amministrazione come uno strumento al servizio dei propri
utenti, è ovvio che le tematiche di interoperabilità e di cooperazione applicativa divengono
il presupposto fondamentale per una PA unitaria che, al di là della sua articolazione interna,
si presenta al cittadino in maniera integrata.
Sempre a favore di un più costruttivo interscambio di dati tra le stesse ed i cittadini, va
detto che da diversi anni è in corso nel nostro Paese una politica di semplificazione e
snellimento dei processi amministrativi, volta ad eliminare quanto più possibile gli obblighi
di certificazione da parte delle amministrazioni pubbliche.
Tale politica si basa sulla necessaria applicazione delle moderne tecnologie ICT in ambito
burocratico, giungendo a riconoscere in capo al cittadino un vero e proprio diritto alla
decertificazione, alleggerendolo dall‟onere di esibizione della documentazione già in
possesso della PA.
170
L. De Pietro (a cura di ), Dieci lezioni per capire e attuare l’e-governement, Venezia, Marsilio, 2011, p.72
127
A livello concettuale, il distinguo fra interoperabilità e cooperazione applicativa esiste
soltanto in Italia; le definizioni normative sono oggi contenute nell'art. 1 co. 1 del C.A.D.
alle lett. :
dd) interoperabilità: caratteristica di un sistema informativo, le cui interfacce sono pubbliche e aperte,
di interagire in maniera automatica con altri sistemi informativi per lo scambio di informazioni e
l'erogazione di servizi;
ee) cooperazione applicativa: la parte del Sistema Pubblico di Connettività finalizzata
all'interazione tra i sistemi informatici dei soggetti partecipanti, per garantire l'integrazione dei metadati,
delle informazioni, dei processi e procedimenti amministrativi.
Nel linguaggio internazionale, in effetti, si parla di “interoperability frame work”
(letteralmente "contesto di interoperabilità"), espressione comprendente entrambi i concetti
su menzionati.
La definizione di continuità operativa è racchiusa nel Glossario delle Linee guida per il disaster
recovery delle pubbliche amministrazioni, pubblicate dal DigitPa in “Gazzetta Ufficiale”n. 295 del
20 dicembre 2011, ai sensi del comma 3, lett. b dell‟art.50 bis171 del CAD: “ L‟insieme delle
attività e delle politiche adottate per ottemperare all‟obbligo di assicurare la continuità nel
funzionamento dell‟organizzazione”.
Più tecnicamente, con il termine interoperabilità si intende la capacità di un sistema o di un
prodotto informatico – la cui interfaccia è completamente dichiarata, ossia priva di parti di
codice celato - di cooperare e di scambiare informazioni o servizi con altri sistemi o
prodotti in maniera più o meno completa e priva di errori, con affidabilità e con
ottimizzazione delle risorse172.
Essa attiene a tutto ciò che afferisce alla possibilità di far colloquiare parti di sistema o
sistemi diversi, secondo standard tecnologici definiti.
Va precisato che il concetto di continuità operativa attiene all‟intera funzionalità di
un‟organizzazione, non potendosi ritenere limitato al solo ambito informatico.
È in quest‟ottica che la continuità operativa arriva a ricomprendere sia gli aspetti logici,
organizzativi, comunicativi e logistici che consentono la prosecuzione delle funzionalità di
171
172
Ora abrogato dal D. L.vo 179/16.
Ivi, p.73.
128
un‟organizzazione ma anche la continuità tecnologica, che riguarda l‟intera infrastruttura
informatica e telecomunicativa, conosciuta anche come disaster recovery.
Esemplificando, pensiamo ad una situazione standard nella quale un cittadino è chiamato a
relazionarsi con la pubblica amministrazione: la nascita di un figlio e l‟avvio del processo di
riconoscimento da parte dello Stato.
Grazie all‟interoperabilità (ma anche alla cooperazione applicativa) tra gli enti, tale percorso
di riconoscimento potrebbe risultare molto più snello e semplificato. Per il genitore, in
effetti, sarà sufficiente recarsi presso il Comune del luogo di nascita del figlio per ottenere
la dichiarazione di nascita e l‟iscrizione nell‟anagrafe e, dopodiché, tutte le comunicazioni
successive, coinvolgenti i diversi uffici interessati (ad esempio, l‟Agenzia delle Entrate per il
rilascio del codice fiscale, l‟Asl per la scelta del pediatra), potrebbero avvenire
automaticamente mediante un sistema di notifiche direttamente a livello di sistemi
informativi degli enti.
Obiettivo dell'interoperabilità è, dunque, facilitare l'interazione fra sistemi eterogenei fra
loro, attivando in maniera automatica dei processi elaborativi per lo scambio e il riutilizzo
di informazioni a livello di applicazioni. Il termine interoperabilità è utilizzato in ambito
tecnologico per indicare un elevato grado di sinergia di sistemi diversi al fine di offrire
servizi o funzionalità nuove ed è direttamente legato alla ormai consolidata tendenza di far
convergere su alcune tecnologie evolute una vasta gamma di servizi.
Un esempio emblematico della potenza dell‟interoperabilità potrebbe essere Internet: grazie
alla sua architettura aperta, miliardi di persone in tutto il mondo possono sfruttare i
dispositivi e le applicazioni interoperabili.
Quando, invece, si fa riferimento alla cooperazione applicativa, il focus si sposta dal
“come” può avvenire un dialogo informatico fra pubbliche amministrazioni (piattaforme,
standard, regole ecc.) al “cosa”, ossia all‟ oggetto del dialogo stesso (l‟ambito applicativo ed
il processo di erogazione di un servizio che viene interessato, il servizio di cooperazione
applicativa che viene sviluppato, ecc. )173.
La cooperazione applicativa, infatti, rappresenta la capacità di uno o più sistemi informatici
di avvalersi, ciascuno nella propria logica applicativa, dell‟interscambio meccanico di
informazioni con gli altri sistemi, per soddisfare le proprie finalità applicative.
173
Ivi, p. 74.
129
In virtù dell‟applicazione di tale principio, l‟applicazione di un ente, durante l‟espletamento
del suo processo elaborativo, può servirsi di una informazione elaborata da un‟altra
applicazione.
Esemplificando, un applicativo sanitario può richiedere i dati anagrafici di un assistito
direttamente al programma di anagrafe civile del comune di residenza del cittadino.
O ancora, per citare altri esempi, un applicativo per la gestione dei tributi locali può
rintracciare automaticamente l‟informazione aggiornata delle imprese o del cittadino
debitore di un tributo, avanzando una richiesta alla banca dati del Registro delle Imprese (se
l‟informazione riguarda l‟impresa) o dell‟Anagrafe (se il dato si riferisce al cittadino).
L‟interoperabilità e la cooperazione applicativa, dunque, assurgono ad elementi chiave in un
modello di pubblica amministrazione collaborativa, efficiente ed orientata all‟utente finale
per l‟erogazione di servizi qualitativamente alti e soddisfacenti.
L‟interoperabilità agevola, infatti, il dialogo fra gli enti, in modo sicuro e affidabile e si
prefigge come obiettivo la riduzione dei tempi e dei costi legati alle attività di richiesta e
reperimento di dati e di informazioni ed
il miglioramento della fornitura dei servizi
pubblici ai cittadini e alle imprese, attraverso un‟esecuzione efficiente ed efficace dei servizi
pubblici.
Dalla cooperazione applicativa beneficiano sia gli enti fruitori dei dati che gli enti erogatori
degli stessi poiché, ad esempio, questi ultimi risparmiano le attività manuali di risposta a
richieste e notifica di dati prima eseguite.
Ovviamente, interoperabilità e cooperazione applicativa si traducono in un incremento
della qualità dei servizi percepita dagli utenti e legata alla semplificazione stessa del
processo. Ciò accade perché, ad esempio, gli utenti fruitori del servizio non sono più
gravati dal presentare autocertificazioni ed altri documenti da produrre, in quanto i dati
richiesti per completare una pratica vengono direttamente richiesti dall‟amministrazione ai
vari enti competenti in maniera automatica, liberando l‟utente da disagi ed oneri.
2.9. Condivisione e riuso del software
130
Come si è già avuto modo di vedere, le Pubbliche Amministrazioni hanno l'obbligo
giuridico di organizzarsi in modo da tendere alla completa digitalizzazione nello
svolgimento delle funzioni istituzionali.
Affinchè ciò sia possibile, le stesse P.A. devono dotarsi di appositi programmi informatici.
Il C.A.D. dedica un intero Capo, il VI, allo Sviluppo, acquisizione e riuso di sistemi
informatici nelle pubbliche amministrazioni.
Il Capo, dopo le modifiche introdotte con il D. L.vo 179/16, si apre con l'art. 68, rubricato
“Analisi comparativa delle soluzioni”, il quale stabilisce che le pubbliche amministrazioni
(tutte le PP.AA.) acquisiscono programmi informatici o parti di essi nel rispetto dei principi
di economicita e di efficienza, tutela degli investimenti, riuso e neutralita tecnologica, a
seguito di una valutazione comparativa di tipo tecnico ed economico; al contempo,
concede loro la possibilità di scegliere alle seguenti soluzioni disponibili sul mercato:
a) software sviluppato per conto della pubblica amministrazione;
b) riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione;
c) software libero o a codice sorgente aperto;
d) software fruibile in modalità cloud computing;
e) software di tipo proprietario mediante ricorso a licenza d'uso;
f) software combinazione delle precedenti soluzioni.
A tal fine, le pubbliche amministrazioni prima di procedere all'acquisto, secondo le
procedure di cui al codice di cui al Codice degli Appalti174, effettuano una valutazione
comparativa delle diverse soluzioni disponibili sulla base dei seguenti criteri:
a) costo complessivo del programma o soluzione quale costo di acquisto, di
implementazione, di mantenimento e supporto;
b) livello di utilizzo di formati di dati e di interfacce di tipo aperto nonche di standard in
grado di assicurare l'interoperabilita e la cooperazione applicativa tra i diversi sistemi
informatici della pubblica amministrazione;
c) garanzie del fornitore in materia di livelli di sicurezza,conformita alla normativa in
materia di protezione dei dati personali, livelli di servizio tenuto conto della tipologia di
software acquisito.
174
Già Decreto legislativo 12 aprile 2006 n. 163, ora D. L.vo 18 aprile 2016 n. 50.
131
Nel caso in cui dalla suddetta valutazione comparativa di tipo tecnico ed economico, risulti
motivatamente l'impossibilita di accedere a soluzioni già disponibili all'interno della
pubblica amministrazione, o a software liberi o a codici sorgente aperto, adeguati alle
esigenze da soddisfare, è consentita l'acquisizione di programmi informatici di tipo
proprietario mediante ricorso a licenza d'uso.
La valutazione di cui sopra è effettuata secondo le modalita e i criteri definiti dall'Agenzia
per l'Italia digitale, che, a richiesta di soggetti interessati, esprime altresi parere circa il loro
rispetto.
Il comma 2 impone alle pubbliche amministrazioni nella predisposizione o nell'acquisizione
dei programmi informatici, l'adozione di soluzioni informatiche, quando possibile
modulari, che assicurino l'interoperabilita e la cooperazione applicativa e consentano la
rappresentazione dei dati e documenti in più formati, di cui almeno uno di tipo aperto,
salvo che ricorrano motivate ed eccezionali esigenze.
Una delle modalità più appetibili è disciplinata dall'art. 69, rubricato “Riuso dei programmi
informatici e standard aperti”; in base a tale articolo, Le pubbliche amministrazioni che
siano titolari di soluzioni e programmi informatici realizzati su specifiche indicazioni del
committente pubblico, hanno l'obbligo di rendere disponibile il relativo codice sorgente,
completo della documentazione e rilasciato in repertorio pubblico sotto licenza aperta, in
uso gratuito ad altre pubbliche amministrazioni o ai soggetti giuridici che intendano
adattarli alle proprie esigenze, salvo motivate ragioni di ordine e sicurezza pubblica, difesa
nazionale e consultazioni elettorali.
Secondo la definizione reperibile sul sito dell'AgID, per "riuso di programmi informatici o
parti di essi" si intende la possibilità per una pubblica amministrazione di riutilizzare
gratuitamente programmi informatici o parti di essi, sviluppati per conto e a spese di
un‟altra amministrazione adattandoli alle proprie esigenze.
Al fine di favorire il riuso dei programmi informatici di proprieta delle pubbliche
amministrazioni, il comma 2 stabilisce che nei capitolati o nelle specifiche di progetto
venga previsto, ove possibile, che i programmi ed i servizi ICT appositamente sviluppati
per conto e a spese dell'amministrazione siano conformi alle specifiche tecniche di SPC
definite da AgID.
132
Le pubbliche amministrazioni inseriscono, poi, nei contratti per l'acquisizione di
programmi informatici o di singoli moduli, clausole che garantiscano il diritto di disporre
dei programmi ai fini del riuso da parte della medesima o di altre amministrazioni.
Nei contratti di acquisizione di programmi informatici sviluppati per conto e a spese delle
amministrazioni, invece, le stesse possono includere clausole, concordate con il fornitore,
che tengano conto delle caratteristiche economiche ed organizzative di quest'ultimo, volte a
vincolarlo, per un determinato lasso di tempo, a fornire, su richiesta di altre
amministrazioni, servizi che consentono il riuso dei programmi o dei singoli moduli. Le
clausole suddette definiscono le condizioni da osservare per la prestazione dei servizi
indicati.
L'art. 70 C.A.D. prevede l'istituzione di uno strumento di raccolta e messa a disposizione,
attraverso una apposita banca dati, dei programmi informatici riutilizzabili.
Le pubbliche amministrazioni centrali che intendono acquisire programmi applicativi
valutano preventivamente la possibilita di riuso delle applicazioni analoghe rese note dal
DigitPA (oggi AgID), motivandone l'eventuale mancata adozione.
Il catalogo nazionale dei programmi informatici riutilizzabili è reperibile sul sito web
dell'AgID175.
Ovviamente, perchè l'alimentazione e la consultazione della suddetta banca dati siano
efficaci e spingano le amministrazioni ad attingere dalla stessa per le loro esigenze, è
fondamentale il ruolo dell'organo tecnico.
Con le linee guida per l'Inserimento ed il riuso di programmi informatici o parti di essi
pubblicati nella “banca dati dei programmi informatici riutilizzabili” del DigitPA (oggi
AgID)176, quindi, si è fornito alle PP.AA. uno strumento molto utile per incentivare la
pratica del riuso e favorire la riduzione dei costi di acquisto di prodotti e servizi in ambito
ICT nella pubblica amministrazione e la disponibilita di software di qualita.
Le linee guida contengono una Check List destinata a valutare l‟idoneità al riuso degli
oggetti e la determinazione dell‟Indice di riusabilità, forniscono modelli di accordi per l'uso
e la cessione dei programmi da una P.A. ad un'altra, i passi da seguire per inserire nella
banca dati i software da condividere e per ottenere il riuso dei programmi ivi inseriti.
175
http://www.agid.gov.it/catalogo-nazionale-programmi-riusabili consultato nel mese di dicembre 2016.
176
http://www.agid.gov.it/sites/default/files/linee_guida/linee-guida-riuso-12-04-2012-rev_23-07-2012.pdf
mese di dicembre 2016.
133
consultato
nel
Esse chiariscono che il riuso di un programma informatico o parte di esso (anche definito
“Oggetto”) di un‟amministrazione cedente e il ri-utilizzo del medesimo in un contesto
diverso da quello per il quale e stato originariamente realizzato, al fine di soddisfare
esigenze simili o anche solo parzialmente simili a quelle che portarono al suo primo
sviluppo.
Lo scenario sopra rappresentato, non indicando vincoli alle modalita di riuso, ovvero alle
modalita di utilizzo dell‟Oggetto all‟interno del contesto dell‟utilizzatore, consente di
identificare diverse modalita di riuso:
- Riuso in cessione semplice: semplice cessione di un applicativo da un‟amministrazione ad
un‟altra;
- Riuso con gestione a carico del cedente: oltre a cedere l‟applicativo, l‟amministrazione
proprietaria del software si fa carico della manutenzione dello stesso;
- Riuso in facility management: oltre che della manutenzione del software,
l‟amministrazione cedente si fa carico della predisposizione e gestione dell‟ambiente di
esercizio per l‟amministrazione che effettua il riuso;
- Riuso in ASP: è una variante del caso precedente in cui un soggetto terzo,
(amministrazione cedente o utilizzatrice o fornitore selezionato nel rispetto delle norme
vigenti) si fa carico della manutenzione e dell‟esercizio del software per più
amministrazioni, che riconoscono il corrispettivo in relazione al servizio ricevuto attraverso
un accordo/contratto quadro all‟uopo predisposto.
Altrettanto importante, anche in considerazione degli aggiornamenti allo stato dell'arte, è la
già citata Circolare AgID n. 68 del 6.12.2013, la quale ha lo scopo di illustrare, attraverso
l‟esposizione di un percorso metodologico e di una serie di esempi, le modalità e i criteri
per l‟effettuazione della valutazione comparativa delle soluzioni prevista dal Codice per
l‟Amministrazione Digitale all‟art. 68.
La circolare, sotto forma di Linee guida, è strutturata in capitoli; dopo una Premessa,
comprendente un resoconto delle attivita svolte dal Tavolo di lavoro incaricato della
composizione delle Linee guida, viene descritto il Contesto di riferimento, riportante
l‟ambito di applicazione delle Linee guida e un quadro generale della metodologia proposta,
vengono quindi elencate le varieFasi della metodologia, ove si descrivono in dettaglio i
passi da seguire per la valutazione comparativa.
134
Un apposito capitolo tratta gli Aspetti giuridici, ove si forniscono informazioni su alcune
tipologie di licenze d‟uso ed elementi per la redazione degli atti del procedimento di
acquisizione, mentre l'Appendice, comprendente la bibliografia, il glossario e i principali
riferimenti normativi.
2.10. SPC e RIPA.
Il Sistema Pubblico di Connettività (SPC) è stato introdotto nel nostro ordinamento
con il Decreto Legislativo, 28 febbraio 2005, n. 42177, al fine di realizzare un sistema
complesso di interoperabilità tra le reti delle diverse pubbliche amministrazioni, per
l‟erogazione telematica di servizi e per la condivisione di dati e risorse informative.
Esso rappresenta il risultato finale di un più generale processo d‟informatizzazione iniziato
negli anni ‟90 con la progettazione di una Rete Unitaria della Pubblica Amministrazione
(RUPA), resa operativa solo nel 2000 e solo tra PA centrali, rivelatasi fallimentare
principalmente a causa dell‟arretratezza organizzativa, tecnologica e culturale delle
amministrazioni italiane.
Con il SPC il Legislatore ha, quindi, compiuto un altro passo importante verso la completa
digitalizzazione della pubblica amministrazione, prevedendo un‟infrastruttura telematica in
grado di consentire lo scambio di informazioni digitali tra PA centrali e locali, oltre che tra
le stesse e i cittadini.
E ciò anche in applicazione dei principi generali del Codice dell‟Amministrazione Digitale,
il quale, all‟art. 3, comma 1, così come novellato nel 2016178, garantisce a chiunque (e non
più solo a cittadini e imprese) il diritto ad usare le soluzioni e gli strumenti del codice nelle
comunicazioni con le pubbliche amministrazioni, complessivamente intese, e con i gestori
di pubblici servizi.
In particolare, nel riformato articolo 73, comma 1, del CAD, il SPC è definito come l‟
“insieme di infrastrutture tecnologiche e di regole tecniche che assicura l’interoperabilità tra i sistemi
informativi delle pubbliche amministrazioni, permette il coordinamento informativo e informatico dei dati
tra le amministrazioni centrali, regionali e locali e tra queste e i sistemi dell’Unione europea ed è aperto
all’adesione da parte dei gestori di servizi pubblici e dei soggetti privati”.
177
178
Successivamente, con il D.lgs 159/06, il D.l. 42 del 2005 è confluito nel CAD.
La novella legislativa di riferimento è il D.lgs. del 26 agosto 2016 n. 179.
135
Tale strumento di interoperabilità e connessione tra PA e cittadini e tra le stesse PPAA,
come già anticipato, è stato ampiamente modificato dal recente intervento del legislatore
nazionale, il quale ha abrogato numerose disposizioni del CAD ad esso previamente
dedicate.
La novità maggiormente significativa è data dalla possibilità di adesione al SPC concessa
anche ai soggetti privati e non più solo alle PPAA o ai gestori di pubblici servizi.
Inoltre, in linea con la tendenza a rendere lo strumento in questione maggiormente fruibile,
si pone la nuova formulazione del comma 2 dell‟art. 75 CAD. Oggi, infatti, il CAD prevede
che chiunque possa partecipare al SPC nel rispetto delle regole tecniche di cui all‟articolo
73, comma 3-quater.
Resta ferma, come unica limitazione, l‟esclusione, nell‟ambito delle PA, di quelle che
svolgono funzioni di ordine e sicurezza pubblica, difesa nazionale e consultazioni
elettorali179.
Il SPC è divenuto operativo a partire dal dicembre 2007; tuttavia, gli ostacoli da superare al
fine di garantire un pieno e perfetto funzionamento del sistema sono stati vari e graduali,
anche in considerazione del fatto che, al momento di introduzione del suddetto processo di
interscambio, le molteplici amministrazioni presenti sul territorio italiano operavano con
piattaforme informatiche e telematiche difformi e, talvolta, incompatibili tra loro, al punto
da non essere in grado di accedere e lavorare sulle stesse Reti.
Il processo d‟informatizzazione degli uffici pubblici è stato, pertanto, compiuto in vista del
raggiungimento di due obiettivi cardine:
1)
l‟interconnessione, ovvero la capacità di due o più sistemi informativi diversi di
colloquiare tra loro attraverso reti telematiche;
2)
l‟interoperabilità, ovvero la capacità di due o più sistemi informativi di scambiare
documenti, flussi di dati o informazioni.
A ciò si aggiunga lo storico argomento del c.d. digital divide, ovvero il divario esistente tra le
varie fasce della popolazione italiana in merito ai processi di alfabetizzazione informatica,
sia esso per disomogenei livelli d‟istruzione ovvero per questioni anagrafiche.
Anche la suddetta tematica è stata oggetto di attenzione nazionale; ne è prova la recente
riformulazione dell‟art. 8 del CAD il quale oggi prevede che “lo Stato e i soggetti di cui
all’articolo 2, comma 2, promuovono iniziative volte a favorire la diffusione della cultura digitale tra i
179
Tale previsione è oggi contenuta nel comma 1 dell‟art. 75 CAD.
136
cittadini con particolare riguardo ai minori e alle categorie a rischio di esclusione, anche al fine di favorire lo
sviluppo di competenze di informatica giuridica e l’utilizzo dei servizi digitali delle pubbliche
amministrazioni con azioni specifiche e concrete, avvalendosi di un insieme di mezzi diversi fra i quali il
servizio radiotelevisivo”.
Proprio per ovviare ai problemi scaturenti dalla mancanza di alfabetizzazione informatica il
legislatore ha fornito linee guida e programmi in grado di avvicinare la popolazione e gli
uffici al SPC; invero, il nuovo comma 3 dell‟art. 75 del CAD prevede che “AgID rende
gratuitamente disponibili specifiche delle interfacce tecnologiche, le linee guida, le regole di cooperazione e ogni
altra informazione necessaria a garantire l'interoperabilità del SPC con ogni soluzione informatica
sviluppata autonomamente da privati o da altre amministrazioni che rispettano le regole definite ai sensi
dell’articolo 73, comma 3-quater”.
Non da ultimo, è evidente che un altro scoglio che i tecnici hanno dovuto superare
concerneva la sicurezza dei dati scambiati: invero, il sistema non può prescindere dal
garantire la riservatezza e la salvaguardia dei flussi informativi che viaggiano tra PA e
cittadini, preservando i dati da eventuali ingerenze esterne o da abusi di informazioni.
A tal proposito, il legislatore ha inserito, a seguito della novella del 2016, un‟apposita
disposizione, di cui al comma 2 dell‟art 73 CAD, in forza della quale il SPC deve garantire
la sicurezza e la riservatezza delle informazioni, nonché la salvaguardia e l‟autonomia del
patrimonio informativo di ciascun soggetto aderente.
Quanto sin qui detto mette in luce la complessità dell‟operazione e il grande lavoro tecnico
e organizzativo che richiede un sistema pubblico di connettività efficiente e sicuro.
Tuttavia, i benefici che esso apporta all‟economia e alla governance non sono certo di poco
conto; basti pensare che l‟utilizzo del SPC permette di velocizzare tutte le procedure
amministrative, consentendo al cittadino di ottenere risposte certe in tempi rapidi, per non
parlare poi dell‟ottimizzazione nell‟uso di risorse e tempo con riferimento all‟interazione tra
PA distanti geograficamente tra loro, le quali potranno procedere allo scambio di
documenti informatici semplicemente inserendoli in Rete.
Ad oggi, anche in considerazione dell‟assetto amministrativo attuale, che comporta la
ripartizione della gestione pubblica tra le varie articolazioni territoriali, gli enti locali
assumono prevalentemente il ruolo di front-office, mentre le amministrazioni centrali
137
svolgeranno la funzione di back-office
180
, cui gli enti locali faranno accesso per recuperare i
dati contenuti negli archivi informatici.
Un dato formale di considerevole portata è rappresentato dal riconoscimento, riservato al
documento telematico circolato tramite il sistema, della piena validità legale; invero,
secondo quanto stabilito nell‟attuale art. 76 CAD, “gli scambi di documenti informatici nell’ambito
del SPC, realizzati attraverso la cooperazione applicativa e nel rispetto delle relative procedure e regole
tecniche di sicurezza, costituiscono invio documentale valido a ogni effetto di legge”.
Viene così sancita la piena equiparabilità tra documento cartaceo e documento informatico
rilasciato da una PA, seppur subordinata alla condizione che siano state osservate le
apposite regole tecniche e di sicurezza.
Un‟altra novità apportata dalla novella del 2016 è costituita dall‟abrogazione dell‟art. 79 del
CAD, il quale prevedeva l‟istituzione di una apposita Commissione, preposta ad attuare e
verificare gli indirizzi strategici, l‟evoluzione del modello organizzativo, il funzionamento
generale del sistema, nonché il rispetto di alti standard di sicurezza nel trasferimento di dati
e file. Tale figura era stata creata come organo di controllo e coordinamento, necessario per
gestire un sistema complesso ed assicurare la qualità e la sicurezza dei servizi erogati.
Oggi, invece, nella gestione pratica e nella risoluzione dei problemi che di volta in volta
vengono concretamente riscontrati, un ruolo fondamentale è ancora svolto dall‟AgID181, le
cui competenze e i cui poteri di intervento sono stati ampiamente e analiticamente definiti
all‟interno del nuovo art. 14bis del CAD.
A conferma di ciò, la stessa AgID aveva già in passato previsto d‟investire come budget
previsionale 2014-2020, per la progettazione, realizzazione, gestione ed evoluzione del SPC
circa 1,95 miliardi di euro.
Da giugno 2016 Tiscali, BT Italia e Vodafone Italia sono diventati i fornitori di connettività
per la pubblica amministrazione italiana, essendosi aggiudicati la gara Consip182 del sistema
pubblico di connettività.
Il collegamento operativo tra infrastrutture che costituisce la base del Sistema pubblico di
connettività era, poi, ulteriormente completato mediante la creazione della Rete
Sul punto, E. Bellisario, La nuova pubblica Amministrazione Digitale. Guida al Codice dell’Amministrazione Digitale dopo la Legge n.
69/09, Santarcangelo di Romagna, Maggioli, 2009, p. 98.
181
Agenzia per l‟Italia Digitale.
182
Consip è una società in-house del Ministero dell‟Economia e delle Finanze; essa oggi è la centrale acquisti della PA italiana.
180
138
Internazionale delle Pubbliche Amministrazioni (RIPA), oggi non più disciplinata dal
CAD a seguito delle modifiche dell‟agosto 2016.
La RIPA era prevista all‟art. 74 CAD
183
, che così disponeva: “costituisce l’infrastruttura di
connettività che collega, nel rispetto della normativa vigente, le pubbliche amministrazioni con gli uffici
italiani all’estero, garantendo adeguati livelli di sicurezza e qualità”.
Il suddetto strumento nasceva in stretta connessione con lo sviluppo del SPC, in quanto
pensato per consentire il collegamento delle PA nazionali con gli uffici italiani all‟estero,
garantendo sempre e comunque alti standard di sicurezza e affidabilità.
In sostanza, la Rete Internazionale consentiva di ottenere all‟estero gli stessi servizi erogati
in Italia mediante il SPC, andando così a completare la struttura complessa di
interoperabilità interna 184.
Sino ad oggi sono state coinvolte nella Rete Internazionale oltre 400 sedi, dislocate in 120
Paesi e appartenenti a varie diramazioni amministrative, quali il Ministero degli affari esteri,
il Ministero della difesa e l‟Agenzia delle dogane 185.
Grazie alla RIPA, negli anni, sono stati predisposti, attuati ed erogati servizi fondamentali
per i cittadini residenti all‟estero; nello specifico, si vuol far riferimento al voto degli italiani
residenti all‟estero, allo sportello unico per gli italiani che vivono in paesi stranieri,
all‟anagrafe consolare centralizzata e al progetto dei visti.
Nonostante l‟importante funzione svolta dalla suddetta Rete, il legislatore del 2016, in
un‟ottica di semplificazione dei processi e degli strumenti, al fine di favorirne lo sviluppo e
la concreta ed efficace attuazione, ha abrogato le disposizioni del CAD che disciplinavano
la RIPA, prevedendo, però, che il SPC consenta il coordinamento informativo e
informatico dei dati non solo tra le amministrazioni centrali, regionali e locali, ma anche tra
queste e i sistemi dell‟Unione europea.
Si è in tal modo concretamente realizzato quel processo d‟interazione e fruizione dislocata,
anche sul piano internazionale, che era nelle intenzioni del Legislatore, senza per questo
porre un freno allo sviluppo di ulteriori ambiziosi progetti in materia.
Articolo inserito dall‟art. 30, comma 1, D.Lgs. 4 aprile 2006, n. 159.
Al riguardo, in dottrina, cfr. E. Bellisario, La nuova pubblica Amministrazione Digitale, cit., p. 100, il quale precisa che “la RIPA
non rappresenta quindi un’alternativa al SPC, ma (come chiarito dall’art. 85, comma 1, CAD) una rete interconnessa al Sistema Pubblico”.
185
I dati riportati sono stati rilevati sul sito dell‟Agid, all‟URL: http://www.agid.gov.it/infrastrutture-sicurezza/la-reteinternazionale-pa-ripa, consultato nel mese di ottobre 2015.
183
184
139
2.11. Diritto all’accessibilità informatica
In base all‟art. 2 comma 1, lett. a, della Legge 9 gennaio 2004, n.4, Disposizioni per favorire
l’accesso dei soggetti disabili agli strumenti informatici e ai sensi dell‟art. 1, comma 1, lett. a, del D.M
8 luglio 2005, Requisiti tecnici e i diversi livelli per l'accessibilità agli strumenti informatici per
“accessibilità” si intende
la capacità dei sistemi informatici, nelle forme e nei limiti consentiti dalle conoscenze
tecnologiche, di erogare servizi e fornire informazioni fruibili, senza discriminazioni, anche
da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o
configurazioni particolari.
Concetto strettamente connesso all‟accessibilità informatica è quello di “fruibilità”, di cui
alla lett. q dello stesso articolo della Legge n. 4/2004:
caratteristica dei servizi di rispondere a criteri di facilità e semplicità d‟uso, di efficienza, di
rispondenza alle esigenze dell‟utente, di gradevolezza e di soddisfazione nell‟uso del
prodotto.
L‟accessibilità deve essere garantita a tutti gli strumenti informatici, per essi intendendosi
non soltanto i siti web ma anche i pc di tipo desktop e portatili, i sistemi operativi, le
applicazioni ed i prodotti a scaffale. Il citato D.M.8 luglio 2005 (Allegati A, C, D) stabilisce i
requisiti minimi che questi strumenti devono possedere per garantire una piena
accessibilità186; recentemente, con il D.M. 20 marzo 2013 del Ministro dell‟Istruzione,
dell‟Università e della ricerca, tali requisiti sono stati ridotti a dodici187. Tuttavia, al
186
M.Mancarella, E-health e diritti. L’apporto dell’informatica giuridica, Roma, Carocci, 2013, p.277.
187
I nuovi requisiti tecnici di accessibilità per gli strumenti informatici sono: Requisito 1 - Alternative testuali: fornire
alternative testuali per qualsiasi contenuto di natura non testuale in modo che il testo predisposto come alternativa possa essere fruito e
trasformato secondo le necessità degli utenti, come per esempio convertito in stampa a caratteri ingranditi, in stampa Braille, letto da una
sintesi vocale, simboli o altra modalità di rappresentazione del contenuto. Requisito 2 - Contenuti audio, contenuti video,
animazioni:fornire alternative testuali equivalenti per le informazioni veicolate da formati audio, formati video, formati contenenti
immagini animate (animazioni), formati multisensoriali in genere. Requisito 3 - Adattabile: creare contenuti che possano essere presentati
in modalità differenti (ad esempio, con layout più semplici), senza perdita di informazioni o struttura. Requisito 4 - Distinguibile: rendere
più semplice agli utenti la visione e l'ascolto dei contenuti, separando i contenuti in primo piano dallo sfondo. Requisito 5 - Accessibile da
tastiera: rendere disponibili tutte le funzionalità anche tramite tastiera. Requisito 6 - Adeguata disponibilità di tempo: fornire all'utente
tempo sufficiente per leggere ed utilizzare i contenuti. Requisito 7 - Crisi epilettiche: non sviluppare contenuti che possano causare crisi
epilettiche. Requisito 8 - Navigabile: fornire all'utente funzionalità di supporto per navigare, trovare contenuti e determinare la propria
posizione nel sito e nelle pagine. Requisito 9 - Leggibile: rendere leggibile e comprensibile il contenuto testuale. Requisito 10 -
140
ridimensionamento numerico non corrisponde un‟altrettanta diminuzione delle attività per
chi deve verificare i requisiti.
L‟accessibilità, dunque, così come definita dalla citata normativa, è da interpretarsi come
una caratteristica propria dei sistemi informatici, pronti a manifestarsi facilmente fruibili da
parte di chiunque, senza alcun tipo di discriminazione collegata agli strumenti utilizzati o
alle eventuali limitazioni, fisiche o cognitive, da cui l‟utente può risultare affetto.
Da sottolineare come l‟accessibilità, oltre a porsi come proprietà dei sistemi informatici, sia
da intendersi, in primis, un diritto soggettivo riconosciuto ad ogni cittadino, così come
stabilisce l‟art.1 della citata legge 4/2004:
La Repubblica riconosce e tutela il diritto di ogni persona ad accedere a tutte le fonti di informazione e ai
relativi servizi, ivi compresi quelli che si articolano attraverso gli strumenti informatici e telematici. È
tutelato e garantito, in particolare, il diritto di accesso ai servizi informatici e telematici della pubblica
amministrazione e ai servizi di pubblica utilità da parte delle persone disabili, in ottemperanza al principio
di uguaglianza ai sensi dell’articolo 3 della Costituzione.
A tal proposito, merita aggiungere che il diritto all‟accessibilità dei sistemi informatici
pubblici garantito alle persone disabili non soltanto trova il suo fondamento nel principio di
uguaglianza di cui all‟art. 3 della Costituzione ma si configura come un vero e proprio
diritto sociale, integrando i principi in materia di diritti sociali dettati dalla legge 5 febbraio
1992, n. 104 Legge quadro per l’assistenza, l’integrazione sociale e i diritti delle persone handicappate188.
A garanzia dell‟effettivo rispetto della legge 4/2004, fra l‟altro, è stata prevista la figura del
Responsabile dell‟accessibilità informatica, al quale spetta assicurare il costante livello di
accessibilità e fruibilità del sito; le gravose conseguenze per la pubblica amministrazione nel
caso in cui non rispetti la normativa in esame nelle attività negoziali sono disciplinate
dall‟art. 4 della citata legge.
Circa l‟effettiva applicabilità della legge in esame, nelle Linee guida per i siti web della pubblica
amministrazione del 2011 si evidenzia come a distanza di alcuni anni, i siti web della PA
Prevedibile: creare pagine web che appaiano e che si comportino in maniera prevedibile. Requisito 11 - Assistenza nell'inserimento d dati
e informazioni: aiutare l'utente ad evitare gli errori ed agevolarlo nella loro correzione. Requisito 12 - Compatibile: garantire la massima
compatibilità con i programmi utente e con le tecnologie assistive.
188
M.Mancarella, E-health e diritti. L’apporto dell’informatica giuridica, cit., p.280.
141
italiana risultino ancora oggi accessibili in molti casi, non consentendo a tutti gli utenti un
pieno accesso ai servizi erogati sul web.
Infine, per il rilevante impatto che avrà, va segnalata l'approvazione della Risoluzione
legislativa del Parlamento europeo del 26 ottobre 2016 relativa alla posizione del Consiglio
in prima lettura in vista dell'adozione della direttiva del Parlamento europeo e del Consiglio,
relativa proprio all'accessibilità dei siti web e delle applicazioni mobili degli enti pubblici.
2.12. Trasparenza online ed evoluzione del diritto di accesso
La tendenza alla scarsa accessibilità web è in via di cambiamento: a conferma di ciò, il
D.Lgs. 14 marzo 2013, n. 33 in tema di trasparenza e obblighi di pubblicazione online delle
amministrazioni, sta costringendo queste ultime ad una applicazione più scrupolosa di tutte
le norme in tema di creazione e gestione dei siti web.
Il provvedimento, predisposto in attuazione dei principi e criteri di delega previsti
dall‟articolo 1, comma 35, della Legge n. 190/2012 (c.d. “anti-corruzione”), riordina – in un
unico corpo normativo – le numerose disposizioni legislative in materia di obblighi di
informazione, trasparenza e pubblicità da parte delle pubbliche amministrazioni,
susseguitesi nel tempo e sparse in testi normativi non sempre coerenti. Tuttavia, il decreto
non si limita alla sola ricognizione e al coordinamento delle disposizioni vigenti ma
modifica ed integra l‟attuale quadro normativo, prevedendo ulteriori obblighi di
pubblicazione di dati ed ulteriori adempimenti.
La trasparenza è intesa come “accessibilità totale” a mezzo web delle informazioni
concernenti l’organizzazione e l’attività amministrativa e costituisce “livello
essenziale” delle prestazioni che devono essere garantite su tutto il territorio
nazionale (ai sensi dell‟art. 117, comma 2, lett. m), Costituzione). Principi, questi, espressi
per la prima volta non nel 2013 ma nel 2009. Infatti, ai sensi dell‟art. 11, comma 1, del
D.Lgs. 150/2009:
la trasparenza è intesa come accessibilità totale, anche attraverso lo strumento della pubblicazione sui
siti internet delle pubbliche amministrazioni, delle informazioni concernenti ogni aspetto dell’organizzazione
delle pubbliche amministrazioni, degli indicatori relativi agli andamenti gestionali e all’utilizzo delle risorse
per il perseguimento delle funzioni istituzionali, dei risultati dell’attività di misurazione e valutazione svolta
142
in proposito dagli organi competenti, allo scopo di favorire forme diffuse di controllo del rispetto dei princìpi
di buon andamento e imparzialità.
Definire la trasparenza “accessibilità totale” a mezzo dell‟ausilio web sottolinea, dunque, la
centralità dell‟utente nell‟agire amministrativo: è il diritto del cittadino a far scaturire
l‟obbligo delle amministrazioni di adeguarsi da un punto di vista sia organizzativo sia
tecnologico, per soddisfare al meglio le esigenze dell‟utenza.
In tal modo, l‟innovazione diventa strumento di misura del grado di soddisfazione
dell‟utenza nei rapporti con l‟amministrazione.
Numerosi gli adempimenti previsti per le Amministrazioni dal D.Lgs. n. 33/2013:
●
il rispetto del diritto di accesso civico;
●
l‟istituzione di un “Responsabile della trasparenza” in ogni Amministrazione
(individuato tra i dirigenti amministrativi di ruolo di prima fascia in servizio);
●
la rivisitazione della disciplina in materia di trasparenza sullo stato patrimoniale di
politici e amministratori pubblici e sulle loro nomine;
●
l‟obbligo di definire nella home page del sito istituzionale di ciascun Ente
un‟apposita sezione denominata “Amministrazione trasparente” in cui, per almeno
cinque anni, saranno pubblicati una serie rilevante di informazioni (dal “Programma per la
trasparenza e l‟integrità” alla condizione reddituale dei componenti degli organi di indirizzo
politico, dalle spese per il personale e le consulenze ai dati per i contratti stipulati).
All‟obbligo di pubblicazione online delle Amministrazioni corrisponde un diritto del
cittadino ad esigere tale pubblicazione: il diritto di “accesso civico”. Pertanto, con la
locuzione “accesso civico” si intende il diritto, concesso a chiunque, di richiedere alle
Pubbliche Amministrazioni la pubblicazione di documenti, informazioni o dati che
la P.A. è tenuta a pubblicare, nei casi in cui sia stata omessa la loro pubblicazione.
L‟istanza di accesso civico non deve essere motivata, è gratuita e va presentata al
Responsabile della trasparenza dell'amministrazione obbligata alla pubblicazione.
I documenti pubblicati nella sezione “Amministrazione Trasparente” devono essere
pubblicati in formato aperto, ossia in un formato di cui viene resa pubblica, mediante
esaustiva documentazione, la sintassi, la semantica, il contesto operativo e le modalità di
utilizzo. Al fine di facilitare il compito degli Enti nella pubblicazione dei dati in formato
143
aperto, l‟Agenzia per l‟Italia Digitale ha redatto e pubblicato un repertorio di formati aperti
contenente tutti i formati utilizzabili per la pubblicazione nella sezione “Amministrazione
Trasparente”189.
Più nello specifico, per quanto riguarda eventuali licenze dei dati rilasciati, l‟art. 7 del D.Lgs.
n. 33/2013 prevede che la pubblicazione nella sezione “Amministrazione Trasparente”
avvenga sotto la licenza prevista ai sensi degli artt. 52 e 68 de D.Lgs. n. 82/2005. Tale
licenza deve essere di tipo aperto e deve consentire il riutilizzo delle informazioni
anche per finalità lucrative. A titolo di esempio, pensiamo all‟utilizzo dei dati del
trasporto pubblico locale, rilasciati in formato aperto da un Comune, per la creazione di
un‟applicazione per smartphone che consenta di conoscere gli orari degli autobus.
Infine, il provvedimento introduce un forte apparato sanzionatorio per gli Enti che non
rispettassero gli obblighi di trasparenza: responsabilità disciplinare e dirigenziale,
eventuale responsabilità erariale (anche per danno all’immagine).
Gli uffici devono quindi adempiere a tutti gli obblighi di pubblicazione online dettati dal
Decreto ma sempre in linea con la propria struttura istituzionale, oltre a quelli che non
siano già soddisfatti dalle Istituzioni centrali. Ad esempio, gli Istituti Scolastici non sono
tenuti, per ovvi motivi, a popolare le sezioni specificamente previste per le strutture
sanitarie né quella relativa al personale a tempo indeterminato in quanto la pubblicazione è
soddisfatta dal MIUR. È necessario, tuttavia, che gli Uffici prevedano tutte le sezioni
contemplate dal Decreto, specificando all‟interno di quelle non soddisfabili che la
pubblicazione dei quei dati non è prevista per l‟Ufficio.
Gli Uffici, inoltre, devono sempre tenere presente la normativa in materia di accessibilità
dei documenti (contenuta nella L. n. 4/2004) non pubblicando PDF immagine (come le
scansioni di documento cartaceo, che rendono la pubblicazione inefficace) ma PDF/A,
perfettamente leggibili dai soggetti disabili con l‟ausilio delle tecnologie assistive.
L‟articolo 4 del D.Lgs. n. 33/2013 prevede dei limiti alla pubblicazione di atti e documenti
nel caso in cui contengano dati sensibili e giudiziari cui all'art. 4, comma 1, lett. d) ed e),
del D.Lgs. n. 196/2003. In questi casi sarà necessario adottare tutti gli accorgimenti
necessari (come ad es. anonimizzare i dati) al fine di evitare di ledere la riservatezza dei
soggetti interessati.
189
Il
documento
è
disponibile
al
seguente
link:
http://archivio.digitpa.gov.it/sites/default/files/allegati_tec/Repertorio%20formati%20aperti%20vers%20%201%200b_1.pdf. 20.
144
Lo stesso articolo prevede, inoltre, l’esclusione della pubblicazione di atti e documenti;
●
nei casi previsti dall‟art. 24, commi 1 e 6, della L. n. 241/1990190, dell‟art. 9 del
D.Lgs. n. 322/1989191;
●
nei casi previsti dalla normativa europea in materia di tutela del segreto statistico;
●
nei casi di atti e documenti che siano espressamente qualificati come riservati dalla
normativa nazionale ed europea in materia statistica;
●
nei casi di atti e documenti idonei a diffondere dei dati volti a rivelare lo stato di
salute e la vita sessuale di un individuo.
L‟onere di pubblicazione online di documenti nella sezione “Amministrazione trasparente”
non deve mai essere confuso con l’onere di pubblicazione online nella sezione
“Albo pretorio”192: nel primo caso (“Amministrazione trasparente”) la finalità è quella
della trasparenza; nel secondo caso (“Albo pretorio”) la finalità è quella di pubblicità legale
dell‟atto, cui è subordinata l‟efficacia dello stesso. Da ciò consegue che la pubblicazione in
albo pretorio online di documenti per i quali sussistono anche obblighi di trasparenza non
190
Di seguito il contenuto dell‟art.24, comma 1, della L. n. 241/1990:
“Il diritto di accesso è escluso:
a)
per i documenti coperti da segreto di Stato ai sensi della legge 24 ottobre 1977, n. 801, e successive modificazioni,
e nei casi di segreto o di divieto di divulgazione espressamente previsti dalla legge, dal regolamento governativo di cui al comma 6 e dalle
pubbliche amministrazioni ai sensi del comma 2 del presente articolo;b) nei procedimenti tributari, per i quali restano ferme le particolari
norme che li regolano;c) nei confronti dell'attività della pubblica amministrazione diretta all'emanazione di atti normativi, amministrativi
generali, di pianificazione e di programmazione, per i quali restano ferme le particolari norme che ne regolano la formazione;d) nei
procedimenti selettivi, nei confronti dei documenti amministrativi contenenti informazioni di carattere psico-attitudinale relativi a terzi”.
Di seguito il contenuto dell‟art. 24, comma 6, della L. n. 241/1990:
“Con regolamento, adottato ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400, il Governo può prevedere
casi di sottrazione all'accesso di documenti amministrativi:
a) quando, al di fuori delle ipotesi disciplinate dall'articolo 12 della legge 24 ottobre 1977, n. 801, dalla loro divulgazione possa
derivare una lesione, specifica e individuata, alla sicurezza e alla difesa nazionale, all'esercizio della sovranità nazionale e alla continuità e
alla correttezza delle relazioni internazionali, con particolare riferimento alle ipotesi previste dai trattati e dalle relative leggi di
attuazione;b) quando l'accesso possa arrecare pregiudizio ai processi di formazione, di determinazione e di attuazione della politica
monetaria e valutaria;c) quando i documenti riguardino le strutture, i mezzi, le dotazioni, il personale e le azioni strettamente strumentali
alla tutela dell'ordine pubblico, alla prevenzione e alla repressione della criminalità con particolare riferimento alle tecniche investigative,
alla identità delle fonti di informazione e alla sicurezza dei beni e delle persone coinvolte, all'attività di polizia giudiziaria e di conduzione
delle indagini;d) quando i documenti riguardino la vita privata o la riservatezza di persone fisiche, persone giuridiche, gruppi, imprese e
associazioni, con particolare riferimento agli interessi epistolare, sanitario, professionale, finanziario, industriale e commerciale di cui
siano in concreto titolari, ancorché i relativi dati siano forniti all'amministrazione dagli stessi soggetti cui si riferiscono;e) quando i
documenti riguardino l'attività in corso di contrattazione collettiva nazionale di lavoro e gli atti interni connessi all'espletamento del
relativo mandato”.
191
Di seguito il contenuto dell‟art. 9 del D.Lgs. n. 322/1989:
“I dati raccolti nell'ambito di rilevazioni statistiche comprese nel programma statistico nazionale da parte degli uffici di
statistica non possono essere esternati se non in forma aggregata, in modo che non se ne possa trarre alcun riferimento
relativamente a persone identificabili)), e possono essere utilizzati solo per scopi statistici. I dati di cui al comma 1 non possono essere
comunicati o
diffusi se non in forma aggregata e secondo modalita' che rendano non identificabili gli interessati ad alcun soggetto
esterno, pubblico o
privato, ne' ad alcun ufficio della pubblica amministrazione. In ogni caso, i dati non possono essere utilizzati al fine di
identificare nuovamente gli interessati. In casi eccezionali, l'organo responsabile dell'amministrazione nella quale e' inserito l'ufficio di
statistica puo', sentito il comitato di cui all'art. 17, chiedere al Presidente del Consiglio dei Ministri l'autorizzazione ad estendere il
segreto statistico anche a dati aggregati. Fatto salvo quanto previsto dall'art. 8, non rientrano tra i dati tutelati dal segreto statistico gli
estremi identificativi di persone o di beni, o gli atti certificativi di rapporti, provenienti da pubblici registri, elenchi, atti o
documenti
conoscibili da chiunque”.
192
Meglio si dirà in tema di “Albo pretorio” pubblicato online nello specifico approfondimento al termine del Capitolo.
145
esenta l‟Ufficio dalla pubblicazione nella sezione “Amministrazione Trasparente”, in
quanto l‟obbligo di affissione degli atti all‟albo pretorio e quello di pubblicazione sui siti
istituzionali all‟interno della sezione “Amministrazione trasparente” svolgono funzioni
diverse. È opportuno, inoltre, considerare che la durata della pubblicazione dei documenti
nell‟albo pretorio on line non coincide, poiché inferiore193, con la durata della pubblicazione
dei dati sui siti istituzionali entro la sezione “Amministrazione trasparente” che l‟art. 8,
comma 3, del D.Lgs. n. 33/2013 fissa, come detto, a cinque anni.
Sia le Linee guida per i siti web della pubblica amministrazione del 2011 che il D.Lgs. n. 33/2013
sono da intendersi strettamente connessi alla Legge n. 4/2004 e ne presuppongono
l‟integrale rispetto: è impensabile, infatti, obbligare le amministrazioni a pubblicare
online alcune informazioni se non si dà per scontato che il relativo sito web risulti
già accessibile.
Volendo ora effettuare un confronto tra il diritto “digitale” all‟accesso civico (D.Lgs. n.
33/2013) e il classico diritto “analogico” all‟accesso ai documenti in possesso di una
Pubblica Amministrazione (L. n. 241/1990), si consideri quanto segue.
Nel nostro Paese, il diritto di accesso agli atti della PA è stato introdotto con la già citata L.
n. 241/90, Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti
amministrativi. La normativa è stata dunque pensata a scritta ben prima dello stesso avvento
di Internet. Pertanto, la sua ratio non può che essere “analogica”, connessa
indissolubilmente alla carta, anche se nel tempo il Legislatore si sia sforzato di effettuare
innesti a carattere informatico: ciononostante, l‟impianto e la logica rimangono analogiche.
Il diritto di accesso sin dalla sua genesi, risulta esercitabile soltanto in presenza di una
situazione legittimante. Interessati a far valere il diritto di accesso, ai sensi dell‟art. 22,
comma 1, lett b, si intendono dunque:
tutti i soggetti privati, compresi quelli portatori di interessi pubblici o diffusi, che abbiano
un interesse diretto, concreto e attuale, corrispondente ad una situazione
giuridicamente tutelata e collegata al documento al quale è chiesto l'accesso.
193
Si pensi, ad es., al periodo fissato dall‟art. 124, comma 1, del D.Lgs. 167/2000 (“Testo unico degli enti locali”) per la
pubblicazione nell‟Albo Pretorio di una delibera di un Consiglio comunale: n. 15 giorni.
146
Successivamente alla L. n. 241/1990, il legislatore è intervenuto disciplinando tre tipologie
di accesso con il D.P.R. 445/2000 Testo unico delle disposizioni legislative e regolamentari in materia
di documentazione amministrativa:
-
l‟accesso ai documenti da parte dei dipendenti dell‟amministrazione (art.58);
-
l‟accesso ai documenti da parte degli utenti (art.59);
-
l‟accesso ai documenti da parte delle altre amministrazioni (art.60).
Tali disposizioni ben si collegano con quelle dettate dalla L. n. 241/1990 , ponendosi a
completamento di essa, con una portata più organizzativa e sistematica.
Infine, l‟ultimo importante intervento legislativo in tema di diritto d‟accesso è intervenuto
con il Codice dell‟amministrazione digitale: l‟art. 52 del CAD disciplina l’accesso
telematico ai documenti informatici della amministrazioni pubbliche.
Secondo la disposizione in commento, le amministrazioni pubblicano nel proprio sito web,
precisamente all‟interno della sezione “Trasparenza, valutazione e merito”, poi superata
dalla sezione “Amministrazione trasparente” di cui al citato D.Lgs. n. 33/2013, il catalogo
dei dati, dei metadati e delle relative banche dati in loro possesso, in aggiunta ai regolamenti
che ne disciplinano l‟esercizio della facoltà di accesso telematico e il riutilizzo. Oltre a ciò, si
rende necessario definire, per ogni tipologia di accesso, un sistema di abilitazione all‟accesso
per i singoli soggetti interessati, nel rispetto della legge sulla tutela dei dati personali.
Il diritto di accesso civico (D.Lgs. n. 33/2013) si differenzia dal classico diritto di
accesso ai documenti amministrativi (L. n. 241/1990), non caratterizzato da
accessibilità totale.
Più nello specifico, possono essere messe in evidenza varie differenze con il diritto di
accesso „‟ordinario‟‟, quindi ai documenti cartacei dell‟Amministrazione, e più precisamente
il diritto di accesso civico si caratterizza per l‟oggetto, per le modalità e per il destinatario:
●
l‟oggetto: l‟accesso civico si può estrinsecare solo nei confronti degli atti la cui
pubblicazione online sia obbligatoria, richiamata dallo stesso D.Lgs. n. 33/2013;
●
la modalità: l‟accesso civico, a differenza di quello ordinario ai documenti
amministrativi, non necessita di domanda motivata che si basi su un interesse qualificato,
non è quindi sottoposto a limitazione alcuna, ed è completamente gratuito;
●
il destinatario della domanda: nell‟ accesso „‟ordinario‟‟ la domanda viene presentata
generalmente agli Uffici Relazioni con il Pubblico (anche se il responsabile dei relativi
147
procedimenti è il vertice dell‟ufficio che ha formato l‟atto o che detiene lo stesso
stabilmente), invece nell‟accesso civico la domanda deve essere presentata al Responsabile
per la trasparenza.
Da quanto sopra ne discende di conseguenza come la generale disciplina di favore per la
trasparenza online, intesa come quasi assoluta conoscibilità di ogni “prodotto” della
pubblica amministrazione, finirà progressivamente nel tempo per relegare il ruolo del
diritto di accesso ordinario, e della relativa competenza degli uffici Relazioni con il
Pubblico, ad un ambito residuale e marginale.
Il diritto di accesso all‟informazione è regolato da norme conosciute internazionalmente
come “Freedom of Information Acts” (FOIA). In base ad esse la Pubblica
Amministrazione ha obblighi di informazione, pubblicazione e trasparenza e i cittadini
hanno diritto a chiedere ogni tipo di informazione prodotta e posseduta dalle
Amministrazioni che non contrastino con la sicurezza nazionale o la privacy.
Storicamente, il primo FOIA è stato quello degli Stati Uniti d‟America, emanato il 4 luglio
1966 durante il mandato del presidente Lyndon B. Johnson. Il Freedom of Information Act
ha aperto a giornalisti e studiosi l'accesso agli archivi di Stato statunitensi, ivi compresi
molti documenti riservati e coperti da segreto di Stato. Il provvedimento costituisce un
punto di riferimento legislativo importante, volto a garantire la trasparenza della Pubblica
Amministrazione nei confronti del cittadino e il diritto di cronaca e la libertà di stampa dei
giornalisti. La legge è stata emendata negli anni. Con le modifiche apportate nel 1996 si è
infine normato l'accesso ai documenti elettronici, da ciò derivando il nome
dell‟emendamento: Electronic Freedom of Information Act (E-FOIA).
A livello europeo la Corte dei Diritti dell‟Uomo ha riconosciuto l‟accesso alle informazioni
detenute dai Governi come diritto. Complessivamente al mondo oltre 90 Paesi hanno
approvato un FOIA, ma non l‟Italia.
Nel nostro Paese operano da alcuni anni gruppi di attivisti, la cui azione sta conducendo a
dei passi legislativi nel settore. In base all‟art. 1 della Legge 7 agosto 2015 n. 124, il
Governo è stato recentemente delegato ad adottare uno o più decreti legislativi attuativi di
una serie di principi e criteri, anche al fine di una piena attuazione del “diritto [di cittadini e
imprese] di accedere a tutti i dati, i documenti e i servizi di loro interesse in modalità
digitale”. Ovviamente non si può parlare, già, di piena attuazione del FOIA in Italia, ma
occorre attendere i decreti attuativi, nella speranza che i principi di fondo del FOIA, già
148
elencati nel condivisibile progetto FOIA4Italy194, siano affermati: assenza di un obbligo di
motivazione e di interesse giuridicamente rilevante per chi chiede l‟accesso, quindi
superamento di taluni ostacoli dettati dalla Legge n. 241/1990; applicazione non solo alle
Amministrazioni ma anche alle società partecipate e ai gestori di servizi pubblici; rapidità
delle risposte delle Amministrazioni; eccezioni all‟accesso chiare e tassative; accesso sempre
gratuito (in caso di accesso analogico solo il costo effettivo di riproduzione e di eventuale
spedizione); se un‟informazione è oggetto di almeno tre distinte richieste di accesso presso
una medesima Amministrazione, allora l‟informazione deve essere pubblicata all‟interno
della sezione “Amministrazione Trasparente” del sito web istituzionale dell‟Ente; rimedi
giudiziari e stragiudiziali, in caso di accesso negato, particolarmente veloci e non onerosi
per il richiedente; previsione di sanzioni in caso di accesso illegittimamente negato.
2.13. Open Government
La continua evoluzione della complessa e farraginosa macchina amministrativa ha, nel
corso del tempo, comportato il radicale ripensamento delle logiche di trasparenza e
accessibilità da parte di cittadini ed imprese, anche e soprattutto attraverso l'utilizzo sempre
più diffuso e comune delle tecnologie della comunicazione e della informazione.
E' innegabile, infatti, che tale evoluzione sia in gran parte dovuta alla spinta sempre più
forte esercitata da soggetti esterni alle PP.AA. che hanno preteso di poter esercitare i propri
diritti di comunicazione telematica nei confronti delle amministrazioni nonché di ottenere
trasparenza ed accessibilità alle informazioni pubbliche.
Ciò ha comportato l'avvio di un inarrestabile percorso di continua apertura delle PP.AA.
verso i cittadini e le imprese nonché degli utenti in generale.
Per descrivere tale situazione, è stato creato il movimento “Open Government Data”,
sviluppatosi inizialmente a livello globale.
Il movimento ha il fine di stimolare le Pubbliche Amministrazioni a rendere disponibili i
dati in loro possesso, generando in tal modo servizi che favoriscano la trasparenza e la
partecipazione, nonché una maggiore efficienza amministrativa.
Il movimento propone e sviluppa da anni percorsi innovativi di gestione del dato delle
194
Per un approfondimento del progetto FOIA4Italy si rinvia all‟URL: http://www.foia4italy.it/, consultato nel mese di
settembre 2015.
149
pubbliche amministrazioni e la cui definizione è contenuta nell‟art. 1, comma 1, lett. m) del
C.A.D.: “Il dato formato, o comunque trattato, da una Pubblica Amministrazione”.
In ambito governativo, il principio di Open Government Data ha ottenuto i suoi primi
riconoscimenti a seguito di alcune iniziative del Presidente U.S.A. Obama, a partire dal
2009195.
In Europa il primo passo verso l‟Open Government Data si è avuto con la “Dichiarazione
aperta sui servizi pubblici europei”, promossa da cittadini e organizzazioni non governative
nel 2009196.
Da ultimo, il vertice dei Capi di Stato e di Governo degli otto Paesi più industrializzati
(G.8) tenutosi a Lough Erne (Irlanda del Nord) il 17 e 18 giugno 2013 è giunto all‟adozione
di una vera e propria “Carta dei dati aperti (Open Data Charter)”, sul presupposto che
l‟apertura dei dati è un ottimo strumento per rendere più efficienti e trasparenti le
Amministrazioni e per stimolare la crescita economica.
Sono stati dettati cinque principi cardine:
1. Open Data by Default;
2. quantità e qualità dei dati aperti;
3. accessibilità dei dati per tutti;
4. utilizzazione dei dati aperti per un miglioramento della Governance;
5. utilizzazione dei dati aperti per la promozione dell‟innovazione.
Non si tratta di una mera dichiarazione di principi, in quanto gli Stati si sono dati una
deadline per la loro attuazione: l‟anno 2015197.
In Italia le prime affermazioni legislative del principio di Open Government si sono avute,
a livello regionale e non nazionale, a decorrere dal 2007 (Toscana, Puglia, Umbria,
Piemonte).
195
Il Memorandum di insediamento del 21 gennaio 2009, in tema di trasparenza e Open Government, rivolto ai Responsabili
dei dipartimenti e delle Agenzie della sua Amministrazione; la Direttiva “Open Government” dell‟8 dicembre 2009, che indica alle varie
Agenzie i tre principi da seguire (trasparenza, partecipazione e collaborazione dei cittadini); la “Open Government Initiative”, cioè
l‟insieme delle varie iniziative avviate dall‟Amministrazione federale per un Governo aperto e racchiuse in un apposito sito volto a
favorire una diretta partecipazione dei visitatori (www.whitehouse.gov).
196
La Dichiarazione si sostanzia nella proposta di un nuovo modello di politiche pubbliche, incentrato su trasparenza,
partecipazione e collaborazione. La proposta è rivolta ai Governi e alla Commissione Europea ai fini di una pronta traslazione di tali
principi nel Piano di eGovernment. I Ministri dell‟U.E. responsabili per le strategie di eGovernment hanno accolto la proposta con la
Dichiarazione conclusiva del vertice di Malmö (Svezia) del 18 novembre 2009, nella quale sono evidenziate le aspettative dei cittadini ad
un‟Amministrazione Pubblica aperta, flessibile e collaborativa, in grado quindi di affrontare, entro il 2015, le importanti sfide di questa
Era (economiche, ambientali, sociali). Gli obiettivi sottoscritti dai Ministri intervenuti sono molteplici, tra i quali, per la materia che ci
interessa: l‟avvio di servizi “user-centric” in grado di favorire l‟interazione tra cittadino e Amministrazione, per giungere, quindi, ad una
reale partecipazione attiva; una maggiore disponibilità della “Public Sector Information” (P.S.I.) per stimolarne il riuso; maggiore
trasparenza nei processi amministrativi.
197
Ogni Paese, a tal fine, dovrà redigere un “Piano di azione” entro il mese di ottobre 2013, oggetto di un successivo incontro
nel 2014. Si è proceduto, inoltre, alla precisa indicazione delle categorie di dati da aprire prioritariamente, sulla base del loro alto valore.
150
Nel medesimo periodo, a livello governativo, si è proceduto invece alla predisposizione di
atti pianificatori comprendenti al loro interno anche attività di Open Government Data,
come il Piano “eGovernment 2008-2012” del Ministro per la Pubblica Amministrazione e
l‟innovazione. Nell‟ottobre 2011 si è giunti alla pubblicazione, da parte del Ministro per la
Pubblica Amministrazione e l‟innovazione, del “Vademecum Open Data”198.
Da ultimo, ma non per importanza, nel percorso evolutivo dell‟Open Government Data
nel nostro Paese è necessario richiamare l‟”Action Plan” presentato dall‟Italia nel summit
internazionale “Open Government Partnership”, tenutosi a Brasilia (Brasile) il 17-18 aprile
2012, nel quale è esplicitata la programmazione nazionale intrapresa sul cammino dell‟Open
Government Data e le aree strategiche di riforma legislativa.
L‟Open Government, quindi, si basa su tre elementi199:
- Trasparenza: favorisce e promuove la responsabilita fornendo ai cittadini le informazioni
sulle attivita dell‟Amministrazione. Un‟Amministrazione trasparente, per questo, e
un‟Amministrazione più controllata e nel contempo più aperta e affidabile.
- Partecipazione: aumenta l‟efficacia dell‟azione amministrativa e migliora la qualita delle
decisioni dell‟Amministrazione. I cittadini devono perciò essere coinvolti nei processi
decisionali e potervi contribuire attivamente, anche grazie al ricorso alle tecnologie di
comunicazione attualmente disponibili e diffuse.
- Collaborazione: vede un coinvolgimento diretto dei cittadini
nelle attività
dell'amministrazione. Anche in tal senso l‟Open Government traccia uno scenario nuovo
nelle dinamiche di relazione tra l‟Amministrazione e i suoi stakeholder (essendo questi
ultimi i singoli cittadini, ma anche le organizzazioni non-profit e le imprese).
La combinazione simultanea di trasparenza, partecipazione e collaborazione ha avuto il
risultato di innovare profondamente le modalità operative dell‟Amministrazione Pubblica
ed i processi decisionali sui quali si basa.
Il principio dell‟Open Government ha trovato finalmente disciplina nazionale legislativa
con l‟art. 9 del D.L. n. 179/2012, convertito con la Legge n. 221/2012.
Questa norma, tra l'altro, ha riscritto l‟art. 52 C.A.D., in tema di accesso telematico e
riutilizzo dei dati delle Pubbliche Amministrazioni.
198
Vademecum
–
Open
Data
http://www.dati.gov.it/sites/default/files/VademecumOpenData.pdf
199
V. Vademecum – Open Data, cit., pagg. 14 e ss.
151
Formez,
reperibile
all'indirizzo
In base all‟art. 52 C.A.D., dal 19 marzo 2013 i dati e i documenti che le Amministrazioni
pubblicano con qualsiasi modalità in Rete senza l‟espressa adozione di una licenza standard
per il riutilizzo si devono intendere come dati di tipo aperto (Open Data by Default)200.
I dati privi di licenza, quindi, si considerano accompagnati da una licenza aperta; l‟eventuale
adozione di una licenza tra quelle previste dal decreto-legislativo 24 gennaio 2006, n. 36,
all‟articolo 2, comma 1 lett. h) va, invece, motivata201.
Un‟ultima norma finalizzata all‟apertura dei documenti, informazioni e dati della Pubblica
Amministrazione è quella contenuta nell‟art. 7 del D.Lgs. n. 33/2013, rubricato “Dati aperti
e riutilizzo”.
L‟art. 7 dispone che i documenti, le informazioni e i dati che le Pubbliche Amministrazioni
sono obbligate a pubblicare nei propri siti Web istituzionali, elencati nell‟Allegato 1 al
Decreto Legislativo di cui si tratta, devono essere in formato di tipo aperto ai sensi dell'art.
68 C.A.D. (come in seguito indicato) e riutilizzabili ai sensi della normativa in materia,
senza ulteriori restrizioni diverse dall‟obbligo di citare la fonte e di rispettarne l‟integrità.
Considerata l‟enorme mole di documenti, informazioni e dati che obbligatoriamente le
Amministrazioni devono oramai pubblicare online, occorre sottolineare come questa
semplice norma sia destinata a generare una profonda innovazione di Open Government
Data nel nostro Paese.
In Italia è stato anche pubblicato in data 18 ottobre 2011, sulla scia di altre esperienze
estere, un portale governativo di riferimento nel processo di apertura dei dati pubblici:
www.dati.gov.it.
Si segnala, infine, che in data 20 settembre 2016 è stata pubblicata la versione definitiva del
Terzo Piano d‟Azione (2016-2018) dell‟Italia nell‟ambito dell‟Open Government
Partnership202.
200
In base ai commi 6 e 7 dell‟art. 52 C.A.D., l‟Agenzia per l‟Italia Digitale riveste un ruolo cardine e di coordinamento
nell‟attuazione dell‟ Open Government Data, lungo tre direttive: predispone l‟Agenda nazionale, volta a definire la strategia di
valorizzazione del patrimonio pubblico attraverso il rilascio di dati aperti, in linea con le indicazioni contenute nell‟Agenda digitale italiana
ed europea; predispone le Linee Guida nazionali per l‟attuazione della normativa sui dati aperti, nelle quali sono anche definite le
modalità di accesso telematico ai dati e le regole di riutilizzo, con individuazione, inoltre, degli standard tecnici, delle procedure e, in linea
generale, delle modalità di attuazione della parte del C.A.D. (Capo V, artt. 50-66) il cui effettivo recepimento da parte delle Pubbliche
Amministrazioni è valutabile ai fini delle performance dirigenziali; predispone il Rapporto sullo stato di avanzamento del processo di
valorizzazione del patrimonio pubblico, sulla base di quanto attuato dalle Amministrazioni rispetto all‟Agenda nazionale e alle Linee
Guida. I tre documenti ora richiamati hanno cadenza annuale, con aggiornamento all‟inizio di ogni anno.
201
M. Ragone, “Focus: Open Data e riuso”, in Commento al D.Lgs. 82/2005 dopo le modifiche apportate" Realizzato dal
Digital&Law Department Studio Legale Lisi col patrocinio di ANORC e FORUM PA – Giugno 2014, Edizioni FORUM PA, pag. 241,
reperibile all'indirizzo http://profilo.forumpa.it/doc/?file=2014/Commentario_CAD.pdf
202
Reperibile all'indirizzo internet http://open.gov.it/wp-content/uploads/2016/09/2016-09-23-Terzo-Piano-Azione-OGPNazionale-FinaleDEF_m.pdf, consultato nel mese di novembre 2016.
152
2.13.2. Open Data
Uno degli strumenti più efficaci, al fine di realizzare diffusamente la dottrina dell'Open
Government, è quello già citato dell'Open Data.
Le pubbliche amministrazioni, infatti, per le loro finalità e nello svolgimento delle proprie
funzioni, normalmente raccolgono, organizzano e gestiscono una vasta quantità di dati
pubblici203.
Tuttavia, col passare degli anni, l‟autonomia delle singole amministrazioni e le modalita di
gestione dei dati hanno contribuito a creare isole di informazioni, con scarsa visione
sistemica, nonostante alcuni significativi interventi normativi tendessero a favorire un
maggior livello di integrazione e condivisione dei dati tra le amministrazioni204.
Del resto, l'attuale situazione socio-economica e l‟opportunita di sviluppo e di competitività
che un utilizzo sistemico delle tecnologie digitali possono portare, impongono di non
considerare più tali tecnologie beni strumentali, ma leve di innovazione e di politica
economica. In tal senso la Digital Agenda for Europe e l‟Agenda Digitale Italiana
considerano l‟uso pervasivo delle tecnologie ICT come opportunita per fornire sviluppo,
occupazione e benessere sociale.
Da questo angolo di visuale, i dati pubblici delle amministrazioni, che solo fino a poco
tempo fa avevano un ruolo esclusivamente funzionale al perseguimento dei compiti
istituzionali delle amministrazioni, assumono una differente valenza in termini di stimolo
dell‟economia digitale, sviluppo dell‟innovazione e trasparenza amministrativa.
Essi rappresentano un vero e proprio patrimonio informativo, cui corrisponde un valore
economico che deve essere necessariamente considerato come volano per lo sviluppo del
mercato, per la nascita di nuove figure professionali e per il supporto alle decisioni di ogni
organo politico, anche locale, cosi come accade in altri Paesi205.
Una definizione comunemente accettata di Open Data è quella fornita dall‟Open Data
Manual, che definisce gli Open Data come dati che possono essere liberamente utilizzati,
203
V. le “Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico (ANNO 2014)”, allegate alla
Determinazione
Commissariale
AG.I.D.
n.
95/2014
e
reperibili
all'indirizzo
internet
http://www.agid.gov.it/sites/default/files/linee_guida/patrimoniopubblicolg2014_v0.7finale.pdf
204
V. le “Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico (ANNO 2014)”, cit.
205
V. le “Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico (ANNO 2014)”, cit.
153
riutilizzati e redistribuiti, con la sola limitazione – al massimo – della richiesta di
attribuzione dell‟autore e della redistribuzione allo stesso modo (ossia senza che vengano
effettuate modifiche”. Un insieme di dati pubblicati prende il nome di dataset206.
L‟Open Data in genere è caratterizzato dai seguenti principi207:
- Disponibilità e accesso: i dati devono essere disponibili nel loro complesso, per un prezzo
non superiore a un ragionevole costo di riproduzione, preferibilmente mediante
scaricamento da Internet. I dati devono essere inoltre disponibili in un formato utile e
modificabile.
- Riutilizzo e ridistribuzione: i dati devono essere forniti a condizioni tali da permetterne il
riutilizzo e la ridistribuzione. Ciò comprende la possibilita di combinarli con altre basi di
dati.
- Partecipazione universale: tutti devono essere in grado di usare, riutilizzare e ridistribuire
i dati. Non devono essere poste discriminazioni di ambiti di iniziativa in riferimento a
soggetti o gruppi. Per esempio, il divieto di utilizzare i dati per scopi commerciali o le
restrizioni che permettono l‟uso solo per determinati fini (quale quello educativo) non sono
contemplabili.
Occorre, a questo punto, fare riferimento alle definizioni riportate nell'art. 68, comma 3, del
CAD, come modificato dalle norme contenute nell‟art. 9 del DL n. 179/2012, convertito
con la Legge n. 221/2012, ove si definisce:
a) formato dei dati di tipo aperto, un formato di dati reso pubblico, documentato
esaustivamente e neutro rispetto agli strumenti tecnologici necessari per la fruizione dei dati
206
V. Vademecum OpenData cit. pagg. 19 e ss. Per “dataset” si intende una rappresentazione in memoria volatile di un insieme
di dati strutturati in forma relazionale (cfr. P. Rob, C. Coronel, Database Systems: Design, Implementation, and Management, Boston,
Course Technology, 2007, p. 580).
207
Vademecum OpenData cit. pagg. 19 e ss. Per garantire l'effettività di tali principi è necessario che i dati – per considerarsi
aperti in base agli standard internazionali – siano:
- Completi. I dati devono comprendere tutte le componenti (metadati) che consentano di esportarli, utilizzarli on line e off
line, integrarli e aggregarli con altre risorse e diffonderli in rete.- Primari. Le risorse digitali devono essere strutturate in modo tale che i
dati siano presentati in maniera sufficientemente granulare, cosi che possano essere utilizzate dagli utenti per integrarle e aggregarle con
altri dati e contenuti in formato digitale; - Tempestivi. Gli utenti devono essere messi in condizione di accedere e utilizzare i dati presenti
in rete in modo rapido e immediato, massimizzando il valore e l‟utilita derivanti da accesso e uso di queste risorse;- Accessibili. I dati
devono essere resi disponibili al maggior numero possibile di utenti senza barriere all‟utilizzo, quindi preferibilmenteattraverso il solo
protocollo Hypertext Transfer Protocol (HTTP) e senza ilricorso a piattaforme proprietarie. Devono essere inoltre resi disponibili senza
alcuna sottoscrizione di contratto, pagamento, registrazione o richiesta.- Leggibili da computer. Per garantire agli utenti la piena libertà di
accesso e soprattutto di utilizzo e integrazione dei contenuti digitali, è necessario che i dati siano machine-readable, ovvero processabili
inautomatico dal computer.- In formati non proprietari. I dati devono essere codificati in formatiaperti e pubblici, sui quali non vi siano
entità (aziende o organizzazioni) che ne abbiano il controllo esclusivo. Sono preferibili i formati con le codifiche più semplici e
maggiormente supportati.- Liberi da licenze che ne limitino l‟uso. I dati aperti devono essere caratterizzati da licenze che non ne limitino
l‟uso, la diffusione o la redistribuzione.- Riutilizzabili. Affinche i dati siano effettivamente aperti, gli utenti devono essere messi in
condizione di riutilizzarli e integrarli, fino a creare nuove risorse, applicazioni e servizi di pubblica utilità.- Ricercabili. I dati devono essere
facilmente identificabili in rete, grazie a cataloghi e archivi facilmente indicizzabili dai motori di ricerca.- Permanenti. Le peculiarita fino
ad ora descritte devono caratterizzare i dati nel corso del loro intero ciclo di vita.
154
stessi;
b)
dati
di
tipo
aperto,
i
dati
che
presentano
le
seguenti
caratteristiche:
1) sono disponibili secondo i termini di una licenza che ne permetta l'utilizzo da parte di
chiunque,
anche
per
finalità
commerciali,
in
formato
disaggregato;
2) sono accessibili attraverso le tecnologie dell'informazione e della comunicazione, ivi
comprese le reti telematiche pubbliche e private, in formati aperti ai sensi della lettera a),
sono adatti all'utilizzo automatico da parte di programmi per elaboratori e sono provvisti
dei relativi metadati;
3) sono resi disponibili gratuitamente attraverso le tecnologie dell'informazione e della
comunicazione, ivi comprese le reti telematiche pubbliche e private, oppure sono resi
disponibili ai costi marginali sostenuti per la loro riproduzione e divulgazione.
La definizione di "formato dei dati di tipo aperto" fa riferimento agli aspetti tecnologici e
risulta finalizzato ad assicurare un adeguato livello di interoperabilità.
E' invece direttamente collegata alle caratteristiche del dato la definizione di "dati di tipo
aperto" che contempla tre requisiti essenziali:
• la disponibilita del dato, che questa nuova accezione qualifica con maggiore precisione
consentendo di escludere dalla definizione di dato pubblico disponibile il dato pubblico
(quindi potenzialmente conoscibile) cui e associata una tipologia di licenza che non
consente il libero uso del dato stesso;
• l'accessibilita del dato, che richiama l'aspetto tecnologico del formato aperto in cui il dato
viene reso disponibile e richiede l'effettiva presenza dei metadati relativi al dato medesimo;
• la gratuità del dato o la sua disponibilità a costi marginali, salvo casi eccezionali da definire
con atto dell'Agenzia per l'Italia Digitale.
Il dato di tipo aperto è, quindi, un dato della pubblica amministrazione, conoscibile
(pubblico), a cui è associata una licenza che ne consente il libero utilizzo (disponibile) e che
abbia le caratteristiche di accessibilità e gratuità come sopra definite.
E‟ inoltre importante notare la netta distinzione tra i concetti di condivisione dei dati e dati
di tipo aperto.
Mentre la condivisione di dati riguarda solitamente contesti ristretti (e.g., tra pubbliche
amministrazioni o enti con finalità pubbliche) e può agire sulla base di uno determinato
scopo di condivisione e su un insieme di dati specifici, inclusi anche dati personali, i dati
155
aperti sono invece tipicamente (i) non riferibili a singole persone e (ii) disponibili
gratuitamente per l‟uso, il riutilizzo e la distribuzione da parte di chiunque anche per finalita
commerciali, soggetti al massimo alla richiesta di indicare la fonte di provenienza dei dati e
di riutilizzarli secondo gli stessi termini per cui sono stati licenziati originariamente208.
Infine, molto recentemente, con l‟art. 24-quinquies del D.L. 24 giugno 2014, n. 90,
convertito in L. 11.08. 2014, n. 114, è stato modificato il comma 2 dell‟art. 58 del CAD.
L‟articolo, rubricato “Comunicazioni tra le pubbliche amministrazioni”, ha introdotto
l‟obbligo per le PP.AA. di comunicare tra loro, attraverso la messa a disposizione a titolo
gratuito degli accessi alle proprie basi di dati alle altre amministrazioni mediante la
cooperazione applicativa di cui all‟art. 72, comma 1, lettera e) del CAD, finalizzata
all'interazione tra i sistemi informatici delle pubbliche amministrazioni per garantire
l'integrazione dei metadati, delle informazioni e dei procedimenti amministrativi.
Inoltre, l‟AgID, sentiti il Garante per la protezione dei dati personali e le amministrazioni
interessate alla comunicazione telematica, dovrà definire gli standard di comunicazione e le
regole tecniche a cui le pubbliche amministrazioni dovranno conformarsi.
Al riguardo, è altrettanto importante ricordare che lo stesso art. 58, al comma 1, stabilisce
un altro principio fondamentale, ossia che il trasferimento di un dato da un sistema
informativo ad un altro non modifica la titolarità del dato.
In conclusione, va fatto anche un cenno all'evoluzione degli Open Data, la quale è basata
sui c.d. Linked Open Data, ossia dati collegati tra di loro, secondo la logica del web
semantico e dell'interoperabilità.
Per collegare i dati tra loro, occorre stabilire un link diretto quando i dati (possibilmente
provenienti da diverse sorgenti) si riferiscono a oggetti identici o comunque relazionati tra
loro.
Tale collegamento diretto si manifesta come la possibilità di «saltare» da un dataset all‟altro,
ad esempio quando si vuole accedere a dati (come i dettagli su una particolare entità) che
non si posseggono all‟interno209.
208
Al riguardo cfr le “Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico (ANNO 2014)”, cit., da
cui è stato ripreso il brano.
209
Per fare questo, se i dati non sono «collegati» (linked) occorre in qualche modo creare questi link, processando i dati a mano
o attraverso algoritmi ad hoc. Questo processo può non essere banale e sicuramente è una barriera al riuso organico dei dati. Nei
cosiddetti Linked Data, questi collegamenti e relazioni tra le entità descritte nei dataset sono espliciti. Definizione pubblicata nella pagina
Web dedicata ai Linked data nel sito ufficiale dell‟Associazione “Linked Open Data Italia – L.K.D.I. O.N.L.U.S.”, che ne promuove in Italia
l‟adozione: http://www.linkedopendata.it/semantic-web, consultato nel mese di giugno 2013. Per ulteriori approfondimenti in tema di
interoperabilità semantica, Linked Data e Open Government, si rimanda a: G. Cogo, La cittadinanza digitale. Nuove opportunità tra diritti e doveri,
Roma, Edizioni della Sera, 2010, pp. 129-145.
156
2.14. Social network nella PA.
La materia dei servizi pubblici on line è stata per la prima volta compiutamente disciplinata
attraverso l‟emanazione di “Linee Guida per i siti web della PA”210, mediante le quali sono stati
forniti ai vari enti amministrativi dei criteri guida per lo sviluppo, la gestione e
l‟aggiornamento dei siti web istituzionali, molto spesso obsoleti.
Alle Linee Guida è poi seguita la pubblicazione di appositi Vademecum211 di
approfondimento, redatti con lo scopo di fornire alle Pubbliche Amministrazioni
indicazioni operative su specifici temi, con lo scopo ultimo di rendere integralmente
attuabili le predette Linee Guida.
In dettaglio, il Vademecum del 2011 destinato a regolare l‟uso dei social media in seno alla
PA consente agli operatori interni212 ad un pubblica amministrazione di comprendere le
modalità con cui è possibile la comunicazione tra Ente ed utenti attraverso canali social,
incentivando la fruizione di nuove dinamiche di dialogo e partecipazione.
Invero, il suddetto documento si occupa in una prima parte di fornire raccomandazioni
generali sull‟uso dei social, sulle particolari modalità di creazione degli account (affinché gli
stessi siano riferibili univocamente ad una specifica amministrazione), sulle tipologie di
ascolto e risposta alle istanze avanzate dai cittadini tramite i canali sociali, sulla gestione dei
tempi di azione e reazione dell‟account pubblico, etc. Nella seconda parte, invece, il
Vademecum compie un‟analisi più dettagliata delle principali piattaforme presenti sul
web213, illustrandone i termini di servizio e le finalità d‟uso per cui le stesse sono pensate.
Comprendere compiutamente gli strumenti tecnologici, il loro significato e utilizzo, e avere
coscienza delle potenzialità degli stessi è l‟unico modo per evitare che forme di
condivisione mediatiche si rivelino dannose per l‟immagine dell‟Ente pubblico.
Così come richiesto e prescritto nella Direttiva n. 8 del 2009 emanata dal Ministero per la pubblica amministrazione e
l‟innovazione.
211
Nella materia in questione, nel dicembre del 2011, è stato realizzato il Vademecum “Pubblica Amministrazione e social media”,
curato da Formez PA.
212
Il vademecum è indirizzato principalmente a figure rappresentative dell‟Ente, quali: il Responsabile del procedimento di
pubblicazione dei contenuti sui siti, il Responsabile dell‟accessibilità informatica, il Responsabile dei sistemi informativi, il Capo Ufficio
stampa, il Responsabile U.R.P. e un eventuale community manager.
213
Tra tutte, Facebook, Twitter e You Tube.
210
157
Invero, il mutamento delle forme comunicative presenti sul mercato ha imposto anche alla
pubblica amministrazione un aggiornamento dei propri registri e stili interattivi che fosse al
passo con i tempi, con il fine ultimo di soddisfare al meglio i bisogni degli utenti, fornendo
altresì servizi efficienti e immediati.
Sempre più spesso l‟informazione passa attraverso canali alternativi, se paragonati a quelli
classici istituzionali, utilizzando strumenti moderni di comunicazione quali i c.d. social
network.
Con tale termine si suole far riferimento alle più comuni reti sociali che mettono in
comunicazione diversi utenti, creando o rinsaldando relazioni e favorendo l‟adesione a
iniziative, eventi, incontri e simili.
Nel perseguire l‟obiettivo della massima trasparenza nel rapporto con il cittadino, anche la
PA si avvale sovente dei suddetti strumenti, incentivando l‟utilizzo di nuove modalità di
interazione e di cittadinanza attiva, abbandonando le vecchie logiche di autoreferenzialità
che hanno caratterizzato, in passato, l‟agire degli enti pubblici.
Il Web 2.0214 ha consentito alle PA di sfruttare i social media per rivoluzionare il dialogo con
il cittadino, in un‟ottica di condivisione di informazioni e contenuti; il web diventa, quindi,
una piattaforma sulla quale far “girare” le varie applicazioni, consentendo di creare relazioni
sociali non vincolate all‟utilizzo del pc, in quanto condivise in rete, in gruppi o comunità di
appartenenza.
La ePartecipation rappresenta appieno una concretizzazione del diritto all‟uso delle soluzioni
e degli strumenti del CAD nei rapporti tra qualsiasi soggetto giuridico e le Pubbliche
Amministrazioni, garantito dall‟art. 3 del CAD, oltre che un‟applicazione dei principi
fondamentali in materia di eDemocracy.
È ben evidente che la presenza attiva sui social network è frutto di una scelta della PA, non
essendoci alcuna normativa che impone specificamente un‟attività di tal genere.
Tuttavia, è estremamente interessante monitorare l‟evoluzione delle dinamiche relazionali
che si instaurano tra PA e utenti, in stretta connessione con l‟utilizzo dei social network.
Invero, l‟elemento caratterizzane dei social media è dato dall‟essere essi stessi strumenti di
partecipazione diretta, prima ancora che di comunicazione.
Il Web 2.0 è un termine coniato per indicare uno stato dell‟evoluzione del World Wide Web, rispetto a una condizione
precedente. Si fa riferimento, cioè, all‟insieme di tutte quelle applicazioni online che permettono un elevato livello di interazione tra il sito
web e l‟utente come, per esempio, i blog, i forum, le chat, i wiki, le piattaforme di condivisione di media (come Flickr,YouTube, Vimeo) e
i social network (come Facebook, Myspace, Twitter, Google+, Linkedin, etc.). Il termine web 2.0 è stato utilizzato per la prima volta nel
2004 da Tim O‟Reilly durante una conferenza.
214
158
Ecco perché oggi, affianco ai siti istituzionali, moltissimi comuni italiani sono presenti sui
social: tale scelta è giustificata dalla necessità indifferibile di conoscere i luoghi virtuali che il
cittadino frequenta abitualmente, il suo livello di soddisfazione in merito ai servizi pubblici
offerti e il grado di condivisione dei progetti posti in essere. Tutto ciò ha come fine ultimo,
lo si ripete, lo sviluppo di nuove modalità di partecipazione e interazione, garantendo al
contempo una maggiore trasparenza ed efficienza.
Un‟opzione innovativa di tal genere può, altresì, essere giustificata da motivazioni meno
sociologiche ma certamente più pratiche, e per questo non meno importanti, ovvero il
risparmio di spesa nell‟utilizzo dei social network. In termini prettamente economici, una
PA che apre un account su un social non sostiene in concreto costi ulteriori, ad esclusione
di limitate spese di gestione che, tuttavia, sono ben ammortizzate se commisurate alla
rilevante possibilità di monitorare in tempo reale i risultati delle iniziative promosse o la
condivisione delle scelte effettuate nell‟interesse dell‟utenza, diffondendo informazioni in
maniera istantanea e capillare.
Ciò consente di individuare facilmente le preferenze dei destinatari dei pubblici servizi,
orientando altresì le attività successive dell‟Ente nella direzione maggiormente partecipata,
con un risparmio di tempo e risorse.
Come dimostrato da studi di settore, infatti, un cittadino su due (48,1% degli italiani)
discute e si informa dei servizi della Pubblica Amministrazione tramite social network, tra i
quali i più popolari sono indubbiamente Twitter (62%) e Facebook (37%)215.
Sugli account degli enti pubblici possono essere reperiti contenuti di svariato genere, a
carattere informativo o di servizio, come per esempio opportunità offerte a cittadini e
imprese, bandi, fondi disponibili, eventi e notizie istituzionali.
Si creano così degli sportelli virtuali che raccolgono manifestazioni di approvazione ma
anche di insoddisfazione da parte dei cittadini, consentendo agli stessi di segnalare eventuali
problematiche o emergenze da sottoporre in tempo reale all‟attenzione della PA.
L‟informazione si muove oggi non più, e non solo, su un canale monodirezionale che parte
dalla PA e ha come destinatario ultimo il cittadino; questo è possibile solo grazie ad
un‟attività d‟interazione attiva, che coinvolge l‟utente nelle scelte dell‟amministrazione,
favorendo la creazione di un dialogo partecipativo e responsabile.
I dati in questione sono riportati sul sito dell‟Agenda Digitale, in un interessante articolo di Laura Vergani, che si inserisce
nell‟ambito
del
progetto
seguito
dall‟Osservatorio
di
eGovernment
del
Politecnico
di
Milano;
cfr.
http://www.agendadigitale.eu/egov/599_la-pa-coinvolge-il-cittadino-con-i-social-network.htm, consultato nel mese di novembre 2016.
215
159
Dei recentissimi studi di settore hanno dimostrato, tuttavia, che l‟utilizzo degli strumenti
social segue logiche differenti a seconda dell‟Ente locale di riferimento; in particolare,
l‟ANCI (Associazione Comuni Italiani) ha appurato che nel 2016 la presenza social dei
comuni italiani è ancora molto bassa: solamente il 6% circa degli oltre 8mila comuni italiani
possiede un account sui principali social network. Invece, per quanto riguarda le Regioni
emerge che la maggioranza di queste possiede sia un account Twitter che Facebook216.
Pare opportuno chiarire, però, che l‟uso dei social network non va a sostituire i classici canali
istituzionali di comunicazione, per i quali è comunque previsto l‟obbligo di efficienza,
chiarezza e revisione continua. Ciò si giustifica anche in considerazione del fatto che non
tutti i cittadini dispongono di account social, per libera scelta o per incapacità personale;
pertanto, l‟Ente deve garantire la comunicazione, la partecipazione e il dialogo on line anche
a coloro che non sono iscritti sulle varie piattaforme sociali, pena la violazione del principio
costituzionale di uguaglianza.
Si auspica, infatti, che i social network siano dei meri servizi integrativi che permettano di
raggiungere più facilmente l‟utenza, consentendole di interagire con la PA mediante
strumenti di uso quotidiano, per coloro i quali decidano liberamente di avvalersene.
La manutenzione del sito istituzionale e il suo continuo aggiornamento diventano una
necessità primaria per la PA che decida di presidiare i social: è proprio a quel portale
principale, invero, che ogni discussione mediatica farà riferimento per l‟erogazione di un
servizio o per il reperimento di dati ufficiali.
Il social network resta dunque un ottimo strumento per veicolare e pubblicizzare le
informazioni che, tuttavia, resterebbero prive di riscontro senza un contestuale
reindirizzamento al sito web preposto, che assume il ruolo di vero e proprio front office
dell‟Amministrazione.
Ad essere innovato è, quindi, anche il concetto stesso di trasparenza, che da obbligo
normativo diventa un precipitato logico della politica di apertura della PA nei confronti dei
cittadini, con consequenziale accesso agevolato ai dati e alle informazioni pubbliche
detenute, oltre che con un proporzionale aumento di fiducia nelle relazioni con le
istituzioni.
Tali risultati, frutto di un progetto di ricerca presentato dalla giurista Morena Ragone, sono stati resi noti al convegno su
social network e sentiment analisys che si è tenuto nel maggio 2016 a ForumPA. Interessante, al riguardo, l‟articolo di Micaela Pinola,
reperibile all‟URL Http://www.techeconomy.it/2016/05/27/social-network-pa/, consultato nel mese di dicembre 2016.
216
160
Invero, un cittadino consapevole e informato collabora più facilmente con l‟ente pubblico
che, in piena trasparenza, dimostra di avere interesse alle opinioni e alla condivisione.
sociale dei propri progetti.
Ad ogni modo, lo sforzo organizzativo e strutturale richiesto ad una PA non è di poco
conto se relazionato alla complessità degli strumenti adoperati: perché l‟opera di
comunicazione sia veramente efficace è necessario che l‟ente pubblico comprenda appieno
le dinamiche sottese all‟utilizzo dei social, adeguando alle suddette dinamiche non solo le
proprie competenze tecniche, ma altresì il contesto culturale di riferimento e il linguaggio
utilizzato.
Ecco perché sempre più frequentemente sono svolti studi e ricerche in materia,
monitorando le attività, le conversazioni o le discussioni mediatiche di campioni di utenza,
al fine di meglio comprendere il modus operandi del cittadino internauta, le sue esigenze e la
percezione che lo stesso ha dell‟agire dell‟Ente.
Inoltre, non costituisce un aspetto trascurabile la necessità di assegnare ruoli e
responsabilità ben definite all‟interno del gruppo, facente capo all‟amministrazione
pubblica, che si occupa della gestione di siti e social network: solo in questo modo si potrà
garantire che siano fornite risposte celeri e che le stesse provengano da soggetti legittimati.
Sarebbe auspicabile che per ogni Ente ci fosse un community manager, ovvero un
soggetto espressamente addetto alla gestione della comunità virtuale e alle comunicazioni
social, così da coordinare e gestire in modo organico e controllato l‟attività in rete della PA.
Invero, è bene precisare, poi, che la scelta da parte di una PA di presidiare uno o più social
network comporta che, al pari dei siti web tradizionali, sia rispettata la principale normativa di
settore, concernente la protezione del diritto d‟autore e del diritto alla privacy, oltre che,
ovviamente, la disciplina contenuta nel codice dell‟amministrazione digitale.
Tutto ciò è ancora più comprensibile se si considera che registrandosi ad uno degli svariati
social presenti sul mercato si conclude con il suo gestore un vero e proprio contratto a
oggetto informatico (c.d. contratto di social networking), con accettazione delle clausole e dei
contenuti unilateralmente predisposti.
Ecco perché nel caso in cui un Ente decida di registrarsi e creare un profilo social,
accettando incondizionatamente i termini del servizio offerto dal provider, si presume che
stia compiendo una scelta ponderata e consapevole.
161
Sarebbe, pertanto, opportuno che tutti gli Enti si dotassero di una “social media policy”,
ovvero di un documento formale nel quale vengono definite le norme di comportamento e
i regolamenti in merito all‟uso dei social media, rivolte sia ai dipendenti di
un‟organizzazione che agli utenti con cui questa entra in contatto attraverso i canali di
comunicazione istituzionale online.
In dettaglio, ai sensi del Vademecum “Pubblica Amministrazione e Social Network”,
precedentemente citato, la policy interna all‟Ente deve contenere due tipi di indicazioni
principali:
•
generali, attinenti alle modalità di presenza in Rete e alle regole di comportamento
dei dipendenti nella gestione della presenza on line dell‟Ente, alle modalità di interazione
con i cittadini, alle strategie di interazione generali, alla filosofia di presenza in Rete, etc.;
•
specifiche, che attengono alle regole di gestione dei singoli siti come Facebook,
Twitter, YouTube; il documento deve fornire indicazioni sulla tipologia di contenuti
pubblicabili e sul tipo di licenza, sul soggetto che si deve occupare di gestire i profili
specifici di ogni sito di social networking, sulle modalità di gestione del feedback in ogni
contesto e altro ancora.
Come risulta facile intuire da quanto sinora esplicato, la gestione di canali social è da
intendersi come un lavoro definito e assorbente, non limitabile a sporadici interventi. La
strutturazione di canali social, quindi, è auspicabile che avvenga nelle Pubbliche
Amministrazioni nella consapevolezza dell‟impegno e dedizione di risorse che ciò richiede,
diversamente la (cattiva) comunicazione può ritorcersi con estrema velocità avverso
all‟ente.
CAPITOLO III
INFORMATICA GIURIDICA E SOCIETA‟
3.1.1. Trattamento dei dati personali
Il Codice in materia di protezione dei dati personali, anche definito come “Codice Priavcy”,
trova la sua disciplina nel D.Lgs. 30 giugno 2003, n. 196 ed è entrato in vigore il 1
gennaio 2004.
162
Si tratta di un Testo Unico chiaro e semplice mediante il quale il legislatore ha dato vita ad
un nuovo sistema di tutela del “dato personale”, sostituendo la previgente normativa
contenuta nella Legge n. 675/1996. A quest‟ultima, pur tuttavia, va riconosciuto il rilevante
pregio di aver diffuso la consapevolezza dell‟esistenza di una sfera inviolabile meritevole di
tutela per ciascun individuo.
Accanto alla fonte normativa nazionale, il 4 Maggio 2016 è stato pubblicato nella Gazzetta
Ufficiale dell'Unione Europea il “Regolamento europeo n. 679/2016 relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali
dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
Il Regolamento mira a garantire una disciplina sulla protezione dei dati personali uniforme
ed omogenea in tutta la UE, al fine di assicurare un livello coerente ed elevato di protezione
e rimuovere gli ostacoli alla circolazione dei dati personali all‟interno dell‟Unione Europea.
Tale provvedimento è entrato in vigore il 25 Maggio 2016 e sarà concretamente esecutivo
nei Paesi UE a decorrere dal 25 maggio 2018, lasciando a tutti i soggetti interessati
un biennio di tempo per gli adeguamenti necessari alle proprie politiche del trattamento dei
dati. Si osserva che l‟Unione europea già da tempo riconosce il diritto alla protezione dei
dati personali quale diritto fondamentale, sancito dall‟articolo 8 della Carta dei diritti
fondamentali dell‟Unione europea, nonché dall‟art. 16, primo paragrafo del Trattato sul
funzionamento dell'Unione europea (TFUE), introdotto dal trattato di Lisbona, ai sensi dei
quali «ogni persona ha diritto alla protezione dei dati di carattere personale che la
riguardano».
Il contenuto del Regolamento europeo n. 679/2016 sarà più appresso approfondito nel
paragrafo, dopo avere compreso l‟odierna struttura della disciplina privacy nel nostro
Paese, contenuta nel Codice per la protezione dei dati personali, emanato con D.Lgs.
30 giugno 2003, n. 196, destinato ad essere integrato e modificato entro il 25 maggio 2018
per adeguarsi al citato nuovo Regolamento europeo.
Il Codice italiano, nel suo articolo 1, esordisce fornendo una chiara enunciazione di
principio: “Chiunque ha diritto alla protezione dei dati personali che lo riguardano”.
Il significato di tale principio è inequivocabile: i dati personali vanno tutelati sempre,
qualunque sia il trattamento al quale sono sottoposti. Per dato personale si intende qualsiasi
informazione che riguardi le persone (fisiche, giuridiche, enti o associazioni) identificate o
che possono essere identificate anche attraverso altre notizie, ad esempio, attraverso un
163
numero o un codice identificativo. Un esempio di dati personali sono il nome e cognome,
l'indirizzo, il codice fiscale di una persona ma anche un'immagine, la registrazione della
voce, l‟impronta digitale, i dati sanitari, i dati bancari e via di seguito.
La massima espressione di tutela riservata ai dati personali è riconducibile all‟articolo 2 della
Costituzione, ove è sancito che “la Repubblica riconosce e garantisce i diritti inviolabili dell’uomo, sia
come singolo sia nelle formazioni sociali ove si svolge la sua personalità, e richiede l’adempimento dei doveri
inderogabili di solidarietà politica, economica e sociale”. Qualsiasi attività, dunque, che coinvolga
dati personali, espletata nel territorio dello Stato con o senza l‟ausilio di mezzi informatici,
deve essere svolta necessariamente nel rispetto delle norme contenute nel Codice della
privacy. A tal proposito, il Codice per la protezione dei dati personali fissa alcuni principi
fondamentali che disciplinano il trattamento dei dati personali. Fra i più importanti da
ricordare rientrano:
- il principio di finalità (art. 11, comma 1 lettera b)) secondo il quale il trattamento è
consentito soltanto se sussiste una ragione che lo giustifica (ad. es. un rapporto
contrattuale);
- il principio di necessità (art. 3) in base al quale i sistemi informativi e i programmi
informatici devono essere configurati in modo tale da circoscrivere l‟uso di dati personali e
di dati identificativi ai soli casi di effettiva occorrenza, in maniera da privilegiare, nella
pubblicazione dei dati, l‟utilizzo di dati anonimi o solo indirettamente identificativi;
- il principio di proporzionalità (art. 11, comma 1 lettera d) in virtù del quale i dati
personali e le modalità del loro trattamento devono essere pertinenti e non eccedenti
rispetto alle finalità perseguite (ad esempio, trattare un dato che, per la finalità dichiarata
non è necessario trattare, costituisce senz‟altro un trattamento sproporzionato).
L‟articolo 4 del Codice della privacy, rubricato Definizioni, chiarisce preliminarmente alcune
espressioni lessicali che potrebbero essere intese con una valenza diversa nel linguaggio
comune.
Anzitutto, per “trattamento” dei dati personali si intende “qualunque operazione o
complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti
la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la
distruzione di dati, anche se non registrati in una banca di dati”.
164
Inoltre, l‟indeterminatezza del concetto di “dato personale” ha indotto il legislatore a
specificare le singole tipologie rientranti nella categoria, ovvero:
- i dati identificativi, che permettono l'identificazione diretta dell‟interessato (come ad
esempio i dati anagrafici);
- i dati sensibili, ossia i dati che possono rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato
di salute e la vita sessuale dell‟individuo;
- i dati giudiziari, che possono rivelare l'esistenza di determinati provvedimenti giudiziari
soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna
definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure
alternative alla detenzione) o la qualità di imputato o di indagato.
Merita, tuttavia, aggiungere che grazie all'evoluzione delle nuove tecnologie, altri dati
personali stanno assumendo un ruolo significativo, come ad esempio quelli relativi alle
comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la
geolocalizzazione, fornendo informazioni sui luoghi visitati e sugli spostamenti 217.
Le principali figure individuate dal Codice per il trattamento dei dati personali sono: il
titolare, il responsabile, l‟incaricato ed il Garante. Il titolare è colui che esegue il
trattamento dei dati personali ed assume il potere decisionale in ordine alle finalità, alle
modalità del trattamento dei dati personali e agli strumenti utilizzati. Tale figura può essere
rappresentata da una persona fisica o giuridica. Tuttavia, quando il trattamento è esercitato
da una persona giuridica, da una pubblica amministrazione o da un ente, titolare del
trattamento è - ai sensi dell‟art.28 del Codice privacy - “l'entità nel suo complesso o l'unità
od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità
e sulle modalità del trattamento, ivi compreso il profilo della sicurezza”. Il soggetto al quale
si riferiscono le informazioni è, invece, l‟interessato. Quest‟ultimo è il protagonista
indiscusso del Codice della privacy ed è, in sostanza, colui che può autorizzare un altro
soggetto (il titolare)al trattamento delle informazioni che lo riguardano. Ciascun interessato
ha diritto di accedere ai dati personali a sé riferiti e di esercitare gli altri diritti menzionati
all‟art.7 del Codice privacy. Nel dettaglio, se l‟interessato si avvale del proprio diritto
217
Per maggiori informazioni si rinvia al sito web istituzionale: http://www.garanteprivacy.it/web/guest/home/diritti/cosaintendiamo-per-dati-personali consultato nel mese di novembre 2016
165
d‟accesso ai dati che lo riguardano o uno degli altri diritti che gli sono garantiti, il titolare del
trattamento (o il responsabile) è obbligato a fornire riscontro entro quindici giorni dal
ricevimento dell‟istanza, ai sensi dell‟art. 146 del Codice privacy. In base al successivo art.
145, nel caso in cui alla richiesta di accesso seguisse un omesso o incompleto riscontro, i
suddetti diritti potranno esser fatti valere dinanzi al giudice o, in alternativa, mediante
ricorso all‟Autorità garante. Altro importante soggetto contemplato nel Codice per la
protezione dei dati personali è il responsabile del trattamento, la cui introduzione nasce
“dall‟esigenza di appurare, in una tematica così delicata, le sfere di autonomia e di
responsabilità”218. Il titolare del trattamento dei dati può nominare uno o più soggetti
“responsabili del trattamento” con poteri determinati dallo stesso titolare mediante atto di
nomina. Tale figura, anche se facoltativa ai sensi dell‟art.29 del Codice privacy, risulta
indispensabile nei casi in cui l‟organizzazione dell‟ente abbia dimensioni considerevoli.
Ulteriore figura meritevole di nota ai fini del trattamento dei dati personali è rappresentata
dall‟incaricato. Sono incaricati tutti coloro (ad esempio, gli impiegati) che effettivamente
prenderanno diretta cognizione dei dati personali di un soggetto. Essi riceveranno le
istruzioni esecutive loro impartite da parte del titolare o del responsabile per le modalità di
trattamento dei dati.
Infine, il Garante per la protezione dei dati personali ha il compito di vigilare sulla
corretta applicazione della legge e, a tal fine, “opera in piena autonomia e con indipendenza
di giudizio e di valutazione”, conformemente alla normativa comunitaria. L‟Authority,
come analizzato nel corso della presente trattazione, tutela coloro che ritengono di essere
stati lesi in un diritto o libertà riferita al trattamento dei dati personali e dispone di funzioni
di tipo investigativo, regolamentare e giurisdizionale.
Quanto all‟ambito di applicazione del Codice privacy, il legislatore valorizza il criterio della
territorialità, stabilendo - all‟art.5 - che sono tenuti ad osservare la normativa in merito alla
protezione dei dati personali tutti coloro che, stabiliti nel territorio dello Stato o in un luogo
sottoposto alla sua sovranità, effettuano il trattamento dei dati personali, ancorchè gli stessi
siano detenuti all‟estero. Nel caso in cui, invece, il soggetto che effettua il trattamento sia
stabilito in un altro Paese dell‟Unione Europea, troverà applicazione la legge del Paese di
stabilimento.
218
G. Buttarelli, Banche dati e tutela della riservatezza. La privacy nella società dell’informazione. Giuffrè, Milano 1997, pag. 172.
166
Per concludere, il Codice della privacy prevede in capo al titolare del trattamento dei dati
personali precisi obblighi, che potremmo classificare in due categorie: adempimenti verso
l‟Autorità garante ed adempimenti verso gli interessati219. Quanto agli adempimenti verso
il Garante, sono due i tipi di adempimento previsti dal Codice privacy nei confronti del
Garante per la protezione dei dati personali: la notificazione e la richiesta di autorizzazione
per i trattamenti effettuati. Mediante la notificazione, il titolare comunica al Garante
l‟esistenza di un‟attività di trattamento di dati personali.
La precedente normativa sulla privacy (L.n.675/96) prevedeva un obbligo di notificazione
assai ampio e quasi generalizzato. Attualmente, il Codice privacy ha ridotto notevolmente
l‟obbligo di notificazione, essa, infatti, dev‟essere effettuata esclusivamente nei casi previsti
dall‟art.37, come ad esempio, per il trattamento dei dati genetici e dei dati biometrici oppure
per il trattamento dei dati che indicano la posizione geografica di persone o oggetti
attraverso una rete di comunicazione elettronica. Fuori dai casi tassativamente elencati
dall‟art.37, non è necessaria la notificazione, ancorchè i dati trattati rientrino fra i dati
sensibili e/o giudiziari. La notificazione va effettuata una volta soltanto per tutti i
trattamenti, all‟inizio dell‟attività “a prescindere dal numero delle operazioni e della durata
del trattamento da effettuare” e le sanzioni per “omessa o incompleta notificazione” o per
“falsità nelle dichiarazioni e notificazioni” sono disciplinate agli articoli 163 e 168 del
Codice privacy. Quanto agli adempimenti verso gli interessati, i principali destinatari
della tutela in tema di privacy sono le persone fisiche, giuridiche o gli enti cui si riferiscono i
dati personali trattati; è proprio per garantire loro maggiore tutela che il legislatore ha
previsto in capo ai titolari del trattamento due obblighi ben determinati: “fornire
l‟informativa” e “richiedere il consenso per il trattamento dei dati”.
L‟obbligo di informativa è previsto dall‟articolo 13 del D.Lgs. n.196/03 e si riferisce ad una
comunicazione orale o scritta che mira ad informare l‟interessato circa i soggetti che
effettueranno il trattamento, attraverso quali modalità e secondo quali finalità. La norma in
commento indica con precisione i requisiti che deve contenere la comunicazione: la finalità
e modalità del trattamento, la natura obbligatoria o facoltativa del conferimento dei dati, gli
estremi identificativi del titolare, i diritti dell‟interessato, le conseguenze di un eventuale
rifiuto di rispondere, i soggetti ai quali possono essere comunicati i dati o che possono
venirne a conoscenza. Inoltre, con riguardo alla modalità, ciascun titolare non ha vincoli di
219
M.Farina, Fondamenti di diritto dell’informatica, Forlì, Experta ed., 2012, p.175.
167
forma nell‟elaborazione dell‟informativa, trattandosi di un adempimento a forma libera,
anche orale. Quanto poi ai diritti dell‟interessato, l‟art.7 del Codice privacy sancisce che
questi ha diritto ad essere informato su tutto ciò che riguarda il trattamento dei propri dati.
L‟interessato, inoltre, può far valere i propri diritti - anche senza particolare formalità mediante semplice richiesta rivolta al titolare, che ha l‟obbligo di darne opportuno e
tempestivo riscontro.
La violazione dell‟obbligo di informativa verso l‟interessato comporta una sanzione da
seimila euro a trentaseimila euro. Con riferimento al secondo adempimento gravante sul
titolare del trattamento, l‟art. 23 del Codice privacy prevede la preventiva richiesta di
consenso da parte dell‟interessato.
In particolare, per il trattamento dei dati sensibili, il consenso deve essere manifestato in
forma scritta mentre per la restante categoria di dati - genericamente definiti dati comuni- è
sufficiente il consenso espresso. Ciò vuol dire che potrebbe essere fornito anche oralmente.
Inoltre, il consenso dell‟interessato per il trattamento dei dati comuni deve essere espresso,
ossia manifestato in modo inequivocabile ed esplicito; libero, cioè manifestato liberamente
dal soggetto, richiesto in termininon definitivi e non incondizionati (non è possibile, ad
esempio, chiedere il consenso per ogni trattamento fututo svolto con qualsiasi modalità);
specifico, ossia riferito ad uno o più trattamenti chiaramente individuati e aventi specifiche
finalità; informato, cioè preceduto dall‟apposita informativa di cui all‟art. 13 del Codice
privacy; documentato per iscritto, cioè ottenuto in qualunque forma, anche oralmente, e
contestualmente annotato in un apposito registro. Tuttavia, come già osservato, per il
trattamento dei dati sensibili il consenso va obbligatoriamente prestato in forma scritta,
salvo le deroghe previste all‟art.26 del Codice privacy.
La delicatezza della materia sul trattamento dei dati personali, soprattutto se effettuato
mediante l‟ausilio di mezzi informatici, è facilmente riscontrabile, da ultimo, in una recente
controversia avvenuta in Germania in merito alla qualificazione degli indirizzi IP come
dati personali, ai sensi dell‟art. 2, lett. a) della direttiva 95/46/CE, attualmente ancora
normativa europea di riferimento in materia di trattamento dei dati personali. Anzitutto,
occorre precisare che un indirizzo IP (indirizzo di protocollo Internet) è una sequenza di
numeri binari che, assegnata da un fornitore di accesso alla rete ad un determinato
dispositivo (es. computer), ne consente l‟univoca identificazione oltre all‟accesso alla rete di
comunicazioni elettroniche. Si parla di “indirizzo IP dinamico” quando il fornitore di
168
accesso alla rete assegna al dispositivo del cliente un indirizzo IP temporaneo per ciascun
collegamento a Internet, modificandolo in occasione di successivi accessi alla Rete. La
controversia (causa C-582/2014) è nata dalla proposizione da parte del sig. Breyer
di un‟azione inibitoria contro la Repubblica federale di Germania a causa della
memorizzazione, da parte dei siti istituzionali da questa gestiti, degli indirizzi IP associati al
sistema host del sig. Beyer ogni volta che questi vi effettuava un accesso. In attesa della
sentenza del giudice europeo, sembra interessante esaminare le conclusioni raggiunte
dall‟Avvocato generale. L‟Avvocato generale entra nel merito della questione chiarendo
che un indirizzo IP dinamico (che fornisce la data e l‟ora di un collegamento), se associato
ad altre informazioni, consente indubbiamente l‟identificazione indiretta del titolare del
dispositivo utilizzato per l‟accesso alla pagina web e debba quindi considerarsi un dato
personale. Tali informazioni “aggiuntive” possono essere in possesso del medesimo
soggetto che conosce l‟indirizzo IP o possono essere in possesso di un terzo (nel caso di
specie un fornitore di accesso alla rete). Inoltre, l‟Avvocato generale precisa che, per
considerare un indirizzo IP quale dato personale, non è sufficiente la mera possibilità, in
astratto, di conoscere le informazioni aggiuntive in possesso di un soggetto terzo, ma è
necessario che il fornitore di servizi possa “ragionevolmente” rivolgersi a quest‟ultimo al
fine di ottenere tali informazioni. Non sarà da considerarsi ragionevole il contatto che sia di
fatto molto costoso in termini umani ed economici o praticamente irrealizzabile o vietato
dalla legge. Nella fattispecie, essendo il terzo a cui si fa riferimento un fornitore di accesso
alla rete, la possibilità del fornitore di servizi Internet di contattarlo e ottenere da lui la
trasmissione delle informazioni aggiuntive risulta essere perfettamente “ragionevole”. In
attesa di ulteriori aggiornamenti sulla questione, l‟Avvocato generale conclude quindi che,
nello specifico caso così come inquadrato, l‟indirizzo IP dinamico deve essere qualificato, ai
fini dell‟attività esercitata dal fornitore di servizi Internet, come dato personale220.
3.1.2. Regolamento UE n. 679/2016
220
M. Meneghetti, Gli indirizzi IP dinamici possono essere qualificati come dati personali?, 20 maggio 2016, disponibile al seguente URL:
http://www.blogstudiolegalefinocchiaro.it/privacy-e-protezione-dei-dati-personali/gli-indirizzi-ip-dinamici-possono-essere-qualificaticome-dati-personali/ consultato nel mese di novembre 2016
169
Come detto nella parte introduttiva del paragrafo, compreso l‟odierno contenuto del
Codice Privacy italiano, occorre ora concentrarsi sulla portata innovativa del
“Regolamento europeo n. 679/2016 relativo alla protezione delle persone fisiche con
riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che
abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”, pubblicato
il 4 Maggio 2016 nella Gazzetta Ufficiale dell'Unione Europea.
Sin dalla lettura della rubrica del Regolamento appare evidente il duplice intento che anima
il legislatore europeo: la tutela del diritto delle persone alla protezione dei dati che le
riguardano, considerato diritto fondamentale dell‟individuo, e la libera circolazione dei dati
stessi, divenuta ormai indispensabile in un mondo globalizzato e interconnesso per
consentire la realizzazione di un mercato unico europeo.
Infatti, dalle quattro libertà fondamentali (libera circolazione delle persone, libera
circolazione delle merci, libera circolazione dei servizi e libera circolazione dei capitali),
simbolo dell‟integrazione comunitaria, muove la libertà di circolazione del dato, essenziale e
ineludibile nell‟odierna società iperconnessa per l‟affermazione delle quattro libertà e la
realizzazione del mercato digitale europeo.
Quanto alla portata del Regolamento sulla protezione dei dati, esso è applicabile sia al
trattamento effettuato in ambito digitale che al trattamento effettuato mediante mezzi
analogici. Tuttavia, esso non si applica a tutte le tipologie di trattamento e sono posti limiti
all‟ambito di applicazione territoriale, sebbene grazie alla definizione dell‟ambito di
applicazione nel provvedimento formulata, appaia forte la forza espansiva anche al di fuori
del territorio dell‟Unione. Il Regolamento è, inoltre, applicabile sia ai trattamenti di dati
personali effettuati da titolari del trattamento (o responsabili) stabiliti nel territorio
dell‟Unione, sia ai trattamenti che, sebbene effettuati da titolari stabiliti in territorio extraeuropeo, riguardano soggetti che “si trovano” nel territorio dell‟Unione, in quanto volti a
fornire a tali soggetti beni o servizi o a monitorare i loro comportamenti.
Le novità introdotte con la normativa in commento riguardano, dal punto di vista delle
aziende (i c.d. "titolari" del trattamento dei dati personali) tutte quelle che, avendo uno
stabilimento all'interno dell'UE, trattano dati personali, indipendentemente dal fatto che il
trattamento
sia
effettuato
nell'UE
stessa.
Dal punto di vista, invece, delle persone fisiche – i c.d. "interessati" al trattamento dei
propri dati – la nuova normativa si applica a tutti i soggetti presenti nell'UE anche quando,
170
sebbene l'azienda titolare del trattamento non abbia uno stabilimento in territorio UE, il
trattamento stesso riguardi l'offerta di beni o la prestazione di servizi ai soggetti interessati
o il monitoraggio del loro comportamento, nella misura in cui tale comportamento abbia
luogo nei confini dell'UE.
Analizzando, nel dettaglio, alcune delle novità di maggior rilievo introdotte dal
Regolamento, merita sicuramente attenzione particolare una nuova figura e professionalità
(che va ad affiancarsi alla nomenclatura già conosciuta nel nostro Codice Privacy, di seguito
trattata, ovvero al "titolare", al "responsabile" e all' "incaricato" del trattamento dei dati) del
c.d. Data Protection Officer ("DPO"), il "responsabile della protezione dei dati". Il
DPO dovrà essere obbligatoriamente presente all'interno di tutte le aziende pubbliche
nonché in tutte quelle ove i trattamenti presentino specifici rischi, come ad esempio le
aziende nelle quali sia richiesto un monitoraggio regolare e sistematico degli "interessati", su
larga scala, e quelle che trattano i c.d. "dati sensibili". Fra i principali compiti cui sarà
adibito il DPO rientra quello di informare e consigliare il titolare o il responsabile del
trattamento in merito agli obblighi derivanti dal Regolamento stesso; verificare l'attuazione
e l'applicazione della normativa, oltre alla sensibilizzazione e formazione del personale e dei
relativi auditors ed infine fornire, se richiesto, pareri in merito alla valutazione d'impatto
sulla protezione dei dati e sorvegliare i relativi adempimenti.
Concludendo sulle principali novità apportate dal Regolamento, esso:
-
riconosce espressamente il "diritto all'oblio", ovvero la possibilità per l'interessato
di decidere che siano cancellati e non sottoposti ulteriormente a trattamento i propri dati
personali non più necessari per le finalità per le quali sono stati raccolti, nel caso di revoca
del consenso o quando si sia opposto al trattamento dei dati personali che lo riguardano o
quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento;
-
stabilisce il diritto alla "portabilità dei dati", in virtù del quale l'interessato ha il
diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo
automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il
diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti, qualora
l'interessato abbia fornito il proprio consenso al trattamento o se questo sia necessario per
l'esecuzione di un contratto;
-
sancisce il principio di "accountability", per cui il titolare dovrà dimostrare
l'adozione di politiche privacy e misure adeguate in conformità al Regolamento;
171
-
introduce il principio della "privacy by design" (dal quale discende l'attuazione
di adeguate misure tecniche e organizzative sia all'atto della progettazione che
dell'esecuzione del trattamento) nonché quello della "privacy by default" (che ricalca il
principio di necessità di cui all'attuale disciplina, stabilendo che i dati vengano trattati
solamente per le finalità previste e per il periodo strettamente necessario a tali fini).
Infine, per quanto concerne il "sistema sanzionatorio", il Regolamento ha aumentato
l'ammontare delle sanzioni amministrative pecuniarie, che potranno arrivare fino ad un
massimo di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo, lasciando
peraltro ciascuno Stato membro libero di adottare norme relative ad altre sanzioni221.
3.1.3. Privacy e pubblicazione online di atti e documenti amministrativi
Al fine di comprendere quali siano le soluzioni privacy in caso di pubblicazione di atti e
documenti amministrativi online, il Garante per la protezione dei dati personali ha
pubblicato le “Linee guida in materia di trattamento di dati personali, contenuti anche in
atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da
soggetti pubblici e da altri enti obbligati” del 15 maggio 2014222. Di seguito gli aspetti
essenziali.
Le Amministrazioni devono pubblicare solo dati esatti, aggiornati e contestualizzati.
Prima di mettere on line sui propri siti informazioni, atti e documenti amministrativi
contenenti dati personali, le amministrazioni devono verificare che esista una norma di
legge o di regolamento che ne preveda l'obbligo.
Le Amministrazioni devono pubblicare on line solo dati la cui pubblicazione risulti
realmente necessaria.
E' sempre vietata la pubblicazione di dati sulla salute e sulla vita sessuale. I dati
sensibili (etnia, religione, appartenenze politiche etc.) possono essere diffusi solo laddove
indispensabili al perseguimento delle finalità di rilevante interesse pubblico.
Qualora le Amministrazioni intendano pubblicare dati personali ulteriori rispetto a quelli
individuati nel D.Lgs. n. 33/2013, devono procedere prima all‟anonimizzazione di questi
221
S. Martinelli, Il nuovo Regolamento generale sulla protezione dei dati: alcune considerazioni informatico-giuridiche, 31
maggio 2016, disponibile al seguente URL: http://www.dimt.it/2016/05/31/il-nuovo-regolamento-generale-sulla-protezione-dei-datialcune-considerazioni-informatico-giuridiche/ consultato nel mese di novembre 2016
222
Le Linee guida sono visionabili all‟URL: http://www.garanteprivacy.it/web/guest/home/docweb/-/docwebdisplay/docweb/3134436 , consultato nel mese di dicembre 2016.
172
dati, evitando soluzioni che consentano l'identificazione, anche indiretta o a posteriori,
dell'interessato.
I dati pubblicati on line non sono liberamente utilizzabili da chiunque per qualunque
finalità.
L'obbligo previsto dalla normativa in materia di trasparenza on line di pubblicare dati in
“formato aperto”, non comporta che tali dati siano anche “dati aperti”, cioè liberamente
utilizzabili da chiunque per qualunque scopo. Il riutilizzo dei dati personali non deve
pregiudicare, anche sulla scorta della direttiva europea in materia, il diritto alla privacy.
Le Amministrazioni dovranno quindi inserire nella sezione denominata “Amministrazione
trasparente” sui propri siti web un alert con cui si informa il pubblico che i dati personali
sono riutilizzabili in termini compatibili con gli scopi per i quali sono raccolti e nel
rispetto del norme sulla protezione dei dati personali.
I dati sensibili e giudiziari non possono essere riutilizzati.
Il periodo di mantenimento on line dei dati, come varie volte sottolineato, è stato
generalmente fissato in 5 anni dal D.Lgs. n. 33/2013. Sono previste però alcune deroghe,
come nell'ipotesi in cui gli atti producano i loro effetti oltre questa scadenza. In ogni caso,
quando sono stati raggiunti gli scopi per i quali essi sono stati resi pubblici e gli atti hanno
prodotto i loro effetti, i dati personali devono essere oscurati anche prima del termine dei 5
anni.
L'obbligo di indicizzare i dati nei motori di ricerca generalisti (es. Google) durante il
periodo di pubblicazione obbligatoria è limitato ai soli dati tassativamente individuati dalle
norme in materia di trasparenza. Vanno dunque esclusi gli altri dati che si ha l'obbligo di
pubblicare per altre finalità di pubblicità (ad es. pubblicità legale sull'albo pretorio o le
pubblicazioni matrimoniali). Non possono essere indicizzati (e quindi reperibili attraverso i
motori di ricerca) i dati sensibili e giudiziari.
A tutela di fasce deboli, persone invalide, disabili o in situazioni di disagio economico
destinatarie di sovvenzioni o sussidi, sono previste limitazioni nella pubblicazione dei dati
identificativi.
Vi è invece l'obbligo di pubblicare la dichiarazione dei redditi di politici e amministratori,
con l‟esclusione di dati non pertinenti (stato civile, codice fiscale) o dati sensibili (spese
mediche, erogazioni di denaro ad enti senza finalità di lucro ecc.).
173
3.2. I sistemi di cloud computing
L'evoluzione delle modalità di utilizzo dei dati e delle informazioni nella società moderna
ha portato ad un radicale cambiamento delle abitudini e delle esigenze degli utenti, sia
privati che pubblici.
La possibilità di essere sempre connessi alla rete internet, a prescindere dal luogo in cui ci si
trova, e la necessità di reperire le informazioni ed i dati necessari per il proprio lavoro o per
la propria organizzazione di vita, infatti, hanno consentito che si sviluppassero tecniche di
memorizzazione ed accesso ai dati tali da consentire di averli sempre pronti e disponibili, a
prescindere dal luogo e dal dispositivo con cui ci si collega.
In tale ambito, un ruolo decisivo è svolto dal cloud computing la c.d. nuvola informatica.
Secondo il N.I.S.T. Statunitense223, “il cloud computing è un ambiente di esecuzione elastico
che consente l‟accesso via Rete e su richiesta ad un insieme condiviso di risorse di calcolo
configurabili (ad esempio Rete, server, dispositivi di memorizzazione, applicazioni e servizi)
sotto forma di servizi a vari livelli di granularità. Tali servizi possono essere rapidamente
richiesti, forniti e rilasciati con minimo sforzo gestionale da parte dell‟utente e minima
interazione con il fornitore”.
Comunemente, il cloud computing viene suddiviso in varie tipologie di cloud oggi
utilizzate224:
“private cloud”, ovvero un‟infrastruttura informatica dedicata alle esigenze di una singola
organizzazione, ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale
forma dell‟hosting dei server) nei confronti del quale il responsabile del trattamento esercita
un controllo puntuale;
“public cloud”, ovvero un‟infrastruttura di proprietà di un fornitore specializzato
nell‟erogazione di servizi che mette a disposizione di utenti, aziende o Pubbliche
Amministrazioni, e quindi condivide tra di essi, i propri sistemi; la fruizione di tali servizi
avviene tramite la rete Internet e implica il trasferimento delle operazioni di trattamento dei
dati e/o dei soli dati ai sistemi del fornitore del servizio, il quale assume pertanto un ruolo
223
National Institute of Standards and Technology, P. Mell, T. Grance, The N.I.S.T. Definition of Cloud Computing.
Recommendation of the National Institute of Standards and Technology (N.I.S.T.), U.S. Department of Commerce, 2011.
224
Richiamate anche nelle Raccomandazioni del Gruppo di Lavoro “Art. 29” per la protezione dei dati dell‟Unione
Europea adottava il Parere n. 5 del 01.07.2012, specialmente nell'Allegato.
174
importante in ordine all‟efficacia della protezione dei dati che gli sono stati affidati; insieme
ai dati, l‟utente cede una parte importante del controllo esercitabile su di essi;
“cloud intermedi” o “ibridi”, nei quali i servizi erogati da infrastrutture private coesistono
con servizi acquisiti da cloud pubblici;
“community cloud” (o “cloud di comunità”), in cui l‟infrastruttura informatica è condivisa da
diverse organizzazioni a beneficio di una specifica comunità di utenti225.
Altra tappa fondamentale a livello internazionale, nello specifico europeo, è rappresentata
dalla Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato
Economico e Sociale Europeo e al Comitato delle Regioni dal titolo “Sfruttare il potenziale
del cloud computing in Europa”, COM(2012)529, del 27 settembre 2012226.
Partendo dal presupposto che il cloud computing, da un lato, è in grado di ridurre
drasticamente le spese delle tecnologie dell‟informazione, soprattutto per le imprese e le
Pubbliche Amministrazioni, permettendo quindi lo sviluppo di nuovi servizi all‟utentecliente-cittadino, sempre più attraenti e efficienti, per altro verso, il cloud computing, a
differenza del Web, è ancora in una fase relativamente precoce, e l‟Europa ha la possibilità
di intervenire per garantire di essere in prima linea per un suo ulteriore sviluppo227.
Ciò comporta l‟intenzione della Commissione di avviare una precisa strategia volta a
consentire e facilitare una più rapida adozione del cloud computing in tutti i settori
dell‟economia, adozione che può ridurre i costi I.C.T. e, in combinazione con le nuove
pratiche di business digitale, può aumentare la produttività, la crescita e l‟occupazione.
Gli obiettivi principali della strategia sono quattro:
225
Più specifiche indicazioni in ordine alle tipologie di cloud computing sono contenute nelle citate “Raccomandazioni
e proposte sull‟utilizzo del cloud computing nella Pubblica Amministrazione” del 28 giugno 2012, pubblicate dal Digit.P.A. il 10 luglio 2012,
pp. 8-11.
226
Occorre, inoltre, ricordare anche la Risoluzione sul cloud computing adottata il 26 ottobre 2012 dalla 34ma
Conferenza Internazionale su “Data Protection and Privacy”, svoltasi a Punta del Este – Canoles (Uruguay).
La Risoluzione si conclude con delle precise raccomandazioni:
il cloud computing non dovrebbe portare ad un abbassamento della tutela nel trattamento dei dati personali; i responsabili del
trattamento devono sempre effettuare una valutazione dei rischi (se necessario, mediante il ricorso a terzi di fiducia) prima di imbarcarsi
in progetti di cloud; i fornitori di servizi cloud devono garantire un‟adeguata trasparenza, sicurezza e responsabilità nelle soluzioni di
cloud, in particolare per quanto riguarda le informazioni sulle violazioni dei dati e le clausole contrattuali che riguardano la portabilità e il
controllo dei dati da parte degli utenti; i fornitori di servizi cloud, quando operano in qualità di titolari del trattamento, devono mettere a
disposizione degli utenti, se del caso, le informazioni sui potenziali impatti sulla privacy e sui rischi connessi all‟uso di loro servizi;
ulteriori sforzi in ricerca, certificazione da parte di soggetti terzi, standardizzazione e sviluppo delle tecnologie devono essere realizzati al
fine di sviluppare un adeguato livello di fiducia nel cloud; il Legislatore deve valutare l‟adeguatezza e l‟interoperabilità dei quadri giuridici
esistenti per facilitare il trasferimento transfrontaliero dei dati e salvaguardare al meglio la vita privata nell‟era del cloud; tutte le parti
interessate (operatori e clienti del cloud computing, così come le autorità di regolamentazione) dovrebbero cooperare al fine di garantire
un elevato livello di protezione della privacy e dei dati.
227
European Commission (COM(2012)529/2), Communication From The Commission To the European
Parliament, The Council, The European Economic And Social Committee And The Committee Of The Regions, Unleashing the Potential of
Cloud Computing in Europe, 2012, visionabile all‟U.R.L.: http://www.ec.europa.eu, p. 2, consultato nel mese di giugno 2013.
175
garantire che gli utenti possano spostare i dati da una “nuvola” all‟altra, o ritirarli del tutto;
introdurre una certificazione a livello U.E. per i fornitori dei servizi;
definire dei modelli di contratto che stipulino chiaramente gli obblighi legali;
instaurare una "partnership per la nuvola europea" tra il settore pubblico e l‟industria per
stabilire quali sono le esigenze e far sì che l‟industria europea delle tecnologie
dell‟informazione sia in grado di soddisfarle. Le imprese europee potranno così tener testa
più efficacemente alla concorrenza, specie a quella statunitense.
In Italia, ulteriore intervento in materia si è avuto con il Garante per la protezione dei dati
personali che nel 2012 ha pubblicato, dapprima,
il documento “Cloud Computing:
indicazioni per l‟uso consapevole dei servizi”228 e, poi, il Vademecum rivolto alle imprese e
alla Pubblica Amministrazione “Cloud computing: proteggere i dati per non cadere dalle
nuvole”229.
Nel nostro Paese, importanti disposizioni in tema di cloud sono giunte nel 2013 anche con
le nuove “Linee Guida per il disaster recovery delle Pubbliche Amministrazioni” dell'A.G.Id.,
volte a sostituire quelle del 2011230, nonché col documento “Caratterizzazione dei
sistemiCloud per la Pubblica Amministrazione”, contenente una spiccata attenzione ai
sistemi cloud all‟interno del Sistema Pubblico di Connettività (S.P.C.)231.
3.2.1. I profili giuridici
228
Il documento è visionabile all‟U.R.L.: http://www.garanteprivacy.it/documents/10160/10704/1819933, ultima
consultazione novembre 2014.
229
Il documento è visionabile all‟U.R.L.: http://www.garanteprivacy.it/web/guest/home/docweb/-/docwebdisplay/docweb/1894499, ultima consultazione novembre 2014.
230
In data 24 maggio 2013 l‟Agenzia per l‟Italia Digitale (Ag.I.D.) ha avviato una consultazione pubblica in ordine
alla bozza di Linee Guida di indirizzo per lo sviluppo di soluzioni cloud per la Pubblica Amministrazione, dal titolo “Caratterizzazione
dei sistemi cloud per la Pubblica Amministrazione”. Le bozze di Linee Guida sono disponibili all‟U.R.L.:
http://www.agid.gov.it/sites/default/files/linee_guida/sistemi_cloud_pa.pdf, consultato nel mese di novembre 2014, mentre il testo
definitivo all'U.R.L.: http://www.agid.gov.it/sites/default/files/linee_guida/linee-guida-dr.pdf
231
Il documento dell‟Ag.I.D. chiarisce la sua portata sin dalla sua “Prefazione”, nella quale si legge: “Il presente
documento ha lo scopo di orientare le soluzioni di sistemi di cloud computing in ambito S.P.C. ed è pertanto diretto ai datacenter delle
Amministrazioni che vorranno seguire una logica di razionalizzazione e integrazione, al mercato interessato alle prossime gare S.P.C. […],
ai privati interessati a qualificare la propria offerta secondo i bisogni della Pubblica Amministrazione e le linee di indirizzo dell‟Agenzia, ai
nuovi datacenter che verranno realizzati. Il documento intende inoltre essere una prima linea di indirizzo per la certificazione delle
soluzioni cloud per la Pubblica Amministrazione, in attuazione delle regole tecniche per la qualificazione dei fornitori S.P.C. e della
certificazione dei servizi in corso di emanazione”.
I problemi essenziali connessi al cloud sono ben delineati nel documento: “Le barriere più critiche per l‟adozione di soluzioni
cloud risultano essere quelle determinate dall‟interoperabilità, dalla sicurezza e dalla privacy. Per quanto concerne l‟interoperabilità delle
soluzioni, intesa come comparabilità e flessibilità di passaggio tra diverse soluzioni, il presente documento intende fornire, allo stato
attuale della tecnologia, dei ragionevoli indirizzi. Per la parte di sicurezza e privacy l‟adozione dello scenario S.P.C., la sottomissione alle
regole e alle procedure di sicurezza rappresentano una garanzia per le Pubblica Amministrazione”.
176
Prima di approfondire il problema, squisitamente giuridico, dell‟inquadramento contrattuale
del cloud computing, si rende necessario richiamare l‟inquadramento dei tipi di servizio di cloud
computing tipici che si possono attivare.
I tipi di servizio cloud possono essere:
“Infrastructure As a Service” (I.A.A.S.): questo
modello prevede che il servizio offerto
consista in un‟infrastruttura con capacità computazionale, di memorizzazione, e di Rete,
sulla quale l‟utente possa installare ed eseguire il software a lui necessario, dal sistema
operativo alle applicazioni;
“Platform As a Service” (P.A.A.S.): questo modello prevede che il fornitore del servizio metta
a disposizione dell‟utente un‟interfaccia di programmazione (A.P.I.) con la quale l‟utente
può scrivere applicazioni che interagiscono con il servizio;
“Software As A Service” (S.A.A.S.): questo modello prevede che il servizio offerto sia
un‟applicazione software che può essere utilizzata su richiesta; in questo caso, il fornitore del
servizio installa l‟applicazione nei propri datacenter, e fornisce agli utenti un‟interfaccia per
utilizzarla, come ad esempio un‟interfaccia Web.
Da un punto di vista giuridico, ad oggi non esiste una precisa disciplina, nazionale o
europea. La materia, soprattutto sotto il profilo tecnologico, è magmatica e al momento il
Legislatore non ha dimostrato adeguata capacità evolutiva.
L‟incertezza nell‟inquadramento giuridico del contratto di cloud ha ovviamente risvolti
importanti nel settore che ci interessa, l‟informatica giuridica, in quanto diviene arduo
individuare le giuste tecniche per garantire la sicurezza dell‟elaborazione, conservazione,
estrazione, condivisione, circolazione dell‟informazione dotata di valore giuridico (come gli
atti di un‟Amministrazione). Diviene altrettanto arduo comprendere e normare la gestione
dei flussi informativi, l‟elaborazione e comunicazione della conoscenza internamente alle
Pubbliche amministrazioni e tra queste e il cittadino/utente232.
Il problema essenziale connesso all‟inquadramento giuridico del contratto di cloud computing
è il dubbio inerente alla sua riconduzione alla categoria dei contratti di servizi233 o, invece, a
quella dei contratti atipici234.
232
Gli strumenti contrattuali normalmente proposti dai cloud provider appartengono prevalentemente alla categoria
dei contratti “per adesione” nei quali, sostanzialmente, le clausole non sono negoziabili e sovente non definiscono aspetti assai delicati
(ad esempio, responsabilità, livelli di servizio, legge applicabile ed altri ancora) rischiando quindi di non garantire la necessaria coerenza
alla disposizioni che disciplinano in Italia gli appalti pubblici. Cfr Digit.P.A., Raccomandazioni e proposte sull’utilizzo del cloud computing nella
Pubblica Amministrazione, cit., pag. 19.
233
177
Altra parte di dottrina sostiene invece la riconducibilità dei contratti cloud S.A.A.S. al novero
dei “contratti atipici”. Il giudizio si fonda sulla considerazione in base alla quale i servizi
non vengono realizzati di volta in volta per i singoli utenti, ma questi ultimi si limitano ad
utilizzare servizi già precedentemente realizzati. La circostanza ora detta non consentirebbe
di far rientrare il contratto cloud tra quelli di appalto di servizi.
A tali argomentazioni se ne aggiungerebbero altre, sempre da parte di chi propende per una
riconducibilità alla categoria dei contratti atipici. Un altro interessante approfondimento
trattato all‟interno delle Raccomandazioni del Digit.P.A. riguarda il rapporto tra il contratto
di cloud e la normativa sugli appalti pubblici: il primo, infatti, non può prescindere dal
secondo poiché “l‟utilizzazione di un sistema basato su cloud computing prevede l‟affidamento
a terzi di una o più attività che hanno ad oggetto determinati servizi e prestazioni
informatiche e di connettività erogati da soggetti privati” 235.
3.2.2. La sicurezza dei sistemi e la tutela dei dati personali
Il cloud computing, rappresentando una nuvola virtuale che contiene dati, informazioni e/o
software, è una tecnologia che si espone, proprio per il suo stesso concetto di base, a molti
rischi legati alla Rete.
Una nuvola, può essere ad esempio attaccata da atti di hackeraggio, e quindi, se essa
contiene dei dati sensibili, questi potrebbero essere prelevati con molta più semplicità
rispetto al passato.
S. Bendandi, Software as a Service (S.A.A.S.): aspetti giuridici e negoziali, “Altalex”, 18 dicembre 2008, visionabile
all‟U.R.L.: http://www.altalex.com/index.php?idnot=44076, consultato nel mese di giugno 2013. Bendandi ritiene che “la prevalenza di
una prestazione di fare, avente ad oggetto la fornitura di uno o più servizi software o di altra natura, unitamente alla presenza di una
organizzazione dotata di mezzi e gestione propri ed al pagamento di un corrispettivo sono tutti elementi che fanno propendere per la
configurabilità di un appalto di servizi, sia pure avente ad oggetto prestazioni continuative o periodiche. La prima diretta conseguenza di
tale inquadramento è che l‟obbligazione dell‟appaltatore costituisce una obbligazione di risultato, anche se nella pratica non mancano casi
di soggetti interessati a far figurare nel contratto i propri obblighi come di mezzi”.
234
E.Belisario,
Cloud
computing,
eBook
Altalex,
2011,
p.
12,
disponibile
all‟U.R.L.:
http://www.altalex.com/index.php?idnot=14413. Sulle medesime posizioni Belisario, secondo il quale, tranne casi particolari, il
contratto di fornitura di servizi cloud rientra nella categoria dell‟appalto di servizi disciplinato dagli artt. 1655 e seguenti del Codice Civile
235
Digit.P.A., Raccomandazioni e proposte sull’utilizzo del cloud computing nella Pubblica Amministrazione, cit., pag. 21. Una
Pubblica Amministrazione che intenda acquisire prodotti e servizi cloud deve sottoscrivere con il fornitore, pertanto, un contratto
pubblico ai sensi del Codice dei contratti pubblici e del relativo regolamento di esecuzione approvato con D.P.R. n. 207/2010.
In particolare, il Digit.P.A., per ciò che attiene le modalità di scelta del software per il servizio di cloud (modello S.A.A.S.) e,
quindi, del fornitore, indica una via logica e conforme a legge, cioè una via caratterizzata da un‟analisi comparativa delle soluzioni,
prevista dall‟art. 68 C.A.D., e da uno studio di fattibilità. Lo studio di fattibilità è possibile in base all‟art. 13, comma 1, del D.Lgs. n.
39/1993, il quale “dispone che la stipulazione da parte delle Amministrazioni di contratti per la progettazione, realizzazione,
manutenzione, gestione e conduzione operativa di sistemi informativi automatizzati, determinati come contratti di grande rilievo ai sensi
dell‟art. 9 e dell‟art. 17 [del medesimo Decreto], è preceduta dall‟esecuzione di studi di fattibilità volti alla definizione degli obiettivi
organizzativi e funzionali dell‟Amministrazione interessata. Qualora lo studio di fattibilità sia affidato ad impresa specializzata, questa non
ha facoltà di partecipare alle procedure per l‟aggiudicazione dei contratti sopra menzionati”
178
Considerata la delicatezza del ruolo del fornitore,
è ovvio che l‟Amministrazione o
l'impresa che fruisce del servizio debba valutare attentamente il rapporto tra rischi e
benefici derivante dall‟utilizzo del cloud, minimizzando i primi attraverso un‟attenta verifica
dell‟affidabilità del fornitore, e, dal canto suo, quest‟ultimo, in base alla tipologia dei servizi
offerti, si deve assumere contrattualmente la responsabilità di preservare la riservatezza,
l‟integrità o la disponibilità dei dati.
Occorre, infatti, valutare attentamente quale tipologia di dati gestire in cloud, soprattutto in
base all‟affidabilità del fornitore, optando, se necessario, alla gestione in remoto solo di
alcune attività (ad esempio, applicativi per ufficio) e non destinando al cloud altre attività e
categorie di dati.
Il rapporto Amministrazione o impresa (buyer) e fornitore cloud (provider) genera, pertanto,
taluni dubbi in ordine alla configurabilità di quest‟ultimo come “contitolare del
trattamento”236 o, in alternativa, come “responsabile del trattamento”237.
In base all‟art. 29 del D.Lgs. n. 196/2003 il Responsabile deve essere individuato tra
soggetti dotati di solida esperienza nel campo del trattamento dei dati personali, ivi
compreso il profilo della sicurezza.
3.2.3. Il trasferimento dei dati all’estero
Una problematica di particolare interesse, è quella attinente al trasferimento dei dati fuori
dell‟Unione Europea in caso di servizi cloud così impostati. Una pratica questa che genera
seri problemi in termini di sicurezza nel trattamento e, inoltre, in termini di potere
negoziale tra Amministrazione/utente e azienda/provider.
In base all‟art. 45 del Codice per la protezione dei dati personali è vietato, in linea di
principio, il trasferimento “anche temporaneo” di dati personali verso uno Stato esterno
all‟U.E. e allo Spazio Economico Europeo (S.E.E.), rappresentato da Norvegia,
Liechtenstein e Islanda, nel caso in cui l‟ordinamento del Paese di destinazione o di transito
236
L‟art. 4, comma 1, lett. f), del D.Lgs. n. 196/2003 definisce il “titolare del trattamento” come “la persona fisica,
la persona giuridica, la Pubblica Amministrazione e qualsiasi altro Ente, associazione od organismo cui competono, anche
unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati,
ivi compreso il profilo della sicurezza”.
237
L‟art. 4, comma 1, lett. g), del D.Lgs. n. 196/2003 definisce il “responsabile del trattamento” come “la persona
fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro Ente, associazione od organismo preposti dal titolare al
trattamento di dati personali”.
179
dei dati non assicuri un livello di tutela da ritenersi “adeguato” in rapporto a quello vigente
in ambito europeo.
La valutazione in ordine al livello di adeguatezza del livello di tutela è svolta dalla
Commissione Europea, coadiuvata dalle verifiche effettuate dal Gruppo di Lavoro “Art.
29” per la protezione dei dati dell‟Unione Europea. Ad oggi sono stati ritenuti adeguati i
livelli di tutela predisposti dai seguenti Paesi: Andorra, Argentina, Australia, Canada,
Guernsey, Isola di Man, Isole Faroe, Israele, Jersey, Nuova Zelanda, Principato di Monaco,
Svizzera, Uruguay.
Per quanto riguarda gli Stati Uniti d‟America, si pone una questione di particolare rilevanza,
in quanto sono uno dei paesi, al di fuori della Unione europea, verso il quale si spostano
una grandissima quantità di dati.
Proprio per tale motivo, la Commissione Europea, con la decisione 520 del 26 luglio 2000,
c.d. Safe Harbor238, ha riconosciuto che, per tutte le attività che rientrano nel campo di
applicazione della direttiva CE 95/46, si considera che i "Principi di approdo sicuro in
materia di riservatezza" nella stessa decisione richiamati, garantiscano un livello adeguato di
protezione dei dati personali trasferiti dalla Comunità ad organizzazioni aventi sede negli
Stati Uniti239.
Senonchè, in maniera quasi del tutto inaspettata, con la sentenza del 06 ottobre 2015240, la
Corte di Giustizia UE ha dichiarato che gli Usa, anche a seguito delle note vicende relative
238
Anche
detto
“approdo
sicuro”,
reperibile
all‟indirizzo
internet
http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32000D0520:it:HTML, consultato ottobre 2015
239
Il trasferimento può avvenire sulla base della seguente documentazione pubblicata dal Dipartimento del commercio degli
Stati Uniti:
a) riepilogo delle modalità di esecuzione dei principi di approdo sicuro, di cui all'allegato III;
b) memorandum sui danni per violazioni della riservatezza ed autorizzazioni esplicite previste dalle leggi degli Stati Uniti, di
cui all'allegato IV della decisione 520/00;
c) lettera della Commissione federale per il commercio (FTC), di cui all'allegato V della decisione 520/00;
d) lettera del Dipartimento dei trasporti degli Stati Uniti, di cui all'allegato VI, della decisione 520/00.
Inoltre, la decisione 520/00, prescrive che devono sussistere le seguenti condizioni in relazione a ogni singolo trasferimento
di dati:
a) l'organizzazione che riceve i dati si è chiaramente e pubblicamente impegnata a conformarsi ai principi applicati in
conformità alle FAQ, e
b) detta organizzazione è sottoposta all'autorità prevista per legge di un ente governativo degli Stati Uniti, compreso
nell'elenco di cui all'allegato VII, competente ad esaminare denunce e a imporre la cessazione di prassi sleali e fraudolente nonché a
disporre il risarcimento di qualunque soggetto, a prescindere dal paese di residenza o dalla nazionalità, danneggiato a seguito del mancato
rispetto dei principi applicati in conformità alle FAQ.
Ogni organizzazione deve autocertificare la sua adesione ai principi applicati in conformità alle FAQ..
240
Nella causa C-362/14, di rinvio preliminare ai sensi dell‟art. 267 TFEU, richiesta dalla High Court d‟Irlandanel procedimento
promosso da Maximillian Schrems (studente austriaco) nei confronti del Data Protection Commissioner (Autorità Garante per la
protezione dei dati personali in Irlanda), relativamente alla richiesta di accesso ai propri dati personali trattati dal social network
Facebook;
il
testo
integrale
in
inglese
della
sentenza
è
reperibile
all‟indirizzo
internet
http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30dd760ae098594f45dea7bbe360674d3298.e34KaxiLc3qMb4
0Rch0SaxuRbxn0?text=&docid=169195&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=491666, mentre il
180
al caso Snowden, non garantiscono quel livello adeguato di protezione dei dati personali,
indispensabile per il trasferimento dei dati all‟estero, in conformità alla direttiva 95/46, ed
ha dichiarato invalida la decisione 520/00.
La suddetta sentenza ha creato non poco scompiglio nell‟ambito dei rapporti tra USA e
UE, soprattutto per i potenziali risvolti negativi nelle transazioni commerciali.
Per risolvere tale situazione, la U.E. E gli U.S.A. Hanno negoziato un nuovo accordo,
denominato “Privacy Shield” e che ha preso il posto del Safe Harbour.
Il suddetto accordo è stato adottato con decisione della Commissione Europea del 12
luglio 2016241ed il Garante Italiano ha emanato la relativa Autorizzazione con
Provvedimento n. 436 del 27 ottobre 2016242.
In base al Privacy Shield, le organizzazioni che intendono trasferire dati personali tra gli
Usa e la Ue sono tenute ad autocertificare il rispetto dei c.d. Principi, tra i quali i più
significativi sono quello dell'informativa, della integrità dei dati, della limitazione delle
finalità e quello della sicurezza.
Infine, le organizzazioni coinvolte dovranno rispettare il principio di ricorso, controllo e
responsabilità, ossia mettere a disposizione meccanismi solidi volti a garantire il rispetto dei
principi e la possibilità di ricorso per l'interessato dell'UE i cui dati personali sono stati
trattati in modo non conforme, compresi mezzi di ricorso efficaci.
L'autocertificazione da parte delle organizzazioni avviene su base volontaria, ma
successivamente esse sono obbligate a rispettarne effettivamente i principi; per poter
continuare a
fruire
dello “scudo” per
ricevere i
dati
personali dall'Unione,
l'organizzazione deve ricertificare ogni anno l'adesione al regime.
Ad ogni modo, occorre tenere presente che il Safe Harbor ed il Privacy Shield non sono il
solo strumento legale per traferire dati personali all‟estero, in quanto tale traferimento è
sempre possibile sulla base del consenso dell‟interessato, oppure sulla base delle B.C.R.
(Binding Corporate Rules)243 o delle clausole contrattuali standard c.d. Model Contracts244.
comunicato stampa in italiano al seguente indirizzo internet http://curia.europa.eu/jcms/upload/docs/application/pdf/201510/cp150117it.pdf, entrambi consultati nel mese di ottobre 2015.
241
Reperibile
all'indirizzo
internet
http://eur-lex.europa.eu/legalcontent/IT/TXT/PDF/?uri=CELEX:32016D1250&from=IT, consultato dicembre 2016.
242
L‟Autorizzazione
è
disponibile
all‟URL:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docwebdisplay/docweb/5652873, consultato nel mese di dicembre 2016.
243
Le BCR sono regole interne di grandi multinazionali che definiscono la policy globale in riferimento ai trasferimneti
internazionali di dati personali all‟iinterno delle società appartenenti allo stesso gruppo e localizzate in paesi differenti che non
garantiscono adedguati livelli di protezione; per maggiorni informazioni si può consultare il link in inglese
http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/index_en.htm oppure la pagina dedicata del
181
Ad ogni modo, il rispetto delle misure minime di sicurezza previste dagli artt. 31-34 e
dall‟Allegato B al D.Lgs. n. 196/03, ancor più che nel caso di provider nazionali, diviene
oltremodo necessario.
3.2.4. La titolarità dei dati pubblici
In ambito pubblico, sussiste il problema della titolarità del dato in caso di utilizzo di servizi
cloud.
La norma di riferimento è da considerarsi l‟art. 50, comma 3bis, C.A.D.: “Il trasferimento
di un dato da un sistema informativo ad un altro non modifica la titolarità del dato”. Da ciò
consegue che la responsabilità del dato, anche in termini di sua sicurezza, esattezza e
veridicità, rimane sempre in capo ad una Pubblica Amministrazione che ha formato o
raccolto il dato.
Come si è già avuto modo di vedere, le Pubbliche Amministrazioni hanno l'obbligo
giuridico di organizzarsi in modo da tendere alla completa digitalizzazione nello
svolgimento delle funzioni istituzionali.
Affinchè ciò sia possibile, le stesse P.A. devono dotarsi di appositi programmi informatici.
Il C.A.D. dedica un intero Capo, il VI, allo Sviluppo, acquisizione e riuso di sistemi
informatici nelle pubbliche amministrazioni.
Il Capo si apre con l'art. 67, il quale, tra le modalità di sviluppo ed acquisizione, prevede che
le pubbliche amministrazioni centrali, per i progetti finalizzati ad appalti di lavori e servizi
ad alto contenuto di innovazione tecnologica, possono selezionare uno o più proposte
utilizzando il concorso di idee di cui all'articolo 57 del decreto del Presidente della
Repubblica 21 dicembre 1999, n. 554245 e che possono porre a base delle gare aventi ad
oggetto la progettazione, o l'esecuzione, o entrambe, degli appalti, le proposte ideative
acquisite, previo parere tecnico di congruità del DigitPA (ora AgID).
Ben più importante, anche perchè oggetto di recente aggiornamento, è l'art. 68, rubricato
sito del Garante privacy italiano http://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-eintenazionale/trasferimento-dei-dati-verso-paesi-terzi
244
Reperibili all‟indirizzo internet http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm,
o sul sito del Garante privacy italiano http://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativacomunitaria-e-intenazionale/trasferimento-dei-dati-verso-paesi-terzi, consultato nel mese di ottobre 2015.
245
Si segnala che il DPR cit. è stato, successivamente, abrogato dal D.P.R. 5.10.2010, N. 207.
182
“Analisi comparativa delle soluzioni”, stabilisce che le pubbliche amministrazioni (tutte le
PP.AA.) acquisiscono programmi informatici o parti di essi nel rispetto dei principi di
economicita e di efficienza, tutela degli investimenti, riuso e neutralita tecnologica, a seguito
di una valutazione comparativa di tipo tecnico ed economico; al contempo, concede loro la
possibilità di scegliere alle seguenti soluzioni disponibili sul mercato246:
a) software sviluppato per conto della pubblica amministrazione;
b) riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione;
c) software libero o a codice sorgente aperto;
d) software fruibile in modalità cloud computing;
e) software di tipo proprietario mediante ricorso a licenza d'uso;
f) software combinazione delle precedenti soluzioni.
A tal fine, le pubbliche amministrazioni prima di procedere all'acquisto, secondo le
procedure di cui al codice di cui al Codice degli Appalti247, effettuano una valutazione
comparativa delle diverse soluzioni disponibili sulla base dei seguenti criteri:
a) costo complessivo del programma o soluzione quale costo di acquisto, di
implementazione, di mantenimento e supporto;
b) livello di utilizzo di formati di dati e di interfacce di tipo aperto nonche di standard in
grado di assicurare l'interoperabilita e la cooperazione applicativa tra i diversi sistemi
informatici della pubblica amministrazione;
c) garanzie del fornitore in materia di livelli di sicurezza,conformita alla normativa in
materia di protezione dei dati personali, livelli di servizio tenuto conto della tipologia di
software acquisito.
Nel caso in cui dalla suddetta valutazione comparativa di tipo tecnico ed economico, risulti
motivatamente l'impossibilita di accedere a soluzioni già disponibili all'interno della
pubblica amministrazione, o a software liberi o a codici sorgente aperto, adeguati alle
esigenze da soddisfare, è consentita l'acquisizione di programmi informatici di tipo
proprietario mediante ricorso a licenza d'uso.
La valutazione di cui sopra è effettuata secondo le modalita e i criteri definiti dall'Agenzia
246
Al riguardo, si veda la Circolare AgID del 6 dicembre 2013 n.63 Linee guida per la valutazione comparativa prevista dall‟art.
68 del D.Lgs. 7 marzo 2005, n. 82 “Codice dell‟Amministrazione digitale”, reperibile all'indirizzo internet
http://www.agid.gov.it/sites/default/files/linee_guida/circolare_agid_63-2013_linee_guida_art_68_del_cad_ver_13_b.pdf
247
Decreto legislativo 12 aprile 2006 n. 163
183
per l'Italia digitale, che, a richiesta di soggetti interessati, esprime altresi parere circa il loro
rispetto.
Il comma 2 impone alle pubbliche amministrazioni nella predisposizione o nell'acquisizione
dei programmi informatici, l'adozione di soluzioni informatiche, quando possibile
modulari, che assicurino l'interoperabilità e la cooperazione applicativa e consentano la
rappresentazione dei dati e documenti in più formati, di cui almeno uno di tipo aperto,
salvo che ricorrano motivate ed eccezionali esigenze.
Una delle modalità più appetibili è disciplinata dall'art. 69, rubricato “Riuso dei programmi
informatici”; in base a tale articolo, le pubbliche amministrazioni titolari di programmi
informatici realizzati su specifiche indicazioni del committente pubblico, hanno obbligo di
darli in formato sorgente, completi della documentazione disponibile, in uso gratuito ad
altre pubbliche amministrazioni che li richiedono e che intendano adattarli alle proprie
esigenze, salvo motivate ragioni.
Secondo la definizione reperibile sul sito dell'AgID248, per "riuso di programmi informatici
o parti di essi" si intende la possibilità per una pubblica amministrazione di riutilizzare
gratuitamente programmi informatici o parti di essi, sviluppati per conto e a spese di
un‟altra amministrazione adattandoli alle proprie esigenze.
Al fine di favorire il riuso dei programmi informatici di proprieta delle pubbliche
amministrazioni, nei capitolati o nelle specifiche di progetto è previsto ove possibile, che i
programmi appositamente sviluppati per conto e a spese dell'amministrazione siano
facilmente portabili su altre piattaforme e conformi alla definizione e regolamentazione
effettuata da DigitPA (ora AgID).
Le pubbliche amministrazioni inseriscono, poi, nei contratti per l'acquisizione di
programmi informatici o di singoli moduli, clausole che garantiscano il diritto di disporre
dei programmi ai fini del riuso da parte della medesima o di altre amministrazioni.
Nei contratti di acquisizione di programmi informatici sviluppati per conto e a spese delle
amministrazioni, invece, le stesse possono includere clausole, concordate con il fornitore,
che tengano conto delle caratteristiche economiche ed organizzative di quest'ultimo, volte a
vincolarlo, per un determinato lasso di tempo, a fornire, su richiesta di altre
amministrazioni, servizi che consentono il riuso dei programmi o dei singoli moduli. Le
248
http://www.agid.gov.it/glossario/riuso
184
clausole suddette definiscono le condizioni da osservare per la prestazione dei servizi
indicati.
L'art. 70 C.A.D. prevede l'istituzione di uno strumento di raccolta e messa a disposizione,
attraverso una apposita banca dati, dei programmi informatici riutilizzabili.
Le pubbliche amministrazioni centrali che intendono acquisire programmi applicativi
valutano preventivamente la possibilita di riuso delle applicazioni analoghe rese note dal
DigitPA (oggi AgID), motivandone l'eventuale mancata adozione.
Il catalogo nazionale dei programmi informatici riutilizzabili è reperibile sul sito web
dell'AgID249.
Ovviamente, perchè l'alimentazione e la consultazione della suddetta banca dati siano
efficaci e spingano le amministrazioni ad attingere dalla stessa per le loro esigenze, è
fondamentale il ruolo dell'organo tecnico.
Con le linee guida per l'Inserimento ed il riuso di programmi informatici o parti di essi
pubblicati nella “banca dati dei programmi informatici riutilizzabili” del DigitPA (oggi
AgID)250, quindi, si è fornito alle PP.AA. uno strumento molto utile per incentivare la
pratica del riuso e favorire la riduzione dei costi di acquisto di prodotti e servizi in ambito
ICT nella pubblica amministrazione e la disponibilita di software di qualita.
Le linee guida contengono una Check List destinata a valutare l‟idoneità al riuso degli
oggetti e la determinazione dell‟Indice di riusabilità, forniscono modelli di accordi per l'uso
e la cessione dei programmi da una P.A. ad un'altra, i passi da seguire per inserire nella
banca dati i software da condividere e per ottenere il riuso dei programmi ivi inseriti.
Esse chiariscono che il riuso di un programma informatico o parte di esso (anche definito
“Oggetto”) di un‟amministrazione cedente e il ri-utilizzo del medesimo in un contesto
diverso da quello per il quale e stato originariamente realizzato, al fine di soddisfare
esigenze simili o anche solo parzialmente simili a quelle che portarono al suo primo
sviluppo.
Lo scenario sopra rappresentato, non indicando vincoli alle modalita di riuso, ovvero alle
modalita di utilizzo dell‟Oggetto all‟interno del contesto dell‟utilizzatore, consente di
identificare diverse modalita di riuso:
249
250
http://www.agid.gov.it/catalogo-nazionale-programmi-riusabili
http://www.agid.gov.it/sites/default/files/linee_guida/linee-guida-riuso-12-04-2012-rev_23-07-2012.pdf
185
- Riuso in cessione semplice: semplice cessione di un applicativo da un‟amministrazione ad
un‟altra;
- Riuso con gestione a carico del cedente: oltre a cedere l‟applicativo, l‟amministrazione
proprietaria del software si fa carico della manutenzione dello stesso;
- Riuso in facility management: oltre che della manutenzione del software,
l‟amministrazione cedente si fa carico della predisposizione e gestione dell‟ambiente di
esercizio per l‟amministrazione che effettua il riuso;
- Riuso in ASP: è una variante del caso precedente in cui un soggetto terzo,
(amministrazione cedente o utilizzatrice o fornitore selezionato nel rispetto delle norme
vigenti) si fa carico della manutenzione e dell‟esercizio del software per più
amministrazioni, che riconoscono il corrispettivo in relazione al servizio ricevuto attraverso
un accordo/contratto quadro all‟uopo predisposto.
Altrettanto importante, anche in considerazione degli aggiornamenti allo stato dell'arte, è la
già citata Circolare AgID n. 68 del 6.12.2013, la quale ha lo scopo di illustrare, attraverso
l‟esposizione di un percorso metodologico e di una serie di esempi, le modalità e i criteri
per l‟effettuazione della valutazione comparativa delle soluzioni prevista dal Codice per
l‟Amministrazione Digitale all‟art. 68.
La circolare, sotto forma di Linee guida, è strutturata in capitoli; dopo una Premessa,
comprendente un resoconto delle attività svolte dal Tavolo di lavoro incaricato della
composizione delle Linee guida, viene descritto il Contesto di riferimento, riportante
l‟ambito di applicazione delle Linee guida e un quadro generale della metodologia proposta,
vengono quindi elencate le varie fasi della metodologia, ove si descrivono in dettaglio i
passi da seguire per la valutazione comparativa.
Un apposito capitolo tratta gli Aspetti giuridici, ove si forniscono informazioni su alcune
tipologie di licenze d‟uso ed elementi per la redazione degli atti del procedimento di
acquisizione, mentre l'Appendice, comprendente la bibliografia, il glossario e i principali
riferimenti normativi.
3.3. Diritto d’autore e ICT.
186
3.3. Diritto d’autore e ICT.
Le leggi a tutela del diritto d‟autore trovano origine nel sistema britannico del 1500 quando,
a seguito dell‟invenzione della stampa si avvertì il bisogno di tutela dell‟editoria in primis e,
poi, anche degli autori dei testi, al fine di regolamentare la diffusione della cultura.
Il primo statuto inglese a tutela del copyright, ovvero lo Statuto Di Anna risale, tuttavia, al
1710, e si applicava inizialmente solo alle copia di libri; successivamente è stato esteso ad
altri usi, come traduzioni e lavori derivati, spettacoli, dipinti, fotografie, registrazioni
sonore, film e programmi informatici.
Il diritto d‟autore e i diritti a esso connessi sono, allo stato, disciplinati nel nostro
ordinamento da due fonti primarie, ovvero il codice civile (negli artt. 2575-2583) e la Legge
n. 633/1941, la c.d. Legge sul diritto d‟Autore (LDA), di recente riformata251; ad esse si
associano poi altre norme a carattere nazionale, come per esempio la Legge n. 248/2000252
o alcune disposizioni sanzionatorie contenute nel codice penale.
Pur non essendo presente nella nostra Carta costituzionale un esplicito riferimento al
diritto d‟autore, esso può, però, essere ricompreso in svariate previsioni, tra cui l‟art. 21
Cost. ove si riconosce la libertà di manifestazione del pensiero “con la parola, lo scritto e ogni
altro mezzo di diffusione”, o l‟art. 33 Cost., secondo cui “l’arte e la scienza sono libere”.
Inoltre, una forte azione propulsiva di rinnovamento è stata avviata dapprima a livello
internazionale, mediante la sottoscrizione di trattati e l‟adesione a Convenzioni, e poi a
livello comunitario, con l‟emanazione di Direttive253 tese a disciplinare singoli aspetti
specifici ed innovativi della legge sul diritto d‟autore, al fine di adeguare la normazione
interna all‟evoluzione tecnologica.
Infine, un ruolo di controllo, garanzia e contenimento, sia a livello normativo che
applicativo, è svolto dall‟Autorità garante per le comunicazioni (Agcom) che ha il compito
Il legislatore è intervenuto con dei correttivi nel 2014, nel 2015 e nel 2016. In dettaglio, con la più recente riforma del 2016 è
stata depenalizzata l‟ipotesi di cui all‟art. 171 quater, il quale prevede oggi una sanzione di tipo amministrativo per chiunque “abusivamente
ed a fini di lucro: a) concede in noleggio o comunque concede in uso a qualunque titolo, originali, copie o supporti lecitamente ottenuti di opere tutelate dal diritto di
autore; b) esegue la fissazione su supporto audio, video o audio video delle prestazioni artistiche di cui all'art. 80”.
252
Trattasi di una disciplina speciale, rubricata “Nuove norme di tutela del diritto d’autore”, che ha profondamente innovato la LDA
del 1941.
253
Si suole in genere far riferimento a: Direttiva 91/250/CEE relativa alla tutela giuridica di programmi per elaboratore;
Direttiva 96/9/CE relativa alle banche dati; Direttiva 2001/29/CE sull‟armonizzazione di taluni aspetti del diritto d‟autore e dei diritti
connessi nella società dell‟informazione; Direttiva 2004/48/CE sul rispetto dei diritti di proprietà intellettuale; Direttiva 2006/116/ CE
sulla durata di protezione del diritto d‟autore e di alcuni diritti connessi; Direttiva 2014/26/UE sulla gestione collettiva dei diritti d‟autore
e dei diritti connessi e sulla concessione di licenze multiterritoriali per i diritti su opere musicali per l‟uso online nel mercato interno.
251
187
di vigilare e intervenire nei settori delle telecomunicazioni, dell‟audiovisivo, dell‟editoria e
delle comunicazioni postali.
Il diritto d‟autore rientra nella più ampia categoria dei diritti di proprietà intellettuale e ha lo
scopo di garantire all‟autore il godimento esclusivo e lo sfruttamento dei benefici derivanti
da una creazione dell‟ingegno, dotata del requisito dell‟originalità.
In particolare, il diritto d‟autore consta di due elementi essenziali254: il diritto al
riconoscimento dell‟esclusiva paternità dell‟opera, definito “diritto morale d’autore”255 e il
diritto a godere e sfruttare economicamente la creazione, il c.d. “diritto di sfruttamento
economico”256.
La differenza fondamentale tra le due suddette componenti si rinviene nella differente
disponibilità cui le stesse sono soggette: mentre il diritto morale d‟autore, per sua stessa
natura, è inalienabile, irrinunciabile e imprescrittibile, in quanto strettamente dipendente
dall‟autore, il diritto di sfruttamento economico, di natura patrimoniale, è cedibile
dall‟autore a terzi, con scopo di lucro o gratuitamente, senza che questo comprometta
l‟integrità dell‟opera.
Alle due precisate componenti si aggiunge poi la terza categoria dei c.d. “diritti connessi o
affini”, i quali non riguardano direttamente l‟espressione creativa, quanto piuttosto
l‟utilizzo dell‟opera; nello specifico, tali diritti saranno vantati da artisti interpreti ed
esecutori, produttori di dischi fonografici o supporti analoghi, produttori di opere
cinematografiche o audiovisive, emittenti radiofoniche e televisive257.
Ai sensi dell‟art. 1 della LDA e dell‟art. 2575 cc l‟oggetto del diritto d‟autore è costituito da
“le opere di ingegno di carattere creativo che appartengono alle scienze, alla letteratura, alla musica, alle arti
figurative, all’architettura, al teatro, alla cinematografia, qualunque ne sia il modo o la forma di
espressione”, a cui sono stati aggiunti, successivamente, i programmi per elaboratore e le
banche dati.
Giova precisare che il diritto in questione sorge automaticamente con la creazione originale
di un‟opera d‟ingegno; ciò vuol dire che il nostro ordinamento non prevede particolari
I due elementi del diritto d‟autore hanno altresì la funzione di distinguere lo stesso dal copyright, istituto tipico dei sistemi di
common law, in cui non è dato rinvenire alcun riferimento alla componente del diritto morale d‟autore. Al riguardo v. A. Clerici, Manuale di
informatica giuridica, Egea, Milano, p. 190.
255
Diritto di rivendicare la paternità dell‟opera e di opporsi a qualsiasi deformazione, mutilazione o altra modificazione ad ogni
atto a danno dell‟opera stessa che possano essere di pregiudizio al suo onore o alla sua reputazione.
256
Diritto di riprodurla, di eseguirla, di rappresentarla, di trascriverla, di diffonderla, etc.
257
Sul punto v. S. Spagnuolo, Diritto d’autore on line tra libertà e controllo, in Supplemento Altalex Quotidiano, Novembre 2014.
254
188
formalità di valutazione, richiedendo solo che si tratti di un‟attività “creativa”258, ovvero
originale e innovativa.
Con riferimento poi alla fascia temporale di esercizio del diritto, è l‟art. 25 della LDA che,
per come revisionato, fissa un limite massimo pari all‟intera durata della vita dell‟autore,
maggiorato di 70 anni dopo la sua morte. Allo scadere del settantesimo anno solare
successivo alla morte dell‟autore, le opere diventano liberamente fruibili da chiunque, senza
che sia necessaria una previa autorizzazione da parte degli eredi.
È evidente, dunque, che un‟opera può essere liberamente utilizzata da soggetti diversi dal
suo autore in due casi: in primis quando sono scaduti i limiti temporali massimi previsti dalla
legge a tutela del diritto e l‟opera diventa, quindi, di pubblico dominio; il secondo caso,
invece, si ha quando vi è un‟espressa autorizzazione o licenza concessa dall‟autore.
È questo il caso dei Creative Commons, licenze con cui il titolare del diritto d‟autore autorizza
la diffusione della propria opera, con contestuale rinuncia ad alcuni diritti, così consentendo
la libera circolazione della cultura e dell‟arte come veicolo di conoscenza e creatività.
Le nuove sfide dell‟economia digitale richiedono, tuttavia, una costante opera di
monitoraggio e aggiornamento della materia del diritto d‟autore, soprattutto in
considerazione della velocità con cui mutano e progrediscono le conoscenze informatiche.
Invero, l‟avanzamento del progresso tecnologico e l‟utilizzo capillare delle Tecnologie
dell‟Informazione e della Comunicazione (ICT) sono strettamente connessi alla materia
della tutela della creatività umana: l‟elaborazione, la fruizione e la diffusione delle opere
d‟ingegno viaggia sempre più spesso attraverso la Rete, necessitando perciò di specifica
tutela e di nuovi strumenti.
La tensione continua tra libertà dei saperi e diffusione controllata degli stessi non sempre
riesce a trovare il proprio punto di equilibrio nella tutela del diritto d‟autore on line. È
questo il nuovo obiettivo richiesto al legislatore in materia.
Internet favorisce la creazione di un mercato globale dei contenuti digitali, ma
un‟espansione di tal genere richiede, al contempo, strumenti che si dimostrino in grado di
gestire e sanzionare l‟uso illecito di creazioni protette259.
Sul punto è interessante il dictum di una sentenza della Suprema Corte, secondo la quale: “Il diritto d’autore, a differenza del diritto
delle invenzioni, caratterizza in senso marcatamente soggettivo la creatività, la quale, nell’ambito di tali opere dell’ingegno, non è costituita dall’idea di per sé, ma
dalla forma della sua espressione, ovvero dalla sua soggettività, di modo che la stessa idea può essere alla base di diverse opere d’autore, come è ovvio nelle opere
degli artisti, le quali tuttavia sono o possono essere diverse per la creatività soggettiva che ciascuno degli autori spende, e che in quanto tale rileva per l’ottenimento
della protezione”; cfr. Cass. civ., sez. I , 11 agosto 2004, n. 15496.
259
Al riguardo, v. A. Clerici, Manuale di informatica giuridica, cit., p. 210.
258
189
Al riguardo, nell‟art. 2 della LDA si legge: “sono protetti i programmi per elaboratore, in qualsiasi
forma espressi purché originali quale risultato di creazione intellettuale dell’autore. Restano esclusi le idee e i
principi che stanno alla base di qualsiasi elemento di un programma, compresi quelli alla base delle sue
interfacce. Il termine programma comprende anche il materiale preparatorio per la progettazione del
programma stesso”.
Per quanto attiene alla tutela dei software, poi, la LDA all‟art. 64-bis sancisce il diritto
esclusivo dell‟autore di effettuare o autorizzare:
a) la riproduzione, permanente o temporanea, totale o parziale, del programma per
elaboratore con qualsiasi mezzo o in qualsiasi forma. Nella misura in cui operazioni quali il
caricamento, la visualizzazione, l‟esecuzione, la trasmissione o la memorizzazione del
programma per elaboratore richiedano una riproduzione, anche tali operazioni sono
soggette all‟autorizzazione del titolare dei diritti;
b) la traduzione, l‟adattamento, la trasformazione e ogni altra modificazione del programma
per elaboratore, nonché la riproduzione dell‟opera che ne risulti, senza pregiudizio dei
diritti di chi modifica il programma;
c) qualsiasi forma di distribuzione al pubblico, compresa la locazione, del programma per
elaboratore originale o di copie dello stesso.
È bene precisare, tuttavia, che la normativa succitata si applica solo se, e in quanto, il
software utilizzato o riprodotto sia munito di licenza di originalità, non essendo possibile
tutelare in alcun modo le copie non autorizzate.
Discorso diverso vale per le banche dati, per le quali è previsto (dall‟art. 64-quinquies) che
l‟autore ha il diritto esclusivo di eseguire o autorizzare:
a) la riproduzione permanente o temporanea, totale o parziale, con qualsiasi mezzo e in
qualsiasi forma;
b) la traduzione, l‟adattamento, una diversa disposizione e ogni altra modifica;
c) qualsiasi forma di distribuzione al pubblico dell‟originale o di copie della banca dati;
d) qualsiasi presentazione, dimostrazione o comunicazione in pubblico, ivi compresa la
trasmissione effettuata con qualsiasi mezzo e in qualsiasi forma;
e) qualsiasi riproduzione, distribuzione, comunicazione, presentazione o dimostrazione in
pubblico dei risultati delle operazioni di cui alla lettera b).
In considerazione dell‟ingente lavoro necessario per costituire una buona banca dati, il
Legislatore ha, poi, riconosciuto al costitutore di essa un diritto sui generis:
190
indipendentemente dalla tutelabilità della banca dati a norma del diritto d‟autore o di altri
diritti, e senza pregiudizio dei diritti sul contenuto o parti di esso, il costitutore di una banca
dati ha il diritto, per 15 anni dal completamento dell‟opera, di vietare le operazioni di
estrazione ovvero reimpiego della totalità o di una parte sostanziale della stessa.
Tra gli elementi degni di tutela, in quanto opera d‟ingegno, meritano di essere ricompresi
anche i siti web, rispettando essi le caratteristiche richieste dalla legge, ovvero la creatività,
l‟originalità e la novità.
In particolare saranno garantiti non solo i siti in sé, ma anche tutte le componenti grafiche,
testuali o ipertestuali in essi contenute, sempre purché originali.
Più in generale, l‟obiettivo che si auspica di raggiungere è il giusto bilanciamento tra la
legittima tutela dell‟autore dell‟opera e l‟esigenza, altrettanto legittima, di stimolare la
diffusione della cultura e dell‟informazione.
I problemi che possono sorgere dall‟applicazione della normativa classica alle pubblicazioni
di natura telematica sono di svariato tipo e legate sia a problemi tecnici che a problemi
giuridici.
Una delle caratteristiche dei contenuti delle opere d’ingegno “digitali” è che esse sono
per lo più interattive e multimediali, assemblando in un unico prodotto svariate opere,
spesso di diversa natura, già singolarmente protette; con ciò si pone il problema di capire a
chi sia, pertanto, attribuibile la paternità dell‟opera finale.
Inoltre non pochi problemi sorgono riguardo alla riproduzione e alla trasmissione delle
opere multimediali, per le quali l‟assenza di un supporto fisico rende più facile la
duplicazione, anche non autorizzata, e la circolazione in Rete non protetta.
In generale, non essendoci una normativa organica che regoli le suddette situazioni, si tende
ad attribuire la paternità dell‟opera all‟autore che ha prodotto il risultato finale, considerato
che anche l‟attività di accorpamento ed elaborazione ha in sé il requisito della creatività ed
originalità se il prodotto finale è un‟opera innovativa.
Si applicheranno, quindi, i principi generali in materia di diritto d‟autore, e gli ideatori dei
singoli contributi assemblati non potranno vantare alcun diritto sull‟opera derivata, pur
conservando il diritto d‟autore sulle singole parti originarie.
191
Si deve al regolamento Agcom, entrato in vigore nel 2014260, la prima definizione espressa
di “opera digitale”, ove all‟art. 1 si legge: “opera, o parti di essa, di carattere sonoro, audiovisivo,
fotografico, videoludico, editoriale e letterario, inclusi i programmi applicativi e i sistemi operativi per
elaboratore, tutelata dalla Legge sul diritto d’autore e diffusa su reti di comunicazione elettronica”.
La caratteristica principale dell‟opera digitale, idonea a distinguerla dalla mera opera
d‟ingegno, è, dunque, la diffusione della stessa su internet.
La digitalizzazione delle opere d‟ingegno, e la consequenziale commercializzazione online, è
un fenomeno in costante aumento, in considerazione dei vantaggi che esso comporta,
come per esempio la facilità di condivisione, l‟immediatezza del mezzo e la limitazione dei
costi.
Ai rilevanti vantaggi individuati si affiancano, però, anche molteplici rischi, legati al
controllo e alla gestione dei diritti di proprietà intellettuale sulle opere così realizzate e
distribuite, soprattutto se immesse in Rete attraverso le innumerevoli piattaforme digitali o
siti di eCommerce.
La pirateria informatica, ovvero l‟appropriazione di file e contenuti altrui, tutelati dal diritto
d‟autore, è una realtà ormai diffusa e non sempre le norme vigenti risultano adeguate a
contrastare il fenomeno.
Tuttavia, è evidente che non ogni fruizione delle opere immesse in rete è sfornita di
autorizzazione.
Per ciò che concerne, ad esempio, la condivisione di materiale online, è opportuno
specificare che se normalmente gli utenti utilizzano applicazioni per accedere a contenuti
audio, video o testuali, scaricando direttamente dalla fonte primaria un file, associato a
formati diversi in base all‟uso desiderato, con il download di un file da youtube non si
acquisteranno i diritti di proprietà dell‟opera, ma si effettuerà una sorta di “noleggio”
finalizzato alla fruizione personale del contenuto. Il mancato trasferimento della proprietà
fa sì che il diritto di sfruttamento economico rimanga in capo al legittimo ideatore o titolare
del servizio, il quale continuerà a condividere lo stesso materiale con innumerevoli altri
utenti.
Cfr. Allegato A alla Delibera n. 680/13/CONS del 12 dicembre 2013 dell‟AGCOM, visionabile all‟URL:
https://www.agcom.it/documents/10179/0/Documento/b0410f3a-0586-449a-aa99-09ac8824c945, consultata nel mese di novembre
2016.
260
192
Ecco perché i programmi di file-sharing261 consentono una condivisione di dati o file digitali
in rete, secondo il sistema peer-to-peer
262
, a determinate condizioni e purché non si effettui
una riproduzione o un uso non autorizzato.
Invero, come noto, in Italia chiunque esegua il download di un‟opera protetta dal diritto
d‟autore e la metta in condivisione, per trarne profitto, commette un illecito penale, ai sensi
degli artt. 171, 171-bis e 171-ter della LDA263.
Alla tutela di stampo prettamente penalistico si somma, altresì, quella civilistica prevista
dalla LDA, la quale fornisce alla vittima delle violazioni strumenti di inibizione e reazione,
come la richiesta di rilascio di un provvedimento giudiziario di cessazione dell‟illecito
utilizzo, l‟azione di distruzione e rimozione del prodotto illecito e l‟azione di risarcimento
del danno.
Inoltre, nel campo digitale, venendo meno la differenza tra file originale e copia, una delle
tecniche più utilizzate dai detentori dei diritti di proprietà intellettuale per cercare di limitare
la condivisione non autorizzata del proprio materiale, consiste nell‟applicare al file digitale
delle misure di protezione tecnologiche, chiamate Digital Right Management (o DRM), le
quali possono, a seconda dei casi limitare o impedire la circolazione dell‟opera oppure
evitare che la stessa possa essere alterata o modificata.
Un passo in avanti in materia è stato compiuto, altresì, con l‟adozione del Regolamento
Agcom264, entrato in vigore il 31 marzo 2014, con il quale è stato introdotto un nuovo
sistema che punisce la violazione del diritto d‟autore on line e prevede, come sanzione, la
disabilitazione dell‟accesso ai siti “colpevoli”, mediante blocco del DNS, e, nei casi più
gravi, la disconnessione dei cittadini dalla rete.
È evidente, quindi, che il diritto di sfruttamento degli utenti incontra forti limitazioni: l‟uso
del materiale condiviso dovrà essere sempre strettamente personale265, e giammai per fini
Letteralmente “condivisione di un file” all‟interno di una Rete. Queste reti permettono di ricercare un file in particolare per
mezzo di un URI (Universal Resource Identifier), di individuare più copie dello stesso file nella rete per mezzo di hash crittografici, di eseguire
lo scaricamento da più fonti contemporaneamente e direttamente dai dispositivi di altre persone connesse ad Internet.
262
Lo scambio avviene tra utenti posti sullo stesso livello, “da pari a pari”, senza che sia necessaria l‟intermediazione di un server
centrale.
263
Recita l‟art. 171-bis al comma 1 “chiunque abusivamente duplica, per trarne profitto, programmi per elaboratore o ai medesimi fini importa,
distribuisce, vende, detiene a scopo commerciale o imprenditoriale o concede in locazione programmi contenuti in supporti non contrassegnati dalla Società italiana
degli autori ed editori (SIAE), è soggetto alla pena della reclusione da sei mesi a tre anni e della multa da lire cinque milioni a lire trenta milioni. La stessa pena
si applica se il fatto concerne qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale di dispositivi applicati a
protezione di un programma per elaboratori. La pena non è inferiore nel minimo a due anni di reclusione e la multa a lire trenta milioni se il fatto è di rilevante
gravità”.
264
Cfr. Allegato A alla Delibera n. 680/13/CONS del 12 dicembre 2013 dell‟AGCOM, visionabile all‟URL:
https://www.agcom.it/documents/10179/0/Documento/b0410f3a-0586-449a-aa99-09ac8824c945, consultata nel mese di novembre
2016.
265
Cfr. art. 171-ter della LDA.
261
193
commerciali; ed ancora, attraverso sistemi di protezione, il proprietario legittimo del
contenuto potrebbe circoscriverne il godimento al solo dispositivo su cui viene scaricata
l‟opera d‟ingegno.
La digitalizzazione delle suddette opere d‟ingegno ha, senza alcun dubbio, contribuito
all‟evoluzione degli schemi classici dell‟editoria sotto molteplici punti di vista.
Di recente diffusione sono, ad esempio, i c.d. contratti di ePublishing, contratti atipici nei
quali viene disciplinata, in virtù del principio di autonomia privata delle parti, di cui all‟art.
1322 comma 2 cc, la mera pubblicazione digitale dell‟opera. Tale tipologia contrattuale ha la
finalità di ricondurre allo schema del classico contratto di edizione, reso tipico ex art. 122 L.
n. 633/1941, una nuova e differente modalità di pubblicazione e di distribuzione dell‟opera
dell‟ingegno, superando delle indicazioni normative imposte dalla LDA, per il modello
tipico, a pena di nullità266.
Con il citato strumento negoziale, generalmente, vengono ceduti i diritti d‟autore per un
lasso temporale medio che va dai cinque ai sette anni, a differenza di quanto avviene per
l‟editoria cartacea che prevede cessioni decennali (anche sino a venti anni).
La caratteristica principale che rende gli e-book lo strumento editoriale del futuro è
rappresentata dall‟ottimizzazione di tempi, costi e risultato: ad essere rivoluzionati e ridotti
sono i passaggi di realizzazione, promozione, stampa e distribuzione della filiera cartacea,
con drastico abbassamento dei costi.
Inoltre, anche il rapporto tra autore ed editore ne trae giovamento, in termini temporali e
utilitaristici, data la consegna e pubblicazione del prodotto digitale mediante l‟esclusivo
utilizzo della Rete. In tempi ridotti, dunque, l‟opera digitale sarà acquistabile sulle
piattaforme di distribuzione on-line e sui siti web.
Rientra nelle recenti esperienze di editoria digitale anche l‟innovativo progetto “ Google
Books”, pensato con l‟obiettivo di digitalizzare tutti i libri stampati per renderli accessibili
agli utenti della Rete nel mondo.
Nonostante le critiche e le class action intentate dall‟editoria americana e internazionale, il
progetto di Google di creare una libreria digitalizzata è ancora attivo e operativo.
In particolare, Google Books viene considerato un tipico esempio di fair use, ovvero un
principio legislativo dell‟ordinamento giuridico degli Stati Uniti d‟America in base al quale si
stabilisce, ad alcune condizioni, la liceità della citazione non autorizzata, o l‟incorporazione
266
Sul punto cfr. M. Giacomello, Introduzione ai contratti di ePublishing, ebook, Apogeo, 2013.
194
non autorizzata, di materiale protetto da copyright nell‟opera di un altro autore. Tale
principio, riconosciuto in parte anche nel nostro sistema, è soggetto a quattro condizioni di
liceità: 1) natura non commerciale e didattica dell‟uso; 2) natura dell‟opera utilizzata e
protetta da copyright; 3) quantità e importanza della porzione utilizzata e 4) conseguenze
dell‟iniziativa sul valore di mercato dell‟opera usata.
Pertanto, nella fruizione di opere digitali risulta essere di fondamentale importanza
un‟attenta lettura dei termini del servizio, la cui accettazione costituisce attività prodromica
alla fruizione dei contenuti.
3.4. Digital crimes
3.4. Digital crimes
Con lo sviluppo delle tecnologie informatiche e l‟evoluzione della comunicazione digitale,
la gran parte delle attività sociali, lavorative e di svago si svolgono oggi attraverso reti
telematiche.
Ne consegue, dunque, che se ogni attività lecita trova collocazione su Internet, anche le
attività illecite useranno gli stessi mezzi, seguendo un percorso parallelo e talvolta comune.
Invero, l‟attività criminale ha registrato una forte inversione di tendenza, diretta a sfruttare i
vantaggi che offre il mondo virtuale, asservendo le dinamiche del web alla finalità
delinquenziale.
I c.d. computer crimes sono, infatti, quelle fattispecie delittuose che comportano un
coinvolgimento dei computer e del network; gli strumenti informatici possono costituire
l‟oggetto di nuove e complesse ipotesi di reato oppure possono rappresentare un‟evoluta
modalità di perpetrazione di fattispecie già precedentemente disciplinate.
Di fronte alla velocità con cui si sviluppa l‟universo digitale, spetta al Legislatore il compito
di definire i caratteri principali dei nuovi delitti, utilizzando espressioni e concetti quanto
più elastici possibili, che possano contemplare in sé anche le innovazioni tecnologiche
future.
195
Secondo accreditata dottrina, si potrebbero distinguere due tipologie di computer crimes: i
reati “necessariamente informatici”, detti anche reati informatici “propri” e i reati
“eventualmente informatici”, c.d. “impropri”267.
La differenza pare essere sostanziale, e legata al bene giuridico protetto: mentre nei primi
Internet è elemento prodromico per la commissione del reato, nei secondi il computer
costituisce lo strumento attraverso il quale si commette il reato.
Al primo tipo appartengono la maggior parte dei reati introdotti ex novo nel nostro
ordinamento con la L. 547/93, recante modificazioni ed integrazioni alle norme del codice
penale in tema di criminalità informatica. Si fa riferimento, per esempio, all‟accesso abusivo
ad un sistema informatico, al phishing, allo spamming, al danneggiamento di sistemi
informatici o telematici, etc.
Per il secondo tipo, per contro, si è proceduto a un adeguamento della precedente
normativa, contemplando tra le modalità di commissione anche quella telematica. È il caso,
cioè, della diffamazione online, della pedopornografia online, e altri reati previsti dal codice
penale o da leggi speciali, accomunati dall‟essere commessi in Rete.
Più in generale, il bene protetto dal Legislatore è il c.d. “bene giuridico informatico”, da
identificare con la capacità di veicolare informazioni, elaborare dati o generare file, che,
tuttavia, possono essere indebitamente sottratti, maneggiati o modificati.
In considerazione del dilagare del suddetto fenomeno, diventa perciò necessario sviluppare
idonee contromisure atte a contrastare, o quantomeno a limitare, il progredire di queste
forme di crimine.
Anche il catalogo dei cyber crimini, invero, segue l‟evoluzione della storia e dei fenomeni
sociali, tanto che l‟attenzione verso le nuove forme di criminalità informatica ha consentito
di individuare una stretta connessione tra uso della rete e reati di terrorismo: sempre più
spesso, infatti, i gruppi terroristici utilizzano i siti internet per reclutare seguaci,
propagandare le convinzioni di matrice sovversiva, reperire fondi e finanziamenti.
Proprio in virtù del forte nesso appurato, la recente L. n. 43 del 17 aprile 2015 ha
introdotto una serie di ipotesi aggravate dei reati di istigazione e di pubblica istigazione a
delitti di terrorismo, allorché il fatto sia commesso mediante l‟uso di strumenti informatici
267
Sul punto cfr. A. Clerici, Manuale di informatica giuridica, cit., p. 341.
196
o telematici, considerata la maggiore capacità incisiva e diffusiva dello scritto
propagandistico pubblicato in rete e fruibile da un numero indeterminato di utenti.
L‟uso del
web e
di strumenti
informatici
per perpetrare
reati di
stampo
terroristico (arruolamento di foreign fighters, propaganda, etc.) diventa, perciò, una
circostanza aggravante che comporta l‟obbligo di arresto in flagranza; sul piano inibitorio,
poi, con le novità normative citate, si consente oggi all‟autorità giudiziaria di ordinare agli
internet provider di inibire l‟accesso ai siti utilizzati per commettere reati con finalità di
terrorismo ed, in caso di inosservanza, di disporre direttamente l‟interdizione dell‟accesso
ai relativi domini internet.
Anche i gestori dei social network hanno di recente intrapreso una campagna di
prevenzione e repressione delle comunicazioni di matrice terroristica, adottando una
politica di oscuramento delle pagine ritenute simpatizzanti con le associazioni eversive.
Il vero ostacolo da superare, in materia, è il giusto contemperamento tra valori e diritti in
gioco, in primis la libertà di espressione e la libertà di professare il proprio credo religioso,
unitamente alle esigenze di sicurezza e tutela della vita e della libertà personale.
È evidente come, nell‟ambito di un‟azione di contenimento e controllo dei recenti
fenomeni criminosi, al dato normativo sostanziale, occorre associare un costante
aggiornamento anche del sistema processuale, uniformando la disciplina in materia
d‟indagini informatiche e stabilendo regole certe per l‟acquisizione della prova digitale.
Numerose sono, prescindendo dalle singole ipotesi specifiche, le problematiche legate alla
perseguibilità dei digital crimes, prima tra tutte l‟indeterminatezza del locus commissi delicti.
Infatti, una delle caratteristiche che accomuna tutte le ipotesi delittuose in questione è la
c.d. a-territorialità, ovvero la mancanza di un contesto fisico di riferimento; i reati sono
commessi in uno spazio virtuale, tra utenti residenti talvolta in Stati diversi.
È evidente, dunque, che diventa difficile individuare anche solo l‟autorità giudiziaria
competente, per non parlare poi della difficoltà di individuare l‟autore di un reato, molto
spesso reso anonimo dall‟utilizzo di tecniche idonee ad eludere i sistemi di registrazione.
In particolare, la modalità con cui spesso agisce il criminale internauta consiste nel celare il
proprio indirizzo identificativo, il c.d. ip address, assegnato automaticamente e
obbligatoriamente dall‟Internet Service Provider, appoggiandosi su server, definiti proxy, che
fungono da intermediari e che, di fatto, non consentono di risalire alla fonte diretta.
197
Ad ogni modo, ciò che agevola l‟aumento delle tipologie di reati informatici è la facilità con
cui è possibile reperire in rete informazioni, dati (talvolta anche sensibili), foto; tutto questo
materiale è spesso immesso, in buona fede, dall‟utente inconsapevole e inesperto, che non
avverte, per tempo, la potenzialità lesiva del mezzo telematico.
A ciò si aggiunga un dato oggettivo, ovvero la mancanza di una normativa uniforme in
materia a livello internazionale; tale circostanza non è di poco conto se si considera che la
condotta che in Italia integra un reato può non avere la stessa valenza in un altro Stato
estero, precludendone così la perseguibilità.
Per tentare di ovviare a tali problematiche, il nostro Legislatore ha introdotto dei principi
specifici, come, per esempio, la “teoria dell‟ubiquità” contenuta nell‟art 6 c.p., in base alle
quale un reato si considera commesso in territorio italiano non solo se in esso si verifica
l‟evento, ma anche se in Italia è stata originata la condotta che ha portato poi al verificarsi
dell‟evento.
Ma la vera pietra miliare è costituita dalla L. 48/2008, con la quale è stata ratificata in Italia
la Convenzione di Budapest in tema di criminalità informatica.
Aderendo alla suddetta Convenzione, il nostro Paese ha accettato di uniformare la propria
normativa in materia con quella degli altri Stati membri, creando così una disciplina
omogenea e maggiormente efficace nella repressione di queste particolari forme criminose.
Con la Convenzione di Budapest sono state gettate, per la prima volta, le basi per una vera
cooperazione transnazionale contro il cyber crimine.
In estrema sintesi, la L. 48/2008 ha introdotto le seguenti rilevanti novità:
●
sanzioni più pesanti per i reati informatici;
●
norme di contrasto più efficaci per la pedo-pornografia in rete;
●
sanzioni anche a carico delle società;
●
possibilità per le forze dell‟ordine di chiedere al provider il congelamento dei dati
telematici per 6 mesi;
●
maggiori tutele per i dati personali.
Pare opportuno, a questo punto, procedere con l‟analisi di alcuni tra i più diffusi e
importanti digital crimes.
Frodi informatiche
198
In tale area rientrano alcune tra le fattispecie più comuni di illeciti commessi mediante
l‟utilizzo di strumenti informatici, tra cui il c.d. phishing.
La norma di riferimento è indubbiamente l‟art. 640-ter c.p. che recita “chiunque, alterando in
qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con
qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad
esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei
mesi a tre anni e con la multa da euro 51 a euro 1.032”.
La struttura del reato ricalca essenzialmente la simile ipotesi di truffa (di cui all‟art. 640 c.p),
con la fondamentale differenza che nel caso di frode informatica l‟attività fraudolenta non è
rivolta ad una persona fisica, quanto piuttosto ad un sistema informatico. Inoltre, nell‟art.
640-ter c.p. manca un altro elemento primario della più generica truffa, ovvero l‟induzione
in errore della vittima tramite artifici o raggiri: al cospetto di un‟ipotesi di frode informatica,
infatti, saranno punite delle semplici azioni meccaniche mirate ad alterare sistemi, dati o
programmi elettronici.
Le condotte tipiche del delitto di cui all‟art. 640-ter c.p. sono di due tipologie:
•
alterazione del funzionamento di un sistema informatico;
•
manipolazione senza diritto di dati, informazioni o programmi.
Lo scopo della norma è di tutelare il patrimonio delle potenziali vittime, oltre alla sicurezza
e al regolare funzionamento di un sistema telematico.
Un particolare tipo di frode online è rappresentato, come già anticipato, dal phishing
(termine di matrice inglese che letteralmente vuol dire “pescare”), un sistema ideato per
sottrarre fraudolentemente, con la collaborazione di un ignaro utente, codici di accesso di
home banking, password o altre credenziali di accesso dell‟account.
Si tratta di una di una delle svariate forme di furto d’identità, che in modo sofisticato
sfrutta sia tecniche di ingegneria informatica, sia l‟ignoranza in materia dell‟utente medio.
Tutte le aggressioni ai dati sensibili o personali dell‟internauta hanno una finalità in
comune; invero, la raccolta di informazioni, credenziali e codici personali è attività
prodromica alla successiva attività illecita, consistente nella sostituzione del cyber criminale
all‟ignaro utente per commettere reati in Rete, celando la propria vera identità.
Al furto d‟identità digitale corrisponde nella maggior parte dei casi un danno patrimoniale
per la vittima di tali condotte, che può consistere in prelievi online o in pagamenti di merce
non autorizzati. Ma di non poco conto sono anche gli ulteriori risvolti penali che possono
199
seguire ad una sostituzione di persona, nel caso in cui il pirata informatico compia più
attività delittuose con la falsa identità altrui, commettendo, ad esempio, reati di riciclaggio o
simili.
Tecnicamente il phishing consiste nell‟invio, a un utente o a un gruppo di utenti, di messaggi
di posta elettronica ingannevoli, contenenti l‟invito al soggetto a fornire volontariamente
proprie informazioni personali, generalmente collegate al sistema di accesso bancario
online.
Il phisher, dunque, piuttosto che attaccare direttamente il sistema informatico di un istituto
di credito, generalmente dotato di complessi sistemi di protezione e sicurezza, gioca
sull‟inconsapevolezza e buona fede del singolo individuo che, ricevendo una mail
apparentemente dal proprio istituto bancario, segue le indicazioni contenute nel messaggio,
spesso cliccando su di un link, fornendo così inconsciamente in modo volontario i propri
codici identificativi.
In Italia il fenomeno si è presentato per la prima volta nel 2005, quando migliaia di utenti
ricevettero, sul loro indirizzo di posta elettronica, una mail civetta che sembrava a tutti gli
effetti provenire da Poste Italiane.
Negli anni anche l‟attività criminale si è evoluta e sono stati sviluppati nuovi sistemi di
attacco e nuove tipologie di phishing; tuttavia, la più diffusa è quella del “phishing
ingannevole” che utilizza la tecnica dello spamming268 per inviare massivamente e
casualmente e-mail riportanti malfunzionamenti e problemi di accesso ai portali di home
banking.
È opportuno precisare che nel nostro ordinamento non esiste una norma penale che
sanzioni specificamente il phishing, essendoci piuttosto diverse fattispecie incriminatrici in
cui esso può essere sussunto, in relazione alle modalità con cui si realizza; tuttavia, con il
D.L. n. 43 del 14 agosto 2013 è stato introdotto, in aggiunta alle norme già esistenti, il reato
di “frode informatica commessa con sostituzione di identità digitale”.
Pertanto, a seconda della tipologia di phishing perpetrato, si potrà fare ricorso alla
disposizione che meglio contiene in sé gli elementi della condotta delittuosa dell‟autore.
268
Lo spamming (o spam) è l'uso di sistemi di messaggistica elettronica (tra questi, la maggior parte dei mezzi di trasmissione
elettronica e i sistemi di distribuzione digitale) per inviare indiscriminatamente messaggi, a carattere commerciale, non richiesti Lo spam
viene inviato senza il permesso del destinatario ed è un comportamento ampiamente considerato inaccettabile dagli Internet Service
Provider (ISP) e dalla maggior parte degli utenti di Internet. Mentre questi ultimi trovano lo spam fastidioso e con contenuti spesso
offensivi, gli ISP vi si oppongono anche per i costi del traffico generato dall'invio indiscriminato.
200
Inoltre, per quanto concerne la tutela del correntista bancario che ha subito un furto di
identità, la giurisprudenza nel tempo si è evoluta, con inversione dell‟onere probatorio a
carico dell‟istituto di credito.
Invero, la tendenza iniziale mirava a tenere indenne da responsabilità l‟istituto bancario,
stante la difficoltà di dimostrare le modalità di sottrazione delle credenziali di accesso al
servizio di home banking; oggi, invece, considerando il correntista in qualità di parte
debole del rapporto contrattuale, e quindi un consumatore, al contrario dell‟istituto di
credito che opera quale professionista, la banca non potrà andare sempre e comunque
esente da responsabilità, essendole richiesto di dimostrare di aver tenuto un livello di
diligenza molto elevato.
È di pochi mesi fa la pronuncia del Tribunale di Roma269 con la quale un istituto bancario è
stato condannato a pagare 130.000 € alla vittima di frode informatica (collegata al sistema di
home banking), quale risarcimento per non aver dimostrato in giudizio di aver
correttamente adempiuto le proprie obbligazioni, attenendosi ai più alti standard del settore
bancario.
Nell‟ambito del furto di identità, sono emersi, poi, negli ultimi anni, fenomeni altrettanto
dilaganti e preoccupanti, considerati delle evoluzioni tecniche e specifiche del phishing; con
ciò si vuol far riferimento allo “spear phishing”, che si realizza quando il criminale si
spaccia per il collega di lavoro della vittima tentando di acquisire dati personali sempre più
mirati; allo “smishing”, frode effettuata tramite l‟invio di sms contenenti link che, se
cliccati, comportano l‟acquisizione di dati personali e il “vishing”, truffa che sfrutta
strumenti quali voip, contact center o skype per ingenerare fiducia nell‟interlocutore e
carpire informazioni e dati personali.
Un ruolo fondamentale, nella repressione di questa forma di criminalità informatica, è
svolto, oltre che dalla legge, dalla costante e aggiornata opera di informazione dell‟utenza, al
fine di rendere l‟internauta consapevole dei rischi insiti nell‟inserimento non sicuro dei
propri dati online.
Truffe on line legate all’eCommerce
269
Crf . Trib. civ. Roma, 31 agosto 2016, n. 16221.
201
Il fenomeno delle truffe in Rete assume connotati sempre più rilevanti, in considerazione
della transnazionale diffusione di siti di eCommerce, ovvero dello sviluppo di vendite online
di merci di svariato tipo.
Infatti, se corrisponde ad un dato fattuale che il consumatore, con maggiore frequenza, si
rivolge al mercato virtuale per effettuare i suoi acquisti, è altrettanto vero che negli ultimi
anni sono aumentati i casi di truffe telematiche.
Il più comune caso vede l‟invio di denaro come forma di pagamento per un oggetto mai
giunto al destinatario.
Comprare sul web è facile e immediato, ma all‟efficacia del mezzo non corrisponde sempre
una sufficiente garanzia della veridicità dell‟annuncio immesso o della corrispondenza
effettiva della merce posta in vendita con quella spedita.
Ma le frodi informatiche possono essere anche di diverso tipo, avendo ad oggetto servizi
pubblicizzati come gratuiti e poi in realtà a pagamento, prezzi di merci difettose gonfiati,
offerte di lavoro a casa con previo acquisto di materiale necessario per lo svolgimento
dell‟attività lavorativa in realtà inesistente, false promesse di concessione di credito o di
servizi a tassi ridotti.
Uno strumento efficace e responsabile, per limitare danni e rischi, consiste nel valutare
attentamente il profilo del venditore, mediante lo strumento dei feedback (se presenti),
confrontare le merci con altre dello stesso tipo reperibili in Rete, leggere attentamente la
politica di recesso e reso, utilizzare metodi di pagamento tracciabili.
Resta inteso che tutte queste ipotesi delittuose, se non appositamente punite ai sensi di una
norma speciale, vengono comunque previste e sanzionate nel nostro codice attraverso il
ricorso alla norma generale di cui all‟art 640 c.p. (reato di truffa).
Il dato da registrare è tuttavia relativo alla difficoltà, in molti casi, di individuare la reale
identità del venditore-truffatore, il quale si serve spesso di recapiti e documenti falsi per
svolgere la propria attività criminale.
Accesso abusivo ad un sistema informatico
Tale fattispecie di reato, introdotta dalla L. 547/93, è prevista e punita dall‟art. 615-ter c.p. ai
sensi del quale “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da
misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo,
è punito con la reclusione sino a tre anni. La pena è della reclusione da uno a cinque anni: 1) se il fatto è
202
commesso da un pubblico ufficiale o da un incaricato di pubblico servizio, con abuso dei poteri, o con
violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione
di investigatore privato, o abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il
fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato; 3) se dal fatto deriva la
distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero
la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti”.
L‟oggetto diretto di tutela è in questo caso la protezione del sistema informatico da attacchi
diretti a minarne la sicurezza.
È stato introdotto, al riguardo, il concetto di “domicilio informatico” con esso dovendosi
intendere lo spazio ideale (ma anche fisico) nel quale sono contenuti i dati informatici di
pertinenza della persona, a cui viene estesa la tutela della riservatezza della sfera individuale,
quale bene costituzionalmente protetto270.
Ad essere punita è, pertanto, la mera introduzione non autorizzata in un sistema
informatico, indipendentemente dalla commissione di ulteriori reati, come ad esempio il
furto di dati personali o la manipolazione di informazioni.
Elemento costitutivo del fatto tipico è che il sistema sia protetto da misure di sicurezza che
vengano, in qualsiasi modo, disattivate dal cyber criminale; il legislatore non specifica di che
misure si debba trattare, essendo sufficiente che le stesse costituiscano una barriera
all‟accesso da parte di soggetti non legittimati.
In caso di assenza di una pur minima forma di inibizione all‟accesso, come, ad esempio, il
semplice uso di nick-name e password, chiunque si introduca nel sistema non sarà
assolutamente punibile.
Tale illecito penale è stato oggetto di numerose pronunce le quali, tra le altre questioni,
hanno affrontato il problema dell‟esatta individuazione del locus commissi delicti in una siffatta
ipotesi; ebbene, le Sezioni Unite della Suprema Corte di Cassazione271 hanno al riguardo
definitivamente statuito che “il luogo di consumazione del delitto di accesso abusivo ad un sistema
informatico o telematico, di cui all'art. 615-ter cod. pen., è quello nel quale si trova il soggetto che effettua
l'introduzione abusiva o vi si mantiene abusivamente”.
270
271
Sul punto si è espressa anche la Suprema Corte;.cfr. Cass. pen., sez. V, 26.10.2012, n. 42021.
Cfr. Cass. pen., Sez. Un., 26 marzo 2015, n. 17325.
203
È interessante segnalare, inoltre, un recente approdo della giurisprudenza, in relazione al
reato in questione, il quale ha portato a ritenere che integra la fattispecie criminosa di
accesso abusivo ad un sistema informatico o telematico protetto la condotta di accesso o di
mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le
condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del
sistema per delimitarne oggettivamente l‟accesso. Il che vuol dire che costituisce reato
anche la condotta di chi, seppur autorizzato ad accedere a un sistema informatico, ne faccia
un uso che travalichi le condizioni per le quali l‟autorizzazione era stata rilasciata.
È evidente, dunque, che questa nuova interpretazione estende l‟ambito di applicazione della
norma, con un aumento dei casi di punibilità.
Ipotesi delittuosa connessa è quella della detenzione e diffusione non autorizzata dei
codici di accesso al sistema informatico, punita dall‟art. 615-quater c.p.
A differenza della precedente fattispecie, l‟art. 615‐quater allude al possesso indebito e
all‟eventuale diffusione di codici di accesso e non al loro utilizzo ai fini di un accesso
abusivo.
Pare opportuno specificare che per codici di accesso si intendono non solo le password ma
anche PIN, smart card criptate o eventuali sistemi biometrici, come le impronte digitali ed il
riconoscimento vocale.
Perché la condotta sia punibile è altresì necessario che la detenzione o la diffusione dei
codici abbiano come finalità quella di procurare a sé o a altri un profitto o arrecare ad altri
un danno.
Cyber stalking
Questa fattispecie rientra certamente all‟interno della categoria dei reati eventualmente
informatici o impropri, poiché frutto di un adeguamento della normativa già esistente alle
recenti forme di criminalità digitale.
La condotta sanzionata è da ricomprendere nel reato di stalking, previsto dall‟art. 612-bis
c.p., perpetrato con modalità informatiche, servendosi quindi di un computer e della Rete.
Invero, l‟atteggiamento persecutorio che crea nel destinatario un perdurante stato d‟ansia,
seguito dalla modifica delle abitudini di vita e di relazione, può essere realizzato non solo
204
tramite l‟invio di telefonate, lettere o mediante pedinamenti, così come classicamente
ritenuto. Esistono oggi nuove modalità di persecuzione che sfruttano le potenzialità della
Rete per giungere in modo immediato e diretto alla vittima, agevolando, in alcuni casi, la
protrazione delle condotte.
Si fa riferimento all‟uso dei social network in primis, i quali consentono di dialogare
costantemente con l‟utente perseguitato, riducendo tempi e costi, e con maggiore impatto
pubblico, per non tacere poi la possibilità di creare falsi profili celando la propria identità.
Di recente anche la Corte di Cassazione272 ha riconosciuto che i messaggi inviati tramite
Facebook possono integrare il reato di stalking.
Tuttavia, lo stalker può far pervenire i sui messaggi anche tramite mail o sistema di
messaggistica istantanea su internet, in chat e in altri luoghi virtuali del medesimo genere.
Preoccupante è, altresì, la diffusione di un ulteriore tipologia di cyber stalking, ovvero quella
perpetrata ai danni di un soggetto conosciuto solo virtualmente.
La diffusione della suddetta nuova realtà criminale è influenzata, come per altre fattispecie,
dalla crescita esponenziale dell‟uso degli strumenti informatici e dalla sempre crescente
condivisione di informazioni personali in Rete.
Il persecutore riesce a seguire gli spostamenti della vittima in tempo reale, anche grazie alla
collaborazione della stessa, la quale condividendo con il mondo social informazioni
personali e stati d‟animo fornisce indirettamente dati utili anche per lo stalker.
La sicurezza sul web dipende, quindi, anche e soprattutto da chi lo utilizza: le persecuzioni
telematiche si possono prevenire attraverso l‟uso di semplici accorgimenti tecnici e di
comportamento che devono ispirare la navigazione nel mondo di internet.
Diffamazione on line
Particolarmente attuale e interessante è lo studio circa le relazioni esistenti tra i delitti
contro l‟onore ed i nuovi mezzi di diffusione delle notizie, con specifico riferimento al
reato di diffamazione.
272
Cfr, Cass. pen., sez. V, 24.06.2011, n. 25488.
205
Invero, dottrina e giurisprudenza si sono spesso interrogate sulla possibilità che il suddetto
illecito penale possa essere perpetrato mediante l‟utilizzo di Internet e, in particolare sui
social network, quali, ad esempio, Facebook o Twitter.
Il reato di diffamazione è previsto e punito nel nostro ordinamento dall‟art. 595 c.p. il quale
stabilisce che “1. Chiunque, fuori dei casi indicati nell'articolo precedente, comunicando con più persone,
offende l'altrui reputazione, è punito con la reclusione fino a un anno o con la multa fino a euro 1.032.
2. Se l’offesa consiste nell’attribuzione di un fatto determinato, la pena è della reclusione fino a due anni,
ovvero della multa fino a euro 2.065.
3. Se l’offesa è recata col mezzo della stampa o con qualsiasi altro mezzo di pubblicità, ovvero in atto
pubblico, la pena è della reclusione da sei mesi a tre anni o della multa non inferiore a euro 516”.
Per un consolidato orientamento, la condotta diffamatoria realizzata attraverso il mezzo
telematico rientrerebbe nell‟ipotesi di diffamazione aggravata ex art 595 comma 3 c.p. in
quanto diffamazione commessa “con ogni altro mezzo di pubblicità”. Alla medesima
conclusione sono giunte la giurisprudenza di merito273 e la Corte di Cassazione la quale ha
affermato che: “il delitto di diffamazione è configurabile anche quando la condotta dell’agente consista
nella immissione di scritti o immagini lesivi dell’altrui reputazione nel sistema internet, sussistendo, anzi, in
tal caso, anche la circostanza aggravante di cui all’art 595 comma 3 c.p.”274.
Il bene giuridico tutelato dalla norma è rappresentato dalla reputazione, qualunque sia la
modalità di comunicazione prescelta dal reo.
Perché possa ritenersi integrato il reato di diffamazione, online e non, occorre che
ricorrano tre requisiti fondamentali:
1. assenza dell‟offeso, con ciò dovendosi escludere che la persona fisica possa
percepire direttamente l‟offesa, con consequenziale impossibilità di difendersi
personalmente e immediatamente;
2. offesa alla reputazione, intesa come possibilità di lesione dell‟altrui onore;
3. comunicazione con più persone, essendo necessaria la percezione dell‟offesa da
parte di almeno due persone.
273
Trib. Bari, Sez. Dist. Molfetta, 20 maggio 2003, 1806, GM, 2003, 1806: 6.3
274
Cass. Pen., Sez. V, 17 novembre 2000, 877, in senso conforme, Cass. Pen., 26 gennaio 2011 n°2739,
1233, e ancora, Cass. Pen., 15 marzo 2011 n°16307, in Riv. Giur. Inf. Giur. e Dir. dell’Informatica.,
dove si ribadisce che l’immissione di scritti lesivi dell’altrui reputazione nel sistema internet integra il
reato di diffamazione aggravata ex comma 3 dell’art 595 c.p..
206
Per quanto concerne la diffamazione online, vige una presunzione assoluta del terzo
requisito integrante il reato in questione, ovvero la “comunicazione con più persone”,
considerato che il sito Internet è, per sua natura, destinato ad essere visualizzato da un
numero indeterminato di utenti in tempi estremamente ridotti.
Inoltre è proprio la comunicazione dell‟offesa a più persone a rappresentare il momento
consumativo del reato.
Se l‟accertamento del predetto momento è facilmente perimetrabile in caso di
comunicazioni tra presenti, discorso assai diverso vale per la diffamazione perpetrata a
mezzo internet, considerato che in tal caso non risulta di agevole individuazione.
Proprio per gli esposti motivi, la giurisprudenza ha ritenuto che il delitto di diffamazione
telematica, quale reato di evento, si consumi nel momento in cui i terzi percepiscono
l‟espressione offensiva; inoltre, secondo i giudici di legittimità, nel caso di siti che per loro
natura sono destinati all‟immediata fruizione da parte degli utenti del web, il momento
consumativo del reato retroagisce al momento dell‟immissione dei dati in Rete, atteso che
in quel frangente, presuntivamente, avviene la conoscenza della notizia diffamatoria.
È evidente come la veicolazione delle informazioni e delle comunicazioni in rete, se non
regolata, può nuocere gravemente alla reputazione e all‟onore dei soggetti destinatari di un
commento.
Uno dei problemi maggiormente riscontrati è dato dall‟impossibilità di un controllo
preventivo della provenienza e autorevolezza di una notizia o di una informazione, le quali,
considerata la rapidità di diffusione in rete, seppur errate o diffamatorie, non potranno
essere rimosse prima che le stesse siano percepite da soggetti terzi.
Invero, a differenza di quanto avviene per i media tradizionali, le notizie ed i commenti che
circolano nel web non sono, di norma, frutto dell‟attività di professionisti e, pertanto, non
sono soggette ad alcun controllo preventivo.
Proprio per questo motivo, più volte pronunciandosi sul punto, la giurisprudenza ha
escluso che possa configurarsi una responsabilità colposa in capo al c.d. blogger,
all‟Internet Provider o al gestore di un Internet point, essendo impossibile richiedere agli
stessi un controllo sul contenuto di ogni scritto immesso in rete ed essendo impossibile
individuare una norma all‟interno dell‟ordinamento giuridico italiano che consenta di
207
estendere in via analogica, o interpretativa, alle pubblicazioni internet la disciplina prevista
per la stampa275.
Se da un lato la configurazione della diffamazione online è ormai pacifica, dall‟altro la
giurisprudenza di merito ha per lungo tempo escluso la rilevanza penale del delitto de quo
con riferimento alle condotte offensive realizzate attraverso i social network., luoghi virtuali
ove vengono commessi moltissimi reati contro l‟onore.
Prendendo in considerazione il canale Facebook, in particolare, ci si è posto il problema se
le comunicazioni tra gli utenti possano o meno integrare i requisiti richiesti dall‟art. 595 c.p.
A sostegno dell‟integrazione del reato in questione, in caso di esternazioni offensive
dell‟altrui reputazione, milita la considerazione che Facebook consente ai propri utenti di
condividere il proprio pensiero con un numero indeterminato di partecipanti mediante lo
strumento della pubblicazione di un messaggio sulla bacheca del proprio profilo social.
Per contro, i negazionisti tendono a leggere le conversazioni tra utenti come scambio di
comunicazioni private, data la preventiva selezione ed autorizzazione degli interlocutori,
effettuata mediante le richieste di amicizia accettate o negate. In tal modo, quindi,
difetterebbe il requisito della comunicazione pubblica e diffusa276.
Risulta essere maggiormente condivisibile l‟orientamento giurisprudenziale che ammette la
configurazione del delitto di diffamazione aggravata sui social network, anche tenendo
conto della rilevanza della c.d. timeline pubblica, ossia la possibilità offerta agli utilizzatori di
essere periodicamente aggiornati sulle attività degli “amici”.
3.5.1. eCommerce e sue tipologie
Il termine “eCommerce”, tradotto in italiano come “commercio elettronico”, deriva dalla
contrazione inglese di “electronic commerce” e con esso si intende la vendita o l‟acquisto
di prodotti e servizi tramite Internet, indipendentemente dal fatto che il pagamento
275
Il riferimento è all‟art. 57 cp. il quale prevede “Salva la responsabilità dell'autore della pubblicazione e fuori dei casi di concorso, il direttore o il vicedirettore responsabile , il quale omette di esercitare sul contenuto del periodico da lui diretto il controllo necessario ad impedire che col mezzo della
pubblicazione siano commessi reati [528, 565, 596bis, 683, 684, 685], è punito, a titolo di colpa, se un reato è commesso, con la pena stabilita per tale
reato, diminuita in misura non eccedente un terzo”.
276
In tal senso, Trib. di Livorno, 31 dicembre 2012, sent. n°38912, contra, Trib. Gela, 23 novembre
2011, sent. n°510, in www.studiolegale.leggiditalia.it, consultato nel mese di novembre 2016.
208
avvenga online o offline. Pertanto, un privato che vende un oggetto ad un‟altra persona
tramite la piattaforma di eBay pratica l‟eCommerce in quanto effettua una transazione
online, ossia un‟operazione commerciale, un affare; o ancora un hotel che permetta la
semplice prenotazione delle camere attraverso il proprio sito web, esegue un‟operazione di
eCommerce277.
Fra le più complete definizioni di commercio elettronico, è utile citare quella contenuta
nella Comunicazione della Commissione Europea COM (97) 157 del 15 aprile 1997, che
con esso intende “lo svolgimento di attività commerciali e di transazioni per via elettronica e comprende
attività diverse, quali la commercializzazione di beni e servizi, la distribuzione di contenuti digitali,
l’effettuazione di operazioni finanziarie e di borse, gli appalti pubblici, altre procedure di tipo transattivo
delle Pubbliche Amministrazioni”.
Con il tempo, il termine “eCommerce” è diventato sinonimo di altre parole, anche se con
lievi ma differenti accezioni, come ad esempio eBusiness, eShop, eStore ecc.
Grazie alla crescita esponenziale del Web ed all‟essenza stessa della Rete, spazio virtuale in
cui si possono instaurare rapporti interattivi fra gli individui e le loro realtà produttive,
Internet diviene anche “sede” di un “mercato” particolare, nel quale vengono svolte attività
di eCommerce278.
Se pensiamo che il fenomeno Internet nasce verso la fine degli anni ‟60 e registra la sua
crescita più eclatante con la creazione del World Wide Web - nell‟ultimo decennio dello
scorso secolo - possiamo affermare che attualmente il web raggiunge la sua fase più evoluta
e complessa nella quale stimola la creazione e lo sviluppo di nuove realtà ed iniziative
imprenditoriali, dando vita al fenomeno denominato e-business.
Questo singolare “mercato” rappresentato dall‟eCommerce colpisce per le sue dimensioni:
oggi, tale fenomeno coinvolge un numero illimitato di individui, non soltanto aziende ma
anche istituzioni pubbliche e finanziarie ed infine i consumatori.
Ogni potenziale utente della rete, mediante il suo PC, può interagire con le più svariate
fonti di informazione, con servizi commerciali o pubblici tutti messi a disposizione da reti
informatiche fra loro indipendenti; per avere un‟idea della potenza del Web, basti pensare
che gli utenti della rete oggi raggiungono circa un miliardo, a fronte di circa 200 milioni di
utenti Internet registrati nel secolo scorso.
277
278
Cfr. D.Rutigliano, E-commerce vincente. Strategie e idee per fare business online, Milano, Hoepli, 2013.
G.Fioriglio, Temi di informatica giuridica, Roma, Aracne, 2004, p.197.
209
La tecnologia multimediale, in effetti, grazie all‟assenza di barriere geografiche, favorisce la
crescita di transazioni commerciali su scala mondiale; solo in Italia gli acquisti via web sono
cresciuti nel 2013 del 18%, dando vita ad un fatturato complessivo di 11, 3 miliardi di euro.
In base ad alcuni recenti studi condotti dall‟Osservatorio eCommerce B2C NetcommSchool of Management del Politecnico di Milano, risulta che la fonte di maggior guadagno
nel settore e-commerce deriva dagli acquisti tramite smartphone e dall‟uso consistente delle
app sempre più mirate alla soddisfazione del cliente (es. Groupon).
L‟ambito degli acquisti on line è perlopiù rappresentato dal settore dell‟abbigliamento,
dell‟informatica, dell‟editoria e della musica. Nel campo dei servizi offerti on line,
l‟Osservatorio che ha condotto la ricerca stima crescite importanti nei settori del turismo e
delle assicurazioni.
Ma l‟aspetto davvero innovativo del settore eCommerce è rappresentato dalla multicanalità,
attraverso la quale il commercio elettronico non si consuma esclusivamente “con” e “in”
un unico sito web ma anche nel negozio fisico, in mobilità grazie agli smartphone e sui
social network, in un processo di acquisto multicanale. Grazie alla multicanalità, i
consumatori, da meri soggetti passivi, si sono evoluti sino a diventare dei consum-attori e
partecipare consapevolmente al mondo del consumo e della produzione in veste di coproduttori279.
Arrivando ora ad esaminare le diverse forme del commercio elettronico, si osserva che la
generica definizione di commercio elettronico è suddivisibile in sottocategorie, la cui
classificazione si può basare su criteri differenti. Tra le varie distinzioni, rientrano quelle
incentrate sulla tipologia di soggetti coinvolti nel rapporto commerciale e sulle modalità di
consegna del bene oggetto della transazione. Con riguardo ai diversi attori del rapporto
commerciale e all‟ambiente in cui si svolge la trattativa, possono individuarsi quattro
categorie di eCommerce e precisamente:
-
B2B - business to business: noto anche come business “interaziendale”, è il
commercio elettronico nel quale il cliente è un‟azienda – o un professionista munito di
partita IVA – che acquista per scopi professionali. L‟azienda può produrre direttamente i
beni e/o servizi oppure limitarsi a fare da intermediaria. Il B2B non è altro che il
279
Cfr. D.Rutigliano, E-commerce vincente. Strategie e idee per fare business online, cit.
210
commercio all‟ingrosso, un esempio può essere il rapporto commerciale tra un grossista ed
un negozio;
-
IB – intrabusiness: si svolge sempre nell‟ambito di rapporti fra imprese e,
solitamente, la trattativa si sviluppa all‟interno della stessa azienda o dello stesso gruppo di
aziende;
-
B2C – business to consumer: è il commercio elettronico nel quale il cliente è un
consumatore finale che acquista un determinato prodotto o servizio per scopi personali.
L‟azienda può produrre direttamente i beni o i servizi oppure limitarsi a fare da
intermediaria, il B2C non è altro che il commercio al dettaglio (in inglese retail marketing).
Dal punto di vista quantitativo, tale forma di mercato rappresenta potenzialmente il
maggior ambito di interesse per le attività di commercio elettronico; si pensi, ad esempio, ai
servizi bancari offerti on line oppure alle possibilità di compiere investimenti o
disinvestimenti mediante il pc;
-
C2C – consumer to consumer: le transazioni avvengono fra privati, consumatori
finali. Rientrano in tale categoria, ad esempio, le aste on-line in cui i consumatori
propongono offerte e cercano prodotti.
Sulla base delle modalità di consegna del bene oggetto della transazione, invece, si suole
distinguere fra commercio elettronico diretto ed indiretto.
Per commercio elettronico diretto si intendono tutte le transazioni che si svolgono
interamente per via telematica nel senso che sia la fase della cessione del bene sia quella
successiva della consegna dello stesso avvengono in rete. Le transazioni oggetto di
eCommerce diretto possono riguardare indifferentemente cessioni di beni o prestazioni di
servizi: nel primo caso, l‟attività commerciale avrà ad oggetto beni immateriali e/o
digitalizzati, “smerciabili” soltanto via internet, come ad esempio i software, i file musicali,
le foto mentre fra le prestazioni di servizi offerte in rete sono incluse, ad esempio, le
consulenze professionali, la possibilità di effettuare prenotazioni, ai servizi bancari, ecc.
L‟ eCommerce indiretto, invece, si riferisce alle transazioni commerciali nelle quali avviene
per via telematica soltanto la cessione del bene, mentre la consegna dello stesso segue i
canali tradizionali. In concreto, si effettua un ordine on line di beni tangibili che saranno
successivamente consegnati fisicamente attraverso canali tradizionali, come ad esempio
tramite corrieri commerciali oppure servizio postale. Per tale tipo di mercato, considerato
211
che la consegna del bene non avviene on line, il web si pone come uno strumento in più
per contattare il cliente, un canale prezioso per pubblicizzare e diffondere il singolo bene.
Tale forma di eCommerce presenta molte caratteristiche simili alla vendita per
corrispondenza: i clienti, infatti, possono ordinare comodamente on line e acquistare i
prodotti, così come farebbero per una normale vendita per corrispondenza.
Dopo aver delineato un quadro generale sul significato di eCommerce e sulle diverse forme
che lo stesso assume, è opportuno soffermarsi brevemente sugli innumerevoli vantaggi che
tale modalità di commercio offre ai soggetti coinvolti.
Anzitutto, per gli imprenditori ed i professionisti desiderosi di promuovere e pubblicizzare i
propri prodotti o servizi, la rete diventa lo strumento ideale per raggiungere sempre
maggiore clientela e fornire informazioni dettagliate sui prodotti o servizi richiesti in
brevissimo tempo. Per tale ragione, la rete è spesso associata al più prezioso mezzo
pubblicitario o di marketing.
Ma non solo. Grazie all‟utilizzo del Web, per l‟imprenditore è molto più economico
avvalersi di un servizio di vendita on line rispetto all‟apertura di un nuovo punto vendita: si
abbattono i costi legati sia al locale sia al personale, non essendo più necessario un contatto
diretto con il pubblico280. Oltre a ciò, l‟imprenditore si avvantaggia della riduzione dei tempi
per il ciclo di vendita/consegna, conquistando maggiore competitività sul mercato ed è
agevolato nel promuovere offerte rivolte a particolari settori.
D‟altra parte, il consumatore finale (che può essere anche un altro soggetto imprenditore o
professionista) gode dell‟impagabile vantaggio di ricercare on line ciò che in passato era
frutto di minuziose ricerche o di acquisti presso i singoli punti vendita, non avendo altre
possibilità se non quella di recarsi fisicamente presso il negozio prescelto. Fra l‟altro,
l‟utente finale non deve più preoccuparsi di rispettare gli orari prestabiliti dai punti vendita
né di recarsi materialmente presso questi ultimi per assicurarsi di selezionare i prezzi più
convenienti. Da non tralasciare, infine, la recente diffusione di applicazioni di infocommerce, legate alla posizione fisica del potenziale acquirente (es. Groupon) in grado di
garantire offerte sempre più personalizzate per la soddisfazione del consumatore.
3.5.2. Disciplina normativa
280
G.Fioriglio, Temi di informatica giuridica, cit., p.197.
212
Prima di esaminare nel dettaglio la disciplina sul commercio elettronico, merita anzitutto
chiarire un aspetto: il contratto che si conclude nel cyberspace, così come avviene nel
“mondo reale”, è preceduto dalla fase delle trattative per poi giungere ad una fase
intermedia e di conclusione dell‟accordo telematico. Tale tipologia di accordo, molto simile
all‟unilateral contract del modello anglosassone, si perfeziona con l‟accettazione/prestazione
di uno dei contraenti, mentre l‟altro dovrà ancora adempiere. D‟altronde, è indubbio che la
facoltà del singolo di autoregolamentare i propri interessi, meglio conosciuta come
autonomia negoziale, si possa esprimere anche mediante il linguaggio dei bit che abitano la
rete telematica.
Fra le principali particolarità dell‟eContract risalta senz‟altro la totale assenza di fisicità e
simultaneità: le parti contrattuali non sono fisicamente l‟uno di fronte all‟altro e solitamente
manifestano la volontà contrattuale in sequenza asincrona (es. contrattazione via e-mail)281.
La disciplina sul commercio elettronico rientra a pieno titolo nel più ampio settore della
tutela del consumatore, cui la nostra Costituzione non fa alcun riferimento282.
La nozione di consumatore viene introdotta nel nostro ordinamento con il D.P.R.
224/1988 e con la L.52/1996, ossia le c.d. leggi di recepimento delle direttive comunitarie
nn. 85/374/Cee - sulla responsabilità per danno da prodotti difettosi - e 93/13/Cee riguardante le clausole abusive - . Successivamente, con il D.Lgs. 206/2005 “Codice del
Consumo” viene compiuta una prima riorganizzazione sistematica delle numerose leggi a
tutela del consumatore, susseguitesi per oltre un ventennio.
Recentemente, ad opera del D.Lgs. 21 febbraio 2014, n. 21 è stata recepita in Italia la
direttiva europea sui diritti dei consumatori 2011/83/Ue. Tale direttiva, anch‟essa
animata dall‟esigenza di semplificare le norme sulla tutela del consumatore, abroga le
direttive precedenti 85/577/Cee (tutela dei consumatori in caso di contratti negoziati fuori
dei locali commerciali) e 97/7/Cee (protezione dei consumatori in materia di contratti a
distanza) e contempla la necessità di fornire informazioni precontrattuali più dettagliate per
tutti i tipi di contratto di consumo. Inoltre, al fine di rafforzare la fiducia dei consumatori
nel commercio transfrontaliero, la direttiva in commento apporta alcuni fondamentali
cambiamenti a tutela dei diritti dei consumatori sugli acquisti on line, fra i quali rientrano:
-
il divieto di spese e costi nascosti;
281
282
M.Farina, Fondamenti di diritto dell’informatica, Forlì, Experta, 2012, p.87.
B. Santacroce, S. Ficola, Il commercio elettronico. Aspetti giuridici e regime fiscale, Santarcangelo di Romagna, Maggioli, 2014, p 30.
213
-
la trasparenza dei prezzi;
-
l‟eliminazione delle caselle preselezionate sui siti web;
-
il nuovo diritto di recesso;
-
nuove regole sul diritto di rimborso;
-
l‟introduzione di norme uniformi in tutta l‟Unione Europea283.
Tali ambiziosi obiettivi rappresentano, in effetti, il necessario presupposto per promuovere
un mercato interno dei consumatori reale ed effettivo, capace di assicurare un elevato
livello di tutela dei consumatori garantendo, al tempo stesso, maggiori sicurezze nelle
procedure di acquisto on line. Le innovazioni più importanti introdotte dalla legge di
recepimento della direttiva comunitaria possono così essere riassunte:
-
un più ampio lasso di tempo per esercitare il diritto di recesso.
Attualmente, infatti, il consumatore ha 14 giorni di tempo (non più 10) per recedere da un
contratto a distanza o negoziato fuori dai locali commerciali, senza alcun obbligo di fornire
motivazione. Il periodo entro il quale può essere esercitato il diritto di recesso termina
dopo 1 anno e 14 giorni dalla conclusione del contratto o dalla consegna del bene
nell‟ipotesi in cui vi sia omessa comunicazione al consumatore dell‟informazione
sull‟esistenza del diritto in questione. Tale termine si allunga notevolmente rispetto ai
precedenti 60 giorni (per i contratti negoziati fuori dai locali commerciali) e 90 giorni(per i
contratti a distanza). Inoltre, il diritto di recesso sarà esercitabile in maniera più snella
mediante un modello - tipo armonizzato;
-
la possibilità concessa al consumatore, in caso di ripensamento, di restituire il bene
anche se si presenta parzialmente deteriorato. Questi, infatti, sarà responsabile solamente
della diminuzione del valore del bene derivante da un uso dello stesso diverso da quello
necessario per stabilire la natura, le caratteristiche ed il funzionamento del bene stesso, e
dunque effettuato senza la dovuta diligenza;
-
novità in materia di consegna dei beni e di passaggio del rischio nel caso di
spedizione dei beni, che trovano attuazione per i contratti di vendita ed i contratti di
servizio. Competente per la tutela amministrativa è l‟Autorità garante della concorrenza e
del mercato.
283
In sostanza, con il decreto di recepimento della direttiva (D.Lgs. 21 febbraio 2014, n. 21) può ritenersi compiuta
l‟armonizzazione delle informazioni e della disciplina del diritto di recesso nei contratti a distanza e nei contratti realizzati fuori dai locali
commerciali (c.d. vendite dirette).
214
In ambito europeo, l‟eCommerce trova la sua specifica disciplina nella direttiva del
Parlamento europeo e del Consiglio 8 giugno 2000, n. 2000/31, recepita nel nostro
ordinamento con il D.Lgs. 9 aprile 2003, n.70. Tale direttiva, meglio nota come “direttiva
sul commercio elettronico”, è considerata una delle assi portanti del piano d‟azione della
Commissione e mira al buon funzionamento del mercato interno, garantendo la libera
circolazione dei servizi della società dell‟informazione tra gli Stati Membri.
Essa trova applicazione esclusivamente ai fornitori di servizi che abbiano sede nel territorio
dell‟Unione Europea e coinvolge differenti settori e attività fra cui giornali, banche dati,
servizi professionali e finanziari, servizi ricreativi (ad esempio video su richiesta),
commercializzazione e pubblicità dirette e servizi d‟accesso ad Internet.
Inoltre, la direttiva in commento chiarisce che, in tema di eCommerce, si applica la regola
c.d. del “paese di origine”, in base alla quale i prestatori di servizi della società
dell‟informazione (per esempio, gli operatori dei siti) sono obbligati a rispettare le norme
nazionali in vigore nello Stato membro in cui sono stabiliti. Per luogo di stabilimento del
prestatore, la direttiva intende il luogo in cui un operatore esercita effettivamente e a tempo
indeterminato un‟attività economica mediante una installazione stabile.
Il decreto di recepimento della direttiva (D.Lgs.9 aprile 2003, n. 70)si rivolge sia alle attività
di scambio tipiche del B2C che a quelle di B2B, con particolar interesse per le piccole
imprese che effettuano i loro approvvigionamenti su Internet. Nel dettaglio, il decreto si
rivolge:
-
al prestatore, ossia al soggetto che svolge on line un‟attività di scambio di beni o
servizi;
-
al provider, il soggetto che offre un servizio di accesso e connessione alla rete;
-
al consumatore, il soggetto che accede alla rete per acquistare beni o servizi o che
riceve dal web informazioni di tipo commerciale.
Infine, è utile ricordare che il decreto in esame non assoggetta ad alcun vincolo particolare
l‟attività di eCommerce, potendosi considerare libera e dunque non soggetta ad alcuna
autorizzazione preventiva. Soltanto l‟autorità giudiziaria od amministrativa di vigilanza può
limitare la libera circolazione di un servizio della società dell‟informazione, nel caso
ricorrano motivi di ordine e sicurezza pubblica, difesa nazionale, tutela della salute pubblica
e tutela dei consumatori e degli investitori.
215
3.5.3. Online Dispute Resolution
Con riferimento alle ultime novità intervenute in materia, la Commissione Europea ha
messo a disposizione di tutti i cittadini europei una piattaforma per la risoluzione delle
controversie tra consumatori e commercianti (Online Dispute Resolution - ODR)
riguardanti contratti di acquisto o di fornitura di servizi effettuati online. La disciplina ODR
è regolata dalla Direttiva 2013/11/UE (c.d. Direttiva sull‟ADR per i consumatori) e
dal Regolamento
524/2013/UE (Regolamento
sulla
risoluzione
delle
controversie online dei consumatori): si tratta di due strumenti legislativi complementari ed
interconnessi che forniscono le linee guida per la mediazione civile e commerciale e le altre
forme di soluzione alternativa delle controversie (ADR), mettendo in primo piano la
centralità della volontà delle parti, la procedura, i compensi per i mediatori e gli arbitri, la
tutela della privacy, il segreto d‟ufficio ed il conflitto d‟interessi. La normativa in oggetto
rientra nell‟attuazione di uno dei pilastri dell‟UE, ossia la creazione di un Mercato unico
(Conclusioni del Consiglio del 24, 25 marzo e 23 ottobre 2011, Agenda digitale UE) ed il
potenziamento della fiducia dei consumatori.
Quanto al suo funzionamento, la piattaforma ODR consentirà di risolvere le
controversie online (anche quelle transfrontaliere) in un click, senza dover ricorrere a lunghe
e impegnative procedure giudiziarie. Consumatori e professionisti potranno presentare un
reclamo online, e gli organismi ADR faranno da arbitri tra le parti per risolvere la
controversia. I siti di commercio elettronico dovranno indicare obbligatoriamente il link alla
procedura, che è gratuita e non impedisce l‟applicazione delle norme interne sulla
mediazione. La Commissione UE si occupa di vigilare e di coordinare il corretto
funzionamento del sistema e dell‟esecuzione delle procedure di reclamo, ad esempio,
fornendo assistenza (ogni Stato designa un proprio centro di contatto), un servizio di
traduzione, di consultazione delle banche dati.
L‟intento è di effettuare un primo tentativo di risoluzione delle controversie online
attraverso una mediazione informale, che nel caso fallisca può sfociare in altre metodologie
risolutive, come ad esempio le vie legali. Questo strumento inoltre, diventa un garante a
tutela dei diritti del consumatore perché fornisce ulteriori tutele riguardo l‟esistenza degli ecommerce, poiché quelli fittizi non possono iscriversi.
216
La nascita di questa piattaforma è dovuta in particolare all‟art 4 del Regolamento
524/2013/EU, che evidenzia la necessità di trovare “mezzi facili, efficaci, rapidi e a basso costo
per risolvere le controversie derivanti dalla vendita di beni o dalla fornitura di servizi in tutta
l’Unione” essendo necessario accrescere la fiducia dei consumatori e dei professionisti negli
acquisti e nelle vendite a livello transfrontaliero.
217
PARTE SPECIALE
PILLOLE DIGITALI
HARDWARE E SOFTWARE
Tutti i dispositivi informatici sono costituiti da diverse componenti, tanto fisiche quanto
logiche, immateriali.
Le due grandi categorie nelle quali si dividono dette componenti sono la parte Hardware e
quella Software; l'Hardware rappresenta l'insieme delle componenti materiali ed
elettroniche di cui un dispositivo informatico è composto. In genere, sono componenti
minime essenziali il processore, la memoria logica e la memoria di massa; a completamento,
ci sono poi gli strumenti di input (tastiera, mouse o altro dispositivo di inserimento), gli
strumenti di output (come lo schermo o la stampante) e quelli di trasmissione/ricezione
dati (modem o scheda wifi).
La veloce evoluzione dei dispositivi informatici ha fatto in modo che essi, nel corso degli
anni, hanno subito trasformazioni sempre più radicali riguardanti sia la velocità e la potenza
di calcolo e funzionamento sia le dimensioni, sempre più ridotte e comode da trasportare.
Accanto alla componente Hardware, riveste fondamentale importanza quella Software,
ossia l'insieme dei comandi che consentono ad un dispositivo informatico di eseguire le
istruzioni impartite e di funzionare nel modo in cui si è abituati a vederlo funzionare
normalmente, attraverso i programmi dotati di una interfaccia utente che rende
immediatamente accessibile e comprensibile il suo utilizzo.
Nell'ambito Software, una categoria a parte è rappresentata dai Sistemi Operativi, veri e
propri software di base che consentono di far funzionare e coordinare le varie parti del
dispositivo informatico e di accedere alle sue risorse.
Tali software possono essere di diversi tipi, i più diffusi sono il sistema Windows della
Microsoft, il sistema Mac della Apple ed il sistema Linux, un Sistema Operativo open
source, che viene distribuito in varie versioni.
Con la pervasiva diffusione di dispositivi portatili, poi, è sorta l'esigenza di realizzare
appositi sistemi operativi per il loro funzionamento; tra di essi i più diffusi sono iOS di
Apple, Android di Google e Windows Phone di Microsoft.
218
Accanto ai S. O. esistono tutti gli altri tipi di software che consento di sfruttare a pieno la
potenza raggiunta dai dispositivi informatici attraverso numerosissimi programmi (sia
gratuiti che a pagamento) e permettono di soddisfare ogni tipo di esigenza, da quella
lavorativa a quella meramente ludica, di apprendimento o di comunicazione interpersonale.
219
GOVERNANCE DI INTERNET
Internet è la più grande rete di telecomunicazioni al mondo, in grado di collegare miliardi di
computer tra di loro e, conseguentemente, miliardi di utenti umani, che vi possono
accedere da ogni parte del globo ed anche in movimento.
Internet è nata come un progetto militare statunitense sul finire degli anni 60 e si è
progressivamente evoluto sino a raggiungere la fisionomia odierna.
Tuttavia, dietro quella che apparentemente è una interfaccia semplice e di immediato
utilizzo, si nasconde un complesso sistema informatico e telematico di collegamenti e
protocolli di comunicazione che consentono alle macchine connesse di parlare tra loro un
linguaggio comune e comprensibile.
E così, perchè tutto funzioni in maniera efficiente a livello globale, esiste una
organizzazione, che oggi ha il nome di ICANN (Internet Corporation for Assigned Names
and Numbers284) che sovrintende alle assegnazioni degli indirizzi I.P. (Internet Protocol),
alla gestione dei DNS (Domain Name System) e dei nomi a dominio.
Un importante dipartimento dell'Icann è lo IANA (Internet Assigned Numbers Authority),
responsabile per il coordinamento di alcuni elementi chiave che consentono ad Internet di
funzionare regolarmente.
Per quanto l'Icann sia un'organizzazione mondiale non profit, svolge le sue funzioni sotto
la supervisione del Dipartimento del Commercio degli Stati Uniti d'America, in forza di un
accordo contrattuale, peraltro prossimo alla scadenza.
Infatti, si è da più parti cercato di sganciare il controllo delle funzioni dell'Icann dalla
supervisione governativa statunitense, attraverso la creazione di un organismo
sovranazionale sotto la responsabilità delle Nazioni Unite, su iniziativa dell'ITU
(International Telecommunication Union). Ma al momento ancora nulla è cambiato.
Nell'ottobre 2016 il contratto tra N.T.I.A.285 e l'Icann è scaduto, il che comporta che le
funzioni IANA dovrebbero passare sotto il controllo di un organismo internazionale
multistakeholder, in modo da garantire la maggiore partecipazione possibile a livello
planetario della governance di Internet.
284
285
https://www.icann.org/en/system/files/files/participating-08nov13-en.pdf
National Telecommunication & Information Administration è un'Agenzia tecnica operativa del Dipartimento del
Commercio degli U.S.A., www.ntia.doc.gov
220
A.G.I.D. (A.I.P.A., C.N.I.P.A., DIGIT.PA)
L'Agenzia per l'Italia Digitale (AgID) coordina le azioni in materia di innovazione per
promuovere le tecnologie ICT a supporto della pubblica amministrazione, garantendo la
realizzazione degli obiettivi dell‟Agenda digitale italiana in coerenza con l‟Agenda digitale
europea286.
L'ente è stato istituito con D. L. n. 83, convertito nella L. n. 134/2012 ed attualmente è
disciplinato dall'art. 14Bis del C.A.D.287. Eredita le competenze del Dipartimento per la
286
287
http://www.agid.gov.it/agenzia
Inserito dal D. L.vo 179/16: Art. 14bis Agenzia per l'Italia digitale).
1. L'Agenzia per l'Italia Digitale (AgID) e' preposta alla realizzazione degli obiettivi dell'Agenda Digitale Italiana, in coerenza
con gli indirizzi dettati dal Presidente del Consiglio dei ministri o dal Ministro delegato, e con l'Agenda digitale europea. AgID, in
particolare, promuove l'innovazione digitale nel Paese e l'utilizzo delle tecnologie digitali nell'organizzazione della pubblica
amministrazione e nel rapporto tra questa, i cittadini e le imprese, nel rispetto dei principi di legalita', imparzialita' e trasparenza e secondo
criteri di efficienza, economicita' ed efficacia. Essa presta la propria collaborazione alle istituzioni dell'Unione europea e svolge i compiti
necessari per l'adempimento degli obblighi internazionali assunti dallo Stato nelle materie di competenza.
2. AgID svolge le funzioni di:
a) emanazione di regole, standard e guide tecniche, nonche' di vigilanza e controllo sul rispetto delle norme di cui al presente
Codice, anche attraverso l'adozione di atti amministrativi generali, in materia di agenda digitale, digitalizzazione della pubblica
amministrazione, sicurezza informatica, interoperabilita' e cooperazione applicativa tra sistemi informatici pubblici e quelli dell'Unione
europea;
b) programmazione e coordinamento delle attivita' delle amministrazioni per l'uso delle tecnologie dell'informazione e della
comunicazione, mediante la redazione e la successiva verifica dell'attuazione del Piano triennale per l'informatica nella pubblica
amministrazione contenente la fissazione degli obiettivi e l'individuazione dei principali interventi di sviluppo e gestione dei sistemi
informativi delle amministrazioni pubbliche. Il predetto Piano e' elaborato dall'AgID, anche sulla base dei dati e delle informazioni
acquisiti dalle pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo n. 165 del 2001, ed e' approvato dal
Presidente del Consiglio dei ministri o dal Ministro delegato entro il 30 settembre di ogni anno;
c) monitoraggio delle attivita' svolte dalle amministrazioni in relazione alla loro coerenza con il Piano triennale di cui alla
lettera b) e verifica dei risultati conseguiti dalle singole amministrazioni con particolare riferimento ai costi e benefici dei sistemi
informatici secondo le modalita' fissate dalla stessa Agenzia;
d) predisposizione, realizzazione e gestione di interventi e progetti di innovazione, anche realizzando e gestendo direttamente
o avvalendosi di soggetti terzi, specifici progetti in tema di innovazione ad essa assegnati nonche' svolgendo attivita' di progettazione e
coordinamento delle iniziative strategiche e di preminente interesse nazionale, anche a carattere intersettoriale;
e) promozione della cultura digitale e della ricerca anche tramite comunita' digitali regionali;
f) rilascio di pareri tecnici, obbligatori e non vincolanti, sugli schemi di contratti e accordi quadro da parte delle pubbliche
amministrazioni centrali concernenti l'acquisizione di beni e servizi relativi a sistemi informativi automatizzati per quanto riguarda la
congruita' tecnico-economica, qualora il valore lordo di detti contratti sia superiore a euro 1.000.000,00 nel caso di procedura negoziata e
a euro 2.000.000,00 nel caso di procedura ristretta o di procedura aperta. Il parere e' reso tenendo conto dei principi di efficacia,
economicita', ottimizzazione della spesa delle pubbliche amministrazioni e favorendo l'adozione di infrastrutture condivise e standard che
riducano i costi sostenuti dalle singole amministrazioni e il miglioramento dei servizi erogati, nonche' in coerenza con i principi, i criteri e
le indicazioni contenuti nei piani triennali approvati. Il parere e' reso entro il termine di quarantacinque giorni dal ricevimento della
relativa richiesta. Si applicano gli articoli 16 e 17bis della legge 7 agosto
1990, n. 241, e successive modificazioni. Copia dei pareri tecnici attinenti a questioni di competenza dell'Autorita' nazionale
anticorruzione e' trasmessa dall'AgID a detta Autorita';
g) rilascio di pareri tecnici, obbligatori e non vincolanti, sugli elementi essenziali delle procedure di gara bandite, ai sensi
dell'articolo 1, comma 512 della legge 28 dicembre 2015, n. 208, da Consip e dai soggetti aggregatori di cui all'articolo 9 del decretolegge
24 aprile 2014, n. 66, concernenti l'acquisizione di beni e servizi relativi a sistemi informativi automatizzati e definiti di carattere strategico
nel piano triennale. Ai fini della presente lettera per elementi essenziali si intendono l'oggetto della fornitura o del servizio, il valore
economico del contratto, la tipologia di procedura che si intende adottare, il criterio di aggiudicazione e relativa ponderazione, le
principali clausole che caratterizzano le prestazioni contrattuali. Si applica quanto previsto nei periodi da 2 a 5 della lettera f);
h) definizione di criteri e modalita' per il monitoraggio sull'esecuzione dei contratti da parte dell'amministrazione interessata
ovvero, su sua richiesta, da parte della stessa AgID;
i) vigilanza sui servizi fiduciari ai sensi dell'articolo 17 del regolamento UE 910/2014 in qualita' di organismo a tal fine
designato, sui gestori di posta elettronica certificata, sui soggetti di cui all'articolo 44bis, nonche' sui soggetti, pubblici e privati, che
partecipano a SPID di cui all'articolo 64; nell'esercizio di tale funzione l'Agenzia puo' irrogare per le violazioni accertate a carico dei
221
Digitalizzazione e l‟Innovazione della Presidenza del Consiglio, dell'Agenzia per la
diffusione delle tecnologie per l'innovazione, di DigitPA e dell'Istituto superiore delle
comunicazioni e delle tecnologie dell‟informazione per le competenze sulla sicurezza delle
reti.
Prima dell'Ag.I.D., le stesse funzioni erano svolte dal DigitPa, il quale, ai sensi del d.lgs.
1.12.2009, n. 177 "Riorganizzazione del Centro nazionale per l'informatica nella pubblica
amministrazione, a norma dell'articolo 24 della legge 18 giugno 2009, n. 69" ha assunto le
funzioni svolte dal C.N.I.P.A. (ossia Centro Nazionale per l'Informatica nella P.A. Istituito
con il d.lgs n. 196/03).
Risalendo indietro nella successione, il primo organismo ad occuparsi di Informatica nella
P.A. è stata l'Autorità per l'informatica nella pubblica amministrazione (AIPA), istituito con
il d. lgs n. 39 del 12.02.1993, la quale aveva il compito di promuovere, coordinare,
pianificare e controllare lo sviluppo di sistemi informativi automatizzati delle
amministrazioni pubbliche, secondo criteri di standardizzazione, interconnessione ed
integrazione dei sistemi stessi.
A tali organismi, sono dovute le norme specifiche e tecniche nelle materie di pertinenza (ad
esempio, circolari e direttive sulle firme elettroniche, sul documento informatico, sul riuso
del software ecc.).
BIG DATA
Si deve intendere per “big data” una raccolta di dati particolarmente estesa in termini di
volume, velocità e varietà, tale da richiedere tecnologie e metodi analitici specifici per
estrapolare, gestire e processare informazioni entro un tempo ragionevole.
I Big data possono potenzialmente provenire anche da fonti eterogenee, quindi non
soltanto i dati strutturati, come i database, ma anche non strutturati, come immagini, email,
dati GPS, informazioni prese dai social network.
soggetti vigilati le sanzioni amministrative di cui all'articolo 32bis in relazione alla gravita' della violazione accertata e all'entita' del danno
provocato all'utenza;
l) ogni altra funzione attribuitale da specifiche disposizioni di legge e dallo Statuto.
3. Fermo restando quanto previsto al comma 2, AgID svolge ogni altra funzione prevista da leggi e regolamenti gia' attribuita
a DigitPA, all'Agenzia per la diffusione delle tecnologie per l'innovazione nonche' al Dipartimento per l'innovazione tecnologica della
Presidenza del Consiglio dei ministri.))
222
Con i big data la mole dei dati è dell'ordine dei Zettabyte, ovvero miliardi di Terabyte .
Quindi si richiede una potenza di calcolo con strumenti dedicati, anche eseguiti su migliaia
di server.
L'analista Doug Laney nel 2001 aveva definito il modello di crescita dei big data come
tridimensionale, anche detto “modello delle 3V": con il passare del tempo aumentano
volume (dei dati), velocità e varietà (dei dati). In molti casi questo modello è ancora valido,
nonostante nel 2012 il modello sia stato esteso ad una quarta variabile, la veridicità, ossia la
qualità dei dati intesa come il valore informativo che si riesce ad estrarre.
Ad oggi l‟estensione del modello è giunta a ricomprendere in esso anche la variabilità
(caratteristica che si riferisce alla possibilità di inconsistenza dei dati) e la complessità
(maggiore è la dimensione del dataset, maggiore è la complessità dei dati da gestire e il
collegamento delle informazioni per ottenerne di interessanti).
MONETA E PAGAMENTI ELETTRONICI
Un più efficiente sistema di incassi e pagamenti del settore pubblico è fondamentale per
l‟economia della nazione se si pensa che nel nostro Paese una rilevante parte dei consumi è
attribuibile alla Pubblica Amministrazione.
La scelta del legislatore di definire un quadro normativo unitario - all‟interno del quale si
inseriscono le regole, gli standard e le infrastrutture per la gestione dei pagamenti alle PA e
per la Fatturazione elettronica - risponde appieno all‟esigenza di semplificazione e
razionalizzazione del settore pubblico.
In questo ambito nasce il progetto dei Pagamenti a favore delle PA che costituisce un
ulteriore tassello della digitalizzazione dei pagamenti, completando quanto già realizzato per
le amministrazioni centrali con il Sistema informatizzato dei pagamenti della PA (SIPA) e
dall‟Ordinativo Informatico Locale (OIL) per i ciò che riguarda i pagamenti degli enti locali
e delle istituzioni scolastiche.
Il Sistema informatizzato dei pagamenti della PA è un‟iniziativa del 2001, nata dalla
sottoscrizione di un Protocollo d‟intesa quadro tra la Ragioneria Generale dello Stato, la
Corte dei Conti, la Banca d‟Italia e AIPA (oggi AgID).
L‟Ordinativo Informatico Locale (OIL) è una procedura utilizzata per sviluppare i rapporti
223
telematici tra i soggetti che erogano servizi di tesoreria e/o cassa, le cosiddette “banche
tesoriere”, e le amministrazioni pubbliche loro clienti allo scopo di gestire e trasmettere
mandati di pagamento e reversali d‟incasso.
L‟adozione dell‟OIL è il presupposto essenziale per l‟attuazione del Sistema Informativo
delle Operazioni degli Enti Pubblici (SIOPE), l‟archivio telematico - gestito dalla Banca
d‟Italia ed alimentato dalle “banche tesoriere”- che raccoglie gli incassi e i pagamenti
giornalieri delle amministrazioni pubbliche.
Con l‟introduzione del SIOPE l‟ente è infatti obbligato a fornire le informazioni di ogni
titolo di incasso (reversale) e pagamento (mandato) ed i relativi codici gestionali,
consentendo una classificazione uniforme su tutto il territorio nazionale.
L‟OIL è stato recentemente introdotto anche nelle amministrazioni scolastiche grazie ad
una collaborazione avviata dal MIUR e AgID con il sistema bancario.
Gli ultimi aggiornamenti riguardano l‟adeguamento delle regole tecniche dell‟OIL agli
standard europei della Single Euro Payment Area (SEPA), alla riforma degli ordinamenti
contabili pubblici ARCONET e l‟estensione al giornale di cassa delle tecniche di scambio
informatico OIL. Tali aggiornamenti sono indicati nella Circolare AgID n.64 /2014 che
ribadisce, per gli enti interessati, l‟obbligo di utilizzo dell‟Ordinativo informatico nel
colloquio con le proprie “banche tesoriere”; in parallelo, l‟Associazione Bancaria Italiana
ha pubblicato l‟analoga Circolare ABI serie Tecnica n. 36 del 30 dicembre 2013 indirizzata
alle proprie associate.
L'iniziativa “PagoPA”288, invece, nasce per dare la possibilità a cittadini ed imprese di
effettuare pagamenti in modalità elettronica a favore della PA e dei gestori di pubblici
servizi.
Il progetto si inquadra nella più ampia regolamentazione europea in materia di servizi di
pagamento introdotta con la Single Euro Payment Area (SEPA) e con la Payment Services
Directive (PSD, 2007/64/EC).
PagoPA è un ecosistema di regole, standard e strumenti definiti dall'Agenzia per l'Italia
Digitale e accettati dalla Pubblica Amministrazione, dalle Banche, Poste ed altri istituti di
pagamento (Prestatori di servizi di pagamento - PSP) aderenti all'iniziativa.
288
Al 30 giugno 2016 risultano aderenti al sistema dei pagamenti elettronici a favore della Pubblica Amministrazione il 60,87%
degli Enti censiti sull‟IPA per un totale di 14.038 amministrazioni, con alcuni dati numerici rilevanti: 8.692 Istituti Scolastici e Università
(91,95% del totale); 4.799 Comuni e loro Associazioni (55,52% del totale); tutte le 22 Regioni e Province Autonome; 84 Strutture
sanitarie (27,10% del totale); 11 Ministeri; tutte le Camere di Commercio.Nel secondo trimestre 2016 sono transitate su pagoPA 139.791
operazioni di pagamento. Fonte Agid.
224
PagoPA garantisce vantaggi sia a privati e aziende che alle PP.AA.; ai primi:
- sicurezza e affidabilità nei pagamenti;
- semplicità e flessibilità nella scelta delle modalità di pagamento;
- trasparenza nei costi di commissione;
alle pubbliche amministrazioni offre:
- certezza e automazione nella riscossione degli incassi;
- riduzione dei costi e standardizzazione dei processi interni;
- semplificazione e digitalizzazione dei servizi.
PagoPA è stato realizzato da AgID in attuazione dell'art. 5289 del Codice
dell‟Amministrazione Digitale e dal D.L. 179/2012.
Per ciò che attiene il contesto nazionale il Codice dell‟Amministrazione Digitale affida ad
AgID il compito di definire, sentita la Banca d‟Italia, le regole e le modalità di effettuazione
dei pagamenti elettronici attraverso l‟emanazione di apposite Linee guida290. Queste sono il
risultato di un percorso partecipato e condiviso con tutti gli attori coinvolti nel gruppo di
lavoro costituito da amministrazioni centrali e locali e al quale hanno contributo anche i
prestatori di servizi di pagamento.
L‟Agenzia per l‟Italia Digitale ha inoltre il compito di gestire, in base all‟articolo 81 dello
stesso CAD, l‟infrastruttura di interconnessione tra pubblica amministrazione e prestatori
di servizi di pagamento per consentire i pagamenti elettronici. Tale infrastruttura,
denominata Nodo dei Pagamenti-SPC, è già operativa e funzionante dal giugno 2012.
Secondo la normativa vigente le pubbliche amministrazioni (centrali e locali) hanno
l'obbligo di collegarsi al Nodo dei Pagamenti-SPC come disposto dall‟articolo 15, comma
5-bis del DL 179/2012, mentre i gestori di servizi di pubblica utilità e i prestatori di servizi
di pagamento possono aderire sottoscrivendo appositi accordi. Il Sistema è infatti aperto a
tutti gli operatori privati interessati (banche e istituti di pagamento e moneta elettronica)
289
Art. 5 Effettuazione di pagamenti con modalità informatiche
1. I soggetti di cui all'articolo 2, comma 2, sono obbligati ad accettare, tramite la piattaforma di cui al comma 2, i pagamenti
spettanti a qualsiasi titolo attraverso sistemi di pagamento elettronico, ivi inclusi, per i micro-pagamenti, quelli basati sull'uso del credito
telefonico. Resta ferma la possibilità di accettare anche altre forme di pagamento elettronico, senza discriminazione in relazione allo
schema di pagamento abilitato per ciascuna tipologia di strumento di pagamento elettronico come definita ai sensi dell'articolo 2, punti
33), 34) e 35) del regolamento UE 2015/751 del Parlamento europeo e del Consiglio del 29 aprile 2015 relativo alle commissioni
interbancarie sulle operazioni di pagamento basate su carta.
2. Al fine di dare attuazione al comma 1, l'AgID mette a disposizione, attraverso il Sistema pubblico di connettività, una
piattaforma tecnologica per l'interconnessione e l'interoperabilità tra le pubbliche amministrazioni e i prestatori di servizi di pagamento
abilitati, al fine di assicurare, attraverso gli strumenti di cui all'articolo 64, l'autenticazione dei soggetti interessati all'operazione in tutta la
gestione del processo di pagamento.
290
LINEE GUIDA PER L'EFFETTUAZIONE DEI PAGAMENTI ELETTRONICI A FAVORE DELLE PUBBLICHE
AMMINISTRAZIONI E DEI GESTORI DI PUBBLICI SERVIZI, Versione 1.1 – gennaio 2014, reperibile all'indirizzo internet
http://www.agid.gov.it/sites/default/files/linee_guida/lineeguidapagamenti_v_1_1_0_0.pdf consultato nel mese di novembre 2016.
225
che possono così operare in condizioni paritetiche e senza necessità di attivare accordi
bilaterali con le Pubbliche Amministrazioni.
Completano il quadro regolatorio due documenti tecnici allegati alle Linee guida che
precisano rispettivamente le modalità con cui devono essere definiti i codici necessari per la
riconciliazione del pagamento (Specifiche attuative dei codici identificativi di versamento,
riversamento e rendicontazione) e le regole attraverso le quali le PA ed i gestori di pubblici
servizi scambiano informazioni con i prestatori di servizi di pagamento (Specifiche
Attuative del Nodo dei Pagamenti-SPC).
Le modalità operative prevedono che le pubbliche amministrazioni o i gestori di pubblici
servizi aderiscano all‟iniziativa attraverso l‟invio all‟AgID di una lettera di adesione; i
prestatori di servizi di pagamento possono partecipare attraverso la sottoscrizione di un
accordo di servizio. Il dettaglio per le adesioni è contenuto nelle Specifiche Attuative del
Nodo dei Pagamenti SPC.
L‟AgID inoltre mette gratuitamente a disposizione delle pubbliche amministrazioni, centrali
e locali, i codici Global Location Number (GLN) per il biennio 2015/2016, grazie ad un
apposito accordo stipulato con l‟associazione Indicod-Ecr.
Tali codici, definiti secondo lo standard GS1, identificano univocamente ogni
amministrazione a livello sia nazionale che internazionale permettendo la corretta
composizione della codifica a barre da apporre su ogni documento, compresi gli avvisi da
emettere nell‟ambito dei sistemi di pagamento telematici.
BITCOIN
Bitcoin è una moneta digitale, inventata nel 2009 da tal Satoshi Nakamoto, che usa la
tecnologia peer-to-peer per non operare con alcuna autorità centrale o con le banche.
La gestione delle transazioni e l'emissione di bitcoin viene effettuata collettivamente dalla
rete, attraverso un libro mastro pubblico chiamato “block chain”291.
Questo libro mastro contiene tutte le transazioni che sono state elaborate, permettendo al
computer degli utenti di verificare la validità di ogni transazione.
291
Una blockchain (in italiano letteralmente: catena di blocchi) è una base di dati distribuita, introdotta dalla valuta Bitcoin che
mantiene in modo continuo una lista crescente di record, i quali fanno riferimento a record precedenti presenti nella lista stessa ed è
resistente a manomissioni (tratto da Wikipedia).
226
L'autenticità di ogni transazione è protetta da firme digitali che corrispondono all'indirizzo
del mittente, permettendo a tutti gli utenti di avere pieno controllo sui bitcoin inviati dai
loro indirizzi Bitcoin personali.
Chiunque può processare transazioni usando la potenza computazionale dell'hardware
specializzato ed ottenere un premio in bitcoin per questo servizio, spesso chiamato
"mining".
Bitcoin è open-source e la sua progettazione è pubblica, nessuno possiede o controlla
Bitcoin e tutti possono prendere parte al progetto.
LICENZE CC E IODL
Il tema del diritto d'autore nell'ambito della P.A. si è sempre posto in termini di titolarità
del dato in capo all'amministrazione che lo formava o lo deteneva per averlo raccolto o
conservato.
In seguito all'introduzione del principio di apertura dei dati (open data) si è iniziato ad
introdurre l'utilizzo di licenze Creative Commons292, ossia di un tipo di licenza che riserva al
titolare solo alcuni diritti (alcuni diritti riservati, come la citazione della fonte, la diffusione
allo stesso modo ecc.) o, addirittura, nessun diritto (diffusione in pubblico dominio).
Al riguardo il Formez293 ha creato una specifica licenza, denominata IODL (Italian Open
Data License)294, che ha lo scopo di consentire agli utenti di condividere, modificare, usare
e riusare liberamente la banca di dati, i dati e le informazioni con essa rilasciati, garantendo
al contempo la stessa libertà per altri. La licenza mira a facilitare il riutilizzo delle
informazioni pubbliche nel contesto dello sviluppo della società dell'informazione.
L'art. 52 del C.A.D., poi, prevede espressamente che i dati e i documenti che le
amministrazioni titolari pubblicano, con qualsiasi modalita, senza l'espressa adozione di una
licenza di cui all'articolo 2, comma 1, lettera h), del decreto legislativo 24 gennaio 2006, n.
36295, si intendono rilasciati come dati di tipo aperto ai sensi all'articolo 68, comma 3, del
presente Codice e che l'eventuale adozione di una licenza di cui al citato articolo 2, comma
1, lettera h), è motivata ai sensi delle linee guida nazionali.
292
293
294
295
http://www.creativecommons.it/
Centro servizi, assistenza, studi e formazione per l'ammodernamento delle P.A. www.formez.it
http://www.formez.it/iodl/
Decreto recante l'Attuazione della direttiva 2003/98/CE relativa al riutilizzo di documenti nel settore pubblico
227
Il successivo art. 68 co. 3, inoltre, definisce:
a) formato dei dati di tipo aperto, un formato di dati reso pubblico, documentato
esaustivamente e neutro rispetto agli strumenti tecnologici necessari per la fruizione dei dati
stessi;
b) dati di tipo aperto, i dati che presentano le seguenti caratteristiche:
1) sono disponibili secondo i termini di una licenza che ne permetta l'utilizzo da parte di
chiunque, anche per finalità commerciali, in formato disaggregato;
2) sono accessibili attraverso le tecnologie dell'informazione e della comunicazione, ivi
comprese le reti telematiche pubbliche e private, in formati aperti ai sensi della lettera a),
sono adatti all'utilizzo automatico da parte di programmi per elaboratori e sono provvisti
dei relativi metadati;
3) sono resi disponibili gratuitamente attraverso le tecnologie dell'informazione e della
comunicazione, ivi comprese le reti telematiche pubbliche e private, oppure sono resi
disponibili ai costi marginali sostenuti per la loro riproduzione e divulgazione.
ETICA HACKER
Per introdurre il concetto di etica hacker, occorre prima identificare chi sono gli hackers,
ossia una categoria di persone che si impegna nell'affrontare sfide intellettuali per aggirare o
superare creativamente le limitazioni che le vengono imposte, non limitatamente ai suoi
ambiti d'interesse (che di solito comprendono l'informatica o l'ingegneria elettronica), ma in
tutti gli aspetti della vita.
Spesso, ma impropriamente, il termine hacker viene associato ai criminali informatici, che,
invece, vengono definiti “cracker” e hanno finalità meramente tendenti al profitto o al
danneggiamento o alla violazione dei sistemi informatici, senza alcuno scrupolo.
Con l'espressione etica hacker, quindi, si fa riferimento all'etica emersa e applicata, dalle
comunità virtuali e che affonda le radici negli anni cinquanta e sessanta, muovendo i primi
passi al Massachusetts Institute of Technology (MIT) di Boston.
Il termine "etica hacker" è tradizionalmente attribuito allo scrittore Steven Levy, che lo
descrive nel libro del 1984 “Hackers. Gli eroi della rivoluzione informatica”.
Uno dei suoi grandi mentori è il finlandese Pekka Himanen, autore di “L'etica hacker e lo
228
spirito dell'eta dell'informazione”.
Nel linguaggio comune degli studenti del MIT, con "hack" si intendeva un progetto in fase
di sviluppo o un prodotto realizzato con scopi costruttivi, con riferimento ad un forte
piacere dato dal coinvolgimento nel progetto.
Il termine venne adottato estrapolandolo dal comune linguaggio gergale universitario, in
cui, col termine "hack", si indicavano gli scherzi goliardici architettati dagli studenti.
L'etica hacker fu descritta come un "nuovo stile di vita, con una filosofia, un'etica, ed un
sogno".
Nei primi anni ottanta alcuni sostenitori dell'etica hacker diedero vita al movimento per il
software libero. Il fondatore di questo movimento, Richard Stallman, è considerato, da
Steven Levy, come "l'ultimo vero hacker".
Da tale ambito, poi, il concetto di hackerare è stato esteso anche ad altri ambiti sociali e
politici, per cui è invalso anche l'espressione di hackerare le PP.AA. Nel senso di migliorare
il funzionamento delle stesse da parte dei cittadini attraverso strumenti (ora consacrati nel
c.d. Diritto di accesso civico ex D. L.Vo 33/2013) che consento il controllo dell'attività
amministrativa e la partecipazione ai processi decisionali, soprattutto di interesse collettivo.
INTERNET DELLE COSE
Il concetto di Internet delle cose (Internet of Thing, nella versione internazionale, IoT), si
riferisce ad una infrastruttura nella quale miliardi di sensori sono collegati tra di loro, e
dispositivi di uso comune, appunto “cose” in quanto tali, o collegate ad altri oggetti o ad
individui, sono progettate per registrare, processare, conservare e trasferire dati e, dal
momento che sono identificate in modo univoco, ad interagire con altri dispositivi o
sistemi, utilizzando le risorse dei networks.
Quindi, l'Internet delle cose si basa sul principio dell'uso esteso del trattamento dei dati
atraverso tali sensori, che sono progettati per comunicare in maniera opportuna e
scambiare dati senza soluzione di continuità, ed è strettamente collegato alle nozioni di
pervasività ed ubiquità dell'informatica.
Alcuni esempi di IoT sono il wearable computing (ossia dispositivi indossabili quali ad es.
229
bracciali, occhiali, spille, ciondoli, ecc.)296 o la home automation (c.d. domotica); tutti,
comunque, pongono, anche sotto peculiari profili, pericoli per la gestione del trattamento
dei dati personali che acquisiscono nel loro funzionamento e di sicurezza informatica del
sistema all'interno del quale operano, specie in relazione allo sfruttamento della
connessione Internet e del relativo protocollo IP per la comunicazione diretta tra i
dispositivi collegati.
In particolare il wearable computing sta riscontrando un successo sempre più importante,
grazie ai numerosi utilizzi che se ne possono fare ma soprattutto allo sviluppo di numerose
app che consentono di svolgere le funzioni più disparate, soprattutto per quel che riguarda
l'ambito benessere e sanità.
Ed è in tale ambito, infatti, che l'utilizzo di dispositivi indossabili sta dando vita ad un
mercato sempre più fiorente e dinamico, ma che riesce fondamentalmente a soddisfare
bisogni di tutela del benessere e della salute personale, prima impensabili.
Ovviamente, uno degli aspetti più critici del wearable computing è quello relativo al
corretto trattamento dei dati personali dei soggetti coinvolti (sia in quanto utenti del
servizio, sia in quanto soggetti loro malgrado coinvolti), i quali devono necessariamente
essere consapevoli di quali loro dati si fa uso e soprattutto da parte di chi e per quali
finalità, senza trascurare che spesso la conservazione dei dati avviene attraverso il cloud e,
quindi, difficilmente si può conoscere con esattezza la effettiva localizzazione dei dati.
SMART CITIES (Comunità intelligenti)
Una Smart City è un luogo dove le reti ed i servizi tradizionali sono resi più efficienti
attraverso l'uso delle tecnologie digitali e delle telecomunicazioni a beneficio dei propri
abitanti e per lo sviluppo dell'economia.
Il concetto di Smart City, comunque, va oltre il semplice uso delle ICT per un migliore uso
delle risorse e la riduzione delle emissioni.
Significa reti di trasporti urbani più intelligenti, forniture di acqua ammodernate e riduzione
296
Ossia dispositivi miniaturizzati “indossabili” che si integrano con il corpo del fruitore, concepiti per interagire costantemente
con chi li indossa, agevolare l'utente nelle sue azioni e consentirgli di accedere alle informazioni raccolte in qualsiasi momento. V.
Germani E., Ferola L. “Il Wearable Computing e gli orizzonti futuri della privacy”, in Diritto dell'Informazione e
dell'Informatica (Il),
fasc.1, 2014, pag. 75
230
delle perdite e modi più efficienti di illuminare e riscaldare gli edifici.
La smart city può anche dare vita ad una amministrazione più interattiva e reattiva ed a
spazi pubblici più sicuri anche per incontrare le esigenze di una popolazione che avanza
negli anni.
DATI TERRITORIALI
L'art. 59 del C.A.D. definiva297 i Dati territoriali come qualunque informazione
geograficamente localizzata; essi costituiscono l‟elemento conoscitivo di base per tutte le
politiche connesse alla gestione del territorio, siano esse relative alla sicurezza, alla
imposizione fiscale, alla prevenzione di fenomeni di degenerazione sociale ecc..
Per agevolare la pubblicità dei dati di interesse generale, disponibili presso le pubbliche
amministrazioni a livello nazionale, regionale e locale, presso il DigitPA (ora AGID) è
istituito il Repertorio nazionale dei dati territoriali ed è prevista la costituzione di un
Comitato per le regole tecniche sui dati territoriali delle P.A.
Nell'ambito dei dati territoriali di interesse nazionale rientra la base dei dati catastali gestita
dall'Agenzia del territorio.
Nel contesto europeo è stata emanata la direttiva Direttiva 2007/2/CE del 14 marzo 2007
che istituisce un'Infrastruttura per l'informazione territoriale nella Comunità europea
(Inspire), recepita nell'ordinamento italiano con il D. L.vo 27 gennaio 2010 n. 32.
All‟indirizzo web http://www.rndt.gov.it/RNDT/home/ è reperibile il sito dedicato.
SICUREZZA NAZIONALE DELLO SPAZIO CIBERNETICO
Con il D.P.C.M. 24 gennaio 2013, recante “Direttiva recante indirizzi per la protezione
cibernetica e la sicurezza informatica nazionale”, l‟Italia ha delineato la sua strategia nel
297
Nella versione precedente alle modifiche introdotte con il D. L.vo 179/16.
231
campo della “cyber security, sul presupposto che la minaccia cibernetica costituisce un
rischio per la sicurezza nazionale.
Con questo decreto il nostro paese si pone ai primi posti nella lotta alle minacce
cibernetiche e nella protezione del spazio cibernetico o “cyber space”, approcciandosi al
problema con un respiro nazionale, strategico e centralizzato, e ponendo le basi per una
cooperazione nazionale su piu livelli, che coinvolga tutti gli attori pubblici nonche gli
operatori privati interessati, ed internazionale sia in ambito bilaterale e multilaterale, sia con
l'UE che con la NATO.
Tra le varie definizione, di maggiore importanza si segnalano lo “spazio cibernetico”, la
“minaccia cibernetica” e la “sicurezza cibernetica”.
La nuova strategia nazionale dovrà persegeuire tre obiettivi principali: individuare le
minacce, prevenire i rischi e coordinare una risposta in situazioni di crisi, ed è
articolata su tre livelli d‟intervento:
- il primo di indirizzo politico e di coordinamento strategico affidato al “Comitato
interministeriale
per
la
sicurezza
della
Repubblica
(CISR)”;
- il secondo di supporto operativo ed amministrativo a carattere permanente affidato al
“Nucleo per la Sicurezza Cibernetica” presieduto dal Consigliere Militare del Presidente del
Consiglio, con funzioni di raccordo nei confronti di tutte le amministrazioni ed enti
competenti per l‟attuazione degli obiettivi e delle linee di azione indicate dalla pianificazione
nazionale e che provvedera a programmare l‟attivita operativa a livello interministeriale e ad
attivare le procedure di allertamento in caso di crisi;
- il terzo livello, di gestione delle crisi affidato al “Tavolo Interministeriale di Crisi
Cibernetica”, con il compito di curare e coordinare le attivita di risposta e di ripristino della
funzionalità
dei
sistemi,
avvalendosi
di
tutte
le
componenti
interessate.
Sul piano pratico, la Direttiva prevede anche l‟istituzione di un Computer Emergency
Response Team nazionale, accanto al gia istituito CERT della Pubblica Amministrazione.
Il 27 gennaio 2014, poi, con Decreto del Presidente del Consiglio dei Ministri, è stato
approvato il “Piano per la protezione cibernetica e la sicurezza informatica”.
Il Piano individua undici indirizzi operativi e i relativi obiettivi specifici da conseguire e le
relative linee d‟azione da porre in essere per dare concreta attuazione al Quadro Strategico
Nazionale per la sicurezza dello spazio cibernetico, in linea con quanto previsto dal
232
Decreto del Presidente del Consiglio dei Ministri del 24 gennaio 2013.
Da segnalare, infine, la recentissima Direttiva n. 1148 del Parlamento Europeo e del
Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle
reti e dei sistemi informativi nell'Unione, che intende assicurare l'affidabilità e la sicurezza
delle reti, dei sistemi e servizi informativi per le attività economiche e sociali, vitali nella
società, in particolare ai fini del funzionamento del mercato interno, la quale afferma che le
reti e i sistemi e servizi informativi svolgono un ruolo vitale nella società, tanto da rendere
essenziale la loro affidabilità e sicurezza per le attività economiche e sociali, in particolare ai
fini del funzionamento del mercato interno298.
RFID, NFC, QR CODE
La sempre crescente esigenza di mobilità e digitalizzazione delle attività ha reso ormai di
utlizzo comune alcune tecnologie wireless che consentono di processare le diverse
informazioni per finalità identificative, di pagamenti, di tracciamento o di sicurezza in
generale.
Tra tali tecnologie si collocano la Radio Frequency Identification, la Near Field
Communication ed il Quick Response Code.
La prima è una tecnologia che consente di identificare oggetti e persone attraverso dei
microchip che memorizzano informazioni trasmettendole ad un sistema centralizzato, con
radiofrequenza; nella pratica si tratta di un dispositivo hardware e software costituito da una
memoria ovvero un chip, e da un'antenna i quali possono essere riconosciuti ed analizzati
da un apposito lettore RFID299.
Il sistema RFID, quindi, è composto da un'etichetta trasnponder (transmitter-responder)
contenente un identificativo univoco, da un lettore apposito in grado di interrogare il
transponder dell'etichetta e da un sistema di gestione connesso in rete con i lettori.
Dalla tecnologia Rfid si è evoluta quella di NFC, attraverso una combinazione
d'identificazione senza contatto e altre tecnologie di connettività; la NFC permette una
comunicazione bidirezionale: quando due apparecchi NFC (lo initiator e il target) vengono
298
Reperibile
all'indirizzo
internet
http://eur-lex.europa.eu/legalcontent/IT/TXT/PDF/?uri=CELEX:32016L1148&from=IT, consultato nel mese di dicembre 2016.
299
V. MANCARELLA M. “E-Health e diritti. L'approccio dell'informatica giuridica”, Roma 2013, pagg. 183 e ss.
233
accostati entro un raggio di pochi cm, viene creata una rete peer-to-peer tra i due ed
entrambi possono inviare e ricevere informazioni.
Tra le varie applicazioni pratiche si segnalano:
Scaricamento e pagamento su dispositivi portatili NFC, attraverso computer o chioschi
elettronici abilitati, di giochi, file audio digitali, video, software; trasferimento e
visualizzazione di fotografie da una macchina fotografica o telefono cellulare NFC a un
chiosco elettronico, televisione, computer per la visione o la stampa; trasferimento facilitato
di file o messa in rete fra sistemi wireless; uso della tecnologia NFC per i sistemi di
pagamenti elettronici.
Il QRCode, infine, è una tecnologia basata su un codice a barre bidimensionale (o codice
2D), ossia a matrice, composto da moduli neri disposti all'interno di uno schema di forma
quadrata che consente di ottenere informazioni di vario tipo, soprattutto di indirizzi
internet.
Viene impiegato per memorizzare informazioni generalmente destinate a essere lette
tramite un telefono cellulare o uno smartphone dotati di fotocamera, tramite apposite app;
nel caso di indirizzi internet, poi, attraverso il browser dello smartphone si verrà
direttamente reindirizzati su pagine web dedicate.
DIRITTO ALL‟IMMAGINE E WEB
Il diritto all‟immagine è un diritto della personalità che, sebbene non espressamente
previsto in una specifica norma costituzionale, si è soliti ricondurre nell‟alveo dei diritti
inviolabili dell‟uomo - ai sensi dell‟art. 2 della Costituzione. - riconosciuti e come singolo e
nelle formazioni sociali ove si svolge la sua personalità. Tale diritto trova ulteriore
riconoscimento nell‟art.10 del Codice Civile, che disciplina l‟abuso dell‟immagine altrui e
negli articoli 96 e 97 della L. 22 aprile 1941, n. 633 sulla protezione del diritto d‟autore.
L‟immagine è considerata sia come rappresentazione visiva delle sembianze della persona o
riproduzione grafica delle sue fattezze sia come dato personale e per diritto all‟immagine si
intende la tutela degli aspetti dell‟immagine legati alla riconoscibilità o identificabilità
234
dell‟individuo300. L‟articolo 10 del Codice Civile non fornisce una definizione del diritto
all‟immagine ma si limita a disciplinare l‟ipotesi dell‟abuso dell‟immagine altrui da parte di
terzi; tale norma obbliga, inoltre, al risarcimento dei danni e alla cessazione dell‟abuso colui
che espone o pubblica l‟immagine, fuori dei casi consentiti dalla legge o con pregiudizio al
decoro e alla reputazione della persona stessa o dei congiunti. L‟articolo 96 della legge sulla
protezione del diritto di autore individua nel consenso dell‟interessato, l‟elemento che esime
dalla responsabilità civile il soggetto che espone, riproduce o mette in commercio
l‟immagine altrui. Ovviamente, il consenso alla pubblicazione della propria immagine
costituisce un negozio giuridico avente ad oggetto non il diritto stesso all‟immagine (il quale
resta personalissimo ed inalienabile) ma soltanto il suo esercizio. L‟immagine di una
persona può essere esposta o pubblicata soltanto con il suo consenso, salvi i casi in cui
l‟esposizione o la pubblicazione sia consentita dalla legge (ad esempio, quando la
riproduzione dell‟immagine è giustificata dalla notorietà della persona, dall‟ufficio pubblico
ricoperto, da necessità di giustizia o di polizia, da scopi scientifici, didattici o culturali, o
quando la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o
svoltisi in pubblico) e purché l‟esposizione non rechi pregiudizio all‟onore, alla reputazione
od anche al decoro della persona. In caso di lesione del diritto all‟immagine di una persona,
del coniuge, dei suoi genitori o dei suoi figli, l‟interessato può chiedere all‟autorità
giudiziaria che disponga la cessazione dell‟abuso, salvo il risarcimento di ogni pregiudizio
patito. C‟è da aggiungere che, oggigiorno, nell‟epoca del Web 2.0, il rischio di “esposizione
mediatica” minaccia un po‟ tutti, pur non essendone sempre consapevoli, e riguarda
perlopiù l‟indebito utilizzo di immagini personali nei Social Network. Ma vi sono ulteriori
strumenti che presentano le stesse problematiche, fra i quali rientra sicuramente Google
Street View, un servizio che fornisce immagini delle strade di numerose città che ha
sollevato non pochi problemi di corretto trattamento dei dati personali in seguito alla
pubblicazione di immagini che ritraevano privati cittadini che per puro caso si trovavano
nella zona oggetto delle rilevazioni di Google301.
300
p. 109.
301
M.IASELLI, Diritto e nuove tecnologie. Prontuario giuridico-informatico, Montecatini Terme (PT), Altalex Editore, 2011,
M.IASELLI, Diritto e nuove tecnologie. Prontuario giuridico-informatico, cit., p.110
235
CONDIZIONI DI ADESIONE AI SOCIAL NETWORK
La vendita di spazi pubblicitari in rete, ovvero di informazioni sugli utilizzatori della stessa,
rappresenta la principale fonte di reddito per le moderne piattaforme di scambio. Invero,
l'apparente gratuità dell‟iscrizione e fruizione di pagine web ha un costo sommerso in
termini di trattamento dei dati personali degli utenti. Il margine di profitto maggiore
proviene, infatti, dall'enorme mole di dati personali che tramite post, link o iscrizioni i
fruitori immettono nella piattaforma stessa.
I vari social network richiedono all'utente, ai fini dell'adesione ed utilizzazione della
piattaforma, l'accettazione di condizioni generali di contratto alquanto stringenti che
prevedono, in sostanza, la concessione di una licenza onnicomprensiva per il riutilizzo di
qualsiasi contenuto pubblicato.
Inoltre, come se ciò non bastasse, la stessa licenza deve considerarsi “non esclusiva”, nel
senso che essa risulta trasferibile, cedibile (a titolo gratuito o oneroso) a soggetti terzi che
dei succitati dati continueranno a fare uso/consumo/abuso.
Ciò considerato, si può asserire che la sottoscrizione “digitale” del contratto di adesione,
effettuata mediante la prestazione del consenso su formulari on line, unilateralmente
compilati dalle società che gestiscono i numerosi social network, presenta una serie di
problematiche non immediatamente percepibili dall'utente inesperto, che possono così
essere elencate:
●
concessione alla società del diritto di utilizzare i dati privati dell'utente per scopi
pubblicitari, per fini statistici, per indagini di mercato, etc. Tutte attività che porteranno
benefici in termini economici all'azienda;
●
consenso a che i dati personali siano ceduti a soggetti terzi (pur nel rispetto della
normativa in materia di privacy) e senza confini territoriali. Nella maggior parte dei casi si
tratta, infatti, di licenze mondiali che permettono al servizio di social network di rendere
disponibili tali contenuti ad altre società, organizzazioni o soggetti partner affinché li
possano a loro volta condividere, trasmettere, distribuire o pubblicare su supporti e servizi
di diverso genere;
236
●
consenso a rendere pubblici determinati contenuti. Ne è un tipico esempio la
pubblicazione su Facebook di foto, dati e informazioni simili effettuata scegliendo
l'impostazione “pubblica”: in tal modo anche i soggetti non iscritti al social network
possono astrattamente fruire dei suddetti contenuti, in maniera gratuita e libera;
●
la compravendita dei database viene utilizzata per mettere in atto campagne
pubblicitarie e di marketing, mirate ad influenzare le abitudini dei consumatori; grazie ai
social media un‟azienda avrà la possibilità di controllare la percezione da parte dei
consumatori dei prodotti e servizi erogati;
●
mancanza di piena trasparenza circa le opzioni, in materia di privacy, impostate di
default al momento dell‟iscrizione;
●
impossibilità di avere il pieno ed effettivo controllo delle informazioni immesse in
rete: la cancellazione di un dato precedentemente inserito non comporta automaticamente
la cancellazione definitiva dello stesso, considerato che molto spesso i contenuti rimossi
vengono conservati come copie di backup per un determinato periodo. Tra l'altro, alcuni
social prevedono espressamente, nelle condizioni di adesione, l'acquisto da parte della
società del diritto di utilizzare e conservare i dati immessi dall'utente per un preciso lasso
temporale, senza che il legittimo proprietario possa con le sue azioni condizionarne la
fruizione (problematiche inerenti al diritto all‟oblio);
●
predisposizione di procedure di recesso dal servizio particolarmente complesse che
rendono talvolta difficile la cancellazione definitiva di un profilo precedentemente creato,
con tutti i dati ad esso collegati;
●
la proprietà dell'informazione, del documento o dell'immagine, pur restando
formalmente nella sfera giuridica dell'utente, viene di fatto trasferita alla piattaforma on
line, che continuerà a utilizzare i dati concessi su licenza anche nel caso in cui l'utente
smetta di fruire del servizio sottoscritto;
●
la condivisione di informazioni strettamente personali, unitamente alla cedibilità
delle stesse in sub-licenza, aumenta il rischio di furti d'identità digitali e accessi abusivi, con
elusione del sistema di sicurezza predisposto dalla piattaforma;
●
predisposizione di clausole vessatorie in materia di competenza a giudicare
eventuali e future controversie tra utente e social network, sottoscrivibili con un semplice
“click di consenso”: in particolare, inserimento di clausole che spostano ogni controversa
237
giudiziaria negli Stati Uniti, derogando alla normativa europea di riferimento, favorevole
all‟utente, che prevede, al contrario, la stretta correlazione tra luogo di residenza del
consumatore e giudice competente. La giurisprudenza ha ritenuto che tali clausole, per
essere lecite ed efficaci, richiedano quantomeno la sottoscrizione con apposizione di firma
digitale da parte dell‟utente, non essendo sufficiente il mero consenso prestato mediante
spunta della relativa casella;
●
inserimento, illecito ed abusivo, tra le condizioni generali di contratto, di
“disclaimer”, ovvero di esoneri da responsabilità a favore del gestore della piattaforma, e di
arbitrati obbligatori.
Ecco, dunque, perché i veri clienti dei social network non sono più gli utenti quanto
piuttosto le società a cui la piattaforma deciderà di rivendere il pacchetto di dati dei
medesimi utenti, trasformando gli stessi in un valore economicamente quantificabile.
ACCESSIBILITÀ AI FILE DI LOG
Nel linguaggio informatico, il termine “log” generalmente indica la registrazione
cronologica delle operazioni man mano che vengono eseguite ed il file sul quale tali
registrazioni sono memorizzate.
Si osserva che il semplice accesso ad un sito web produce automaticamente l‟acquisizione,
nel corso del normale esercizio dei sistemi informatici, di alcuni dati personali; tali
informazioni non sono raccolte per soddisfare precisi interessi del titolare del sistema
informatico, esse, al contrario, permettono l‟elaborazione e l‟associazione con ulteriori dati
detenuti da terzi. In questo modo, diventa possibile identificare gli utenti che accedono ai
siti web. Solitamente, l‟accesso al web avviene tramite la propria postazione internet,
tramite il proprio PC o notebook e fra i dati automaticamente recuperabili dai sistemi
informatici rientrano, ad esempio, gli indirizzi IP, i nomi a dominio del computer utilizzati
dagli utenti che si connettono al sito, gli indirizzi in dotazione URI (Uniform Resource
Identifier), l‟orario della richiesta, la dimensione del file ottenuto in risposta, ecc. Tali dati,
associati a quelli detenuti da terzi, permettono di elaborare e ricavare informazioni a fini
statistici. La questione della liceità o meno della raccolta ed esame dei file di log, oltre ad
essere di estrema attualità, rappresenta una delle tematiche più controverse legate
238
all‟applicazione del D.Lgs. 196/2003, in materia di protezione dei dati personali. Nel
campo del diritto del lavoro, con sentenza n. 18302 del 19 settembre 2016, la Corte di
Cassazione ritorna su un argomento già affrontato diverse volte e cioè la legittimità dei
controlli effettuati dal datore di lavoro nei confronti dei propri dipendenti, alla luce di
quanto previsto dall‟art. 4 dello Statuto de lavoratori. Il contenzioso vede contrapposti
l‟Istituto Poligrafico e Zecca dello Stato S.p.a ed il Garante per la protezione dei dati
personali in quanto quest‟ultimo aveva emesso nei confronti dell‟Istituto un provvedimento
con il quale vietava l'ulteriore trattamento, nelle forme della conservazione e della
categorizzazione, dei dati personali dei dipendenti, relativi
alla navigazione Internet,
all'utilizzo della posta elettronica ed alle utenze telefoniche chiamate dai lavoratori, con
contestuale imposizione dell'obbligo di informare gli utenti del trattamento dei dati
personali.
La Cassazione stabilisce che i controlli cd. difensivi diretti ad accertare comportamenti illeciti
dei lavoratori, quando comportino la possibilità del controllo a distanza della prestazione
lavorativa dei dipendenti, sono soggetti alla disciplina di cui all'art. 4, comma 2, dello
Statuto dei lavoratori in quanto la possibilità di effettuare tali controlli incontra un limite
nel diritto alla riservatezza del dipendente, tanto che anche l'esigenza di evitare condotte
illecite dei dipendenti non può assumere portata tale da giustificare un sostanziale
annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore302.
Anche le ultime novità in tema di Codice degli Appalti (D.Lgs. n. 50/2016) riguardano le
finalità di maggiore sicurezza e trasparenza che devono animare le stazioni appaltanti nello
svolgimento delle comunicazioni e degli scambi di informazioni necessari da attuare
mediante mezzi di comunicazione elettronici. Le piattaforme elettroniche di acquisto e
negoziazione dovranno essere predisposte in modo da assicurare la conservazione digitale
dei file di log delle transazioni elettroniche effettuate dalle parti, nonché l'integrità, la
sicurezza e la riservatezza delle comunicazioni tra le piattaforme elettroniche di acquisto e
negoziazione e tra queste e gli altri sistemi e piattaforme della pubblica amministrazione.
Tuttavia, il legislatore affronta anche i “timori” legati ai rischi che le comunicazioni digitali
possono comportare. L‟articolo 52 del nuovo Codice degli Appalti, alla lettera e) del
302
M.Iaselli, Posta elettronica in azienda: illegittimo il controllo indiscriminato del datore , 18 ottobre 2016, disponibile al seguente URL:
http://www.altalex.com/documents/news/2016/09/22/lavoratore-email consultato nel mese di dicembre 2016.
239
comma 1, enuncia infatti che le stazioni appaltanti non sono obbligate all'uso di mezzi di
comunicazione elettronica quando è presente una violazione della sicurezza dei mezzi di
comunicazione ovvero occorre proteggere informazioni di natura particolarmente sensibile
che richiedono un livello talmente elevato di protezione da non poter essere adeguatamente
garantito mediante l'uso degli strumenti e dispositivi elettronici che sono generalmente a
disposizione degli operatori economici303.
AUTORITÀ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Il Garante per la protezione dei dati personali è un'autorità amministrativa indipendente
istituita dalla legge sulla privacy (Legge n. 675 del 31 dicembre 1996), oggi confluita nel
Codice per la protezione dei dati personali. L‟istituzione di tale autorità, così come disposto
dall‟art.8 della Carta dei diritti fondamentali dell'Unione europea, è prevista in tutti i Paesi
membri dell'Unione Europea. Nel nostro Paese, tale figura ha sede a Roma, in Piazza di
Monte Citorio e si compone di quattro membri eletti dal Parlamento; inoltre, ha alle sue
dipendenze un Ufficio con un organico di 125 unità. Quanto ai compiti spettanti al Garante
della privacy, essi sono disciplinati dal Codice della privacy (decreto legislativo 30 giugno
2003, n. 196) e da altre fonti normative nazionali e comunitarie. L‟Authority ha
essenzialmente il compito di assicurare la tutela dei diritti e delle libertà fondamentali nel
trattamento dei dati personali ed il rispetto della dignità della persona. Nel dettaglio, spetta
al Garante:
a)
controllare che i trattamenti di dati personali siano conformi a leggi e regolamenti e,
eventualmente, prescrivere ai titolari o ai responsabili dei trattamenti le misure da adottare
per svolgere correttamente il trattamento;
b)
esaminare reclami e segnalazioni nonché decidere i ricorsi presentati ai sensi
dell'articolo 145 del Codice in materia di protezione dei dati personali;
303
G.Troiano, Le novità del Codice Appalti per garantire sicurezza e affidabilità delle comunicazioni, 1 dicembre 2016 disponibile al seguente URL:
http://www.forumpa.it/pa-digitale/appalti-cosa-prevede-la-legge-per-garantire-la-sicurezza-nelle-comunicazioni-tra-enti-e-fornitori,
consultato nel mese di dicembre 2016
240
c)
vietare in tutto od in parte, ovvero disporre il blocco del trattamento di dati
personali che per la loro natura, per le modalità o per gli effetti del loro trattamento
possano rappresentare un rilevante pregiudizio per l'interessato;
d)
adottare i provvedimenti previsti dalla normativa in materia di dati personali, tra
cui, in particolare, le autorizzazioni generali per il trattamento dei dati sensibili;
e)
promuovere la sottoscrizione dei codici di deontologia e di buona condotta in vari
ambiti (credito al consumo, attività giornalistica, ecc.);
f)
segnalare, quando ritenuto opportuno, al Governo la necessità di adottare
provvedimenti normativi specifici in ambito economico e sociale;
g)
partecipare alla discussione su iniziative normative con audizioni presso il
Parlamento;
h)
formulare i pareri richiesti dal Presidente del Consiglio o da ciascun ministro in
ordine a regolamenti ed atti amministrativi suscettibili di incidere sulle materie disciplinate
dal Codice;
i)
predisporre una relazione annuale sull'attività svolta e sullo stato di attuazione della
normativa sulla privacy da trasmettere al Parlamento e al Governo;
j)
partecipare alle attività comunitarie ed internazionali di settore, anche quale
componente del Gruppo Articolo 29 e delle Autorità comuni di controllo previste da
convenzioni internazionali (Europol, Schengen, Sistema informativo doganale);
k)
curare la tenuta del registro dei trattamenti formato sulla base delle notificazioni di
cui all'articolo 37 del Codice in materia di protezione dei dati personali;
l)
curare l'informazione e la sensibilizzazione dei cittadini in materia di trattamento
dei dati personali, nonché sulle misure di sicurezza dei dati;
m)
coinvolgere i cittadini e tutti i soggetti interessati con consultazioni pubbliche dei
cui risultati si tiene conto per la predisposizione di provvedimenti a carattere generale304.
BANDA LARGA ED ULTRALARGA
304
Per
maggiori
informazioni
si
rinvia
al
sito
http://www.garanteprivacy.it/web/guest/home/autorita/compiti, consultato nel mese di dicembre 2016
241
web
istituzionale:
Nella legislazione italiana ed europea non esiste ancora una definizione di banda larga;
generalmente, il termine viene associato ai servizi di telecomunicazione ad elevata velocità,
che consentono la trasmissione di dati, voce e video fruibili simultaneamente da parte di
diversi utenti305.
La più tipica banda larga, nel linguaggio comune, sembra essere quella assicurata dalla
connessione tramite fibre ottiche; tuttavia, la locuzione banda larga può intendere anche la
banda dei sistemi mobili di telecomunicazioni (es. cellulari e smartphone) di terza
generazione (3G) con accesso alla rete Internet rispetto a quelli di seconda generazione
(2G) (wireless broadband o banda larga radiomobile), i quali
presentano comunque
un'ampiezza di banda inferiore rispetto alle reti cablate in fibra ottica, specialmente in
contesti di banda totale condivisa tra molti utenti. In tal senso, l'evoluzione dei sistemi
cablati viaggia ora verso la banda ultralarga (ultrabroadband) grazie all'avvento della Next
Generation Network o “rete di prossima generazione”.
Il servizio di connettività a banda larga è considerato un fattore di crescita economica e
occupazionale di un Paese: l‟aumento della velocità dei servizi di banda larga così come lo
sviluppo di nuovi servizi e contenuti online, in effetti, costituiscono condizioni che
abilitano i cittadini, le imprese e le pubbliche amministrazioni all‟ accesso alla Società
dell‟Informazione.
Il notevole impegno della Commissione Europea sul tema della banda larga e ultralarga, in
effetti, è sintomatico dell‟interesse del fenomeno per l‟intera società economica; tale rilievo
è strettamente legato alla diffusione di servizi “evoluti” (ad esempio, di telemedicina oppure
in materia di eGovernement, di telelavoro) capaci di apportare notevoli benefici alla
collettività, in termini di qualità della vita, qualità ambientale e competitività delle
imprese306.
Si pensi, ad esempio, agli enormi vantaggi prodotti nel campo della telemedicina da servizi
innovativi come la telediagnosi, la teleassistenza, la prenotazione online o ancora i referti
online: oltre a ridurre la spesa sanitaria, tali innovazioni migliorano significativamente
l‟offerta di servizi assistenziali, specialmente nelle zone non coperte da strutture sanitarie.
Dal punto di vista tecnico, le tecnologie per la connettività a banda larga possono essere
distinte in due tipologie: le reti di accesso e le reti di trasporto. Le reti di accesso,
305
306
L. De Pietro (a cura di ), Dieci lezioni per capire e attuare l’eGovernement, Venezia, Marsilio, 2011, p.138
Ivi, pp.141-143.
242
solitamente sviluppate a livello locale, garantiscono il collegamento di una moltitudine di
utenti contemporaneamente ed in condizioni diverse in termini di disponibilità di banda.
Le reti di trasporto, invece, rappresentano l‟infrastruttura “a monte” delle reti di accesso:
sono le reti portanti mediante le quali si costruisce il network delle telecomunicazioni a
livello nazionale ed internazionale. Esse controllano la trasmissione di grandi quantità di
dati tra aree geografiche differenti.
VIDEOSORVEGLIANZA
In materia di videosorveglianza, oltre ai principi generali fissati dal Codice in materia di
protezione dei dati personali307, occorre far riferimento a due importanti provvedimenti
generali emanati dal Garante della privacy: il provvedimento del 29 aprile 2004 che fissa le
regole principali in materia ed il provvedimento dell‟ 8 aprile 2010 che sostituisce il
precedente ed apporta alcune interessanti novità.
In merito ai possibili contrasti fra la disciplina sulla videosorveglianza ed il rispetto della
tutela dei dati personali di ciascun individuo - in conformità alle norme sancite dal Codice
della privacy (D.lgs 193/2003) - il legislatore ha voluto correttamente bilanciare due
interessi, entrambi meritevoli di tutela: da un lato, la necessità per le amministrazioni
pubbliche ed i soggetti privati di monitorare ambienti potenzialmente a rischio di sicurezza,
permettendo loro di adottare misure efficaci per garantire la sicurezza e dall‟altro, il diritto
del cittadino a tutelare la propria privacy.
Il provvedimento del Garante privacy, oltre a disciplinare l‟utilizzo dei sistemi di
videosorveglianza in alcune specifiche ipotesi (come ad esempio nei rapporti di lavoro,
negli ospedali e nei luoghi di cura o ancora, negli istituti scolastici o durante il trasporto
pubblico), stabilisce alcuni principi generali ai quali sia i soggetti pubblici sia quelli privati
sono tenuti a conformarsi nell‟uso di tali sistemi. Di seguito le prescrizioni fondamentali:
307
L‟art.134 del Codice Privacy 196/2003 prevede che “il Garante promuove, ai sensi dell'articolo 12, la sottoscrizione di un
codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato con strumenti elettronici di rilevamento di
immagini, prevedendo specifiche modalità di trattamento e forme semplificate di informativa all'interessato per garantire la liceità e la
correttezza anche in riferimento a quanto previsto dall'articolo 11”.
243
- i sistemi di videosorveglianza installati da soggetti pubblici e privati (esercizi commerciali,
banche, aziende ecc.) collegati alle forze di polizia richiedono uno specifico cartello
informativo, sulla base del modello elaborato dal Garante;
- le telecamere istallate a fini di tutela dell‟ordine e della sicurezza pubblica non devono
essere segnalate, ma il Garante auspica l‟utilizzo di cartelli che informino i cittadini
- le immagini registrate possono essere conservate per periodo limitato e fino ad un
massimo di 24 ore, fatte salve speciali esigenze di ulteriore conservazione in relazione a
indagini di polizia e giudiziarie;
- per attività particolarmente rischiose (es. banche) è ammesso un tempo più ampio, che
non può superare comunque la settimana;
- eventuali esigenze di allungamento della conservazione devono essere sottoposte a
verifica preliminare del Garante;
- sicurezza urbana: i Comuni che installano telecamere per fini di sicurezza urbana hanno
l‟obbligo di mettere cartelli che ne segnalino la presenza, salvo che le attività di
videosorveglianza siano riconducibili a tutela della sicurezza pubblica, prevenzione,
accertamento o repressione dei reati. La conservazione dei dati non può superare i 7 giorni,
fatte salve speciali esigenze;
- sistemi integrati: per i sistemi che collegano telecamere tra soggetti diversi, sia pubblici che
privati, o che consentono la fornitura di servizi di videosorveglianza “in remoto” da parte
di società specializzate (es. società di vigilanza, Internet providers) mediante collegamento
telematico ad un unico centro, sono obbligatorie specifiche misure di sicurezza (es. contro
accessi abusivi alle immagini). Per alcuni sistemi è comunque necessaria la verifica
preliminare del Garante;
- sistemi intelligenti: per i sistemi dotati di software che permettono l‟associazione di
immagini a dati biometrici (es. “riconoscimento facciale”) o in grado, ad esempio, di
riprendere e registrare automaticamente comportamenti o eventi anomali e segnalarli (es.
motion detection) è obbligatoria la verifica preliminare del Garante;
- violazioni al codice della strada: obbligatori i cartelli che segnalano sistemi elettronici di
rilevamento delle infrazioni. Le telecamere devono riprendere solo la targa del veicolo (non
quindi conducente, passeggeri, eventuali pedoni). Le fotografie o i video che attestano
l‟infrazione non devono essere inviati al domicilio dell‟intestatario del veicolo;
244
- deposito rifiuti: lecito l‟utilizzo di telecamere per controllare discariche di sostanze
pericolose ed “eco piazzole”, per monitorare modalità del loro uso, tipologia dei rifiuti
scaricati e orario di deposito;
- luoghi di lavoro: le telecamere possono essere installate solo nel rispetto delle norme in
materia di lavoro. Vietato comunque il controllo a distanza dei lavoratori, sia all‟interno
degli edifici, sia in altri luoghi di prestazione del lavoro (es. cantieri, veicoli);
- ospedali e luoghi di cura: no alla diffusione di immagini di persone malate mediante
monitor quando questi sono collocati in locali accessibili al pubblico. E‟ ammesso, nei casi
indispensabili, il monitoraggio da parte del personale sanitario dei pazienti ricoverati in
particolari reparti (es. rianimazione), ma l‟accesso alle immagini deve essere consentito solo
al personale autorizzato e ai familiari dei ricoverati;
- istituti scolastici: ammessa l‟installazione di sistemi di videosorveglianza per la tutela
contro gli atti vandalici, con riprese delimitate alle sole aree interessate e solo negli orari di
chiusura308;
- taxi: le telecamere non devono riprendere in modo stabile la postazione di guida e la loro
presenza deve essere segnalata con appositi contrassegni;
- trasporto pubblico: lecita l‟installazione su mezzi di trasporto pubblico e presso le
fermate, ma rispettando limiti precisi (es. angolo visuale circoscritto, riprese senza l‟uso di
zoom);
- web cam a scopo turistico: la ripresa delle immagini deve avvenire con modalità che non
rendano identificabili le persone;
- tutela delle persone e della proprietà: contro possibili aggressioni, furti, rapine,
danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro ecc., si
possono installare telecamere senza il consenso dei soggetti ripresi, ma sempre sulla base
delle prescrizioni indicate dal Garante.
CITTADINANZA DIGITALE EUROPEA
Il diritto di cittadinanza è affermato tanto dalla democrazia degli antichi quanto
dalla democrazia dei moderni, ma secondo due diverse concezioni dei diritti e della libertà
308
Si veda da ultimo la Guida del Garante “La scuola a prova di privacy”, 7 novembre 2016, p. 27, visionabile all‟URL:
http://194.242.234.211/documents/10160/0/Vademecum+%22La+scuola+a+prova+di+privacy%22+pagina+doppia+(anno+2016).p
df, consultato nel mese di dicembre 2016.
245
del cittadino che sono rispettivamente alla base della dottrina democratica e della dottrina
liberale moderne: come «diritti positivi» e «libertà positiva», nella prima forma, e come
«diritti negativi» e «libertà negativa», nella seconda forma. I diritti positivi o politici tendono
a tutelare la libertà del cittadino di partecipare alla politica (diritto di voto, di associarsi e
organizzarsi, di essere adeguatamente informato); i diritti negativi o civili sono quelli che
proteggono la libertà (di coscienza, di opinione, di stampa, di associazione) del cittadino. La
libertà positiva, intesa come autonomia del cittadino, tende ad allargare la sfera
dell'autodeterminazione collettiva, restringendo quanto più è possibile la sfera del potere
individuale; la libertà negativa, intesa come non-impedimento, tende ad allargare la sfera
dell'autodeterminazione individuale, restringendo quanto più è possibile quella del potere
collettivo. Su queste basi, la dottrina democratica assegna il primato della libertà e dei diritti
positivi al cittadino in quanto membro di una determinata società e la dottrina liberale
assegna il primato della libertà e dei diritti negativi al cittadino in quanto individuo. Si tratta
del vecchio rapporto tra liberalismo e democrazia: da un lato, si trovano i fautori del
liberalismo, come Benjamin Constant, che hanno pensato di poter separare le libertà liberali
da quelle democratiche, ritenendo le prime superiori alle seconde e che potessero attuarsi
indipendentemente; da un altro lato, si trovano i fautori della democrazia, come JeanJacques Rousseau, che hanno invece esaltato le libertà positive, basate sul principio
secondo cui la libertà è intesa come autonomia o capacità di dare leggi a se stessi e come
mezzo per l'affermazione della volontà generale.
Oggi la nozione di «cittadinanza» si è dilatata: non indica soltanto il rapporto tra
una persona ed un territorio, ma definisce ormai le modalità di inclusione del cittadino nel
processo democratico di cui la rete elettronica, con il flusso continuo di informazioni,
costituisce il mezzo che accresce la possibilità di partecipazione dei cittadini. Ciò,
ovviamente, non significa meccanicamente essere considerati «cittadini digitali», ma solo
essere cittadini che si rapportano al digitale, nelle sue varie forme, con una modalità proattiva: «Oggi gli strumenti digitali non si limitano più ad espletare la funzione di terminali.
Essi favoriscono e stimolano le relazioni con un mondo immateriale che sta diventando
sempre più importante da tutti i punti di vista. Essere digitali, dunque, è una
consapevolezza del tutto nuova dove nuovi diritti, ma anche nuovi doveri, si presentano
come opportunità, oserei dire storiche» (3). Si giunge, in tale maniera, ad una concreta
definizione di «cittadino elettronico»: «Il cittadino elettronico deve poter interagire con la
246
pubblica amministrazione come soggetto attivo all‟interno di un meccanismo che si
trasforma da mera gestione burocratica dei servizi pubblici a identità virtuale di un
individuo portatore di diritti e doveri» (4). Il primo dei diritti oggi esistenti in Italia e
attribuibili al «cittadino digitale» è di certo quello esplicitato nell‟art. 3 del Codice
dell‟Amministrazione Digitale – D.Lgs. n. 82/2005. Questa norma attribuisce ai cittadini (e
alle imprese) il diritto a richiedere ed ottenere l'uso delle tecnologie telematiche nelle
comunicazioni con le pubbliche amministrazioni. La certezza del configurarsi di un diritto
soggettivo, e non di un mero principio, deriva dall‟art. 133, comma 1, lett. d) del Codice
del Processo Amministrativo – D.Lgs. n. 104/2010, ove il diritto di cui si discute è fatto
rientrare espressamente tra i casi di giurisdizione esclusiva del Giudice Amministrativo.
MEDIA CIVICI
Il medium civico è lo strumento attraverso il quale possono espletarsi tutte le pratiche di
eParticipation. Non il solo strumento naturalmente. Le pratiche di partecipazione
elettronica del cittadino alla vita democratica, eParticipation appunto, in realtà nascono in
maniera anche del tutto informale usando canali diversi dalle piattaforme civiche, vale a
dire, ad esempio, le piattaforme social, i blog o persino le aree destinate ai commenti dei
lettori sui siti web di informazione e news. Facebook in primis ha dimostrato come un
social media possa essere uno strumento utile per connettere fra di loro persone, utenti
distanti geograficamente, che non si sono mai incontrati tra di loro, ma che condividono
uno stesso interesse o si battono per una stessa causa.
Secondo Henry Jenkins del MIT Center for Civic Media, i Media Civici possono essere
definiti come “ogni uso di ogni media che promuove o amplifica l‟impegno civico”. La
parola “media” deriva dal latino “medium”, un termine che possiede il doppio significato di
"mezzo" (come strumento) e "qualcosa che sta a metà tra due poli" (cioè tra l'emittente di
un messaggio e il destinatario).
I Media Civici hanno dunque come obiettivo la produzione di informazioni, documenti e
attività rilevanti per la comunità a cui fanno riferimento. Storicamente, i Media Civici non
sono legati alle tecnologie digitali, ma possono assumere diverse forme tecnologiche.
247
Il classico esempio a cui si fa riferimento e che concerne l‟esperienza italiana è quello di “Se
non ora quando?”, un movimento spontaneo nato su Facebook nel 2011 e che attraverso
questo social medium è riuscito a connettere milioni di utenti tutti coinvolti nella questione
del rispetto della figura della donna nelle istituzioni.
Ad oggi il Parlamento italiano ha iniziato a interessarsi della tematica309.
OPEN INNOVATION
Secondo la definizione coniata dall'economista e docente del'Università di Berkeley Henry
Chesbrough, “L'open innovation è un paradigma che afferma che le imprese possono e
debbono fare ricorso ad idee esterne, così come a quelle interne, ed accedere con percorsi
interni ed esterni ai mercati se vogliono progredire nelle loro competenze tecnologiche”.
Da allora, anno 2003, l'Open innovation, in antitesi alla closed innovation, si è sempre più
diffusa ed è uscita dall'ambito prettamente aziendale al quale sembrava confinata, per
entrare anche nel mondo accademico e della pubblica amministrazione, tanto da arrivare ad
essere considerata un nuovo modello di gestione della conoscenza che descrive processi di
innovazione caratterizzati dall'apertura verso l‟esterno, facilitati anche e soprattutto
dall'utilizzo delle tecnologie della comunicazione e della informazione.
Tuttavia, l‟Open Innovation non si realizza solo attraverso la rete internet, trovando la sua
espressione più efficace proprio nel caso in cui realizza uno scambio di conoscenze tra
aziende, enti, centri di ricerca e start-up.
Una delle possibili forme di Open Innovation è quindi quella che porta alla costituzione di
reti collaborative prevalentemente non gerarchiche tra partner e attori diversi, basate
essenzialmente sulla valorizzazione delle relazioni, spesso effettuate attraverso, ma non
esclusivamente, strumenti telematici.
Nell'ultimo periodo si è arrivati a parlare di Open innovation 2.0, ossia un nuovo
paradigma basato su una quadrupla elica in cui il governo, industria, mondo accademico ed
i partecipanti civili lavorano insieme per co-creare il futuro e guidare i cambiamenti
strutturali ben oltre la portata di ciò che qualsiasi persona fisica o giuridica potrebbe fare da
solo.
Ci sono 5 elementi chiave del nuovo processo di innovazione aperto310:
309
Si
veda
il
Rapporto
della
Fondazione
AHREF
commissionato
dal
http://www.senato.it/service/PDF/PDFServer/BGT/00739736.pdf, consultato nel mese di dicembre 2014.
248
Senato
italiano:
- Networking;
- Collaborazione: coinvolgere i partner, concorrenti, università e utenti;
- Imprenditorialità societaria: migliorare la corporate venturing, start-up e spin-off;
- Gestione proattiva della proprietà intellettuale: la creazione di nuovi mercati per la
tecnologia;
- Ricerca e sviluppo (R & S): ottenere vantaggi competitivi nel mercato.
Su un diverso piano istituzionale, la regione Lombardia ha dimostrato di essere molto
attenta all'Open Innovation, creando un apposito portale311 e arrivando ad approvare, nel
novembre 2016, la legge “Lombardia è Ricerca e Innovazione”, con la quale intende
valorizzare, in modo sussidiario, un patrimonio che genera 7 miliardi l‟anno di investimenti
pubblici e privati in Ricerca e Innovazione. Nella sola Lombardia, infatti, sono nate 1.369
Start Up Innovative, pari a 1/5 del totale nazionale, e sono stati registrati, nell‟ultimo
decennio, 191.000 brevetti. Un patrimonio di conoscenza che la regione vuole non solo
tutelare ma anche promuovere al fine di realizzare uno sviluppo economico e lavorativo
sempre più strutturato.
DRONI
L‟articolo 743 del Codice della Navigazione, dal titolo “Nozione di aeromobile”, prevede, nella
definizione di aeromobile, i mezzi aerei a pilotaggio remoto:
“Per aeromobile si intende ogni macchina destinata al trasporto per aria di persone o cose. Sono altresì
considerati aeromobili i mezzi aerei a pilotaggio remoto, definiti come tali dalle leggi
speciali, dai regolamenti dell’ENAC [Ente Nazionale per l‟Aviazione Civile] e, per quelli militari,
dai decreti del Ministero della Difesa. Le distinzioni degli aeromobili, secondo le loro caratteristiche tecniche
e secondo il loro impiego, sono stabilite dall'ENAC con propri regolamenti e, comunque, dalla normativa
speciale in materia”.
310
311
https://ec.europa.eu/digital-single-market/en/open-innovation-20, consultato nel mese di novembre 2016.
http://www.openinnovation.regione.lombardia.it/it/home-page, consultato nel mese di novembre 2016.
249
Il Regolamento dell‟ENAC da titolo “Mezzi aerei a pilotaggio remoto” del 16 dicembre
2013, come modificato il 16 luglio 2015 a seguito della Disposizione n. 32/DG312, in
attuazione dell‟art. 743 del Codice della Navigazione distingue, ai fini dell‟applicazione delle
disposizioni del Codice, i mezzi aerei a pilotaggio remoto in:
- Sistemi Aeromobili a Pilotaggio Remoto (SAPR): sono i mezzi aerei a pilotaggio
remoto impiegati o destinati all‟impiego in operazioni specializzate o in attività scientifiche,
sperimentazione e ricerca, e ad essi si applicano le previsioni del Codice della Navigazione
secondo quanto previsto dal Regolamento ENAC 2013 citato;
- Aeromodelli: non sono considerati aeromobili ai fini del loro assoggettamento alle
previsioni del Codice della Navigazione e possono essere utilizzati esclusivamente per
impiego ricreazionale e sportivo; tuttavia, il Regolamento ENAC 2013 contiene specifiche
disposizioni e limitazioni applicabili all‟impiego degli aeromodelli, per l‟uso dello spazio
aereo e a garanzia della sicurezza di cose e persone al suolo e degli altri mezzi aerei.
In conclusione, i SAPR sono ciò che comunemente viene definito “droni” e il loro
utilizzo è assoggettato al Regolamento dell’ENAC da titolo “Mezzi aerei a
pilotaggio remoto” del 16 dicembre 2013, come modificato il 16 luglio 2015, nei
limiti di quanto in esso statuito.
Il Regolamento è entrato in vigore a decorrere dal sessantesimo giorno successivo alla data
di pubblicazione nel sito internet dell'ENAC, avvenuta il 17 luglio 2015.
Al fine di determinare i requisiti da soddisfare per operare e le diverse modalità di accesso
allo spazio aereo, il Regolamento suddivide i SAPR in due categorie di peso:
●
inferiore a 25 kg.: per questi, se utilizzati in operazioni di volo non critiche, è stato
introdotto il concetto di "autocertificazione", quindi la responsabilità è lasciata all'operatore
che valuta la criticità e l'idoneità del sistema; le operazioni critiche, invece, sono autorizzate
dall'ENAC, sulla base di accertamenti, che tengono conto della complessità del sistema e
della criticità degli scenari operativi313;
312
Per una lettura del Regolamento ENAC in tema di “Mezzi aerei a pilotaggio remoto” si rinvia all‟URL:
https://www.enac.gov.it/repository/ContentManagement/information/N122671512/Regolamento_APR_Ed_2_del_16072015.pdf,
consultato nel mese di settembre 2015.
313
Le operazioni di volo non critiche sono tipicamente quelle condotte in uno scenario operativo nel quale, in caso di
malfunzionamenti, non si prevedono ragionevolmente danni a terzi. Il sorvolo di aree congestionate o di infrastrutture industriali
costituiscono, invece, operazioni critiche.
250
●
uguale o maggiore a 25 kg.: per questi è sempre prevista una certificazione del
mezzo aereo e una autorizzazione all'operatore aereo, indipendentemente dalla criticità
delle operazioni di volo; per tali mezzi, infatti, si mantiene la stessa tipologia di
regolamentazione in uso per gli aeromobili tradizionali, certificazioni di aeronavigabilità e
autorizzazione all'impiego.
Particolarmente interessante, sotto il profilo informatico-giuridico, è il contenuto dell‟art.
28 del Regolamento ENAC, dal titolo “Protezione dei dati e privacy”. In base a tale
disposizione “laddove le operazioni svolte attraverso un SAPR possano comportare un
trattamento di dati personali, tale circostanza deve essere menzionata nella documentazione
sottoposta ai fini del rilascio della pertinente autorizzazione. Il trattamento dei dati
personali deve essere effettuato in ogni caso nel rispetto del decreto legislativo 30 giugno
2003, n. 196 e successive modificazioni (Codice in materia di protezione dei dati personali),
con particolare riguardo all‟utilizzo di modalità che permettano di identificare l‟interessato
solo in caso di necessità ai sensi dell‟art. 3 del Codice, nonché delle misure e degli
accorgimenti a garanzia dell‟interessato prescritti dal Garante per la protezione dei dati
personali”.
Altri materiali interessanti sulla materia sono l‟opinione 01/2015 adottata il 16 giugno 2015
dal Working Party art. 29, proprio sulla Privacy e questioni di protezione dei dati personali
in relazione all‟utilizzo di droni314 e la c.d. Dichiarazione di Riga315 sul futuro dell‟aviazione
europea.
Sotto il profilo, invece, dei titoli autorizzatori all‟uso dei droni, sempre in base al
Regolamento ENAC, le scuole di volo e le organizzazioni riconosciute dovranno essere in
grado di rilasciare al pilota sia l'attestato (o licenza per mezzi > 25 Kg.) di competenza
teorica che di quella pratica seguendo un syllabus ENAC che sarà uguale per tutti e più
centrato sui SAPR.
Per favorire le sanzioni in caso di uso illegittimo dei droni, il Ministero dell‟Interno ha
provveduto all‟invio agli organi di Polizia nel 2015 di un preciso Vademecum, riassuntivo di
tutta la normativa sanzionatoria di settore316. Il Vademecum certifica con particolare
314
Reperibile, solo nel testo inglese, al seguente indirizzo internet http://ec.europa.eu/justice/data-protection/article29/documentation/opinion-recommendation/files/2015/wp231_en.pdf, consultato ottobre 2015.
315
Reperibile, solo nel testo inglese, al seguente indirizzo internet http://ec.europa.eu/transport/modes/air/news/doc/201503-06-drones/2015-03-06-riga-declaration-drones.pdf, consultato nell‟ottobre 2015.
316
Il Vademecum è consultabile all‟URL: http://www.assorpas.it/wp-content/uploads/2015/05/Aeromobili-a-PilotaggioRemoto-Vademecum-e-Prontuario-per-le-infrazioni-1.pdf, consultato nel mese di settembre 2015.
251
precisione tutte le fattispecie di reato previste dal Regolamento ENAC: ad es. la mancanza
di copia della polizza assicurativa può costare fino a 15 mila euro di multa, mentre il volo
senza autorizzazione, in caso di operazioni critiche, può portare a un anno di carcere.
COOKIES
I cookies sono stringhe di testo di piccole dimensioni che i siti visitati dall‟utente inviano al
suo terminale (solitamente al browser), dove vengono memorizzati per essere poi
ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della
navigazione sul sito, l‟utente puo ricevere sul suo terminale anche cookies che vengono
inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni
elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini)
presenti sul sito che si sta visitando.
I cookies, solitamente presenti nei browser degli utenti in numero molto elevato e a volte
anche con caratteristiche di ampia persistenza temporale, sono usati per differenti finalità:
esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di
informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc.
In genere, si individuano due macro-categorie: cookies “tecnici” e cookies “di
profilazione”.
I cookies tecnici sono quelli utilizzati al solo fine di “effettuare la trasmissione di una
comunicazione su una rete di comunicazione elettronica, o nella misura strettamente
necessaria al fornitore di un servizio della società dell‟informazione esplicitamente richiesto
dall‟abbonato o dall‟utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice). Essi
non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal
titolare o gestore del sito web. A loro volta, possono essere suddivisi in:
– cookies di navigazione o di sessione, che garantiscono la normale navigazione e fruizione
del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere
ad aree riservate);
– cookies analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del
sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come
questi visitano il sito stesso;
252
– cookies di funzionalità, che permettono all‟utente la navigazione in funzione di una serie
di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l‟acquisto) al fine di
migliorare il servizio reso allo stesso.
Per l‟installazione di tali cookies non è richiesto il preventivo consenso degli utenti, ma
deve essere resa l'informativa estesa.
I cookies di profilazione, invece, sono volti a creare profili relativi all‟utente e vengono
utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo
stesso nell‟ambito della navigazione in rete. In ragione della particolare invasività che tali
dispositivi possono avere nell‟ambito della sfera privata degli utenti, la normativa europea e
italiana prevede che l‟utente debba essere adeguatamente informato sull‟uso degli stessi ed
esprimere cosi il proprio valido consenso.
L'impianto normativo si fonda sulla c.d. Direttiva europea e-privacy, la 58/2002, modificata
dalla direttiva 136/2009, attuate in Italia con la modifica all'art. 122 del codice privacy317.
Sulla base di ciò, è stato emanato il provvedimento dell'8 maggio 2014318 del Garante
Privacy (ed entrato in vigore il 2 giugno 2015), con il quale sono state dettate ulteriori
disposizioni applicative.
A tale provvedimento ha fatto seguito tutta una serie di interventi e di dibattiti in rete e
non, che hanno portato il Garante a fornire ulteriori chiarimenti sul provvedimento319.
CROWDFUNDING
Il termine crowdfunding deriva dall'unione di due parole crowd o “folla” e funding, e sta ad
indicare il processo con cui più persone elargiscono denaro, anche con somme di piccolo
importo, per supportare un progetto imprenditoriale o iniziative di diverso genere
utilizzando siti internet (“piattaforme” o “portali”) e ricevendo talvolta in cambio una
ricompensa.
317
318
319
Attraverso il d. l.vo 69/2012.
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878
253
Si definisce “equity-based crowdfunding” l‟investimento on-line con il quale si acquista un
vero e proprio titolo di partecipazione in una società: ossia un complesso di diritti
patrimoniali e amministrativi che derivano dalla partecipazione nell‟impresa.
È possibile distinguere altri modelli di crowdfunding a seconda del tipo di rapporto che si
instaura tra il soggetto che finanzia e quello che ha richiesto il finanziamento.
Vi sono anzitutto piattaforme in cui è possibile fare donazioni per sostenere una
determinata causa o iniziativa senza ricevere nulla in cambio (è il c.d. modello "donation
based"): ad esempio, si sostiene la campagna elettorale di un candidato con lo scopo di
favorirne l‟elezione.
È poi possibile partecipare al finanziamento di un progetto ricevendo in cambio un premio
o una specifica ricompensa non in denaro (è il c.d. modello "reward based"): ad esempio, si
finanzia uno spettacolo teatrale e in cambio si ottiene il biglietto per assistere alla sua
rappresentazione. Questo è il modello di crowdfunding ad oggi più diffuso.
Con il crowdfunding inoltre è possibile realizzare prestiti tra privati, ricompensati con il
pagamento di interessi ed effettuati per il tramite di piattaforme on-line (c.d. modello di
"social lending" o "peer to peer lending").
Quelli ora descritti peraltro sono modelli esemplificativi e non esauriscono l‟insieme delle
forme di crowdfunding esistenti a livello globale (si sta ad esempio diffondendo il nuovo
modello "royalty based" nel quale si finanzia una determinata iniziativa ricevendo in cambio
una parte dei profitti).
Nella maggior parte dei Paesi in cui operano portali di crowdfunding il fenomeno non è
soggetto a regolamentazione ed è fatto pertanto rientrare nell‟ambito di applicazione di
discipline già esistenti (appello al pubblico risparmio, servizi di pagamento, etc.).
L‟Italia è invece il primo Paese in Europa ad essersi dotato di una normativa specifica e
organica relativa al solo equity crowdfunding.
Alcune norme sono state introdotte dal decreto legge n. 179/2012 (convertito nella legge
17 dicembre 2012, n. 221) recante “Ulteriori misure urgenti per la crescita del Paese” (noto
anche come “Decreto crescita bis”). L‟equity crowdfunding è visto come uno strumento
che può favorire lo sviluppo delle start-up innovative attraverso regole e modalità di
finanziamento in grado di sfruttare le potenzialità di internet.
254
La normativa ha conferito alla Consob (Commissione Nazionale per le Società e la Borsa) il
compito di disciplinare alcuni specifici aspetti del fenomeno. La Consob ha adottato il
nuovo regolamento il 26 giugno 2013, con Delibera n. 18592320.
Per ulteriori informazioni al riguardo, si rimanda proprio al sito della Consob321.
APP
Le App, abbreviazione di Application, sono dei software sviluppati appositamente per
funzionare su dispositivi mobili, come ad esempio smartphone e tablet, che sono diventati
ormai parte integrante e quasi insostituibile della nostra vita.
Le APP consentono di svolgere moltissime attività: conoscere gli orari dei mezzi di
trasporto, verificare disponibilità di alberghi, chattare con gli amici, utilizzare servizi
bancari, consultare la nostra agenda, tenere sotto controllo il nostro stato di salute,
conoscere la nostra posizione geografica, consultare mappe ma anche tanto altro ancora,
visto che ormai ne esistono milioni per ogni esigenza.
Le App vengono normalmente distribuite sugli store dei grandi player che producono
sistemi operativi come iOs, Android, Blackberry e Windows, ma sono disponibili anche su
altri canali di distribuzione (in genere i produttori di smartphone) o direttamente dagli
sviluppatori, ossia coloro che le progettano e le realizzano.
Per quanto riguarda la loro qualificazione giuridica esse, come abbiamo detto, sono dei veri
e propri software, e quindi godono della relativa tutela da parte dell'ordinamento giuridico;
inoltre le App rientrano nella definizione di “servizi della società dell‟informazione” ovvero
qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e
a richiesta individuale di un destinatario di servizi (come previsto dalla Direttiva UE
2000/31/CE, recepita in Italia dal D.l.vo 70/2003).
Le App vengono distinte in App native, ossia direttamente sviluppare per funzionare su
dispositivi mobili (normalmente funzionano solo per il S.O. per il quale sono state
sviluppate) e web App che, invece, nascono come applicazioni fruibili su un sito internet e
che poi, in genere grazie alla funzionalità c.d. responsive, vengono adattate all'uso che se ne
320
321
http://www.consob.it/main/documenti/bollettino2013/d18592.htm
http://www.consob.it/main/trasversale/risparmiatori/investor/crowdfunding/index.html#c2
255
può fare attraverso un dispositivo dallo schermo con dimensioni ridotte e che possono
funzionare anche su dispositivi con diversi S.O.
Esiste poi un'altra categoria di App, c.d. Ibride che coniugano le caratteristiche delle altre
due; infatti, una App ibrida è tipicamente una App nativa che ha comunque una parte web
e che si adatta facilmente alle diverse piattaforme e diversi dispositivi mobili.
Le App, in base al loro funzionamento, hanno la possibilità di accedere ad alcune
funzionalità dei nostri dispositivi mobili e ciò attraverso le A.P.I., ossia le Application
Programming Interface.
Questa caratteristica peculiare pone problemi di privacy e trattamento di dati personali che
spesso vengono sottovalutati o addirittura del tutto ignorati. Invece, costituiscono uno dei
veri nodi giuridici sottesi al funzionamento stesso delle App e molto recentemente sono
state oggetto di un'apposita indagine da parte del Garante Privacy, specie quelle App che
coinvolgono i minorenni322.
DOMINIO.GOV
La procedura che le pubbliche amministrazioni devono seguire per la registrazione del
dominio consiste nella compilazione di tre moduli:
1. La lettera di richiesta di registrazione e di assunzione di responsabilità (LAR)
2. Il modulo di richiesta di registrazione
3.
Questionario
B.1
(http://www.digitpa.gov.it/sites/default/files/allegati_tec/
dicembre_2011_guida_rapida_gestione_dominio_gov_it.pdf).
La procedura di registrazione può essere effettuata online, compilando l‟apposito form
all‟indirizzo http://domini.digitpa.gov.it/request/new-domain e inviando a DigitPA (entro
30 giorni dalla compilazione della domanda) la LAR e il questionario B1 appositamente
compilati.
322
Al riguardo si vedano i risultati del c.d. Sweep day 2015, effettuato in collaborazione con altri 28 Autorità appartennti al
GPEN
(Global
Privacy
Enforcement
Network),
consultando
l‟indirizzo
intenert
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4231738, ultima consultazione effettuata ottobre
2015.
256
Affinché la registrazione vada a buon fine, è necessario che l‟Amministrazione disponga del
codice presente nell‟Indice delle Pubbliche Amministrazioni (codice IPA), reperibile a
questo indirizzo: http://www.indicepa.gov.it/documentale/ricerca.php.
Qualora l‟Amministrazione non sia ancora accreditata presso l‟Indice delle Pubbliche
Amministrazioni,
potrà
farlo
all‟indirizzo
http://www.indicepa.gov.it/documentale/amministrazioni.php.
Comunicazioni tra Pubbliche Amministrazioni
Affrontando primariamente il caso delle comunicazioni elettroniche tra Amministrazioni,
l‟art. 47 del D.Lgs. n. 82/2005 dispone che le stesse debbano avvenire in modalità
esclusivamente telematica a partire dal 1 gennaio 2013.
In particolare, l‟art. 47 dispone che: “le comunicazioni di documenti tra le pubbliche
amministrazioni avvengono mediante l'utilizzo della posta elettronica o in cooperazione
applicativa. Esse sono valide ai fini del procedimento amministrativo una volta che ne sia
verificata la provenienza”.
Citando solo il concetto di “posta elettronica” il Codice dell‟Amministrazione Digitale
prevede, dunque, che lo strumento ordinario per la trasmissione di atti e documenti tra
Amministrazioni debba essere la PEO (Posta Elettronica Ordinaria). E‟ sempre
possibile, poi, utilizzare al posto della PEO la PEC (Posta Elettronica Ceritifcata).
Al di là del possibile utilizzo da parte delle Amministrazioni, in definitiva, di qualsiasi forma
oggi esistente di posta elettronica, le Amministrazioni devono comunque procedere
sempre alla verifica della provenienza di tale posta, al fine di una sua validità. In
base all'art. 47 CAD, tali comunicazione sono valide e da intendersi verificate nella
provenienza se:
a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata;
b) ovvero sono dotate di segnatura di protocollo (ex art. 55 DPR 445/2000);
c) ovvero se è comunque possibile accertarne la provenienza in base alla normativa vigente
e relative regole tecniche
d) ovvero se trasmesse attraverso sistemi di posta elettronica certificata.
257
Il comma 1-bis dell‟art. 47 specifica poi che l‟eventuale mancata verifica della provenienza
della posta elettronica comporta responsabilità dirigenziale e disciplinare, fermo restando
sempre quella eventuale per danno erariale.
È sempre vietata in base alla norma in esame la comunicazione via fax tra Amministrazioni.
Abbandonando il caso delle comunicazioni elettroniche tra Amministrazioni e analizzando
invece quelle tra Amministrazioni e privati, occorre dire, innanzitutto, che le comunicazioni
dei privati ricevute dall‟Amministrazione non devono essere stampate per essere
protocollate ma devono essere gestite direttamente nella versione digitale attraverso singole
registrazioni generate dal sistema di protocollo informatico, così come disposto dal DPCM
3 dicembre 2013.
In base al Codice dell‟Amministrazione Digitale le Amministrazioni sono tenute a
comunicare in via telematica con il privato laddove a conoscenza di un recapito elettronico
(ad es. PEC del destinatario).
L‟ordinamento giuridico configura quello alle comunicazioni telematiche come un vero e
proprio diritto dell‟utente (artt. 3, 3-bis e 6 CAD) e prevede che lo stesso possa eleggere un
domicilio telematico cui le Amministrazioni hanno l‟obbligo di scrivere.
L‟art. 3-bis comma espone che “ogni altra forma di comunicazione non può produrre
effetti pregiudizievoli per il destinatario. L'utilizzo di differenti modalità di comunicazione
rientra tra i parametri di valutazione della performance dirigenziale ai sensi dell'articolo 11,
comma 9, del decreto
legislativo
27 ottobre 2009, n. 150”. In altre parole,
l‟Amministrazione può anche individuare forme alternative di comunicazione con il
privato, ma ciò non deve in alcun modo avere effetti negativi su quest‟ultimo e, in ogni,
caso, il tutto è valutabile ai fini delle performance dirigenziale.
Marca temporale
Il Codice dell‟Amministrazione Digitale definisce e disciplina la validazione temporale
come il risultato della procedura informatica con cui si attribuiscono, ad uno o più
documenti informatici, una data ed un orario opponibili ai terzi. Nello specifico, la marca
temporale …………………
Va rilevato, però, che le relative disposizioni non sono dettate con esclusivo riferimento
all‟attività amministrativa ma anche ai rapporti tra privati. In particolare si ritiene che
l‟utilizzo della marca temporale in ambito amministrativo sia necessaria soltanto ai fini della
258
conservazione sostitutiva come previsto dal DPCM 3 dicembre 2013. In tutti gli altri casi,
non essendovi regole tecniche che la rendano obbligatoria, la marca temporale non si deve
ritenere necessaria nell‟attività amministrativa.
Infatti, la funzione della marca temporale è quella di dare certezza alla data della
sottoscrizione elettronica; tuttavia, nel caso di atti provenienti da pubblico ufficiale, si fa
presente che quanto in essi attestato (ivi compresa la data della sottoscrizione) fa piena
prova fino a querela di falso, anche senza necessità di marca temporale.
Albo pretorio
La pubblicità degli atti delle Pubbliche Amministrazioni è volta a garantire la conoscenza
legale nei confronti della generalità dei cittadini, in virtù dei principi di imparzialità e buon
andamento della Pubblica Amministrazione (art. 97, comma 1, Cost.) nonché del principio
di trasparenza fissato dalla L. 241/1990.
Con l‟entrata in vigore dell‟art. 32 della Legge 18 giugno 2009, n. 69 (“Disposizioni per lo
sviluppo economico, la semplificazione, la competitività nonché in materia di processo
civile”) che reca disposizioni finalizzate all'eliminazione degli sprechi relativi al
mantenimento di documenti in forma cartacea, a partire dal 1° gennaio 2011 le
pubblicazioni effettuate su carta non hanno più valore legale. In conseguenza di ciò, tutte le
amministrazioni pubbliche statali e non statali sono state obbligate a pubblicare sul proprio
sito informatico, anche mediante l‟utilizzo di siti informatici di altre amministrazioni ed enti
pubblici obbligati, gli atti e i provvedimenti amministrativi che necessitano di pubblicità
legale. In particolare per quanto riguarda i bandi di gara (procedure a evidenza pubblica) e i
bilanci, il passaggio completo al digitale è stato invece effettuato al 1° gennaio 2013.
Aspetto importante è quello connesso alla tipologia di firma da apporre agli atti in
pubblicazione. gli atti pubblicati sull‟Albo Pretorio online devono essere sottoscritti
mediante firma digitale. Nonostante non ci siano esplicite disposizioni normative che
prevedano tale adempimento, sia il Vademecum di DigitPA “Modalità di pubblicazione dei
documenti nell‟Albo online” del 2011 che le “Linee guida per il trattamento di dati
personali effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web”
del 2 marzo 2011 redatte dal Garante per la protezione dei dai personali, contemplano che
gli atti debbano essere sottoscritti digitalmente. Infatti, la sottoscrizione del documento
259
pubblicato sul sito web con firma digitale o altro accorgimento equivalente, consente di
garantirne l‟autenticità e l‟integrità.
Un secondo aspetto di riflessione, dopo la tipologia di firma elettronica da apporre, è quello
in tema di obbligo di pubblicazione, o meno, degli allegati all‟atto.
La mancata pubblicazione degli allegati lederebbe il diritto dei cittadini ad avere una piena
contezza del provvedimento, venendo estromessi dalla facoltà di avanzare eventuali
opposizioni. Pertanto, nonostante l‟assenza di specifici obblighi imposti dalla normativa
vigente, sarà sempre necessario procedere alla pubblicazione degli allegati ai documenti
amministrativi.
Soltanto in casi eccezionali, laddove espressamente previsto dalle norme o quando sia
necessario al fine di assicurare il rispetto della normativa sulla protezione dei dati personali
(D.Lgs. n. 196/2003), gli allegati potranno non essere pubblicati.
Infine, con riferimento alla pubblicità legale on line, è di fondamentale importanza
contemperare la funzione di pubblicità legale svolta dalla pubblicazione all‟albo online, con
la necessità di tutelare la riservatezza dei soggetti una volta che il termine per l‟affissione sia
scaduto.
A tal proposito sono essenziali le “Linee guida in materia di trattamento di dati personali,
contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e
trasparenza sul web da soggetti pubblici e da altri enti obbligati” del 15 maggio 2014,
redatte dal Garante Privacy. In base ad esse, il rispetto dei principi di esattezza, necessità,
pertinenza e non eccedenza, permanenza on line limitata nel tempo dei dati personali, vale
anche per la pubblicazione di atti per finalità diverse dalla trasparenza, come nel caso
dell‟Albo pretorio online. Al fine di ridurre i rischi di decontestualizzazione del dato
personale e la riorganizzazione delle informazioni secondo parametri non conosciuti
dall'utente, è inoltre necessario prevedere l'inserimento all'interno del documento di “dati di
contesto” (ad es. data di aggiornamento, periodo di validità, amministrazione, numero di
protocollo) ed evitare l'indicizzazione tramite motori di ricerca generalisti, privilegiando
funzionalità di ricerca interne ai siti web delle Amministrazioni.
eVoting
260
Il voto rappresenta il momento supremo in una società democratica, poiché mediante la
sua espressione si sancisce il trasferimento della sovranità dal popolo a coloro che da esso
saranno designati come suoi rappresentanti. È facilmente comprensibile, dunque, che tale
processo necessiti di garanzie e attenzioni, stante la sua rilevanza.
Nel momento in cui l‟esigenza democratica di voto si coniuga con le nuove tecnologie si
giunge al concetto di eVoting, ovvero di voto elettronico.
A livello europeo, il primo importante intervento di settore volto a sancire dei principi
standard sul piano internazionale è dato dal “Rapporto sulla compatibilità del voto a
distanza e del voto elettronico con gli standard del Consiglio d‟Europa”, approvato dalla
Commissione di Venezia, su mandato del Consiglio d‟Europa, in data 12-13 marzo 2004.
Tali principi sono poi confluiti nelle Linee Guida sul voto elettronico del Consiglio
d‟Europa nel 2004 [“Legal, Operational and Technical Standards for E-Voting.
Recommendation Rec (2004) 11 and Explanatory Memorandum”]. In base a tale
documento, l‟eVoting è compatibile con i principi democratici a condizione che le procedure
rispettino alcune misure. Qualsiasi tipo di elezione democratica, indipendentemente dalle
modalità di voto prescelte, deve garantire il rispetto dei diritti civili e politici, in particolare
la libertà di espressione, e a tal fine deve: prevenire la manipolazione dei dati; proteggere
l‟anonimato dell‟elettore, garantire il sistema di corretto conteggio dei dati.
A Strasburgo nel novembre del 2010, nell‟ambito della terza riunione finalizzata all‟analisi
degli sviluppi nel campo del voto elettronico successivi al 2004, il Consiglio d‟Europa
approva il Manuale “E-voting Handbook, key steps in the implementation of e-enabled
elections”, scritto
per i Governi e le organizzazioni che intendono avviare progetti pilota di voto elettronico e
introdurre tali innovazioni nei rispettivi sistemi elettorali. Il Manuale esamina delle
questioni importanti, come la costruzione e la salvaguardia della fiducia nel sistema e il
valore del software open-source. Il Manuale, dopo aver individuato i diversi strumenti
elettronici che possono essere utilizzati con finalità di voto (“Different types of electronic
tool”), procede affrontando quattro macro-aree: i punti essenziali di riflessione per chi
voglia dare vita a politiche di voto elettronico (“Points to consider before introducing
evoting”), le varie attività preparatorie (“Pre-electoral period”), le operazioni della fase
elettorale (“Electoral period”) e le strategie ad essa successive (“Post-electoral period”).
261
Successivamente al Manuale, il Consiglio d‟Europa – Direttorato generale sulla democrazia
e gli affari politici, ha predisposto il 16 febbraio 2011 il documento “Certification of evoting systems. Guidelines for developing processes that confirm compliance with
prescribed requirements and standards” e le “Guidelines on transparency of e-enabled
elections” (versione finale)38. Tale ultimo documento rappresenta uno strumento pratico
per facilitare l‟attuazione delle citate Linee Guida sul voto elettronico del Consiglio
d‟Europa del 2004, in particolare le raccomandazioni nn. 20-23 in esse contenute, che
invitano gli Stati membri a garantire la trasparenza del loro sistema di voto favorendo in tal
modo gli elettori e la fiducia nel sistema. Le raccomandazioni propongono requisiti minimi
per la trasparenza delle elezioni politiche e referendum, effettate in modalità elettronica a
tutti i livelli di governo. Non intendono prescrivere un particolare sistema o imporre
specifici processi in un Paese, ma offrono strumenti oggettivi e forniscono agli Stati una
guida utile a ottimizzare la trasparenza, contribuendo così a migliorare i processi in corso e
ad avviarne altri di scambio di best practise. In base alle Linee Guida sul voto elettronico
del Consiglio d‟Europa del 2004, Rec (2004) 1144, per “eVoting” occorre intendere: “Il
ricorso a mezzi elettronici, almeno al momento dell‟operazione di voto propriamente detta,
nell‟ambito di un‟elezione o di un referendum”. Per “remote eVoting”, anche detto “voto a
distanza”, invece: “Il voto elettronico in cui l‟operazione di voto propriamente detta è
realizzata tramite un dispositivo non controllato da un funzionario elettorale”45.
Dal contenuto delle Linee Guida emerge una certezza, importante nel districarsi nelle
molteplici forme di voto elettronico: ogni sistema informatico e telematico di voto rientra
nell‟eVoting, con previsione poi di un sotto-insieme rappresentato dal “remote eVoting”.
Da ciò consegue che, in linea generale, ogni tipologia di voto elettronico che nel prosieguo
esamineremo, rientra sempre nella definizione di “eVoting”, poi specificandosi
ulteriormente in base a una serie di elementi distintivi. Le classificazioni essenziali tra le
varie forme di voto elettronico non possono, dunque, che partire da queste prime due
definizioni. Chiarita la distinzione di fondo tra i due insiemi (il macro-insieme “eVoting” e
il sotto-insieme “remote eVoting”), si rende ora necessario approfondire le varie ulteriori
declinazioni possibili dell‟eVoting. Occorre subito precisare che quando si parla delle nuove
frontiere della democrazia elettronica, e nello specifico dell‟eVoting, si tende a confondere
quattro diversi livelli, caratterizzati dall‟utilizzo di sistemi di registrazione/invio del voto
differenti:
262
a) il “voto elettronico semplice”, vale a dire quello espresso tramite un computer che, però,
viene installato in un seggio e non è connesso alla Rete Internet (anche detto voto “in
loco”);
b) il “voto online” vero e proprio, che si esprime usando la Rete Internet (Internet Voting
– iVoting), a prescindere dal luogo da cui ci si collega;
c) il “voto tramite dispositivi mobili” (mobile Voting – mVoting), ovvero la frontiera più
avanzata del voto elettronico, in quanto è possibile utilizzare il telefono cellulare;
d) il “voto tramite il telecomando” di una televisione interattiva o digitale.
L‟iVoting, l‟mVoting e il voto tramite televisione rappresentano tendenzialmente forme di
voto “non presidiato”, poiché la preferenza è espressa a distanza in assenza di un pubblico
ufficiale/funzionario elettorale. Ma questa non è una regola assoluta. Si consideri, ad
esempio, la possibilità che l‟iVoting sia utilizzato in un seggio presidiato: il votante,
pertanto, esercita il suo diritto tramite terminale alla presenza del funzionario pubblico e il
voto viaggia immediatamente in Rete per essere registrato su un server in remoto.
Normalmente l‟iVoting viene anche definito “home voting”, in quanto associato alla
possibilità di esercitare il diritto di voto anche dalla propria dimora: ma una tale definizione,
sebbene ricorrente, a parere di chi scrive è fuorviante, in quanto anche l‟mVoting e il voto
tramite televisione potrebbero essere definiti, a ragione, modalità di “home voting”.
Nelle varie esperienze internazionali, il voto elettronico semplice rappresenta il modello
prevalente. In tale modello il concetto di eVoting si sostanzia nella sostituzione di una
tecnologia con un‟altra nel medesimo procedimento. In altre parole, quanto in precedenza
veniva espresso con la matita e la carta, ora può essere espresso con il dito di una mano e
con un touch screen o con un “Direct recording electronic system” (Sistema elettronico di
registrazione diretta - DRE).
eJustice
La digitalizzazione della giustizia si presenta come una delle misure di maggiore rilevanza
dell'Agenda Digitale Europea, i cui criteri direttivi sono stati recepiti nel nostro paese dal
Decreto-legge 18 ottobre 2012, n. 179 convertito dalla legge 17 dicembre 2012, n. 221. La
finalità è quella di potere contare su di uno strumento normativo che possa costituire un
efficace volano per la crescita economica ed occupazionale. Il processo telematico nasce
263
proprio dall‟esigenza di combinare le nuove tecnologie dell‟informazione e della
comunicazione con l‟organizzazione giudiziaria e la norma processuale. In ambito civile si
fonda su due importanti provvedimenti: il D.M. n. 44 del 22 febbraio 2011 che detta le
nuove regole tecniche del processo telematico ed il provvedimento della Direzione generale
per i sistemi informativi automatizzati datato 16 aprile 2014 che disciplina le specifiche
tecniche per l'adozione nel processo Civile e nel processo penale delle tecnologie
dell'informazione e della comunicazione previste dall‟art. 34 del citato decreto (sostituendo
il precedente del 18 luglio 2011). Il settore della giustizia sta vivendo a fatica questa
profonda fase di trasformazione e, se in ambito civile il percorso di attuazione appare
facilitato grazie anche ai numerosissimi interventi formativi e chiarificatori degli ultimi
tempi, negli altri settori la situazione si presenta ancora allo stadio embrionale. Con
riguardo all‟ambito penale, ad esempio, non si registra, allo stato attuale, l‟attuazione di un
vero e proprio processo penale telematico; sono attivi alcuni servizi telematici,
riconosciuti sotto il profilo legale dal Ministero della Giustizia, che consentono al penalista
di svolgere adempimenti senza doversi recare personalmente nell‟ufficio giudiziario. Con il
D.P.C.M. del 16 Febbraio 2016 n. 40, invece, sono state introdotte le regole e le specifiche
tecniche per l‟attuazione del processo amministrativo telematico. L‟entrata in vigore del
D.P.C.M. è avvenuta il 5 Aprile 2016 ma, lo stesso articolo 21 al primo comma aveva
stabilito che la maggior parte delle disposizioni in esso contenute dovevano essere applicate
dal 1 Luglio 2016. Successivamente il Decreto Legge n. 117 del 30 giugno ha fatto slittare
tutto al 1 gennaio 2017.
Il processo tributario telematico, infine, è divenuto operativo dopo la pubblicazione in
Gazzetta ufficiale del 10 agosto 2015 del decreto del Direttore Generale delle Finanze, 4
agosto 2015, contenente le regole tecniche per l‟avvio323.
eHealth
E‟ sorta, prima in ambito europeo e negli ultimi anni anche in Italia, l‟esigenza di una
definizione di politiche e normative nel settore “eHealth”, intendendosi con tale termine “la
323
M.Iaselli, Giustizia Digitale, a che punto sono i quattro processi telematici 26 settembre 2016, disponibile al seguente URL:
http://www.forumpa.it/pa-digitale/giustizia-a-che-punto-sono-i-quattro-processi-telematici consultato nel mese di ottobre 2016. In
materia anche M. Mancarella, eJustice amministrativa in Europa, Tangram Edizioni Scientifiche, Trento, 2010.
264
condivisione della comunicazione di dati e informazioni sanitarie, in particolare di dati
personali, attraverso le Reti di generazione Internet, ovvero ad «alta comunicazione», in
ambito aziendale, sistemico e ambientale (con e tra i cittadini)”324. La definizione riportata,
che comprenderemo meglio nel corso del lavoro, a parere di chi scrive è quella che meglio
è in grado di descrivere, oggi e in futuro, l‟eHealth, poiché più attenta rispetto ad altre al
ruolo essenziale che oramai occorre riconoscere ad Internet ai fini sanitari, sulla scia di
alcune vincenti sperimentazioni regionali di settore. Una Sanità senza la Rete non è più
pensabile, motivo per il quale le locuzioni “Sanità elettronica” e “Sanità digitale” perdono
oramai la loro portata valoriale poiché affermatesi in un periodo informatico pre-Internet e,
come tali, non in grado di rappresentare l‟evoluzione telematica in Sanità325.
L‟eHealth così inteso è un processo destinato a non rimanere limitato in precisi ambiti
territoriali.
Ad esempio, Europa e U.S.A. stanno oramai procedendo, congiunte, lungo la progressiva
attuazione di piani comuni di eHealth e programmi di scambio di conoscenza, come sancito
con il “Memorandum di intesa” sottoscritto il 17 dicembre 2010 tra la Commissione Europea
e il Dipartimento per i servizi sanitari e alla persona degli U.S.A., dal titolo “Cooperation
surrounding health related information and communication technologies”326.
Il Legislatore italiano, invece, continua ad oscillare tra due estremi: appare consapevole
della necessità di realizzare su scala nazionale l‟innovazione tecnologica essenziale nel
settore eHealth (ovvero il Fascicolo Sanitario Elettronico - F.S.E. entro il 2015, in base al
comma 15-quinquies, art. 12, del D.L. n. 179/2012, convertito nella Legge n. 221/2012, e
introdotto dal D.L. n. 69/2013, convertito nella Legge n. 98/2013), ma nel contempo
continua a costruire un impianto normativo definito, anacronisticamente, di “Sanità
digitale” (si veda la Sezione IV, artt. 12-13-bis, del citato D.L. n. 179/2012, intitolata “Sanità
digitale”), quindi, speriamo solo terminologicamente, lontano dall‟eHealth.
Al di là delle inesattezze terminologiche, comunque il Legislatore italiano si è dimostrato
negli ultimi anni ben consapevole di un dato essenziale: non si possono realizzare adeguate
politiche di eHealth se non si perfeziona il processo di innovazione del settore pubblico,
324
M. Moruzzi, Il Fascicolo Sanitario Elettronico in Italia. La sanità ad alta comunicazione, Milano, Il sole 24 Ore, 2011, nota 2, p. 1.
325
Ibidem.
326
Il
documento
è
reperibile
all‟U.R.L.:
http://www.google.it/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=3&ved=0CEMQFjAC&url=http%3A%2F%2Fec.europa
.eu%2Finformation_society%2Fnewsroom%2Fcf%2Fdae%2Fdocument.cfm%3Fdoc_id%3D1784&ei=0oNWUsKGLoblswawwoH4Ag
&usg=AFQjCNExFoAlb_Hk-OqwMAbDeYpIQ8V0-Q&bvm=bv.53899372,d.Yms, consultato nel mese di giugno 2013.
265
quindi non si raggiungono adeguati livelli di eGovernment (inteso come l‟uso delle tecnologie
informatiche negli apparati pubblici327, quindi come “Amministrazione digitale”) e non si
giunge ad un‟effettiva attuazione di quanto disposto dal Codice dell‟Amministrazione
Digitale (D.Lgs. n. 82/2005), un testo normativo, unico nel suo genere anche sul piano
internazionale, rimasto però “inascoltato” per molti anni.
Sulla base di tali convinzioni, il Ministero per la Pubblica Amministrazione e l‟Innovazione
ha predisposto nel 2008 il “Piano eGovernment 2012”, volto a tracciare le linee di sviluppo
del settore. Nel Piano è dedicato alla “Salute” l‟Obiettivo n. 4. In esso viene indicata la road
map per la realizzazione, entro il 2012, di strumenti essenziali di eHealth, tra i quali il F.S.E.,
la digitalizzazione del ciclo prescrittivo e dell‟attività dei Centri Unici di Prenotazione
(C.U.P), l‟immissione in Rete dei medici di base, la creazione di piattaforme per la didattica
a distanza destinate ai piccoli pazienti lungodegenti e, forse progetto più importante,
l‟innovazione digitale dell‟organizzazione interna delle aziende sanitarie.
A livello comunitario fa eco il “Piano d‟azione europeo per l‟eGovernment 2011-2015”, di cui
alla Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato
Economico e Sociale Europeo e al Comitato delle Regioni, del 15 dicembre 2010328. Il
Piano è rivolto al miglioramento dei servizi pubblici erogati a mezzo di strumenti digitali,
anche nel settore sanitario, a conferma di come l‟eGovernment debba essere oggi considerato
un profilo essenziale dell‟eHealth.
In base a tali Piani, i flussi comunicativi dell‟eGovernment diventano basilari nell‟interazione
“nel” e “con” il sistema di assistenza sanitaria329.
Lo Stato, in definitiva, con l‟avvento dell‟eGovernment, tende a divenire uno “Stato virtuale”
(Virtual State), ovvero un governo organizzato in modo crescente in termini di agenzie
virtuali e network pubblico-privati, la cui struttura e capacità dipendono da Internet330 e nel
327
Cfr. G. Sartor, Corso d’Informatica giuridica. Volume I: L’informatica giuridica e le tecnologie dell’informazione, Torino, Giappichelli,
2008, p. 19.
Volendo fornire una definizione più estesa di “eGovernment”, con tale termine si può intendere “l‟ottimizzazione continua
nell‟erogazione dei servizi, nella partecipazione dei cittadini, nella governance, attraverso la trasformazione delle relazioni interne ed esterne
per mezzo delle tecnologie, di Internet e dei nuovi mezzi di comunicazione di massa, combinati con i cambiamenti organizzativi e le nuove
professionalità richieste per migliorare i servizi pubblici e i processi democratici, il tutto finalizzato a supportare le politiche pubbliche”
(A. Romano, L. Marasso, M. Marinazzo, Italia chiama eGovernment, Milano, Guerini e Associati, 2008, p. 26).
328
Il
Piano
d‟azione
è
disponibile
all‟U.R.L.:
http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0743:FIN:IT:PDF, consultato nel mese di giugno 2013.
329
Cfr. M. Moruzzi, e-Care, sanità, cittadini e tecnologia al tempo della comunicazione elettronica, Milano, Franco Angeli, 2003, pp. 76-77.
330
Cfr. J. Fountain, Building the Virtual State: Information Technology and Institutional Change, Harward, Brookings Institution, 2001.
266
quale i confini delle Amministrazioni perdono gran parte del loro tradizionale carattere
territoriale, generando il fenomeno della “virtualizzazione delle comunità di riferimento”331.
Ma a tale virtualizzazione delle comunità di riferimento non fa eco un‟adeguata capacità,
soprattutto dei sistemi sanitari, a gestire il rapporto comunicativo tra Sanità organizzata e
ambiente nel quale opera, costituito da cittadini-utenti. La formazione e il mantenimento di
un sistema sociale organizzato, come quello sanitario, avviene attraverso un processo di
“riduzione di complessità dell‟ambiente mondo”, di per sé caotico, generando chiusure
operative che innalzano confini, sbarramenti a tutela del sistema stesso. L‟autotutela, o
meglio autoreferenzialità, del sistema sanitario lo protegge, ma al contempo genera barriere
comunicative a danno dei cittadini-utenti, associate a disfunzioni burocratiche.
L‟organizzazione sanitaria, da una parte, e i cittadini, dall‟altra, vivono con tempi tra loro
molto diversi e tendono a parlarsi con “linguaggi cifrati”, con “rumori di sottofondo” 332.
La soluzione diviene una nuova forma di Sanità (intesa sia come sistema organizzato che
come insieme dei servizi di assistenza sanitaria erogati), nella quale deve affermarsi un
nuovo mondo culturale: la pHealth (personal Health), nella quale i ruoli tra cittadino e medico
si invertono. Il cittadino diventa un pò medico di sé stesso e degli altri cittadini nella
prospettiva collaborativa del Web 2.0, e il medico diventa un pò più cittadino, poiché viene
messo nelle condizioni di comunicare intensamente con altri medici (si vedano i social
network professionali), ma anche con gli assistiti333. Il nuovo mondo culturale pHealth
fornisce una risposta alla crescente tendenza da parte dei cittadini nel ricercare un ruolo
pro-attivo nel proprio processo di cura, quindi il potenziamento del ruolo di
partecipazione, valutazione e decisione della comunità nella gestione della Sanità
(empowerment del cittadino). La “liberta dell‟informatica”, da intendersi come libertà
dell‟individuo di servirsi nel modo che ritiene più opportuno dell‟informatica, prende
progressivamente il sopravvento in Sanità sulla “libertà dall‟informatica”, ovvero dalla
limitazione o negazione della libertà di usare gli strumenti informatici per il solo timore di
ledere la riservatezza altrui. La sfera personale altrui, ovviamente, dovrà essere sempre
tutelata, ma solo entro i confini dettati dalla normativa europea e nazionale di settore, senza
estensioni applicative. La pHealth necessita, dunque, di “libertà dell‟informatica”,
diversamente non potrebbe in alcun modo concretizzarsi nel vivere quotidiano, nelle sue
331
332
333
L. Buccoliero, Il governo elettronico, Milano, Tecniche Nuove, 2009, p. 10.
Cfr. N. Luhmann, Organizzazione e decisione, Milano, Bruno Mondadori, 2005.
M. Moruzzi, Il Fascicolo Sanitario Elettronico in Italia. La sanità ad alta comunicazione, cit., p. 33.
267
evolute forme interrelazionali e di accrescimento semplificato della conoscenza del paziente
per via telematica.
Nel mondo pHealth, l‟eGovernment, che esprime in sé l‟attività di Governo del digitale da
parte dello Stato o di un‟entità legittimata da esso (ad esempio, Azienda Ospedaliera o enti
privati accreditati), lascia progressivamente sempre più spazio all‟eGovernance, ovvero ad
un‟attività di Governo del digitale attuata con il concorso delle iniziative e delle attività
messe in campo da tutte le componenti sociali che caratterizzano l‟organizzazione sanitaria,
quindi non solo statali o legittimate dallo Stato.
Digital Tourism
Turismatica è un neologismo di genesi recente, utilizzato per indicare un importante trend
d‟innovazione, vale a dire gli strumenti e le metodologie dell‟informatica e della telematica
al servizio dell‟organizzazione e promozione turistica, il tutto nell‟ottica, sempre, di una
valorizzazione (sostenibile) del patrimonio culturale e ambientale territoriale. Detto in altre
parole, la “Turismatica” si presenta come la perfetta sintesi tra società dell‟informazione,
nuovi diritti e contesti innovativi di turismo sostenibile.
Infatti, la comunicazione tecnologica, propria delle ICT, e le potenzialità offerte dalla Rete
Internet, consentono agli Enti e alle imprese operanti nel settore turistico di offrire
un‟immagine innovativa del valore culturale/ambientale, delle peculiarità turistiche del
luogo e della varietà professionale dei servizi ad esso connessi. Le opportunità offerte dalle
nuove tecnologie alla tutela e valorizzazione del patrimonio culturale e ambientale di un
territorio, e quindi alla capacità dello stesso di affermarsi nel mercato turistico globale, sono
oramai infinite.
La stessa Carta di Lanzarote del 1995, adottata nell‟ambito della Conferenza Mondiale sul
Turismo Sostenibile, promossa congiuntamente da WTO, UNEP, UNESCO, UE,
sottolinea chiaramente lo stretto rapporto che deve intercorrere tra politiche di sviluppo
sostenibile territoriale e nuove tecnologie. La Carta, infatti, dopo aver esplicitato al
Principio n. 1 che si deve parlare di “turismo sostenibile” solo nel caso in cui esso sia
“ecologicamente sostenibile nel lungo periodo, economicamente conveniente, eticamente e socialmente equo nei
riguardi delle comunità locali”, al Principio n. 5 attribuisce ai piani di intervento territoriali,
finalizzati alla valorizzazione e tutela delle risorse naturali e culturali, il compito di attuare
268
forme di “turismo sostenibile”, fornendo soprattutto agli attori coinvolti gli strumenti, innanzitutto
ICT, per una cooperazione e gestione integrate di tali risorse.
SMART WORKING
Nel disegno di legge collegato alla legge di Stabilità 2016, il Governo ha introdotto e
disciplinato lo smart working, una forma di lavoro agile e moderna che tende ad offrire una
maggiore libertà nella gestione dei tempi di vita del lavoratore oltreché una più snella
organizzazione aziendale legata ad una maggiore produttività dell‟impresa.
Quando si parla di smart working si fa riferimento ad una attività lavorativa diversa dal
telelavoro. Il telelavoro, infatti, rappresenta un primo tentativo messo in atto dal legislatore
di armonizzare le esigenze di produttività dell‟azienda con il desiderio del lavoratore di
conciliare i tempi lavorativi con quelli di vita. Tuttavia, tale modalità di lavoro prevede pur
sempre che ci sia una strumentazione, un orario e uno spazio fisso dove svolgere l‟attività
lavorativa; inoltre, le regole aziendali si trasferiscono quasi automaticamente a casa del
lavoratore, come se il rapporto tra il dipendente e il datore di lavoro non fosse differente da
un luogo ad un altro nello svolgimento della prestazione lavorativa.
Lo smart working, invece, diventa un‟alternativa al telelavoro, con caratteristiche di
maggiore flessibilità e minore rigidità normativa. Al datore di lavoro, infatti, consente una
facilitazione sia dal punto di vista organizzativo che produttivo, riducendo altresì i costi; al
lavoratore, invece, assicura la possibilità di conciliare i tempi di vita con quelli di lavoro,
sulla scia di un formato organizzativo che si basa sulla meritocrazia e sul raggiungimento
degli obiettivi prefissati. Ci si trova di fronte ad una cornice flessibile, non derivata da una
concessione aziendale, ma da una nuova scelta di un modo di lavorare, che, secondo gli
studiosi del lavoro, dovrebbe comportare benefici interessanti sia per le imprese e che per i
lavoratori334. Nello specifico, l‟art. 1 del disegno di legge governativo pone lo smart working
nell‟alveo del lavoro subordinato, trattandosi di una prestazione di lavoro subordinato che
si realizza soddisfacendo le seguenti modalità:
334
M.Magri, Legge di stabilità 2016, smart working e sicurezza sul lavoro nel DDL collegato, 27 novembre 2015, disponibile al seguente
URL: http://www.ipsoa.it/documents/lavoro-e-previdenza/sicurezza-del-lavoro/quotidiano/2015/11/27/legge-di-stabilita-2016-smartworking-e-sicurezza-sul-lavoro-nel-ddl-collegato consultato nel mese di novembre 2016
269
1) prestazione lavorativa svolta solo in parte all’interno dei locali aziendali e con i soli
vincoli di orario massimo desunti dalla legge e dalla contrattazione collettiva;
2) possibilità di utilizzare strumenti tecnologici per svolgere l‟attività di lavoro;
3) assenza di una postazione fissa durante i periodi di lavoro svolti al di fuori dei locali
aziendali.
INTELLIGENZA ARTIFICIALE E ROBOTICA
Dotare i computer di intelligenza umana, è stato un sogno degli esperti di computer fin
dagli albori del calcolo elettronico. Anche se il termine “Intelligenza Artificiale” (I.A.) non è
stato coniato prima del 1956, le sue origini risalgono almeno al 1940, quando l'idea di I.A. è
stata cristallizzata nel famoso saggio del 1950 di Alan Turing, “Computing Machinery and
Intelligence”, nel quale Turing ha posto la domanda: “le macchine possono pensare?”
L'attuale ondata di progresso e di entusiasmo per l'I.A. è iniziata attorno al 2010, guidata da
tre fattori, tra di loro strettamente collegati: la disponibilità di grandi quantità di dati
provenienti da numerose fonti, tra cui l'e-commerce, le imprese, i social media, la scienza,
nonchè da parte degli enti pubblici, i quali, a loro volta, hanno fornito materia prima per
migliorare notevolmente gli approcci di apprendimento automatico (Machine Learning) e
gli algoritmi, il tutto unito alla possibilità di fare affidamento sulle capacità di potenti
computers.
Ad ogni modo, non esiste un'unica definizione di intelligenza artificiale che sia
universalmente accettata.
Alcuni definiscono l'I.A. come un sistema computerizzato che tiene un comportamento
che viene comunemente pensato come farebbe intelligenza umana. Altri definiscono l'I.A.
come un sistema in grado di risolvere razionalmente problemi complessi o intraprendere
azioni appropriate per raggiungere i suoi obiettivi in qualsiasi circostanza del mondo reale
che incontra.
Gli esperti offrono tassonomie differenti di problemi e soluzioni di intelligenza artificiale:
(1) i sistemi che pensano come gli esseri umani (per esempio, le architetture cognitive e reti
neurali);
270
(2) sistemi che agiscono come gli esseri umani (per esempio, superare il test di Turing
attraverso l'elaborazione del linguaggio naturale, la rappresentazione della conoscenza,
ragionamento automatico, e l'apprendimento);
(3) sistemi che pensano razionalmente (risolutori logici, inferenza e ottimizzazione);
(4) sistemi che agiscono razionalmente (ad esempio, agenti intelligenti software e robot che
consentano di raggiungere gli obiettivi attraverso la percezione, la pianificazione,
ragionamento, apprendimento, comunicazione, decisionali e recitazione).
Anche per quanto riguarda i Robot335, ossia macchine appositamente progettate e
programmate per l'espletamento di compiti specifici, che sempre di più si sono evolute nel
corso degli anni, fino a raggiungere livelli di autonomia decisamente elevati, specie grazie
all'uso pervasivo dell'ICT.
Ciò ha ri-acceso il dibattito su diverse questioni, tra le quali, principalmente, quella della
sicurezza, sottesa al loro utilizzo nelle applicazioni della realtà quotidiana e nella imminente
diffusione, su larga scala, di prodotti dotati di notevole capacita decisionale autonoma per
lo svolgimento del loro compito.
Tali macchine, che spaziano dalle vetture a guida autonoma ai robot per l‟assistenza alla
persone, in fin dei conti, altro non sono che prodotti tecnologici, per quanto avanzati, per i
quali deve essere assicurato un elevato grado di sicurezza, anche giuridica, data da un set di
norme che disciplinino in maniera adeguata le responsabilità e che abbia la lungimiranza,
auspicabilmente, di farsi carico anche delle ripercussioni sociali e lavorative.
Di fronte a questa evoluzione scientifica ed industriale sta emergendo, quindi, la necessità
di dare uno status giuridico ai Robot (dall‟esemplare più elementare a quello più evoluto)
per avere normative chiare e condivise, idonee ad evitare le pericolose lacune normative
che si formano in quanto il diritto e la legislazione fanno fatica a tenere il passo e a coprire
fattispecie prima inimmaginabili.
Su tale ambito si riscontrano, positivamente, diverse iniziative, lasciate, però, alla sensibilità
individuale, quanto pioneristica, di diversi legislatori sparsi per il globo, anche se magari a
livello aggregato, ma insufficiente, come quello europeo336. In ragione della potenziale
335
Vocabolo la cui origine semantica viene attribuita allo scrittore Ceco Ĉapek, che utilizzò per la prima volta in uno scritto
degli anni '20 del XIX secolo, l'espressione “Robota”, con il significato di “lavoro duro, lavoro forzato”.
336
V. PROGETTO DI RELAZIONE del Parlamento Europeo del 31 maggio 2016, recante raccomandazioni alla
Commissione
concernenti
norme
di
diritto
civile
sulla
robotica,
reperibile
all'indirizzo
internet
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+COMPARL+PE582.443+01+DOC+PDF+V0//IT&language=IT, consultato nel mese di novembre 2016.
271
universalità del fenomeno, infatti, sarebbe più che necessaria un‟azione globale che
coinvolga a livello planetario, quanti più portatori di interesse possibili.
DIGITAL FORENSICS
Per Digital Forensics si intende l‟applicazione di un metodo investigativo scientifico al
mondo digitale per ricavare elementi e informazioni validi e spendibili in sede processuale,
non solo penale, dove il suo utilizzo è ampiamente diffuso da tempo, ma anche civile.
Un investigatore, infatti, deve essere in grado di avvicinarsi a un sistema informativo per
determinare se esso sia stato utilizzato in attività illecite o non autorizzate, avendo cura di
non alterare le possibili prove che confermino o meno la commissione di un reato
normalmente informatico o con mezzo informatico.
La c.d. “scena del crimine” può essere un computer, un supporto removibile, una rete o
qualsiasi altro medium digitale, server virtuali e architetture cloud incluse.
Ovviamente le indagini possono riguardare anche smartphone, tablet e dispositivi mobili in
generale; in questi casi si parla di mobile forensics.
Nell'ambito della digital forensics esistono diverse tecniche cui fare riferimento per ottenere
risultati non contestabili in sede processuale, e variano in base al tipo di dispositivo sul
quale si va ad intervenire ed al tipo di prova che si intende acquisire.
La normativa introdotta nel nostro ordinamento con la L. n. 48 del 2008337, e che ha
modificato diversi articoli del codice di procedura penale, non predilige una tecnica rispetta
ad un'altra, ma genericamente impone di “adottare misure tecniche dirette ad assicurare la
conservazione dei dati originali e ad impedirne l'alterazione”.
Inoltre, quando si tratta di dati, di informazioni o di programmi informatici, la copia
deve essere realizzata su adeguati supporti, mediante procedura che assicuri la
conformità della copia all'originale e la sua immodificabilità.
Tra le best practices più diffuse ed usate a livello internazionale vanno menzionate quelle
del SWGDE (Scientific Working Group on Digital Evidence).
SCUOLA DIGITALE
337
Con la quale è stata ratificata ed eseguita (nonché adeguata all'ordinamento interno) la Convenzione del Consiglio d'Europa
sulla criminalità informatica, fatta a Budapest il 23 novembre 2001.
272
Dal 2008 ad oggi il passaggio dall‟”analogico” (carta) al “digitale” (bit) ha interessato l‟intera
Amministrazione italiana, ivi compreso il comparto Scuola. Il passaggio, però, é stato ed é
ancora ricco di insidie, connesse alla “debolezza” strutturale ed economica di molte
Amministrazioni, tra le quali quelle scolastiche, associata alla non piena conoscenza delle
norme precettive del Codice dell‟Amministrazione Digitale – CAD e delle restanti
normative di settore.
Al riguardo, il Decreto MIUR n. 435 del 2015 destina specifiche risorse alle attività di
diffusione e di organizzazione territoriale della formazione rivolta al personale docente, in
particolare “finalizzate a individuare e a formare in ciascuna istituzione scolastica un
animatore digitale che possa favorire il processo di digitalizzazione delle scuole nonché
diffondere
le
politiche
legate
all'innovazione
didattica
attraverso
azioni
di
accompagnamento e di sostegno sul territorio del Piano nazionale Scuola digitale”.
L‟animatore digitale avrà, dunque, un ruolo strategico nella diffusione dell‟innovazione
digitale a scuola, disciplinato da ultimo con Decreto Direttore Generale DGEFID del
MIUR n. 50 del 25 novembre 2015.
Procedendo in ordine cronologico, di poco successiva al Decreto MIUR n. 435/2015 é la
Legge n. 107 del 13 luglio 2015 dal titolo “Riforma del sistema nazionale di istruzione e
formazione e delega per il riordino delle disposizioni legislative vigenti”, vigente al 16 luglio
2015.
Il Legislatore é chiaro nel rimettere alle Scuole il compito del raggiungimento di alti fini
socio-educativi anche attraverso un‟organizzazione orientata alle tecnologie innovative.
I settori coinvolti nell‟innovazione sono diversi:
- studenti: attività svolte allo sviluppo di competenze digitali;
- docenti e personale ATA (ovvero assistenti amministrativi, assistenti tecnici e direttori dei
servizi generali amministrativi): formazione per l‟innovazione didattica e per lo sviluppo
della cultura digitale;
- organizzazione scolastica: strumenti organizzativi e tecnologici per favorire la governance,
la trasparenza, la condivisione di dati, lo scambio di info, nonché strumenti didattici e
laboratoriali per migliorare formazione e innovazione;
- infrastrutture: potenziamento delle infrastrutture di Rete.
Volendo schematizzare, più nel dettaglio, le norme a “contenuto digitale” della Legge:
273
- le istituzioni scolastiche promuovono, all‟interno dei piani triennali dell‟offerta formativa e
in collaborazione con MIUR, azioni coerenti con le finalità, i princìpi e gli strumenti
previsti nel Piano nazionale per la scuola digitale (PNSD);
- il curriculum dello studente sarà digitale e raccoglierà tutti i dati utili anche ai fini
dell‟orientamento e dell‟accesso al mondo del lavoro: le competenze, gli insegnamenti
opzionali, le esperienze acquisite;
- la creazione di un Portale unico dei dati della scuola con la pubblicazione di tutte le
informazioni relative al sistema di istruzione;
- arriva la Carta elettronica per l‟aggiornamento e la formazione dei docenti, ovvero un
voucher di 500 euro all‟anno da utilizzare per l‟aggiornamento professionale;
- previsione di un bando (300 i milioni a disposizione nel triennio 2015-2017) per la
costruzione di scuole altamente innovative dal punto di vista architettonico, impiantistico,
tecnologico, ovvero scuole „green‟ e caratterizzate da nuovi ambienti di apprendimento
digitali.
Di poco successiva alla Legge n. 107/2015 é la Legge n. 124 del 7 agosto 2015, nella quale
il settore scolastico é il primo ad essere considerato dal Legislatore nel momento in cui si
occupa di banda ultralarga.
Apice del percorso normativo del Governo Renzi in tema di Scuola é divenuto, poi, il
Piano Nazionale Scuola Digitale, pubblicato con DM n. 851 del 27 ottobre 2015, attuativo
della citata Legge n. 107/2015. Esso é il documento di indirizzo del MIUR per il lancio di
una strategia complessiva di innovazione della scuola italiana e per un nuovo
posizionamento del suo sistema educativo nell‟era digitale. É un pilastro fondamentale de
“La Buona Scuola” (Legge n. 107/2015), una visione operativa che rispecchia la posizione
del Governo rispetto alle più importanti sfide di innovazione del sistema pubblico: al
centro di questa visione, vi sono l‟innovazione del sistema scolastico e le opportunità
dell‟educazione digitale.
Il Piano fonda i suoi contenuti su alcuni dati.
Sono 326.000 le aule degli oltre 33.000 plessi scolastici “attivi”: il 70% sono connesse in
Rete in modalità cablata o wireless (ma generalmente con una connessione inadatta alla
didattica digitale), il 41,9% sono dotate di LIM e il 6,1% di proiettore interattivo. Sono in
totale 65.650 i laboratori delle scuole, per una media di 7,8 per istituto. Di questi, l‟82,5% é
connesso in Rete in modalità cablata o wireless, il 43,6% é dotato di LIM e il 16,9% di
274
proiettore interattivo. Una stima generale, sommando le dotazioni di aule, laboratori e
biblioteche scolastiche, indica in circa 1.300.000 unità le dotazioni tecnologiche a
disposizione delle scuole (605.000 nei laboratori, 650.000 nelle classi e la cifra restante nelle
biblioteche). Un sintetico dato del rapporto tecnologie/alunni ha registrato nell‟ultimo
anno un passaggio da una media nazionale di 1 device ogni 8,9 alunni ad una di 7,9:
seppure il dato non consenta interpretazioni qualitative, si tratta di una dimostrazione che
la penetrazione della scuola digitale é fatto concreto. Sono questi i dati contenuti
nell‟Osservatorio tecnologico gestito dal MIUR e riferiti alle rilevazioni dell‟anno scolastico
2014-2015.
Nel complesso, i dati della rilevazione 2014-2015 contenuti nell‟Osservatorio Tecnologico
mostrano un discreto avanzamento della dematerializzazione e digitalizzazione dei servizi
delle istituzioni scolastiche. Il 99,3% delle istituzioni scolastiche ha un proprio sito web, il
58,3% utilizza forme di comunicazione scuola-famiglia online, il 69,2% utilizza una
tipologia di registro elettronico di classe (non é attualmente disponibile un dato accurato di
diffusione “per classe”), il 73,6% utilizza il registro elettronico del docente e infine il 16,5%
utilizza forme di gestione centralizzata LMS (Learning Management Systems quali ad es.
Moodle) per la didattica e i suoi contenuti. La digitalizzazione amministrativa delle scuole é
invece un processo più difficoltoso: un recente studio condotto dal MIUR mostra un livello
di saturazione degli archivi cartacei delle scuole già all‟80%; inoltre, il 68% non risulta avere
un sistema informatico di gestione documentale, e almeno l‟80% non possiede quello per la
conservazione sostitutiva a norma di legge.
Considerati tali dati, il PNSD non può che strutturarsi come vera e propria azione culturale,
che parte da un‟idea rinnovata di scuola, intesa come spazio aperto per l‟apprendimento e
non unicamente luogo fisico, e come piattaforma che metta gli studenti nelle condizioni di
sviluppare le competenze per la vita. In questo paradigma, le tecnologie diventano
abilitanti, quotidiane, ordinarie, al servizio dell‟attività scolastica, in primis le attività
orientate alla formazione e all‟apprendimento, ma anche l‟amministrazione, contaminando e di fatto ricongiungendoli - tutti gli ambienti della scuola: classi, ambienti comuni, spazi
laboratoriali, spazi individuali e spazi informali. Con ricadute estese al territorio.
EREDITA’ DIGITALE
275
In conseguenza della morte fisica di un individuo, si producono in diritto diversi effetti per
il solo fatto stesso del suo verificarsi, quali l‟estinzione di ogni reato commesso dalla
persona in vita e la perdita della capacità di agire, ovvero sia il soggetto diventa inidoneo ad
essere titolare di diritti e di doveri (che vengono direttamente trasferiti agli eredi – salve le
dinamiche successorie). Diversamente però non viene stabilito nulla circa gli effetti postumi
nel mondo digitale.
Che fine fanno tutti gli account, i blog, le email appartenenti al soggetto defunto?
Al riguardo, va chiarito come in Italia non esista una normativa specifica, in materia
successoria, per ciò che riguarda account, email, social, etc.
Tale situazione è ancor più complicata se si considera che molti degli account social ed email
sono ospitati su server non italiani, per cui, nel caso di morte fisica di un soggetto, si
porrebbe il serio problema per i parenti di dover recuperare password e credenziali di accesso
contenute su server non presenti sul territorio italiano e, quindi, soggetti a normativa
differente.
Il Consiglio del Notariato da tempo ha iniziato ad interessarsi alla questione sotto il profilo
dell‟eredità digitale ma tale indagine lambisce soltanto una faccia della medaglia.
Invero, proprio in una nota sull‟eredità digitale del Consiglio Nazionale del Notariato viene
consigliata la disposizione di specifiche istruzioni al riguardo, mediante la figura giuridica
nota al nostro ordinamento del mandato post mortem. Tale nota prende spunto da una
valutazione dovuta alle recenti pronunce giurisprudenziali d‟oltre oceano, nelle quali è stato
previsto che in caso di morte del soggetto, i suoi dati anziché essere distrutti debbano
essere consegnati agli eredi.
La soluzione proposta dal Consiglio del Notariato prevede la redazione di un vero e
proprio atto, da depositare presso il proprio professionista di fiducia, con il quale si affidino
ad una persona di fiducia le credenziali di accesso, con istruzioni specifiche su cosa fare in
caso di decesso del mandante.
É innegabile, infatti, che a prescindere dalla possibilità per un erede di poter controllare gli
account del defunto ciò che stupisce è che nessuna normativa in Italia preveda che alla morte
di un soggetto possa determinarsi la giusta e conseguente morte digitale con cancellazione
immediata di tutti i suoi profili facebook, twitter e email.
Ad ogni modo, pare che un‟apertura sul punto l‟abbia fornita la sentenza Google sul diritto
all‟oblio che se deve essere garantito ad un soggetto vivente, che per sua scelta decida di
276
non essere presente digitalmente, ancor di più deve potersi garantire a chi nella realtà non
esiste, dovendosi considerare l‟area digitale come parallela e speculare a quella reale, e non
come mezzo per superare i limiti fisici imposti alla consistenza della persona.
Ad oggi, ad ogni modo, nel vuoto legislativo, quello che si può notare è come le più
quotate società dell‟era digitale non siano rimaste indifferenti al problema e si stiano
attrezzando per gestire la vicenda con metodi pratici che, comunque, non consentono una
risoluzione chiara del problema.
Da una parte, Facebook ha avviato l‟uso di account commemorativi, mentre google, pinterest e
twitter stanno attuando, dal canto loro, politiche di controllo e gestione degli account inattivi
da tempo, in attesa di soluzioni legislative unitarie che, però, non sembrano all‟orizzonte.
D'altra parte si assiste alla nascita di diverse società che prevedono come servizio quello di
recapitare, in caso di morte, le credenziali d'accesso del de cuius ai soggetti indicati (fra le
tante vengono segnalate nella nota del Consiglio del Notariato precedentemente richiamata
“Deathswitch” o “My Last Email”).
Tale problematica diventa ancora di maggior rilievo se si considera che un‟eredità digitale
può anche avere un‟ingente valore economico (basti pensare ai brani acquistati su itunes,
ebook, ecc.).
E tanto, a fronte dell‟assenza di una normativa unitaria, è rimesso unicamente alle
condizioni contrattuali sottoscritte con il singolo servizio, le quali spesso non rispecchiano
le reali contingenze fattuali nonchè le dinamiche successorie del nostro ordinamento.
Nell‟ordinamento giuridico nordamericano, invece, esiste un apposito atto normativo338 che
disciplina specificamente l‟accesso fiduciario, in caso di morte del titolare, ai suoi account e
asset digitali.
ATTO PUBBLICO INFORMATICO
Da sempre i notai risultano attivamente interessati all‟informatizzazione delle
procedure[1] che riguardano gli atti pubblici:
-
alla fine degli anni 90 è stato attivato il sistema delle visure on-line presso la Conservatoria e
il Registro Imprese;
338
http://legis.delaware.gov/LIS/LIS147.nsf/vwLegislation/HB+345?Opendocument
277
-
nel 2001 è stato presentato il modello unico Informatico che ha permesso a tutti i notai di
registrare i propri atti per via telematica;
-
nel 2012 con la trascrizione digitale dell‟atto notarile nell‟Agenzia del Territorio si assiste
alla informatizzazione completa dell‟attività del notaio, tale da comportare per l‟Italia un
salto nella classifica mondiale sulla competitività del Doing Business nel settore Registering Property (trasferimento della proprietà), portando il nostro paese a vantare
condizioni migliori di Spagna, Regno Unito, Giappone, Germania e Francia;
-
il tassello più importante si registra nel 2013, con l‟introduzione
dell‟atto pubblico
informatico che consente, già oggi, di stipulare un atto totalmente informatico, sottoscritto
con firma digitale dalle parti e dal notaio. L‟atto viene poi conservato a norma presso il
Consiglio Nazionale del Notariato mantenendo tutte le prerogative di certezza e durabilità
dell‟atto notarile.
Nell‟immaginario collettivo, l‟atto notarile si considera completato dall‟apposizione della
firma delle parti, seguita da quella del notaio e dall‟apposizione del Sigillo di stato. Dal
2013, invece, è possibile che l‟atto pubblico notarile venga formato anche in modo
interamente informatico anticipando l‟Agenda digitale del Governo.
Dal punto di vista normativo, l‟atto pubblico informatico è disciplinato dall‟art. 11, comma
13, del D.lgs. n. 163/2006 (il Codice dei Contratti), dapprima modificato dall'art. 6, comma
5, del DL n. 179/2012 e poi da ultimo dal DL n. 145/2013[2].
Il testo attuale dispone che: “Il contratto è stipulato, a pena di nullità, con atto pubblico notarile
informatico, ovvero, in modalità elettronica secondo le norme vigenti per ciascuna stazione appaltante, in
forma pubblica amministrativa a cura dell'Ufficiale rogante dell'amministrazione aggiudicatrice o mediante
scrittura privata”.
In sostanza, con la prima modifica si stabiliva che dal 1° gennaio 2013 il contratto è
stipulato, a pena di nullità, con atto pubblico notarile informatico, ovvero, in modalità
elettronica secondo le norme vigenti per ciascuna stazione appaltante, in forma pubblica
amministrativa (atto pubblico e scrittura privata autenticata) a cura dell'Ufficiale rogante
dell'Amministrazione aggiudicatrice o mediante scrittura privata.
Con la seconda modifica, invece, si è adottata una formulazione più puntuale circa le
tipologie di contratto e si è spostata in avanti la decorrenza della stipula in forma elettronica
dei contratti, esattamente a fare data dal 30 giugno 2014 per i contratti stipulati in forma
278
pubblica amministrativa (atto pubblico e scrittura privata autenticata) e a far data dal 1°
gennaio 2015 per i contratti stipulati mediante scrittura privata.
La modifica del Codice dei Contratti fa riferimento alle disposizioni contenute nel D.Lgs. n.
110/2010, che ha introdotto la disciplina dell'atto pubblico informatico nella legge notarile
(L. n. 89/2013).
L‟atto pubblico informatico[3] è oggi obbligatorio esclusivamente per la stipula dei
contratti di appalto di lavori, servizi e forniture con la Pubblica Amministrazione, ma, per
chi lo richiede, è possibile stipulare qualsiasi atto.
In concreto, le parti invece di sottoscrivere un documento cartaceo firmeranno con la
propria firma (qualificata) digitale il documento informatico contenente l‟atto stesso e i suoi
eventuali allegati, seguiti dall‟apposizione della firma (qualificata) digitale del notaio (che
contiene firma e sigillo del notaio).
La firma (qualificata) digitale sostituisce la normale firma apposta dalle parti (e dal notaio)
ad un documento. Nei prossimi mesi sarà possibile servirsi, anche negli studi notarili, della
firma di tipo grafometrico, ovvero apposta con una penna digitale su un tablet o altro tipo
di strumento elettronico, senza doversi dotare di un‟apposita firma digitale.
Va precisato, tuttavia, che la sola apposizione di una firma digitale non garantisce di per sè
la provenienza da parte del legittimo titolare ed è per tale ragione che l‟intervento del notaio
è comunque necessario per assicurare anche la corrispondenza tra firma digitale ed il
soggetto che materialmente la usa.
Una volta firmato, l‟atto pubblico informatico verrà successivamente conservato attraverso
uno specifico sistema informatizzato di Conservazione a Norma tenuto a cura del
Consiglio Nazionale del Notariato su strutture di proprietà di tale ultimo organismo e
amministrate dalla propria società, Notartel S.p.A.
La trasmissione in formato digitale oggi si estende anche al rilascio delle eventuali copie
autentiche informatiche. In effetti, la copia autentica informatica, firmata digitalmente dal
notaio, ha la stessa validità di una copia conforme cartacea, con il vantaggio di non
occupare alcuno spazio fisico, ma pochi bit.
In tal modo, se si necessita di una copia autentica di un atto notarile, non sarà più
necessario presentarsi fisicamente presso lo studio del notaio ma il documento potrà
circolare istantaneamente on line.
279
Da una breve panoramica, è facilmente intuibile come l‟attività degli studi notarili ruoti
oramai attorno al concetto di paperless, mirando all‟obiettivo di ridurre tempi e costi di
gestione delle pratiche. Concretamente, il cittadino riceve tutti i servizi necessari da un
unico professionista, il notaio, realizzando in tal modo lo studio notarile il concetto di one
stop shop.
Di seguito i principali casi di utilizzo notarile di atti pubblici informatici:
per una compravendita, le visure ipotecarie e catastali vengono effettuate on-line tramite
collegamento all‟Agenzia del Territorio; l‟atto notarile stesso può essere rogato in modo
informatico e l‟adempimento viene inviato per la registrazione, trascrizione e voltura in via
informatica anche in un giorno solo;
per la costituzione di una società: una volta firmato l‟atto costitutivo, l‟invio alla Camera di
Commercio avviene in modo digitale e, a partire da settembre 2014, l‟iscrizione dell‟atto
avviene immediatamente, riducendo da giorni ad ore il tempo necessario per l‟avvio
dell‟attività dell‟impresa;
in quei comuni italiani con cui i Consigli Notarili hanno stipulato apposite convenzioni, inoltre,
gli studi notarili possono richiedere certificati anagrafici direttamente dallo studio notarile.
Numerosi e di non poco impatto sono i vantaggi che susseguono alla scelta dell‟atto
pubblico informatico. In primis, la possibilità per le parti che risiedono in luoghi diversi di
recarsi ognuna dal proprio notaio e stipulare l‟atto consentendo lo scambio tra i due notai
del documento formato digitalmente nel giro di pochi istanti.
Inoltre, non va sottovalutato che la conservazione tramite i più avanzati sistemi di disaster
recovery aumenta la possibilità di proteggere da eventuali rischi di danni il documento
originale conservato in modo analogico.
In aggiunta, l‟atto pubblico informatico risponde ad esigenze specifiche di soggetti che
interagiscono anche tramite sintetizzatori vocali con il mondo esterno, sia per fornire, sia
per acquisire informazioni.
A partire dal 2013 il Notariato ha lanciato la Rete Aste Notarili, grazie alla quale gestisce in
modo totalmente digitale anche le dismissioni degli immobili degli enti pubblici. La RAN
permette ai cittadini di acquistare un immobile anche semplicemente recandosi presso uno
qualunque dei notai abilitati su tutto il territorio nazionale, essendo venuto meno l‟obbligo
di recarsi nel luogo presso cui si tiene l‟asta.
280
In ultimo va segnalato come nel gennaio 2016 è stato rilasciato da parte di Aruba, in
collaborazione con la Notartel s.p.a., società creata dal Consiglio Nazionale del Notariato e
dalla Cassa Nazionale del Notariato, al fine specifico di curare l'implementazione dei servizi
telematici ed informatici per i notai, il software iStrumentum proprio al fine di
semplificare la sottoscrizione dell'atto digitale da parte dei cittadini.
Tale software dispone di una firma grafometrica notarile evoluta che rileva una serie di dati
biometrici della sottoscrizione (velocità, pressione, inclinazione, posizione della mano) nel
rispetto della normativa prevista per la protezione dei dati personali, i quali consentono, da
un lato di legare indissolubilmente la firma all'atto, dall'altro, ne rendono pressochè
impossibile la sua falsificazione.
Il Notariato, inoltre, è al lavoro con tutti gli operatori coinvolti, per il manifesto per
l‟eredità e identità digitale, due campi in cui sta mettendo tutta la propria esperienza al
servizio dei cittadini per garantire loro, anche nel mondo digitale, il giusto rapporto tra
semplicità e certezza dei dati.
[1]
Per
maggiori
informazioni
si
rinvia
al
http://www.notariato.it/it/linformatizzazione-del-notariato
sito
web
(ultima
istituzionale:
consultazione
settembre 2015)
[2]
Per
maggiori
informazioni
si
rinvia
al
sito
web
istituzionale:
http://www.agendadigitale.eu/fatturazione-elettronica/digitalizzazione-del-ciclo-dellordine-lo-stato-dei-contratti-digitali_1484.htm (ultima consultazione settembre 2015)
[3]
Per
maggiori
informazioni
si
rinvia
al
sito
web
istituzionale:
http://www.notariato.it/it/atto-pubblico-informatico (ultima consultazione settembre
2015)
DEMATERIALIZZAZIONE
Il concetto della dematerializzazione indica l‟obiettivo perseguibile, e talvolta perseguito, di
sostituire all‟interno delle organizzazioni pubbliche e private la documentazione cartacea
con il documento informatico elettronico, che ne conservi identica validità ai fini di legge.
281
Tale esigenza si pone da tempo come punto nodale per aumentare l‟efficienza e ridurre i
costi della pubblica amministrazione nell‟ampia ottica di riforma che ha interessato il
settore negli ultimi anni, il quale è al centro di un piano di ristrutturazione che ne prevede,
tramite l‟informatizzazione sotto diversi aspetti (la cosiddetta agenda digitale), una futura
semplificazione e maggiore interattività nei confronti dei cittadini e delle imprese.
Il concetto di dematerializzazione viene introdotto nel CAD del 2005 dove è espressamente
previsto che la pubblica amministrazione debba valutare la possibilità di sostituire i propri
archivi cartacei con gli archivi digitali.
Tale operazione di digitalizzazione si sostanzia nell‟informatizzazione completa delle fasi
del protocollo, della classificazione e della conservazione dei documenti.
Affinché, infatti, il processo di dematerializzazione abbia una reale efficacia, occorre che
tutte le suddette fasi consentano una garanzia di certezza e valore di legge del documento
informatico, pari a quella cartacea, dalla sua acquisizione al protocollo sino alla
conservazione negli archivi.
Il suddetto sistema è assicurato da specifici processi tecnici che consentono di poter
assicurare l‟efficacia legale richiesta per il documento informatico, la cui acquisizione e
gestione sono specificatamente disciplinati dalla legge (si pensi alla normativa sul rilascio
delle copie del documento informatico).
Nello specifico, nel Testo Unico delle disposizioni legislative e regolamentari in materia di
documentazione amministrativa vengono individuati dei requisiti minimi di gestione dei
protocolli operativi, nonché stabilite le regole organizzative minime di funzionamento dei
sistemi pubblici, al fine di garantire, nelle suddette procedure, il rispetto dei canoni di
sicurezza ed integrità dei dati stabiliti dall‟attuale normativa sulla privacy.
PROVE INFORMATICHE IN GIUDIZIO
Allorquando si discuta di prove informatiche in un giudizio occorre distinguere se la sede
sia quella penale o civile, essendo l‟acquisizione e valutazione probatoria soggetta a norme
differenti (seppur ancorata ai medesimi principi).
Per ciò che concerne il processo civile, ai sensi dell‟art. 2712 c.c., per come modificato dal
282
D.Lgs. n. 82/2005, “le riproduzioni fotografiche, informatiche [..] e, in genere, ogni altra
rappresentazione meccanica di fatti e di cose formano piena prova dei fatti e delle cose rappresentate, se colui
contro il quale sono state prodotte non ne disconosce la conformità ai fatti o alle cose medesime”.
Da quanto emerge testualmente, è evidente come anche per le prove informatiche il
Legislatore abbia riconosciuto la piena validità di legge, alle medesime condizioni delle altre
prove acquisite mediante riproduzioni meccaniche.
Ad ogni modo, non si deve confondere come tale valore sia da attribuire unicamente alle
prove informatiche consistenti in riproduzioni e rappresentazioni meccaniche di fatti, non
potendo rientrare in questa categoria i documenti informatici sic et simpliciter.
Per tale tipologia di documenti il legislatore ha invece riconosciuto una valenza diversa e
ulteriore, che per molti aspetti coincide con quella riconosciuta ai pari documenti cartacei
ma paga, purtroppo, lo scotto tecnologico degli operatori del diritto.
Si è ritenuto che soltanto il documento informatico sottoscritto “con firma elettronica avanzata,
qualificata o digitale”, fermo un rigido controllo sul “rispetto delle regole tecniche di cui all'articolo 20,
comma 3, che garantiscano l’identificabilità dell'autore, l'integrità e l’immodificabilità del documento”
possa avere l‟efficacia probatoria prevista dall‟articolo 2702 c.c. per il gemello cartaceo,
restando il documento informatico semplice, sottoscritto con firma elettronica, “liberamente
valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e
immodificabilità”.
In ultimo, sempre con riferimento ai procedimenti civili non possono non segnalarsi le
importanti novità portate dal D.L. n. 179/2012 convertito con legge n. 212/2012 con il
quale sono state riformate le comunicazioni nei procedimenti in materiale concorsuale, che
ad oggi, a tutti gli effetti, vengono rese telematicamente ed hanno piena efficacia giuridica,
nonché la possibilità di notifica ad ogni effetto di legge mediante PEC di atti in formato
digitale nativo ed il loro relativo deposito nel processo civile telematico.
Tale orientamento del legislatore, quanto meno nell'ambito del diritto civile, dimostra una
netta volontà all'informatizzazione di tutto ciò che riguarda il contendere, tanto con
riferimento alle prove, quanto con riferimento agli atti ed alle comunicazioni processuali.
Diverso e più complesso appare il discorso con riferimento al processo penale.
Da un lato, infatti, vi è un codice di procedura penale che non affronta specificatamente il
tema delle prove informatiche ma si rimette a modifiche legislative attuate nel tempo, e
quali pagano lo scotto di una mancata visione d‟insieme; dall‟altro lato vi è una netta
283
diffidenza da parte degli attori nazionali del processo penale a voler aprire un vero dialogo
sull‟argomento.
L‟unica significativa apertura al tema è venuta, infatti, da oltre frontiera, nello specifico
dalla convenzione di Budapest in tema di criminalità informatica (intendendosi compresi
tanto i reati informatici quanto i reati commessi mediante strumenti informatici), con la
quale sono state apportate (le poche) modifiche al codice di procedura penale (sul tema)
soprattutto con riferimento alle perquisizioni, ispezioni e sequestro di prove informatiche,
nel difficile compito di equilibrare la genuinità, integrità e conservazione della prova e le
esigenze di riservatezza e rispetto della privacy; anche se, va detto, la giurisprudenza
dominante è sempre parsa incline a voler considerare come prioritaria l‟esigenza di
assicurare le prove informatiche anche se acquisite con forzature dell‟attuale sistema.
Pertanto, a oggi, non può che prendersi atto del vuoto legislativo che vi è nel settore penale
e concordare con gli operatori del settore che hanno definito quanto meno auspicabile
l‟esigenza di un protocollo condiviso, al fine di poter garantire la corretta assunzione anche
delle prove informatiche.
PEDOPORNOGRAFIA ONLINE
La pedopornografia online, negli ultimi anni, ha catalizzato sempre di più l‟attenzione del
nostro legislatore, con l‟intento di arginare tale pericoloso fenomeno.
Nello specifico, la problematica è stata oggetto di un corposo intervento normativo (legge
n. 38/2006), con il quale è stata introdotta un‟apposita fattispecie di reato, all‟art. 600-ter del
codice penale; si è proceduto, così, a instaurare una serie di misure per contrastare la
consumazione dell‟ipotesi di reato suddetta, con diversi oneri posti anche a carico di
soggetti terzi coinvolti nel processo evolutivo del delitto.
È previsto, al comma 3 dell‟articolo succitato del codice penale, come “Chiunque, al di fuori
delle ipotesi di cui al primo e al secondo comma (referenti condotte partecipative alla realizzazione del
materiale, nds), con qualsiasi mezzo, anche per via telematica, distribuisce, divulga, diffonde o pubblicizza
il materiale pornografico di cui al primo comma, ovvero distribuisce o divulga notizie o informazioni
finalizzate all'adescamento o allo sfruttamento sessuale di minori degli anni diciotto, è punito con la
reclusione da uno a cinque anni e con la multa da euro 2.582 a euro 51.645.”
284
Dall‟entità della sanzione prevista, si comprende già come il legislatore abbia voluto
gravemente punire anche la sola diffusione telematica del materiale pedopornografico, con
la previsione di una pena edittale che giustifichi una serie di misure gravemente privative
della libertà personale, anche in sede cautelare.
Con legge n. 172 del 2012, inoltre, al fine di chiarire in cosa consista realmente il contenuto
dell‟espressione “pedopornografia”, il legislatore si è preoccupato di aggiungere un ulteriore
comma di chiusura, ove ha statuito che “ai fini di cui al presente articolo per pornografia minorile si
intende ogni rappresentazione, con qualunque mezzo, di un minore degli anni diciotto coinvolto in attività
sessuali esplicite, reali o simulate, o qualunque rappresentazione degli organi sessuali di un minore di anni
diciotto per scopi sessuali”.
Tale previsione pone chiaramente il margine di punibilità delle condotte in uno specchio
veramente ampio, dovendosi considerare punibili ex lege, senza margine di apprezzamento,
tutte le condotte aventi come protagonisti individui minori di anni 18, senza esclusioni di
sorta.
Accanto alle previsioni penali, il Legislatore si è preoccupato di attivare degli strumenti di
prevenzione della diffusione del fenomeno della pedopornografia virtuale, “chiedendo” la
collaborazione anche a terzi come banche, poste italiane spa e fornitori dei servizi della
società d‟informazione, ponendo a carico di tutti un generale obbligo di conservare e
trasmettere, per la segnalazione al Centro nazionale per il contrasto della pedopornografia
sulla rete Internet (istituito con medesima legge del 2006), tutti i dati in loro possesso utili a
contrastare il fenomeno. L‟inadempimento a tale obbligo è pesantemente punito con
sanzioni amministrative di un certo rilievo.
Accanto a tali misure è stato previsto, inoltre, che anche i fornitori di connessione internet
debbano coadiuvare l‟operato del nuove centro di contrasto alla pedopornografia, avendo
loro appositamente richiesto di istituire un sistema di filtraggio e protezione, per impedire
l‟accesso ai siti segnalati come contenenti materiale pedopornografico. L‟attenzione del
Legislatore sul fenomeno, come si intuisce, resta altissima attesa anche la diffusione sempre
maggiore dell‟uso di Internet fra giovani e giovanissimi, i quali devono essere protetti da tali
fenomeni.
CYBERBULLISMO
285
Ad oggi manca nel nostro codice penale la previsione di un reato specifico di
cyberbullismo.
Le condotte rientranti in tale fattispecie vengono punite mediante la sussunzione della
fattispecie concreta in quelle rispettivamente di atti persecutori, molestie, minacce,
diffamazione e, a volte, anche violenza privata.
Mancando una definizione teorica unitaria, quando si parla di cyberbullismo si fa
riferimento a delle condotte oppressive e moleste, reiterate nel tempo, nei confronti di un
soggetto, mediante l'utilizzo dei mezzi informatici quali social network (ma non solo)
ovvero piattaforme telematiche (dovendosi intendere ivi compresa anche la messaggistica
istantanea).
Tale definizione è frutto di una creazione giurisprudenziale giustificata anche dalla
mancanza di una specifica normativa che consenta di punire e definire autonomamente le
condotte di cyberbullismo.
Ad ogni modo, l‟invocata proposta normativa è già in Parlamento ed è stata approvata dalla
Camera in data 20 settembre 2016, per cui la relativa legge non dovrebbe tardare ad essere
promulgata.
Dal disegno di legge, ove la norma venisse approvata senza ulteriori modifiche,
emergerebbe una definizione del cyberbullismo quale condotta consistente nell‟“aggressione o
la molestia reiterate, da parte di una singola persona o di un gruppo di persone, a danno di una o più
vittime, anche al fine di provocare in esse sentimenti di ansia, di timore, di isolamento o di emarginazione,
attraverso atti o comportamenti vessatori, pressioni e violenze fisiche o psicologiche, istigazione al suicidio o
all'autolesionismo, minacce o ricatti, furti o danneggiamenti, offese o derisioni, anche aventi per oggetto la
razza, la lingua, la religione, l'orientamento sessuale, l'opinione politica, l'aspetto fisico o le condizioni
personali e sociali della vittima” effettuata “attraverso l'utilizzo della rete telefonica, della rete internet,
della messaggistica istantanea, di social network o altre piattaforme telematiche. Per cyberbullismo si
intendono, inoltre, la realizzazione, la pubblicazione e la diffusione on line attraverso la rete internet, chatroom, blog o forum, di immagini, registrazioni audio o video o altri contenuti multimediali, effettuate allo
scopo di offendere l'onore, il decoro e la reputazione di una o più vittime, nonché il furto di identità e la
sostituzione di persona operati mediante mezzi informatici e la rete telematica al fine di acquisire e
manipolare dati personali, ovvero di pubblicare informazioni lesive dell'onore, del decoro e della reputazione
della vittima”.
286
All'interno delle disposizioni richiamate è, altresì, prevista una speciale procedura di tutela
della persona offesa anche mediante intervento del Garante per la protezione dei dati
personali per l'oscuramento e la rimozione dei contenuti lesivi della sua immagine e
personalità.
L'attenzione sul punto sembra focale, attesochè ciò che ad oggi rende veramente
difficoltosa la tutela dei soggetti vittime del reato in questione è la presenza di procedure
celeri ed efficaci di oscuramento dei dati diffamatori, dovendosi, nella migliore delle ipotesi,
attendere mesi per ottenere un provvedimento giudiziale di oscuramento dei dati, la cui
esecuzione, resta senza dubbio quantomeno difficoltosa attesa la localizzazione dei server
dei gestori in altri paesi.
Inoltre, per quei comportamenti perpetrati negli istituti scolastici è anche previsto che vi sia
una tutela rafforzata da parte dell'istituto per mezzo del suo corpo docente.
Al riguardo è del mese di novembre del 2016 la notizia che il Garante della privacy ha
elaborato un vademecum di 40 pagine da diffondere nelle scuole per sensibilizzare alunni e
corpo docenti al contrasto dei fenomeni persecutori commessi in rete, anche alla luce dei
recenti fatti di cronaca.
Il vademecum richiama l‟attenzione degli Istituti scolastici nel disciplinare l'uso dei
telefonini durante le lezioni, avendo anche facoltà di vietarli, e pone l'accento sulla necessità
di chiedere sempre l'autorizzazione alla pubblicazione su Internet di immagini o video che
riguardano terzi. Nelle linee guida del Garante ci sono, altresì, richiami ai nuovi sistemi di
messaggistica istantantea perché si presti “attenzione in caso si notino comportamenti
anomali e fastidiosi” e si ribadisce che “il diritto–dovere di informare le famiglie sull‟attività
e sugli avvenimenti della vita scolastica deve essere sempre bilanciato con l‟esigenza di
tutelare la personalità dei minori”.
Il suddetto vademecum sarà diffuso in rete per via telematica, oltre che pubblicato sui siti
delle scuole e sulle pagine social, ma potrà anche essere scaricato e portato fisicamente nelle
aule.
Obiettivo primario è l‟invito ad un uso consapevole e maturo nell‟utilizzo delle tecnologie e
degli strumenti informatici, che avvicini studenti e insegnanti alla rete senza che questa
debba costituire per ciò solo una trappola. L‟informazione deve dunque essere al passo con
l‟educazione.
287
Non può negarsi come l'emergenza del cyberbullismo abbia suscitato l'attenzione del
nostro legislatore, il quale, al pari di come fu per il reato di stalking (del quale il
cyberbullismo, nella proposta di legge approvata, sembra richiamare molti aspetti), sembra
intenzionato a delimitarne specificatamente confini e definizioni, al fine di poter garantire
alle vittime una tutela piena ed efficace.
288