lineamenti di informatica giuridica
Transcript
lineamenti di informatica giuridica
LINEAMENTI DI INFORMATICA GIURIDICA A cura di Marco Mancarella Con contributi di Giovanni Maglio, Eleonora Barone, Lucia Luna CAPITOLO I INFORMATICA GIURIDICA OGGI 1.1. Informatica giuridica L‟Informatica giuridica, a partire dalla metà del secolo scorso fino ad oggi, è stata oggetto delle attenzioni degli studiosi che di volta in volta hanno tentato soluzioni definitorie con cui stabilire gli ambiti propri della disciplina. E‟ attuale il grande fermento e la passione con cui si cerca di delineare l‟ambito (o gli ambiti) entro cui è lecito parlare di Informatica Giuridica1. Comunemente, i primi segnali con cui si individua la differenziazione di una nuova materia sia dal diritto che dall‟informatica, ma che interessa entrambi i settori, rimandano alla pubblicazione nel 1949, sulla Minnesota Law Review, dell‟articolo di uno studioso americano, Lee Loevinger2, che proponeva una nuova scienza denominata “Jurimetrics” (potremmo tradurre: “Giurimetria”). Con questo termine, l‟autore indicava l‟uso dei metodi delle cosiddette “scienze esatte”, in particolar modo dell‟informatica, nelle attività proprie del diritto. Il richiamo alla cibernetica3, come l‟unico strumento con il quale potevano essere risolti alcuni problemi propri della giurisprudenza, connota fin dalle origini l‟Informatica giuridica come scienza empirica4. Nell‟opera di Loevinger si auspicava l‟uso dell‟informatica nell‟applicazione delle leggi antitrust, con l‟intento esplicito di riuscire a elaborare automaticamente i dati a disposizione delle agenzie antitrust e che dovevano 1 Per ogni approfondimento in ordine all‟evoluzione storica della disciplina e del relativo suo insegnamento in ambito accademico si rinvia sin d‟ora a: G. Taddei Elmi (a cura di), Corso di Informatica giuridica, Edizioni Giuridiche Simone, Napoli, 2016, pp. 540. 2 Cfr. L. Loevinger, Jurimetrics. The Next Step Forward, in “Minnesota Law Review”, 1949, 33, pp. 455-493. 3 La “cibernetica” (dal greco kybernetes, latino gubernator = nocchiero) è quella scienza fondata alla fine degli anni 40 dallo statunitense Norbert Wiener che studia il controllo e la comunicazione negli animali e nelle macchine. Nella sua evoluzione finisce con lo specializzarsi nello studio dei messaggi, e specialmente i messaggi di comando, tra uomo e macchina, tra macchina e uomo, tra macchina e macchina (in partic. in quest‟ultima branca: studio dei meccanismi attraverso i quali le macchine possono reagire agli stimoli ambientali esterni, modificandosi). 4 Cfr. G. Oberto, Appunti per un Corso di Informatica Giuridica, 2004, consultabile all‟URL: http://giacomooberto.com/appunti/lezione1.htm, visionata nel mese di dicembre 2016. 1 essere elaborati e studiati per accertare posizioni dominanti di alcune imprese. Fino ad allora l‟elettronica e le sue applicazioni avevano interessato solo l‟industria, o ambiti propri delle scienze esatte. Con la Giurimetria si propone di intervenire ad utilizzare tecniche elettroniche in area umanistica, in particolare nel trattamento dei problemi giuridici: era nata la “scientific investigation of legal problem”5, cioè l‟informatica giuridica. Considerato il contesto temporale nel quale vengono espresse, le idee di Loevinger rappresentano una rivoluzione ed è rilevante l‟importanza del suo saggio, anche se non può essergli riconosciuta una solida base teorica, tanto che esso non contiene una definizione di giurimetria. Lo stesso autore, non era solo un giurista, ma un manager della Divisione Antitrust degli USA, quindi non un “teorico interessato alla creazione di una nuova disciplina, secondo rigorosi presupposti logici”6. Quindici anni dopo, nel 1963, la giurimetria trova una compiuta sistemazione teorica quando viene pubblicato il volume Jurimetrics7, un lavoro collettivo curato da Hans Baade. Il giurista Hans Baade, insieme ad altri (ad es. G. Schubert, o Paul Hoffmann), conia il termine “Lawtomation” (da law e automation) ed assume l‟uso del termine “Jurimetrics” per indicare l‟ applicazione della scienza informatica al diritto. In particolare, all‟interno della sua opera, Baade propone un primo ordine sistematico della Giurimetria, isolando tre possibili campi di applicazione: - l‟utilizzazione dell‟elaboratore elettronico per fini di documentazione, vale a dire di ricerca e di reperimento dell‟informazione; - l‟applicazione dei modelli logici (della logica simbolica) alle norme ed alle attività giuridiche; - la previsione delle sentenze future (la cosiddetta analisi behavioristica delle decisioni).. Quest‟ultima funzione era sentita come particolarmente importante nei sistemi di Common law, dove il precedente giudiziario (la sentenza di un Giudice) è vincolante. Partendo dalle teorie a dalle proposte di Baade, negli USA, già a partire dal 1964 fu creato un Law Research Service che potè avvalersi dell‟ausilio di un potente elaboratore 5 L. Loevinger, Jurimetrics. The Next Step Forward, cit., p. 483. 6 G. Fioriglio, Temi di informatica giuridica, in www.dirittodell‟informatica.it, 2004, p. 21; l‟edizione cartacea è stata pubblicata da Aracne Editrice, Roma, 2004. 7 H. W. Baade, Jurimetrics, Basic Books, New York – London, 1963. 2 elettronico nel quale vennero inseriti precedenti giurisprudenziali e che poteva essere interrogato anche a distanza con terminali collegati a mezzo di cavi telefonici8. In realtà il sogno della previsione delle sentenze (dice Vittorio Frosini: usare il calcolatore come oroscopo giuridico automatico) era destinato a restare una pia illusione: l‟interpretazione delle norme giuridiche e la stessa lettura dei fatti concreti che di volta in volta si presentano all‟attenzione del giudice è quanto mai imprevedibile. Ciò nonostante l‟utilità dell‟informatica giuridica, sia a livello teorico che pratico, è più che evidente così come l‟analisi della sua evoluzione storica consente di osservare. Proseguendo nella descrizione dell‟evoluzione storica e concettuale dell‟informatica giuridica, consideriamo il suo impatto nel sistema Italia, dove le teorie statunitensi approdano solo verso la fine degli anni ‟60. All‟interno dell‟accademia italiana, l‟informatica giuridica tende ad essere presentata all‟inizio sotto il nome di “Giuscibernetica”9. Questa nuova scienza viene così definita da Losano: “ogni applicazione della cibernetica al diritto”10. Nel 1975 Vittorio Frosini introduce l‟espressione “Giuritecnica”11, ma neppure questa definizione sembra funzionare. In effetti, il termine ormai comunemente accettato per definire lo studio delle applicazioni informatiche alle scienze giuridiche è quello di “Informatica giuridica”12. La questione della definizione dell‟Informatica giuridica, che non viene certo fornita a livello legislativo13, nasce fin dalle origini di questa disciplina e lo stesso suo fondatore ha sempre insistito sul carattere empirico della giurimetria. Tanto che nel 1963, Lee Loevinger scriveva: “Non è necessario, e forse è impossibile, dare una precisa definizione dell‟ambito della giurimetria. Come in ogni disciplina empirica, la definizione verrà data dall‟attività dei suoi cultori e di certo si modificherà ed estenderà, man mano che esperimenti ed esperienze risolveranno problemi specifici”14. 8 Cfr. G. Oberto, Appunti per un Corso di Informatica Giuridica, cit. 9 M. Losano, Giuscibernetica. Macchine e modelli cibernetici nel diritto, Einaudi, Torino, 1969. 10 Ivi, p. 107. 11 V. Frosini, La giuritecnica: problemi e proposte, in “Informatica e diritto”, 1975, 1, pp. 26-35. 12 Per un percorso più puntuale che descrive la transizione verso l‟attuale concetto di Informatica Giuridica, si consiglia la lettura di: D. A. Limone (a cura di), Dalla giuritecnica all’informatica giuridica, Giuffré, Milano 1995. 13 Lo statuto epistemologico dell‟Informatica giuridica e i caratteri differenziali tra Informatica giuridica e Diritto dell‟Informatica in Italia sono stati ministerialmente declarati con DM 18 marzo 2005 (GU 5 aprile 2005, n. 78) collocando il Diritto dell‟Informatica nel raggruppamento disciplinare IUS/01 – Diritto Privato e l‟Informatica giuridica nel raggruppamento disciplinare IUS/20 – Filosofia del diritto. 14 Cfr. L. Loevinger, The Industrial Revolution in Law, MULL, 2, 2, 1960, pp. 56-62. 3 Da questo originario intendimento della disciplina risulta abbastanza chiaro quale fosse il campo entro cui comprendere, in quel periodo, tale scienza: quello, per l‟appunto, dell‟utilizzazione dell‟elaboratore elettronico per fini di documentazione, vale a dire per il reperimento dell‟informazione, nonché l‟applicazione dei modelli logici (della logica simbolica) alle norme ed alle attività giuridiche, fermo restando che la previsione delle sentenze future (la cosiddetta analisi beavioristica delle decisioni) è rimasta ed è destinata a rimanere altamente improbabile. La definizione dell‟Informatica giuridica, quanto meno in Italia, è oggi orientata ad una applicazione più pratica. Il 28 giugno 2005, l‟ANDIG (Associazione nazionale docenti di informatica giuridica), si riuniva a Roma presso la Facoltà di Giurisprudenza dell‟Università “La Sapienza”, con all‟ordine del giorno la definizione di “Informatica Giuridica”, meno frammentaria di quella utilizzata sia dalla comunità scientifica che dall‟uso comune. In quell‟occasione veniva proposto un documento15 dalla cui discussione sarebbe scaturito il progetto di un Convegno nazionale dal titolo “L‟informatica giuridica oggi” tenutosi a Roma, il 1 dicembre 2005, sempre presso la Facoltà di Giurisprudenza, Università “La Sapienza” 16. In base alle risultanze del Convegno: “L‟informatica giuridica è, nel novero delle varie discipline giuridiche, quella, particolare, unitaria e autonoma, che ha per oggetto sia il diritto dell’informatica che l’informatica del diritto. Il primo ha per oggetto lo studio delle leggi che regolano l‟uso del computer ed è, quindi, un diritto specializzato, analogo a tutti gli altri diritti particolari, quali, ad esempio, il diritto industriale, bancario, il diritto d‟autore, della navigazione, della circolazione stradale etc. Il secondo, invece, studia le ragioni e le modalità dell‟influenza che l‟informatica può avere sull‟evoluzione del diritto, fornendo nuovi strumenti per la sua conoscenza (soprattutto attraverso la ricercabilità computerizzata della legislazione, della giurisprudenza e della dottrina), affrontando il problema dell‟applicabilità automatica della legge con conseguente studio delle differenze e delle affinità tra legislazione e software, prospettando la possibilità di migliorare la formulazione delle leggi attraverso tecniche informatiche e, infine, di gestire i processi telematicamente. 15 16 2007. Limone D., Contributo per la definizione di Informatica giuridica, Assemblea Andig, Roma, 28 giugno 2005. Cfr. N. Palazzolo (a cura di), L'informatica giuridica oggi, ESI, Napoli, 2007; Collana ITTIG-CNR, Serie "Studi e documenti", 7, 4 Entrambe le componenti dell‟informatica giuridica hanno, come presupposto indefettibile e comune denominatore, l‟analisi della natura, delle caratteristiche, delle possibilità e dei limiti d‟uso del computer”17. Un‟ultima, ed aggiornata, definizione dell‟Informatica giuridica si è avuta a seguito del documento congiunto predisposto dai Professori Ordinari di settore Donato A. Limone (UniTelma-La Sapienza e già Direttore del Laboratorio eGovernment dell‟Università del Salento) e Giovanni Sartor (Centro Interdipartimentale di Ricerca in Storia, Filosofia e Sociologia del Diritto e Informatica Giuridica dell'Università di Bologna – CIRSFID) e diffuso per una condivisione nell‟ambito della comunità accademica di riferimento, ovvero la Società Scientifica di Filosofia del Diritto (SIFD), in data 3 aprile 2014 dal suo Presidente Francesco Viola. In base a questa recente definizione di Informatica giuridica, la materia oggi si articola in una serie di settori, del tutto in linea con l‟evoluzione tecnologica e giuridica18. La posizione assunta dal documento congiunto del prof. Donato A. Limone e del prof. Giovanni Sartor è stata condivisa anche dalle Associazioni Scientifiche ANDIG (Associazione nazionale dei Docenti di Informatica Giuridica e Diritto dell‟Informatica) e SIIG (Società Italiana di Informatica Giuridica), come emerso nel Convegno nazionale ANDIG del 18 novembre 2014 tenutosi in Roma presso l‟Università TELMA - La Sapienza e confermato, per contenuti e discussione, nel successivo Convegno nazionale 17 Nota di Renato Borruso (Presidente On. Aggiunto Corte Suprema di Cassazione. Già Dir. del Centro Elettronico di Documentazione della Corte medesima (CED). Docente di Informatica presso la Facoltà di Giurisprudenza della Luiss – Roma), prodotta durante la riunione dell‟ANDIG e datata 13 giugno 2005. 18 Di seguito i settori elencati dall‟ANDIG: accessibilità totale e trasparenza; agenda digitale; amministrazione digitale; amministrazione e Web 2.0; amministrazione Trasparente; banche dati giuridici; big data; cloud computing (nuvola informatica, nella P.A., nel trattamento dei dati sanitari, etc.); Codice dell'Amministrazione Digitale; controllo sociale mediante le tecnologie; criminalità informatica; crittografia e diritto; dati aperti; democrazia elettronica; diritti umani e società dell'informazione; documentazione giuridica (information retrieval) automatica; eDiscovery (tecnologie per la identificazione e raccolta di elementi di prova registrati in forma digitale); eLearning nel settore giuridico; giustizia telematica; governance di internet; identità digitale; informatica forense; informatica parlamentare; informatica per le professioni legali; ingegneria della conoscenza giuridica; intelligenza artificiale e diritto; legimatica (informatica nella normazione); liberation technologies (tecnologie informatiche per la liberazione); licenze Aperte e interoperabilità; linguaggi di marcatura e diritto; linguaggi informatici e diritto; logica deontica, modale e diritto; media civici (Civic media); metodologie e tecniche avanzate per la normazione; metodologie e tecniche di digitalizzazione; modelli connessionistici del ragionamento giuridico; modelli di smart cities (città intelligenti); modelli di smart innovation (innovazione intelligente); modelli formali della conoscenza giuridica; modelli formali del ragionamento giuridico; modelli formali dell'argomentazione giuridica; modelli formali della conoscenza giuridica; neutralità di Internet; norme tecniche per il processo telematico; norme tecniche sulle firme elettroniche, sulla posta elettronica certificata, sul Sistema Pubblico di Connettività; ontologie giuridiche formali; parlamenti trasparenti e accessibili; privacy by design e privacy by default; profilazione dell'utente; programmazione logica e diritto; protocollo informatico e la conservazione informatica dei documenti; requisiti dei dati pubblici digitali; robotica e diritto; sanità digitale; scuola digitale; sicurezza delle tecnologie per i minori; sicurezza informatica; sistemi esperti; sistemi per il ragionamento basato sui casi; sistemi per il supporto all‟argomentazione; sistemi per la raccolta e gestione delle prove; siti web delle P.A.; società dell'informazione; standard e modelli di documento; stato digitale; tecnologia, politica e diritto dei dati digitali; tecnologia, politica e diritto dei documenti elettronici (dalla crittografia alle firme elettroniche); tecnologia, politica e diritto del commercio elettronico; tecnologia, politica e diritto del software e dei contenuti digitali; tecnologia, politica e diritto dell‟automazione digitale (dal software alla robotica); tecnologia, politica e diritto della protezione dei dati; telelavoro; tutela dei dati personali trattati; elettronicamente; università telematica; voto elettronico. 5 ANDIG del 26 settembre 2015 svoltosi a Lecce19. SIIG, ANDIG, SIFD e altre associazioni e professionisti del settore hanno poi proceduto all‟invio nel maggio 2016 di una “Lettera aperta al Governo sul ruolo dell‟Informatica Giuridica nella formazione del Giurista”20. La lettera pone in immediato risalto il “Rinascimento digitale” che caratterizza l‟odierna fase storica, all‟interno del quale l‟Informatica Giuridica è da considerarsi una disciplina fondamentale per la comprensione, la regolazione, la gestione delle tecnologie applicate al diritto. Riferimento primario di ogni iniziativa volta a rendere più razionale ed efficiente l‟applicazione del diritto, nell‟amministrazione della giustizia così come nella pubblica amministrazione. In particolare relativamente alle Università, l‟intento è di promuovere l‟Informatica Giuridica nelle Scuole di Giurisprudenza, quale elemento necessario della formazione giuridica. Nell‟ambito del settore scientifico disciplinare IUS/2021, l‟Informatica Giuridica promuove ricerche su temi di Informatica, Logica e Diritto, ne coltiva gli aspetti interdisciplinari, cura i collegamenti con studiosi di discipline connesse. Per studiare i fenomeni emergenti delle nuove tecnologie, analizzare con senso critico l‟azione del diritto positivo nell‟introdurre le tecnologie all‟interno della società civile, e proporre soluzioni di innovazione tecnologica e sociale efficaci ed eticamente corretti, l‟Informatica Giuridica deve applicare conoscenze tecnologiche e giuspositive con consapevolezza filosofico-giuridica e socio-giuridica. il tutto 19 Per un approfondimento dei contenuti dei Convegni ANDIG del 2014 e 2015 si rinvia al sito associativo consultabile all‟URL: http:// www.andig.it. 20 Nello specifico la lettera è stata inviata a: Ministero dell‟Istruzione, dell'Università e della Ricerca, dott.ssa Stefania Giannini; Ministero della Giustizia, dott. Andrea Orlando; Ministro per la Semplificazione e la Pubblica Amministrazione, dott.ssa Marianna Madia. Di seguito i firmatari della lettera: Monica Palmirani, professore di Informatica Giuridica, Università degli Studi di Bologna e Presidente della Società Italiana di Informatica Giuridica; Giovanni Sartor, professore di Informatica Giuridica, Università degli Studi di Bologna e presso l‟Istituto Europeo di Firenze, referente per l‟Informatica Giuridica all‟interno della Società Italiana di Filosofia del diritto; Carla Faralli, professore di Filosofia del Diritto, Università degli Studi di Bologna, Direttore del CIRSFID e Presidente della Società Italiana di Filosofia del diritto; Donato Limone, professore di Informatica Giuridica, Università degli Studi di Roma Unitelma Sapienza e Presidente dell‟Associazione Nazionale Docenti Informatica Giuridica e Diritto dell‟Informatica; Agata Amato Mangiameli, professore di Filosofia del Diritto e di Informatica Giuridica, Università degli Studi di Roma Tor Vergata e Coordinatore del Centro studi giuridici “Di-con- per donne”; Luisa Avitabile, professore di Filosofia del Diritto e Direttore del Dipartimento di Scienze Giuridiche de l‟Università La Sapienza di Roma; Ugo Pagallo, professore di Filosofia del Diritto e di Informatica Giuridica, Università degli Studi di Torino; Giuseppe Corasaniti, professore di Informatica Giuridica, Dipartimento di Informatica de l‟Università La Sapienza di Roma; Francesco Romeo, professore di Informatica Giuridica, Università degli Studi di Napoli Federico II; Giovanni Ziccardi, professore di Informatica Giuridica, Università degli Studi di Milano; Marco Mancarella, professore di Informatica Giuridica, Università del Salento di Lecce e Direttore del Laboratorio di eGovernment; Stefano Pietropaoli, professore di Filosofia del Diritto e Informatica Giuridica, Università di Salerno; Sebastiano Faro, Direttore dell‟ITTIG-CNR Andrea Lisi, Presidente ANORC; Fernanda Faini, Presidente del Circolo Giuristi Telematici; Guido Scorza, professore a contratto del Master in Diritto delle Nuove Tecnologie dell‟Università di Bologna. Associazioni firmatarie, invece: ANDIG, SIIG; SIFD; ITTIG; ANORC; Circolo dei giuristi informatici. 21 La declaratoria MIUR del settore IUS/20 è contenuta nel DM 18 marzo 2005, in base al quale: “Il settore comprende gli studi relativi alla dimensione ontologica, assiologica, deontologica ed epistemologica del diritto. Gli studi si riferiscono, altresì, alla teoria generale del diritto e dello Stato, nonché ai profili filosofico-giuridici della sociologia giuridica, della bioetica, dell‟informatica giuridica e della retorica”. 6 sia in corsi universitari deputati alla formazione giuridica ma anche in quelli rivolti agli operatori informatici. La lettera conclude con una precisa richiesta rivolta al Governo: che lo stesso, nell‟ambito della più ampia azione della Strategia per la crescita digitale 2014-20208, dell‟Agenda Digitale, delle Competenze digitali, delle azioni di riforma del paese, possa introdurre, e in alcune realtà preservare (e.g., l‟Università di Bologna e l‟Università degli Studi di Roma Unitelma Sapienza hanno introdotto l‟Informatica Giuridica obbligatoria dal 2005-2006 D.M. 270/04), l‟insegnamento di queste competenze digitali fondamentali per la crescita della cittadinanza digitale, per l‟economia della società dell‟informazione e l‟industria 4.0. Il processo di piena legittimazione della materia, come delineata nei documenti promossi da ANDIG e SIIG, si è concretizzato con la riforma del CAD del settembre 2016 (D.Lgs. n. 179/2016). Nella sua fase finale la riforma ha visto l‟apporto di una serie di Gruppi tematici coordinati da Fernanda Faini, Presidente del Circolo dei Giuristi telematici: Gruppo "Identità e cittadinanza digitale, organizzazione, sistemi e servizi" coordinato da Monica Palmirani (CIRSFID); Gruppo “Documenti informatici e digitalizzazione dei procedimenti amministrativi" coordinato da Andrea Caccia (UNINFO); Gruppo "Dati e sistema pubblico di connettività" coordinato da Nello Iacono (Stati Generali dell'Innovazione). La riforma ha condotto all‟espresso inserimento dell‟Informatica giuridica in alcuni articoli del CAD: - art. 8 “Alfabetizzazione digitale”: “Lo Stato e i soggetti di cui all'articolo 2, comma 2 [le Pubbliche Amministrazioni], promuovono iniziative volte a favorire la diffusione della cultura digitale tra i cittadini con particolare riguardo ai minori e alle categorie a rischio di esclusione, anche al fine di favorire lo sviluppo di competenze di informatica giuridica e l'utilizzo dei servizi digitali delle pubbliche amministrazioni con azioni specifiche e concrete, avvalendosi di un insieme di mezzi diversi fra i quali il servizio radiotelevisivo”; - art. 13 “Formazione informatica dei dipendenti pubblici”: “Le pubbliche amministrazioni [...] attuano anche politiche di formazione del personale finalizzate alla conoscenza e all'uso delle tecnologie dell'informazione e della comunicazione, nonchè dei temi relativi all'accessibilità e alle tecnologie assistive [...]. Le politiche di formazione [...] sono altresì volte allo sviluppo delle competenze tecnologiche, di informatica giuridica e manageriali dei dirigenti, per la transizione alla modalità operativa digitale”; - art. 17 “Strutture per l‟organizzazione, l‟innovazione e le tecnologie”: “Le pubbliche 7 amministrazioni garantiscono l'attuazione delle linee strategiche per la riorganizzazione e la digitalizzazione dell'amministrazione definite dal Governo in coerenza con le regole tecniche di cui all'articolo 71. A tal fine, ciascuno dei predetti soggetti affida a un unico ufficio dirigenziale generale, fermo restando il numero complessivo di tali uffici, la transizione alla modalità operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di un'amministrazione digitale e aperta, di servizi facilmente utilizzabili e di qualità, attraverso una maggiore efficienza ed economicità [...] Il responsabile dell'ufficio di cui al comma 1 e' dotato di adeguate competenze tecnologiche, di informatica giuridica e manageriali e risponde, con riferimento ai compiti relativi alla transizione, alla modalità digitale direttamente all'organo di vertice politico”. Volendo riassumere, con la riforma del CAD realizzata dal D.Lgs. n. 179/2016 l‟Informatica giuridica ha acquisito un ruolo centrale sia per lo sviluppo di una “cultura digitale” del cittadino (art. 8), che sotto il profilo formativo nella Pubblica Amministrazione (art. 13), ove il nuovo ruolo dirigenziale di Chief Digital Officer - Ufficio unico dirigenziale per la transizione alla modalità operativa digitale dovrà necessariamente essere svolto da soggetti con un‟adeguata preparazione in materia (art. 17). In conclusione, nel lungo excursus degli step fondamentali che negli ultimi anni hanno finalmente delineato al meglio in Italia, e al passo con i tempi, la materia dell‟Informatica giuridica, occorre citare anche la Deliberazione del Consiglio e dell‟Ufficio di Presidenza della SIFD - 11 novembre 2016, nella quale è stato accolto l‟”Appello dei docenti di ANDIG e SIIG alla SIFD”. L‟appello deliberato parte dal presupposto che ogni giurista deve, quindi, acquisire padronanza e consapevolezza dei fondamenti dell‟Informatica, delle sue applicazioni in ambito giuridico, e dei relativi problemi giuridici e teorico-giuridici per meglio esercitare il suo ruolo professionale nel settore privato e nel settore pubblico. Inoltre, il giurista esperto di informatica giuridica può dare uno specifico contributo allo sviluppo delle applicazioni informatico-giuridiche e far sì che esse operino nel rispetto delle norme e dei valori del diritto. Da ciò consegue che la formazione informatico-giuridica richiede un‟adeguata introduzione ai fondamenti dell‟informatica giuridica, completabile con opportuni insegnamenti specialistici. ANDIG e SIIG suggeriscono la seguente articolazione: 8 ● Formazione Universitaria: - insegnamento obbligatorio: Informatica giuridica 6 crediti - Laurea Magistrale, Scienze Giuridiche (settore scientifico disciplinare IUS/20); - insegnamenti Opzionali: Intelligenza Artificiale e Diritto; Metodologie e tecniche della normazione; Diritto dell‟amministrazione digitale; Protezione Dati personali; Social Network e Diritti; Diritto della Sanità Digitale; Diritto della Sicurezza Informatica; Informatica Forense; ● Formazione post-universitaria: Master; Corsi di perfezionamento; ● Formazione professionale: Corsi di specializzazione; ● Ricerca: Dottorato nel settore scientifico disciplinare IUS/20. L‟appello si conclude con la richiesta che ogni commissione di abilitazione alla qualifica di Professore di I e II fascia venga supportata da acclarate competenze informatico-giuridiche presenti nel raggruppamento IUS/20. L‟accoglimento dell‟appello da parte della SIFD sarà di certo foriero di un rafforzamento della disciplina negli anni. 1.2. Internet L‟“Era digitale” in cui viviamo si caratterizza per alcuni suoi profili particolarmente evidenti. Innanzitutto, in essa la rappresentazione di ogni forma espressiva umana (testi, suoni, immagini) avviene attraverso la tecnologia digitale, tramite la quale ogni informazione può essere trattata ed elaborata. Una tecnologia, per taluni, da intendersi come vero e proprio “corpo esteso”, vivente, dotato di autonomia evolutiva: il “Technium”. Un “corpo esteso”, costituito da flussi immateriali di informazioni, che detiene connessioni profonde non solo con la mente umana, poiché di esso espressione prima, ma anche con la vita ancestrale e con altri sistemi auto-organizzati. Il tratto più saliente dell‟Era digitale è, però, un altro: l‟avvenuta convergenza tra le tecnologie informatiche e quelle della comunicazione, convergenza rappresentata dal concetto di “Information and Communication Technology” (I.C.T.). A partire dall‟ultimo decennio del secolo scorso, la “convergenza digitale” è divenuta un fenomeno 9 progressivamente sempre più concreto e rilevante su scala globale, sia sotto il profilo economico che normativo. Ciò ha indotto la Commissione Europea ad individuare nel “Libro verde sulla convergenza tra i settori delle telecomunicazioni, dell‟audiovisivo e delle tecnologie dell‟informazione” del 3 dicembre 1997 le seguenti possibili definizioni di “convergenza digitale”: “capacità di differenti piattaforme di Rete di gestire servizi di tipo fondamentalmente simile o unificazione di apparecchiature di largo consumo (ad esempio telefono, televisione e computer)” (Cap. I.1 del Libro Verde). La convergenza tecnologica, però, non si è potuta realizzare, se non con il supporto e la parallela affermazione in ambito Europeo e poi nazionale, di un principio cardine in ambito digitale: il principio di “neutralità tecnologica”, da intendersi come “non discriminazione tra particolari tecnologie, non imposizione dell‟uso di una particolare tecnologia rispetto alle altre e possibilità di adottare provvedimenti ragionevoli al fine di promuovere taluni servizi indipendentemente dalla tecnologia utilizzata”22. Ovviamente, il concetto di “tecnologia” contiene anche quello di Reti telematiche e, quindi, di Internet. Per tali ragioni, la Commissione Europea il 18 dicembre 2009 ha emanato una “Dichiarazione sulla neutralità della Rete”, nella quale si legge: “La Commissione ritiene che sia della massima importanza conservare l‟apertura e la neutralità di Internet, tenendo pienamente conto della volontà dei co-legislatori di dichiarare la neutralità della Rete come obiettivo politico e principio della regolamentazione che dovrà essere promosso dalle autorità nazionali di regolamentazione, rafforzare i correlati requisiti di trasparenza e conferire strumenti di salvaguardia alle Autorità nazionali di regolamentazione per prevenire il degrado dei servizi e intralci o rallentamenti del traffico sulle reti pubbliche”. Come facilmente comprensibile da quanto sinora detto, il processo d‟innovazione della comunicazione tra gli esseri umani, concretizzatosi nell‟ultimo ventennio a seguito dell‟avvento di Internet, costituisce oggi l‟aspetto saliente dell‟Era digitale, la sua reale ossatura intorno alla quale il settore pubblico e privato è oramai costretto a ruotare. I primi passi della Rete sono rinvenibili nell‟ano 1969, quando il Ministero della Difesa Statunitense creò un'agenzia, ARPA, preposta allo sviluppo di una rete che potesse reggere al bombardamento nucleare, garantendo la continuità di comunicazione tra località diverse. Il progetto coinvolse centri di ricerca, università e qualche azienda privata, tutti in qualche 22 Definizione contenuta nel Codice delle comunicazioni elettroniche (D. Lgs. n. 259/03 art. 4 co. 3 lett. h)). Sul tema si veda: G. Pascuzzi, Il diritto dell’era digitale, Bologna, Il Mulino, 2010, pp. 14-23. 10 modo legati all'attività militare e dotati di computer che all'epoca costituivano quanto di più moderno la tecnologia informatica americana potesse offrire. Contestualmente i Bell Laboratories (famoso centro di ricerca americano di proprietà di AT&T) stavano lavorando allo sviluppo del sistema operativo Unix, che sarebbe diventato uno standard per il mondo accademico e della ricerca e anche per molte applicazioni militari. L'unione di questi filoni avrebbe portato a quello che oggi è Internet, ma il percorso è costellato di alcuni eventi determinanti. Il primo appalto per la costruzione della rete fu concesso a una società chiamata Bolt, Beranak and Newman (BBN) che collegò quattro università diverse: Stanford University, UCLA (University of California at Los Angeles), UCSB (Univesity of California at Santa Barbara) e la University of Utah, usando linee telefoniche e installò in ciascuna di queste un IMP (Information Message Processor), vale a dire un particolare computer che gestiva il traffico in rete. L'IMP fungeva da intermediario tra linee di connessione e mainframe, i grandi elaboratori centralizzati su cui all'epoca risiedevano tutte le informazioni e tutti i programmi. L'impianto divenne attivo il 2 settembre 1969 e così nacque ARPANET. Tutto il traffico che viaggiava su queste connessioni non era confidenziale e serviva prevalentemente a titolo di ricerca e sperimentazione. All'epoca i sistemi per trasmettere messaggi da una località all'altra non erano molto efficaci e il primo obiettivo dei ricercatori fu proprio quello di trovare soluzioni funzionali per convogliare i pacchetti su Arpanet. Decisero di adottare un modello il cui sviluppo era già iniziato in Europa (per opera del National Physics Lab inglese e della Sociètè Internationale de Tèlècommunications Aeronatiques francese) e che sarebbe poi diventato comune in molti altri sistemi di comunicazione: la commutazione di pacchetto. Mediante questa tecnica, i messaggi e le informazioni vengono suddivisi in pacchetti di lunghezza fissa e ogni singolo pacchetto diventa un'entità a se stante, capace di viaggiare sulla rete in modo completamente autonomo perchè dotata al proprio interno dell'indirizzo sia di provenienza sia di destinazione. Non è importante che tutti i pacchetti che compongono un determinato messaggio rimangano uniti durante il percorso e non è nemmeno indispensabile che arrivino nella sequenza giusta. Le informazioni che essi convogliano al proprio interno sono sufficienti per ricostruire, una volta arrivati a destinazione, l'esatto messaggio originale, indipendentemente dal percorso seguito da ciascuno dei suoi frammenti. Grazie a questo 11 sistema si ottengono due benefici immediati: qualunque sia lo stato della rete, il pacchetto può sempre trovare una via alternativa per giungere alla propria destinazione (requisito utile per gli obiettivi militari e per chiunque desideri avere un impianto il più possibile resistente ai guasti, anche a quelli accidentali). Inoltre i vari pacchetti provenienti da fonti diverse possono essere convogliati tutti assieme su una singola linea ad alta velocità anzichè dover ricorrere a tante linee separate, usate solo parzialmente. Si riesce in questo modo a condensare il traffico su una linea collegata in permanenza che ripartisce dinamicamente la propria capienza tra i vari computer collegati e che, in ogni caso, è quasi sempre attraversata da qualche tipo di traffico e perciò giustifica il proprio costo. Se la linea venisse usata da una singola macchina o da poche macchine, resterebbe quasi sempre inattiva visto che anche l'utente più veloce passa la maggior parte del tempo a lavorare in locale (leggendo quello che gli è arrivato dalla rete o preparando una risposta) e solo molto sporadicamente trasmette o riceve qualcosa. In effetti Internet usata con un modem su linea commutata, cioè la linea normale telefonica, non è molto efficiente poiché esistono numerosi tempi morti dovuti al nostro personale modo di lavorare e al ritardo di reazione dei server con cui chiediamo di collegarci. Il primo protocollo sviluppato per la commutazione di pacchetto su ARPANET si chiamava NCP (Network Control Protocol), ma non era particolarmente efficiente. Col passare del tempo i progettisti di Arpanet definirono un insieme di circa 100 protocolli per regolare il trasferimento dei pacchetti e questo insieme si è evoluto in quella che noi oggi conosciamo con il nome di Internet Protocol Suite: una raccolta di standard trasmissivi che verte su due protocolli primari, il Transmission Control Protocol (TCP) e l'Internet Protocol (IP), più molti altri secondari che consentono la comunicazione tra computer e reti molto diverse. La prima definizione di tali protocolli risale al 1973 e nel 1974 Vincent Cerf e Robert Kahn ne stilarono le caratteristiche su un documento intitolato IEEE Transactions on Communications (l‟Institute of Electrical and Electronics Engineers è l'associazione di categoria che riunisce tutti gli ingegneri americani). Quello stesso anno fu pubblicata la prima specifica per i protocolli da utilizzare su Internet. Si dovette attendere fino al 1 gennaio 1983 per l'adozione ufficiale dell'intera Internet Protocol Suite. Tornando un attimo indietro nel tempo vediamo che il 1972 rappresentò un'altra tappa importante: l'Università dello Utah realizzò un sistema per controllare un computer a distanza su Arpanet e divenne possibile trasferire file da un computer all'altro per mezzo 12 del protocollo FTP (File Transfer Protocol). Combinando tcp/ip ed ftp si era giunti al coronamento dell'obiettivo tecnologico di ARPANET: trasferire dati da un punto all'altro della rete. Quel che ancora rimaneva da dimostrare era se i dati sarebbero potuti fluire tra due macchine di tipo anche diverso, utilizzando i tipi più disparati di collegamento (incluso l'etere). L'esperimento chiave in questo senso fu condotto nel 1978: un computer che viaggiava a bordo di un camion su un'autostrada californiana inviò dati a un altro computer che si trovava a Londra. Il camion era collegato via radio con un terzo computer in California, il quale inoltrava le informazioni sulla rete, queste attraversavano l'intero continente nordamericano su linee terrestri e infine superavano l'Atlantico per mezzo di una connessione satellitare. Già nel 1980 ARPANET si trasformò in uno strumento vitale per le università e per i centri di ricerca americani, che avevano un bisogno sempre maggiore di scambiare informazioni e di coordinare le proprie attività. Nacque così la posta elettronica che si affiancava al semplice trasferimento di file, che aveva costituito la prima applicazione di ARPANET. Nel 1983 Internet divenne a tutti gli effetti la rete delle reti, utilizzando ARPANET come dorsale (rete ad alta velocità che unisce tra loro altre reti locali). Tuttavia restavano ancora esclusi tutti quegli atenei che non avevano rapporti con il Dipartimento della Difesa. Al fine di risolvere questo problema e di estendere l'accesso a tutti gli interessati, il Dipartimento della Difesa creò una propria rete alternativa, detta MILNET, così da non dover più dipendere esso stesso da ARPANET e da lasciare campo libero al mondo accademico, mentre il governo americano istituì la National Science Foundation (NSF) con il duplice scopo di fornire risorse di elaborazione alle università (mediante l'uso centralizzato di supercomputer) e di favorire la crescita di un sistema di comunicazione veloce tra queste ultime. Nei primi anni Ottanta la NSF costruì CSNET, una rete che univa le varie facoltà d'informatica statunitensi; alla fine degli anni Ottanta costituì NSFNET con lo scopo dichiarato di rimpiazzare Arpanet per mezzo di una rete dorsale alternativa. La transizione è stata relativamente lunga e in effetti ARPANET è stata smantellata definitivamente solo nel 1990. Nel 1991 il governo degli Stati Uniti ha emanato una legge, l'High Performance Computing Act, che decretava la nascita della National Research and Education Network (NREN detta anche "autostrada elettronica") il cui scopo è quello di costituire reti ad alta velocità 13 che uniscano le varie università e i vari centri di ricerca americani, fornendo anche l'infrastruttura per eventuali attività commerciali. Sempre quello stesso anno, il CERN (Consiglio Europeo per la Ricerca Nucleare) poneva le basi per una nuova architettura capace di semplificare enormemente la navigazione di Internet, la World Wide Web. Nel 1993 è stato inventato il primo strumento grafico per esplorare Internet, il programma Mosaic. A partire dal 1994 la World Wide Web ha trasformato Internet in un fenomeno di massa e oggi esistono dorsali alternative a NSFNET che servono sia per aumentare la quantità di traffico che può circolare su Internet sia per consentire la presenza di servizi commerciali che sono vietati nel contesto accademico definito dalla National Science Foundation. A differenza delle quattro università che parteciparono alla versione originale di Arpanet, l‟Internet moderna si compone di migliaia di singole reti, ciascuna che raccoglie a sua volta un numero più o meno grande di host (macchine individuali). Il termine non si riferisce ai singoli oggetti fisici al suo interno, bensì allo spazio complessivo che questo insieme di computer rappresenta e che può essere attraversato in lungo e in largo da chi cerca notizie, documenti, messaggi e file da scaricare. La natura dei protocolli tcp/ip è tale da consentire l'interconnessione dei network più eterogenei: dalle LAN convenzionali (come Ethernet) alle reti geografiche che si spargono sul territorio attraverso l'impiego di linee telefoniche più o meno veloci, governate coi metodi trasmissivi più disparati. Non esiste computer al mondo che non possa dialogare con il tcp/ip e questo comprende i personal computer, i mini computer e i grandi mainframe (i mostri da centro di calcolo). Il sistema fisico di connessione può essere il più vario: fibra ottica per le grandi distanze, cavo coassiale e doppino telefonico, satellite, onde radio, raggi infrarossi. Si tratta di un mondo in continua trasformazione, con pezzi che si aggiungono e pezzi che scompaiono, ma nel suo insieme lo spazio Internet è sempre disponibile, a qualsiasi ora, e la sua esistenza non dipende dall'iniziativa di una singola azienda oppure di un singolo governo. L'universalità di questa rete consente agli utenti di scegliere il computer e i programmi che preferiscono, di decidere liberamente il tipo di connessione da utilizzare (modem su linea privata, linea ISDN, rete locale con collegamento geografico ad alta velocità)23. 23 La ricostruzione storica della genesi di Internet è tratta dalla pagina web del Dipartimento di di informatica e automazione dell‟Università Roma Tre: http://www.dia.uniroma3.it/~necci/storia_internet.htm, consultato nel mese di dicembre 2014. 14 1.3.1. Diritto ad Internet L‟analisi del diritto ad Internet e della possibilità di qualificarlo come diritto fondamentale parte dalla Francia, Paese nel quale il dibattito politico e giuridico sul tema si è sviluppato da diversi anni. Il Consiglio Costituzionale francese24, con Décision n. 2009-580 del 10 giugno 2009, ha stabilito che la connessione a Internet è un diritto fondamentale del cittadino e che quindi nessuna autorità può alienarlo. Più precisamente, il Consiglio Costituzionale francese ha deliberato che la H.A.D.O.P.I.25, l‟alta autorità che dovrebbe staccare la connessione Internet dopo tre avvertimenti a tutti coloro che fossero presi a scaricare file in modo illegale, non potrà mettere in atto questa sua facoltà repressiva. La bozza di Legge istitutiva della H.A.D.O.P.I. viene riconosciuta come costituzionale nei suoi intendimenti, di protezione della proprietà intellettuale, ma è da riscrivere per quanto attiene all‟aspetto repressivo26. Il Consiglio Costituzionale motiva dicendo che Internet rappresenta un “diritto alla libertà di espressione” e sanzionare coloro che trasgrediscono alle leggi non spetta ad una “autorità” ma alla giustizia. Il Consiglio Costituzionale francese, in altre parole, ha affermato che la libertà di comunicazione e di espressione, enunciata dall‟art. 11 della “Dichiarazione dei Diritti dell‟Uomo e del Cittadino”, fin dal 1789 è oggetto di una costante giurisprudenza protettrice da parte del Consiglio Costituzionale. Ed ancora che questa libertà implica, oggi, la libertà di accedere ai servizi pubblici di comunicazione online, avuto riguardo allo sviluppo generalizzato dell‟Internet e alla sua partecipazione alla vita democratica in funzione della libertà di espressione e diffusione delle idee. In sostanza, traendo spunto anche da quanto affermato dal Parlamento Europeo con una Raccomandazione destinata al Consiglio del 26 marzo 2009, l‟organo costituzionale francese ha ribadito che Internet è uno strumento per formare e manifestare il pensiero, accedere alla Rete è un diritto fondamentale del cittadino, e solo al termine di un regolare processo e del parere 24 Il Consiglio costituzionale francese svolge in larga parte le medesime funzioni che nel nostro Paese sono svolte dalla Corte Costituzionale, ovvero si pone come Giudice delle Leggi. 25 “H.A.D.O.P.I.” è l‟acronimo del nome dell‟ente di monitoraggio e controllo che il Governo francese intendeva creare: “Haute Autorité pour la Diffusion des Oeuvres et la Protection des droits sur Internet”. 26 Questa legge fa seguito alla Direttiva 2001/29/CE, recepita nell‟ordinamento francese con la Legge sul “Droit d‟Auteur et aux Droits Voisins dans la Société de l‟Information – D.A.D.V.S.I.” del 3 agosto 2006, che tutela specificatamente i diritti di autore su Internet. Successivamente all‟intervento del Consiglio Costituzionale, la Legge H.A.D.O.P.I., depurata delle parti definite incostituzionali, è stata emanata il 12 giugno 2009. La Legge H.A.D.O.P.I. è stata poi completata da una successiva Legge, denominata “H.A.D.O.P.I. 2”, adottata dal Senato il 15 settembre 2009. 15 dell‟autorità giudiziaria è possibile comprimere questo diritto. Non possono quindi essere le major che si arrogano il diritto di “scandagliare” la Rete alla ricerca di downloads illegali, non possono essere gli Internet Service Provider (I.S.P.) di propria iniziativa ad inviare all‟utente minacciose missive di disconnessione dalla Rete, non può essere una società (pubblica o privata che sia) a gestire il regolare accesso ad Internet e/o sanzionare amministrativamente chi adotta comportamenti illeciti. La giustizia non è un fatto privato. Nelle democrazie esiste un organo, la Magistratura, preposto all‟esercizio di simili funzioni. Un cittadino ha dunque pieno diritto di accesso alla Rete e solo un tribunale può decidere di sanzionarlo (civilmente e/o penalmente) se dovesse agire illegalmente. Tale decisione segna un‟epoca. Infatti, è la prima volta che un‟autorità stabilisce in modo inequivocabile che l‟accesso a Internet fa parte dei diritti fondamentali di espressione. Il tema della necessità di garantire una tutela del diritto d‟accesso ad Internet è stato affrontato da più parti, e attraverso diversi tipi di documenti. L‟Italia non è rimasta esclusa da tale discussione, ma vi ha partecipato attivamente attraverso la proposta di una riforma costituzionale che preveda una specifica tutela di Internet. L‟iniziativa è sorta nell‟ambito dell‟“Internet Governance Forum”27 tenutosi a Roma nel novembre 2010, nel corso del quale Rodotà, già Presidente dell‟Autorità Garante per la protezione dei dati personali, ha proposto l‟inserimento nella Costituzione italiana di un art. 21-bis espressamente a tutela di Internet, il cui testo afferma: “Tutti hanno eguale diritto di accedere alla rete Internet, in condizione di parità, con modalità tecnologicamente adeguate e che rimuovano ogni ostacolo di ordine economico e sociale. La legge stabilisce provvedimenti adeguati a prevenire le violazioni dei diritti di cui al Titolo I della parte I.” Questa proposta s‟inscrive nell‟ambito dei principi costituzionali posti a tutela della libera costruzione della personalità e dell‟eguaglianza tra i cittadini e non si limita a superare il “divario digitale” (digital divide)28 che attualmente è ancora presente in Italia, ma intende rafforzare il principio della neutralità del mezzo Internet e della sua configurazione come bene comune, al quale deve essere garantito l‟accesso. 27 La prima edizione dell‟”Internet Governance Forum Italia” (I.G.F. Italia) si è tenuta nel 2008 su invito del Parlamento europeo di organizzate I.G.F. nazionali. L‟iniziativa, che dal 2008 viene organizzazta annualmente, si propone di riunire la comunità italiana della Rete per discutere sui temi propri dell‟I.G.F. delle Nazioni Unite. Per i dettagli sulle edizioni annuali è possibile consultare il sito istituzionale della manifestazione, all‟U.R.L.: http://www.igf-italia.it/, consultato nel mese di giugno 2013. 28 Per “divario digitale” dobbiamo intendere il divario esistente tra chi ha accesso effettivo alle I.C.T. e chi ne è escluso, in tutto o in parte, per una molteplicità di variabili: condizioni economiche, livello d‟istruzione, qualità delle infrastrutture, differenze di età o di sesso, appartenenza a diversi gruppi etnici, provenienza geografica. Per un approfondimento: L. Sartori, Il divario digitale. Inernet e le nuove disuguaglianze sociali, Bologna, Il Mulino, 2006; G. Iorio, Il divario digitale: internet e la cittadinanza elettronica, Roma, Punto di fuga, 2004. 16 L‟accesso ad Internet può essere attualmente considerato come una precostituzione della cittadinanza e della democrazia e per tale ragione va tutelato, attraverso decisioni di responsabilità pubblica che contrastino iniziative censorie. L‟intervento di Rodotà aveva condotto alla proposta di un Disegno di Legge Costituzionale, il n. 2485 del 6 dicembre 2010, di cui sono stati firmatari sedici senatori della Repubblica italiana. Nella relazione di accompagnamento si fa riferimento alla necessità di ampliare la sfera dei diritti fondamentali tutelati dal nostro ordinamento 29 per garantire l‟accesso alla rete Internet a tutti i cittadini italiani, in considerazione che l‟accesso alle reti telematiche è divenuto una componente essenziale della cittadinanza30. Poiché Internet si configura come il più grande spazio pubblico di discussione e partecipazione che l‟umanità abbia mai conosciuto, la proposta afferma che lo strumento a tutela dell‟accesso a tale mezzo debba essere necessariamente di rango costituzionale, al fine di poter garantire il diritto di partecipazione di ogni individuo lottando contro l‟analfabetismo elettronico e l‟esclusione dal dibattito democratico nell‟era elettronica. La relazione motiva la proposta di modifica costituzionale attraverso tre punti fondamentali. Il primo riguarda l‟affermazione di Internet come strumento principe per l‟esercizio della democrazia partecipata, che conduce alla necessità della sua tutela come mezzo universale ed aperto, fondato sulla libertà di espressione, sulla tolleranza e sul rispetto della privacy. Il secondo punto fa riferimento al principio che l‟accesso alle reti telematiche, in condizioni di parità ed uguaglianza, è garanzia della partecipazione democratica: pertanto il godimento di tale diritto necessita dello sviluppo della banda larga per superare il divario digitale che divide le zone periferiche dalle aree urbanizzate e diffondere i servizi che caratterizzano un‟evoluta società dell‟informazione, quali l‟apprendimento a distanza e i servizi online della Pubblica Amministrazione. Il terzo punto riguarda la necessità di porre la tutela dell‟accesso alla rete Internet sotto una norma di valore costituzionale, al fine di evitare qualsiasi limitazione di carattere autoritaristico. 29 Facendo espresso riferimento agli artt. 2, 3, 4, 15, 21 e 42 della Costituzione. 30 Nella Legislatura in corso (XVII), la proposta d‟introduzione dell‟art. 21-bis nella Carta fondamentale è stata reiterata con il Disegno di Legge n. 850, presentato alla Camera dei Dputati il 29 aprile 2013 dalla deputata on.le V. Tentori. È possibile seguirne l‟iter parlamentare all‟U.R.L.: http://www.senato.it/leg/17/BGT/Schede_v3/Ddliter/40741.htm, consultato nel mese di giugno 2013. 17 Tale proposta di Disegno di Legge non ha condotto ad una modifica costituzionale, tuttavia ha costituito un passaggio importante nel percorso verso il riconoscimento della garanzia dei diritti in Rete, i quali, per loro stessa natura ontologica, non nascono in un solo luogo e attraverso un‟unica iniziativa, ma sono in continua evoluzione. Senza giungere ad una integrazione della Carta fondamentale, con l‟introduzione dell‟art. 21-bis, vi è chi legge nel già esistente art. 21 la possibilità di nuove declinazioni interpretative, tali da donare un “nuovo volto alla libertà di manifestazione del pensiero rispetto a come è stata tradizionalmente intesa. E cioè come libertà esercitabile, sia pure non in via esclusiva, attraverso il filtro dei mezzi di comunicazione di massa: giornali, radio, televisione”31. Infatti, “si può senz‟altro affermare che Internet ha consentito il recupero della nozione di manifestazione del pensiero come libertà individuale, cioè senza “filtri”, ovvero senza mediazioni di sorta, un open network”32. La libertà telematica di manifestazione del pensiero, come implicita nell‟art. 21, presuppone necessariamente l‟accesso ad Internet, oggi strumento principe di espressione del pensiero individuale. Si giunge quindi a configurare un diritto ad Internet come un diritto di libertà informatica, espressione di un nuovo liberalismo, fermento della nuova civiltà liberale promossa dalla rivoluzione tecnologica33. Una tale interpretazione dell‟art. 21 Cost. trova un suo fondamento nella lettura, anch‟essa evolutiva, dell‟art. 19 della “Dichiarazione universale dei diritti dell‟uomo”, in base al quale: “Ogni individuo ha diritto alla libertà di opinione e di espressione incluso il diritto di non essere molestato per la propria opinione e quello di cercare, ricevere e diffondere informazioni e idee attraverso ogni mezzo e senza riguardo a frontiere”. Ricevere e diffondere informazioni e idee attraverso ogni mezzo è, quindi, un diritto dell‟uomo ed, essendo Internet il mezzo più pervasivo atto alla ricezione e diffusione di informazioni ed idee, l‟accesso stesso a tale mezzo diviene, pertanto, un diritto ai fini della realizzazione del diritto superiore tutelato dalla succitata Dichiarazione. Secondo tale interpretazione, dunque, alla “Rete delle Reti” è affidato un ruolo centrale per la società moderna, vale a dire quello di consentire l‟accesso e la realizzazione del diritto di manifestazione del pensiero, quindi del diritto di informare, ma anche del diritto di ricevere informazioni, quindi del diritto di essere informati. 31 32 33 T.E. Frosini, Il diritto costituzionale di accesso a Internet, cit., pp. 6-7. Ibidem. Cfr. T.E. Frosini, Tecnologie e libertà costituzionali, in “Il diritto dell‟informazione e dell‟informatica”, 3, 2003, pp. 487 ss. 18 Si realizza pertanto la visione di un diritto in evoluzione, in quanto l‟accesso alla Rete non può essere considerato meramente un servizio, ma soprattutto un mezzo per garantire la libertà di espressione. Considerando dunque lo sviluppo e la pervasività di Internet, nonché il ruolo acquisito da tale mezzo per la partecipazione alla vita democratica, il diritto di ricevere e diffondere informazioni ed idee si sostanzia anche attraverso la libertà di accedere ai servizi online34. La Rete si colora con le tonalità dei diritti umani e il suo regime giuridico ne risulta rafforzato, in quanto mezzo necessario ad assicurare la libertà di manifestazione del pensiero e la partecipazione alla vita democratica. Volendo ora volgere lo sguardo su scala globale e non limitata a singoli Stati, la promozione del diritto alla liberà di espressione e opinione è divenuto terreno fertile in ambito O.N.U. per una prima affermazione nel 2011, chiara e diretta, del diritto ad Internet quale diritto umano. Un passaggio importante in tal senso avviene attraverso un Rapporto delle Nazioni Unite del giugno 2011, per mezzo del documento predisposto dal relatore speciale La Rue “Sulla protezione e la promozione del diritto alla libertà di espressione e opinione”35, nel quale viene affermato che “dato che Internet è diventato un mezzo indispensabile per la realizzazione di tutta una serie di diritti umani, combattendo l‟ineguaglianza e accelerando lo sviluppo e il progresso, assicurare l‟accesso universale a Internet dovrebbe essere una priorità per tutti gli Stati”. Il rapporto esplora le tendenze e le sfide per il diritto di tutti gli individui a ricercare, ricevere e diffondere idee e informazioni di ogni genere attraverso Internet. Il relatore speciale La Rue sottolinea la natura unica e trasformativa di Internet, non solo al fine di permettere alle persone di esercitare il loro diritto alla libertà di opinione e di espressione, ma anche una serie di altri diritti umani, e di promuovere il progresso della società nel suo complesso. Il documento sottolinea l‟applicabilità delle norme e standard internazionali sui diritti umani al diritto alla libertà di opinione e di espressione attraverso il mezzo di 34 B. Carotti, L‟accesso alla rete e la tutela dei diritti fondamentali, in “Giornale di diritto amministrativo”, 6, 2010, pp. 643-649. 35 Si tratta del documento A/HRC/17/27 presentato nella XVII Sessione del Consiglio dei Diritti Umani dell‟Organizzazione delle Nazioni Unite sul tema n. 3, “Promozione e protezione di tutti i diritti umani, civili, politici, economici e culturali, incluso il diritto allo sviluppo”. 19 comunicazione Internet e precisa le circostanze eccezionali in cui la diffusione di alcuni tipi di informazioni può essere limitata. Vengono distinte due dimensioni di accesso a Internet: rispettivamente, l‟accesso ai contenuti e l‟accesso fisico all‟infrastruttura tecnica necessaria per l‟utilizzo di Internet. Più specificamente, la relazione illustra alcuni dei modi in cui gli Stati censurano sempre più frequentemente le informazioni online attraverso, in particolare: il blocco arbitrario o il filtraggio dei contenuti; la criminalizzazione della legittima espressione e l‟imposizione di responsabilità degli intermediari; lo scollegare gli utenti dall‟accesso a Internet, anche sulla base dei diritti di proprietà intellettuale; gli attacchi informatici ed una protezione inadeguata del diritto alla privacy e alla protezione dei dati. Il relatore speciale, inoltre, chiarisce il problema di un accesso universale a Internet, che dovrebbe costituire una priorità per tutti gli Stati: ogni Stato dovrebbe quindi sviluppare una politica concreta ed efficace, in consultazione con referenti provenienti da tutti i settori della società, compreso il settore privato ed i Ministeri, per rendere Internet ampiamente disponibile e accessibile a tutte le fasce della popolazione. A livello internazionale, il Relatore Speciale ribadisce il suo invito agli Stati, in particolare a quelli più sviluppati, ad onorare il loro impegno nel facilitare il trasferimento di tecnologia agli Stati in via di sviluppo e ad integrare programmi efficaci per favorire l‟accesso universale a Internet nelle loro politiche di sviluppo e di assistenza. Laddove l‟infrastruttura per l‟accesso a Internet è presente, il relatore speciale incoraggia gli Stati a sostenere iniziative volte a garantire che le informazioni online possano essere accessibili in modo significativo da parte di tutti i settori della popolazione, comprese le persone con disabilità e le persone appartenenti a minoranze linguistiche. Il relatore sottolinea, inoltre, che gli Stati dovrebbero includere l‟alfabetizzazione ad Internet nei programmi scolastici e il sostegno di moduli di apprendimento analoghi al di fuori delle scuole. Oltre alla formazione sulle competenze di base, viene affermato che alcuni moduli dovrebbero essere dedicati a chiarire i benefici di accesso online alle informazioni e al contribuire responsabilmente all‟informazione, nonché ad aiutare i cittadini a imparare a proteggersi contro i contenuti nocivi e spiegare le possibili conseguenze di rivelare informazioni private su Internet. Quindi la pervasività del mezzo ed il modo in cui Internet viene utilizzato dalle popolazioni di tutto il mondo lo fanno entrare a pieno nel novero dei diritti umani da tutelare e 20 rispettare, in quanto attraverso di esso possono essere agevolati e garantiti ulteriori diritti, quali quelli civili e politici. Tale documento ha condotto il 29 giugno 2012 alla Risoluzione A/HRC/20/L.13 del Consiglio per i diritti umani dell‟O.N.U., approvata all‟unanimità da più di 70 Stati36 a Ginevra: si tratta di un documento molto sintetico, ma dall‟indubbio valore contenutistico, in quanto per la prima volta viene sancito che Internet è un diritto umano, in quanto luogo immateriale nel quale i diritti umani vanno garantiti, nonostante non ricada nella giurisdizione di alcuno Stato. Molto sinteticamente, ma con delle affermazioni dal forte valore dogmatico, lontane dal restare delle indicazioni prive di futuro, la Risoluzione rappresenta il primo documento formale delle Nazioni Unite, le quali s‟impegnano a proteggere e tutelare i diritti umani online nella stessa misura in cui essi vengono tutelati nel mondo fisico. Compiute le dovute premesse, nelle quali vengono riaffermati i diritti umani e le libertà fondamentali contemplati nella “Dichiarazione Universale dei Diritti Umani” e nei più rilevanti trattati internazionali e preso in considerazione il documento predisposto da La Rue, la risoluzione prende atto del fatto che l‟esercizio dei diritti umani, in particolare il diritto alla libertà d‟espressione, in Internet è un tema di crescente interesse e importanza, poiché il rapido ritmo dello sviluppo tecnologico permette agli individui di tutto il mondo di utilizzare le nuove tecnologie dell‟informazione e della comunicazione. Pertanto, la Risoluzione, entrando nello specifico, prevede cinque punti fondamentali: afferma che gli stessi diritti che le persone hanno offline devono essere protetti anche online, in particolare la libertà di espressione, che è applicabile a prescindere dalle frontiere e attraverso ogni mezzo (il cui utilizzo è rimesso alla discrezione di ciascun individuo), in conformità all‟art. 19 della “Dichiarazione Universale dei Diritti Umani” e del “Patto internazionale dei diritti civili e politici”37; riconosce la natura globale e aperta di Internet come forza trainante per accelerare il progresso nelle sue varie forme; invita tutti gli Stati a promuovere e facilitare l‟accesso a Internet e la cooperazione internazionale finalizzata allo 36 I Paesi firmatari della Risoluzione ONU A/HRC/20/L.13 sono: Algeria, Argentina, Australia, Austria, Azerbaigian, Belgio, Bolivia, Bosnia-Erzegovina, Brasile, Bulgaria, Canada, Cile, Costa Rica, Costa d‟Avorio, Croazia, Cipro, Repubblica Ceca, Danimarca, Gibuti, Egitto, Estonia, Finlandia, Francia, Georgia, Germania, Grecia, Guatemala, Honduras, Islanda, India, Indonesia, Irlanda, Italia, Lettonia, Libia, Liechtenstein, Lituania, Lussemburgo, Maldive, Malta, Mauritania, Messico, Monaco, Montenegro, Marocco, Paesi Bassi, Nigeria, Norvegia, Palestina, Perù, Polonia, Portogallo, Qatar, Repubblica di Moldavia, Repubblica di Corea, Romania, Serbia, Slovacchia, Slovenia, Somalia, Spagna, Svezia, l‟ex Repubblica iugoslava di Macedonia, Timor-Est, Tunisia, Turchia, Ucraina, Regno Unito di Gran Bretagna e Irlanda del Nord, Stati Uniti d‟America, Ungheria,Uruguay. La Risoluzione è visionabile all‟U.R.L.: http://ap.ohchr.org/documents/alldocs.aspx?doc_id=20280, consultato nel mese di giugno 2013. 37 Il “Patto internazionale sui diritti civili e politici” è un trattato delle Nazioni Unite, vincolante per le Nazioni firmatarie, sottoscritto a New York il 16 dicembre 1966 e nato dall‟esperienza della “Dichiarazione Universale dei Diritti dell‟Uomo”. 21 sviluppo dei mezzi di informazione e di comunicazione in tutti i Paesi; incoraggia procedure speciali affinché i Paesi prendano in considerazione questi temi all‟interno dei loro attuali mandati; decide di continuare a portare avanti la promozione, protezione e il godimento dei diritti umani, compreso il diritto alla libertà di espressione, in Internet e tramite altre tecnologie, in quanto Internet può costituire uno strumento importante per lo sviluppo e per l‟esercizio dei diritti umani. Si tratta di un fondamentale documento che apre la via del dialogo tra i popoli, favorendo l‟accesso alla vita democratica degli Stati. Al di là delle su esposte considerazioni in tema di libertà di manifestazione del pensiero e, dunque, d‟interpretazione evolutiva delll‟art. 21 della Costituzione, vi sono anche altre norme della Carta fondamentale utili al riconoscimento ed inquadramento nel nostro ordinamento del diritto ad Internet. La Corte Costituzionale, con sentenza n. 307 del 2004, ha riconosciuto come il diritto allo sviluppo culturale informatico, soprattutto attraverso lo strumento Internet, sia “corrispondente a finalità di interesse generale, quale è lo sviluppo della cultura, nella specie attraverso l‟uso dello strumento informatico, il cui perseguimento fa capo alla Repubblica in tutte le sue articolazioni (art. 9 Cost.)”. Ma il diritto ad Internet trova ulteriore fondamento nel principio di uguaglianza di cui all‟art. 3 della nostra Costituzione in base alla Legge n. 4 del 2004, incentrata sull‟accessibilità degli strumenti informatici e telematici per i diversamente abili, ma che detta al suo art. 1 un principio valido per ogni individuo: “La Repubblica riconosce e tutela il diritto di ogni persona ad accedere a tutte le fonti di informazione e ai relativi servizi, ivi compresi quelli che si articolano attraverso gli strumenti informatici e telematici”. Pertanto, la norma configura l‟accesso ad Internet come strumento di realizzazione dell‟eguaglianza sostanziale tra i cittadini38. Da quanto detto consegue che “negare l‟accesso alla rete significherebbe […] ledere diritti fondamentali, quali la libertà di espressione, il diritto all‟informazione, all‟istruzione, allo sviluppo e all‟eguaglianza. Quindi, il diritto di accesso a Internet è una libertà fondamentale il cui esercizio è strumentale all‟esercizio di altri diritti e libertà costituzionali”39. Ancor più 38 V.P. Costanzo, Profili costituzionali di Internet, in E. Tosi (a cura di), I problemi giuridici di Internet, Milano, Giuffrè, 2003, pp. 69 ss.; M. Pietrangelo, Il diritto all‟uso delle tecnologie nei rapporti con la Pubblica Amministrazione: luci ed ombre, in “Informatica e diritto”, 2005, 1-2, pp. 73-88; P. Costanzo, L‟accesso ad Internet in cerca d‟autore, in “Diritto all‟Internet”, 3, 2005, pp. 249-251. 39 T.E. Frosini, Il diritto costituzionale di accesso a Internet, cit., p. 9. 22 precisamente, il diritto ad Internet si deve considerare come un diritto sociale, “o meglio una pretesa soggettiva a prestazioni pubbliche, al pari dell‟istruzione, della sanità e della previdenza. Un servizio universale, che le istituzioni nazionali devono garantire ai loro cittadini attraverso investimenti statali, politiche sociali ed educative, scelte di spesa pubblica”40. Abbandonando l‟analisi del processo di affermazione del diritto ad Internet su scala internazionale e sul piano costituzionale, in Italia ha fatto eco un‟innovativa norma di rango ordinario introdotta con l‟art. 13-ter del Decreto Legge n. 179/2012, come convertito con Legge n. 221/2012, il quale ha disposto all‟art. 13-ter: “Lo Stato riconosce l‟importanza del superamento del divario digitale, in particolare nelle aree depresse del Paese, per la libera diffusione della conoscenza fra la cittadinanza, l‟accesso pieno e aperto alle fonti di informazione e agli strumenti di produzione del sapere. A tal fine, promuove una «Carta dei diritti», nella quale sono definiti i principi e i criteri volti a garantire l‟accesso universale della cittadinanza alla rete Internet senza alcuna discriminazione o forma di censura. Lo Stato promuove la diffusione dei principi della «Carta dei diritti» a livello internazionale e individua forme di sostegno al Fondo di solidarietà digitale per la diffusione della società dell‟informazione e della conoscenza nei Paesi in via di sviluppo”. Riconoscere “l‟accesso universale della cittadinanza alla rete Internet senza alcuna discriminazione o forma di censura” significa porre le basi per il pieno riconoscimento di un diritto, e non semplice principio, valevole su scala universale, ad Internet. Dal (futuro) pieno ed incondizionato riconoscimento del diritto fondamentale del cittadino all‟accesso ad Internet scaturiscono tutte le diverse libertà che da esso hanno origine e che attengono al mezzo tecnologico, in un continuo processo estensivo dell‟”orizzonte giuridico di Internet”41. Si parla infatti di libertà informatica o di comunicazione elettronica intesa come diritto all‟accesso alla Rete, ma anche, come già detto parlando dell‟istituto dell‟habeas data, di diritto al controllo della propria identità digitale, vale a dire della possibilità di costruire il proprio profilo digitale escludendo l‟ingerenza di estranei. Nasce, pertanto, un complesso corollario di esigenze connesse alla rete Internet, che sono, a titolo esemplificativo, il diritto alla protezione dei dati, il diritto all‟oblio di informazioni 40 41 Ivi, p. 8. V. Frosini, L‟orizzonte giuridico dell‟Internet, cit., p. 271. 23 immesse nella Rete, il diritto all‟anonimato e quello dell‟accesso alla propria identità elettronica, sulla quale risulta fondamentale mantenere il controllo in modo che attori esterni possano raccogliere e trattare i dati informatici digitali di un soggetto solo con l‟espresso consenso dell‟interessato42. Nell‟era dei diritti dell‟ Internet si configura pertanto un danno alla persona che può essere inteso sia come esclusione dalla connettività (che genera danni relazionali, della sfera di attività professionale e delle abitudini di vita), sia come violazione della propria identità personale elettronica. Il profilo digitale di un utente, infatti, è costruito sul rilascio di dati visibili, al quale il soggetto interessato ha acconsentito, ma soprattutto sui dati invisibili derivanti dalle azioni compiute attraverso la navigazione in Internet: ogni azione viene registrata dall‟elaboratore elettronico e dalla Rete come “file di log”, attraverso il quale vengono registrati dati come la località dalla quale ci si connette, l‟orario, il tempo di permanenza in un sito e la tipologia di siti visitati o di azioni compiute, che permettono di delineare l‟immagine di ciascun utente sulla base delle proprie preferenze o interessi, i quali costituiscono un patrimonio molto appealing per gli operatori di marketing. Si tratta di figure che possono essere definite “native” di Internet, in quanto sono strettamente interconnesse con il mezzo e non esisterebbero senza di esso 43. Negli ultimi tempi in Italia si sono moltiplicate sentenze favorevoli al risarcimento del danno anche in fattispecie connesse ai diritti in Internet: ciò fa riflettere su come si tratti di diritti in evoluzione e voci emergenti del diritto che richiedono ancora ampie riflessioni teoriche e pratiche44. Si tratta dunque di diritti di ultima generazione che sono diretto effetto dell‟evoluzione epocale che ha rappresentato l‟avvento di Internet. 42 Cfr. D. Bianchi, Internet e il danno alla persona. I casi e le ipotesi risarcitorie, Torino, Giappichelli, 2012. 43 Una completa ricostruzione dell‟evoluzione del rapporto tra Internet e riservatezza dei dati personali è svolto da: G. Pascuzzi, Il diritto dell‟era digitale, cit., pp. 47-93. L‟Autore sottolinea come l‟avvento dell‟Era digitale abbia comportato dei cambiamenti sul piano delle regole giuridiche in tema di riservatezza. Si è infatti assistito: al passaggio dal diritto ad essere lasciati soli al diritto al controllo sulle informazioni che riguardano l‟individuo; all‟ampliarsi delle ragioni sottese alla tutela della privacy, non più solo diretta ad evitare discriminazioni ma anche a tranquillizzare i consumatori eCommerce; ad una inadeguatezza delle regole tradizionali di derivazione statuale, destinate ad operare in ambiti spaziali definiti, dinanzi invece allo spazio globale offerto da Internet; ad un‟implementazione degli approcci alternativi, rispetto alla Legge, per disciplinare il trattamento dei dati personali (ad esempio, codici deontologici, tecnologie fondate sul principio di anonimizzazione dei dati ed altro ancora); ad un affidamento alla stessa tecnologia del rispetto delle norme sul trattamento dei dati personali, con contestuale richiesta alla tecnologia di incorporare la regola. 44 Cfr. P. Cendon (a cura di), Trattato dei nuovi danni. Volume II. Malpractice medica. Prerogative della persona.Voci emergenti della responsabilità, Padova, Cedam, 2011; D. Bianchi, Internet e il danno alla persona, Torino, Giappichelli, 2012. 24 Oggi per il diritto si pone la necessità di dover regolamentare un fenomeno caratterizzato per sua stessa natura dalla mancanza di delimitazioni fisiche e di dimensioni spaziotemporale. A fronte della labilità dei confini dell‟Internet, non potendo il diritto regolamentare la pervasività del mezzo, deve allargare la propria competenza tutelandone le libertà. Si pone, dunque, una nuova sfida per il diritto, che deve porsi in continua discussione ed evoluzione, così come è in evoluzione il mutamento sociale e tecnologico. Dopo un periodo di consultazione pubblica ad opera della Camera dei Deputati, si è giunti alla definizione il 28 luglio 2015 della Dichiarazione dei diritti di Internet, frutto del lavoro di una Commissione mista di 23 membri fra deputati, esperti del settore, rappresentanti delle imprese, delle associazioni e della società civile, fortemente voluta dalla Presidente della Camera On.Le L. Boldrini e coordinata dal giurista Stefano Rodotà. La Dichiarazione è fondata sul pieno riconoscimento di libertà, eguaglianza, dignità e diversità di ogni persona. Sussiste, però, un punto di debolezza giuridica del documento, ovvero quale tipo di forza giuridica si possa dare alla Dichiarazione presentata in Parlamento dalla Commissione mista, visto che ad oggi non si comprende se sarà tradotta in Legge o, ipotesi improbabile, andrà ad integrarsi con la Costituzione italiana del 1948. I punti essenziali della Dichiarazione dei diritti di Internet sono i seguenti: - Neutralità della rete. La Dichiarazione stabilisce che i dati trasmessi e ricevuti da ogni persona in rete non subiscano discriminazioni. - Tutela dati personali. La Carta sancisce che i dati possano essere raccolti e trattati solo con il consenso effettivamente informato della persona interessata o in base a altro fondamento legittimo previsto dalla legge. - Anonimato. Sì del trattato all‟anonimato in rete come libero esercizio delle libertà civili e politiche senza subire discriminazioni o censure. - Diritto all’oblio. Diritto inviolabile di ciascuno a ottenere la cancellazione dai motori di ricerca dei dati o informazioni che, per il loro contenuto o per il tempo trascorso dal momento della loro raccolta, non abbiano più rilevanza. - Sicurezza. E‟ un bene da tutelare, di interesse pubblico, è scritto nella bozza. Divieto di limitazioni di manifestazione del pensiero, ma garanzia della tutela della dignità delle persone. 25 - Governo della rete. Il difficile tema della regolamentazione internazionale. Nella Carta è scritto: ”La gestione della Rete deve assicurare il rispetto del principio di trasparenza, la responsabilità delle decisioni, l’accessibilità alle informazioni pubbliche, la rappresentanza dei soggetti interessati.”45 Dopo un anno di lavoro, è stato consolidato il testo definitivo della “Dichiarazione dei Diritti in Internet”, approvata dalla Commissione parlamentare e pubblicata il 28 luglio 201546. 1.3.2. Il diritto all’oblio Come si è già detto, il diritto all‟oblio47 rappresenta uno degli aspetti più delicati del diritto ad Internet, costituendo un risvolto pressochè imprescindibile nell‟utilizzo della Rete, in quanto per il funzionamento stesso di tale strumento, la conservazione dei dati e delle informazioni personali può durare nel corso del tempo per svariati anni, perdendo di attualità, di interesse e, soprattutto, potendo non essere più aggiornati alla realtà effettiva. Proprio per cercare di limitare la situazione appena descritta, negli anni si è delineata sempre di più la figura di quello che è stato chiamato diritto all‟oblio, soprattutto con riferimento a fatti di cronaca, spesso giudiziaria48. 45 Elencazione ripresa dalla pagina web della Rivista “Leggi Oggi”: http://www.leggioggi.it/2014/10/13/costituzione-internetpresentata-bozza-ufficiale-testo/, consultata nel mese di dicembre 2014. 46 Disponibile all‟URL : http://www.camera.it/application/xmanager/projects/leg17/commissione_internet/TESTO_ITALIANO_DEFINITVO_2015.pdf, consultazione effettuata nel mese di ottobre 2015. 47 Secondo Finocchiaro, con l‟espressione “diritto all‟oblio” si fa riferimento ad almeno tre differenti accezioni: quella tradizionale, più risalente nel tempo, elaborata dalla dottrina civilistica e dalla giurisprudenza, in epoca antecedente all‟avvento della Rete; quella relativo al l‟utilizzo di Internet e delle reti telematiche, per le modalità proprie di diffusione dell‟informazione; quella che si riferisce al diritto alla cancellazione, al blocco, al congelamento dei dati o all‟opposizione al trattamento dei dati previsti dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 “relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (G. Finocchiaro, “Il diritto all‟oblio nel quadro dei diritti della personalità” in “Il diritto dell‟informazione e dell‟informatica”, 2014, pp. 592 e ss.). L‟A., inoltre, da conto che il quadro non muta nella proposta di regolamento del Parlamento europeo e del Consiglio “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)” del 25 gennaio 2012, ove all‟art. 17 si disciplinano il diritto all‟oblio e il diritto alla cancellazione dei dati. 48 Si pensi, infatti, agli archivi storici dei quotidiani presenti nei loro siti web, reperibili attraverso motori di ricerca esterni, su cui spesso il Garante Privacy si è pronunciato, esprimendo il principio che, “tenuto conto delle peculiarità del funzionamento della rete Internet che possono comportare la diffusione di un gran numero di dati personali riferiti a un medesimo interessato e relativi a vicende anche risalenti nel tempo – e dalle quali gli interessati stessi hanno cercato di allontanarsi, intraprendendo nuovi percorsi di vita personale e sociale – che però, per mezzo della rappresentazione istantanea e cumulativa derivante dai risultati delle ricerche operate mediante i motori di ricerca, rischiano di riverberare comunque per un tempo indeterminato i propri effetti sugli interessati come se fossero sempre attuali; e ciò, tanto più considerando che l'accesso alla rete Internet e il successivo utilizzo degli esiti delle ricerche effettuate attraverso gli appositi motori può avvenire per gli scopi più diversi e non sempre per finalità di ricerca storica in senso proprio”; provvedimento del 08.04.2009, reperibile all‟indirizzo internet http://www.garanteprivacy.it/web/guest/home/docweb/-/docwebdisplay/docweb/1617673, consultato ottobre 2015. 26 Ma anche la Suprema Corte di Cassazione (con la nota sentenza della sez. III, n. 5525/2012) ha avuto modo di pronunciarsi sull‟argomento, statuendo che «il soggetto titolare dei dati personali oggetto di trattamento deve ritenersi titolare del diritto all'oblio anche in caso di memorizzazione nella rete Internet, mero deposito di archivi dei singoli utenti che accedono alla rete e, cioè, titolari dei siti costituenti la fonte dell'informazione. A tale soggetto, invero, deve riconoscersi il relativo controllo a tutela della propria immagine sociale che, anche quando trattasi di notizia vera, e a fortiori se di cronaca, può tradursi nella pretesa alla contestualizzazione e aggiornamento dei dati, e se del caso, avuto riguardo alla finalità di conservazione nell'archivio ed all'interesse che la sottende, finanche alla relativa cancellazione». Secondo la sentenza della Suprema Corte è in ogni caso il principio di correttezza (quale generale principio di solidarietà sociale) a fondare in termini generali l'esigenza del bilanciamento in concreto degli interessi, e, conseguentemente, il diritto dell'interessato ad opporsi al trattamento, quand'anche lecito, dei propri dati. La Corte, infatti, ritiene che «se l'interesse pubblico sotteso al diritto all'informazione (art. 21 Cost.) costituisce un limite al diritto fondamentale alla riservatezza (artt. 21 e 2 Cost.), al soggetto cui i dati pertengono è correlativamente attribuito il diritto all'oblio (Cass., n. 3679/1998), e cioè a che non vengano ulteriormente divulgate notizie che per il trascorrere del tempo risultino ormai dimenticate o ignote alla generalità dei consociati. Atteso che il trattamento dei dati personali può avere ad oggetto anche dati pubblici o pubblicati (Cass., n. 11864/2004), il diritto all'oblio salvaguarda in realtà la proiezione sociale dell'identità personale, l'esigenza del soggetto di essere tutelato dalla divulgazione di informazioni (potenzialmente) lesive in ragione della perdita (stante il lasso di tempo intercorso dall'accadimento del fatto che costituisce l'oggetto) di attualità delle stesse, sicché il relativo trattamento viene a risultare non più giustificato ed anzi suscettibile di ostacolare il soggetto nell'esplicazione e nel godimento della propria personalità. Il soggetto cui l'informazione oggetto di trattamento si riferisce ha in particolare diritto al rispetto della propria identità personale o morale, a non vedere cioè “travisato o alterato all'esterno il proprio patrimonio intellettuale, politico, sociale, religioso, ideologico, professionale» (Cass., n. 7769/1985), e pertanto alla verità della propria immagine nel momento storico attuale”49. 49 In argomento si veda anche la più recente sentenza Cass. Civ. 16111/13, “La diffusione di una notizia con relativa foto della persona, con riferimento a un episodio di cronaca giudiziaria collegandola a vicende di molti anni addietro, relative a una parte 27 In tale quadro prettamente italiano, si inserisce, in maniera dirompente, la Sentenza della Corte di Giustizia UE del 13 maggio 201450. Il caso riguardava un cittadino spagnolo che aveva presentato alla A.E.P.D. (l‟Agenzia di protezione dei dati) un reclamo contro l‟editore di un giornale a grande diffusione in quella nazione, nonché contro Google Spain e Google Inc., in quanto, cercando il proprio nome sul motore di ricerca Google, l‟elenco di risultati riportava dei links verso alcune pagine web del quotidiano, risalenti al gennaio e marzo 1998, nelle quali era contenuto l‟annuncio della vendita all‟asta di alcuni immobili, a seguito di un pignoramento degli stessi in suo danno. Mario Costeja Gonzalez, questo il nome del cittadino spagnolo, si rivolgeva all‟autorità Garante privacy spagnola, chiedendo sia che fosse ordinato al giornale di sopprimere o modificare le pagine in questione sia che fosse ordinato a Google Spain o a Google Inc. di eliminare o di occultare i suoi dati personali, in modo che cessassero di comparire tra i risultati di ricerca e non figurassero più nei links. Ciò sul presupposto che il pignoramento effettuato nei suoi confronti era stato interamente definito da diversi anni e la notizia dello stesso era ormai priva di qualsiasi rilevanza. L‟autorità garante spagnola accoglieva il reclamo di Costeja nei confronti di Google Spain e Google Inc. chiedendo alle due società di adottare le misure necessarie per rimuovere i dati dai loro indici e per rendere impossibile in futuro l‟accesso ai dati stessi. In seguito a ciò, Google Spain e Google Inc. hanno esperito i rimedi giurisdizionali innanzi alla competente autorità giudiziaria spagnola (Audiencia Nacional), chiedendo l‟annullamento della decisione. Su input dell‟Audencia Nacional, la Corte di giustizia UE ha potuto esaminare il caso ed affermare alcuni principi di portata rilevantissima. Con la sentenza in questione, infatti, è stato affermato che l’attività di un motore di dell'esistenza della persona ritenuta ormai chiusa, rispetto alla quale si vuole soltanto essere dimenticato, costituisce violazione della legge sul diritto alla riservatezza e deve prevedere un risarcimento del danno in favore dell'offeso. Ciò che conta, ai fini del corretto bilanciamento fra diritto alla riservatezza e diritto di cronaca, è l'essenzialità dell'informazione e l'interesse pubblico delle notizie divulgate. Il diritto del soggetto a pretendere che proprie, passate vicende personali siano pubblicamente dimenticate (nella specie cd. diritto all'oblio) trova limite nel diritto di cronaca solo quando sussista un interesse effettivo e attuale alla loro diffusione, nel senso che quanto recentemente accaduto trovi diretto collegamento con quelle vicende stesse e ne rinnovi l'attualità. Altrimenti viene a essere violato il diritto alla riservatezza, mancando la concreta proporzionalità tra la causa di giustificazione (il diritto di cronaca) e la lesione del diritto antagonista”, pubblicata in Diritto dell'Informazione e dell'Informatica (Il) 2013, 6, 829. In dottrina, prima della sentenza della CGUE sul caso Google Spain, si veda SALERNO A. “Il diritto all‟oblio nella più recente giurisprudenza”, Articolo del 07 marzo 2014, in Giustiziacivile.com. 50 Resa nella causa C‐131/12, promossa da Google Spain SL e Google Inc. contro Agencia Espanola de Proteccion de Datos (AEPD) e Mario Costeja Gonzalez; il testo integrale della sentenza è reperibile all‟indirizzo internet http://curia.europa.eu/juris/document/document.jsf?text=&docid=152065&pageIndex=0&doclang=it&mode=lst&dir=&occ=first&p art=1&cid=808007, consultato nel mese di novembre 2016. 28 ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell’indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza, deve essere qualificata come «trattamento di dati personali», qualora tali informazioni contengano dati personali, e che il gestore di detto motore di ricerca deve essere considerato come il «responsabile» del trattamento summenzionato. Pertanto, il gestore di un motore di ricerca è obbligato a sopprimere, dall‟elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web di cui trattasi, e ciò eventualmente anche quando la loro pubblicazione su tali pagine web sia di per sé lecita. Ovviamente, nel valutare i presupposti di applicazione di tali disposizioni, si deve verificare in particolare se l‟interessato abbia diritto a che l‟informazione in questione riguardante la sua persona non venga più, allo stato attuale, collegata al suo nome da un elenco di risultati che appare a seguito di una ricerca effettuata a partire dal suo nome, senza per questo che la constatazione di un diritto siffatto presupponga che l‟inclusione dell‟informazione in questione in tale elenco arrechi un pregiudizio a detto interessato. Dato che l‟interessato può, sulla scorta dei suoi diritti fondamentali derivanti dagli articoli 7 e 8 della Carta51, chiedere che l‟informazione in questione non venga più messa a disposizione del grande pubblico in virtù della sua inclusione in un siffatto elenco di risultati, i diritti fondamentali di cui sopra prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse di tale pubblico ad accedere all’informazione suddetta in occasione di una ricerca concernente il nome di questa persona. Tuttavia, così non sarebbe qualora risultasse, per ragioni particolari, come il ruolo ricoperto da tale persona nella vita pubblica, che l‟ingerenza nei suoi diritti fondamentali è giustificata dall‟interesse preponderante del pubblico suddetto ad avere accesso, in virtù dell‟inclusione summenzionata, all‟informazione di cui trattasi. 51 Carta dei diritti fondamentali dell‟Unione Europea, reperibile http://www.europarl.europa.eu/charter/pdf/text_it.pdf, consultato nel mese di novembre 2016. 29 all‟indirizzo internet Ovviamente, la sentenza ha avuto un impatto molto rilevante nel modo di funzionamento dei motori di ricerca e nell‟organizzazione degli stessi, tanto che Google ha creato un‟apposita pagina52 dove far pervenire le richieste basate sui principi esposti nella sentenza ed una ulteriore53 dove è possibile conoscere i dati aggregati dell‟attività in questione, divisa per numero di richieste, paesi e domini internet maggiormente interessati. Ovviamente, la decisione della Corte di Giustizia ha portata generale e non si applica solo a Google, ma a tutti i motori di ricerca54, fermo restando che l‟attività di deindicizzazione (ossia la rimozione dell‟informazione dai risultati della ricerca) non comporta automaticamente il venir meno della presenza dell‟informazione dal sito web che originariamente ha caricato la stessa; in tal caso, la richiesta va indirizzata direttamente al gestore del sito web, con una richiesta di cancellazione e/o modifica. A rafforzare ulteriormente il diritto all'oblio, è intervenuto il Reg. U.E. Del Parlamento e del Consiglio n. 679 del 04 maggio 2016, il quale, al Considerando n. 66, afferma che “è opportuno che il diritto di cancellazione sia esteso in modo tale da obbligare il titolare del trattamento che ha pubblicato dati personali a informare i titolari del trattamento che trattano tali dati personali di cancellare qualsiasi link verso tali dati personali o copia o riproduzione di detti dati personali. Nel fare ciò, è opportuno che il titolare del trattamento adotti misure ragionevoli tenendo conto della tecnologia disponibile e dei mezzi a disposizione del titolare del trattamento, comprese misure tecniche, per informare della richiesta dell'interessato i titolari del trattamento che trattano i dati personali”. Ma il vero cardine della tutela del diritto all'oblio è disciplinata dall'art. 17, proprio per chiarezza intitolato “Diritto alla cancellazione («diritto all'oblio»)”; in base a tale articolo, l'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo. Il titolare del trattamento, quindi, ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: a) i dati personali non sono piu necessari rispetto alle finalita per le quali sono stati raccolti o altrimenti trattati; 52 Si rinvia all‟URL: https://support.google.com/legal/contact/lr_eudpa?product=websearch, consultata nel mese di dicembre 2016. 53 Si rinvia all‟URL: http://www.google.com/transparencyreport/removals/europeprivacy/?hl=it, consultata nel mese di dicembre 2016. 54 Si vedano anche alcune decisioni del Garante in merito alle richieste ricevute a seguito della sentenza della CGUE, reperibili all‟indirizzo internet http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3623678#1, consultato nel mese di novembre 2016. 30 b) l'interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento; c) l'interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento; d) i dati personali sono stati trattati illecitamente; e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui e soggetto il titolare del trattamento; f) i dati personali sono stati raccolti relativamente all'offerta di servizi della societa dell'informazione. Inoltre, il titolare del trattamento se ha reso pubblici dati personali ed è obbligato, ai sensi del primo comma, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Il comma 3, prevede che quanto appena detto, non si applica nella misura in cui il trattamento sia necessario: a) per l'esercizio del diritto alla liberta di espressione e di informazione; b) per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui e soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui e investito il titolare del trattamento; c) per motivi di interesse pubblico nel settore della sanita pubblica; d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici; o e) per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. Di rilievo sono anche le Linee guida sull'esercizio del diritto all'oblio adottate dal Gruppo di lavoro dei Garanti privacy europei (Working Party 29) nel 201455, da ultimo prese come riferimento dal Garante italiano per negare la tutela della deindicizzazione ad un soggetto resosi responsabile di atti di terrorismo negli anni ‟70 dello scorso secolo, sulla scorta del 55 reperibili all‟indirizzo internet http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2014/wp225_en.pdf, consultato novembre 2016. 31 principio che la storia non si cancella56. 1.4. eGovernment e Società dell’informazione Il termine eGovernment deriva dall‟acronimo inglese “e” = electronic e “government” = governo: letteralmente, dunque, “governo elettronico”. Ma limitarsi ad una definizione del termine così superficiale e letterale, considerata la ricchezza delle sue sfaccettature ed applicazioni, non è possibile. Per eGovernment, pertanto, è giusto intendere, secondo una recente esplicitazione in grado di cogliere il meglio delle varie definizioni che negli ultimi anni sono state proposte a livello politico e normativo, “l‟ottimizzazione continua nell‟erogazione dei servizi, nella partecipazione dei cittadini, nella governance, attraverso la trasformazione delle relazioni interne ed esterne per mezzo delle tecnologie, di Internet e dei nuovi mezzi di comunicazione di massa, combinati con i cambiamenti organizzativi e le nuove professionalità richieste per migliorare i servizi pubblici e i processi democratici, il tutto finalizzato a supportare le politiche pubbliche”57. Una definizione complessa, come quella ora richiamata, sembra condurre l‟interprete verso un nuovo approccio al tema. L‟eGovernment diviene il grimaldello per scardinare l‟arcaico concetto di Amministrazione, a favore di una nuova visione della Cosa Pubblica incentrata sull‟innovazione, ovvero su di un mutamento complesso nel contesto ambientale, nell‟organizzazione, nella tecnologia, in grado di condurre ad una miscela di eventi e risorse che conduca al cambiamento: detto in altre parole, l‟eGovernment come iGovernment, ove la “i” rappresenta la necessaria innovazione procedurale e organizzativa di cui la Pubblica Amministrazione ha bisogno per il raggiungimento dei paramenti di efficacia, efficienza economicità prescritti nel nostro ordinamento. L‟eGovernment si palesa, dunque, come la massima espressione dell‟applicazione dell‟Information and Communication Technology (ICT) all‟apparato pubblico, o anche 56 Cfr provvedimento del 31.03.2016, reperibile all‟indirizzo internet http://garanteprivacy.it/web/guest/home/docweb/-/docwebdisplay/docweb/4988654, consultato novembre 2016. 57 A. Romano, L. Marasso, M. Marinazzo, Italia chiama eGovernment, Milano, Guerini e Associati, 2008, p. 26. Nel testo citato è possibile approfondire le varie definizioni di eGovernment affermatesi negli ultimi anni su scala nazionale ed internazionale. 32 l‟espressione “pubblica” delle ICT nell‟odierna “Società dell‟informazione”. A tal proposito è importante richiamare il Rapporto Delors (1993), con il quale si formalizza la definizione di “Società dell’informazione”, e la successiva redazione del Rapporto “eEurope. Una società dell’informazione per tutti” (1994), che consolida i contenuti del lavoro precedente e delinea l‟impegno istituzionale dell‟Unione Europea a valorizzare l‟informazione e gestirla come bene comune della società. Nella Società dell‟informazione l‟utilizzo delle ICT determina una sorta di rivoluzione per molti aspetti simile a quella industriale, ma con un potenziale di diffusione privo di limiti temporali o confini geografici, dettato dall‟interscambio di dati, rapido ed efficace, tra soggetti di diritto (privati, cittadini, imprese, organizzazioni istituzionali e amministrazioni pubbliche), un sistema, quindi, in grado di disegnare nuovi modelli sociali, politici ed economici al centro dei quali vi è lo scambio di conoscenza. La ricostruzione temporale-evolutiva del tema, le politiche internazionali e gli impegni istituzionali assunti a livello europeo, oltre che nazionale, rappresentano la premessa per valutare aspettative sociali, economiche, giuridiche nell‟ambito della complessa relazione tra gestione informativa e sviluppo sostenibile. Compresa la portata del concetto di “eGovernment” e di “Società dell‟informazione”, occorre ora distinguere all‟interno dei modelli di eGovernment quattro categorie o spazi di sviluppo per l‟Amministrazione elettronica: il modello G2C (Government to Citizen) riguarda lo sviluppo di servizi con destinatario il singolo individuo in quanto cittadino; il modello G2B (Government to Business) riguarda invece lo sviluppo dei servizi governativi con destinatari le imprese e gli attori economici; il modello G2E (Government to Employee) riguardante lo sviluppo dei servizi in seno alla stessa Amministrazione con destinatari gli impiegati ed i funzionari; il modello G2G (Government to Government) riguardante, infine, lo sviluppo di servizi e applicazioni volti ad instaurare o migliorare la collaborazione e la cooperazione tra i servizi delle diverse istituzioni governative. Oggi l‟eGovernment si fonda principalmente su quattro obiettivi principali: 1) raccolta del maggior numero di informazioni in uno spazio sempre più ridotto; 2) trattamento e trasmissione delle informazioni ad una velocità sempre maggiore; 3) interscambio delle informazioni (interoperabilità), anche se raccolte con tecniche e linguaggi diversi; 4) conservazione (non deperibilità) e sicurezza (non modificabilità da parte di soggetti non autorizzati) delle informazioni. 33 L‟eGovernment, inteso come complesso delle politiche di introduzione delle ICT nelle Pubbliche Amministrazioni, non ha avuto sempre gli stessi obiettivi e soltanto negli ultimi anni si è iniziato a considerarlo in termini unitari, con una forte attenzione ai contenuti e all‟impatto organizzativo nei processi di informatizzazione delle attività e dei processi. In questo senso si può parlare, laddove essa si realizza, di una organica politica di eGovernment, in cui non è più sufficiente creare infrastrutture e reti di interconnessione, né è sufficiente ampliare l‟accesso alle informazioni con la creazione di servizi informativi aperti se, poi, non si è in grado di garantire che tutte le informazioni detenute dalle Amministrazioni siano raccolte e conservate in formato elettronico e messe a disposizione avvalendosi delle ICT, e se le Amministrazioni non siano in grado di assicurare la necessaria qualità delle informazioni raccolte e la loro necessaria sicurezza. Il passaggio dalla semplice creazione di infrastrutture e reti di interconnessione ad una gestione “sicura” di dati digitali qualitativamente certi è facile ravvisarlo analizzando semplicemente i documenti programmatici del nostro Governo italiano in tema di eGovernment nell‟ultimo ventennio. In Italia è possibile suddividere il periodo di attuazione dell‟eGovernment in tre fasi: una prima fase dal 2001 al 2003, una seconda fino al 2005 ed una terza ad oggi ancora in corso, avviatasi con l‟approvazione nel 2005 del Codice dell‟Amministrazione Digitale58. La prima fase di attuazione dell‟eGovernment, nelle Regioni e negli Enti Locali, si è sviluppata, come detto, a cavallo tra 2001 ed il 2003, lungo tre linee di azione tra loro interconnesse: 1) promozione di progetti di eGovernment nelle Regioni e negli Enti Locali, volti allo sviluppo di servizi infrastrutturali e di servizi finali per cittadini e imprese; 58 Volendo fare un discorso più ampio rispetto a quello della semplice “attuazione” dell‟eGovernment e, dunque, volendo analizzare le fasi storiche di evoluzione dell‟informatica nella Pubblica Amministrazione, esse possono essere così sintetizzate: a) la prima fase è consistita nell‟informatizzazione parziale, da parte di singole Amministrazioni Pubbliche, di attività amministrative, con il prevalente obiettivo di semplificarne l‟esercizio e ridurne il costo, sostituendo il lavoro umano con le capacità di elaborazione automatica (anni ‟50-„60 del secolo scorso); b) in una seconda fase, resa possibile dall‟accresciuta capacità di calcolo e di elaborazione dell‟ICT, le singole Amministrazioni si sono poste obiettivi più generali, consistenti nella integrale informatizzazione di tutte le proprie attività (anni ‟70-„80 del secolo scorso); c) una terza fase si è aperta allorché è stato posto il problema della interconnessione tra i sistemi informativi delle diverse Amministrazioni Pubbliche per consentire tra esse uno scambio di informazioni in grado di semplificare lo svolgimento delle attività amministrative, con l‟obiettivo, quindi, della creazione di una rete unitaria delle Pubbliche Amministrazioni (anni ‟90 del secolo scorso); d) nella quarta fase, le nuove ICT hanno permesso di utilizzare tutte le potenzialità offerte dalla rete con un approccio del tutto nuovo al problema dei rapporti con l‟esterno, ponendo al centro cittadini e imprese (primo decennio del XXI secolo). Per una visuale completa dell‟evoluzione politico-normativa dell‟informatica pubblica e, conseguentemente, dell‟eGovernment, si veda: P. Giacalone, La normativa sul governo elettronico, Milano, Franco Angeli, 2007; C. Rabbito, L’informatica al servizio della Pubblica Amministrazione e del cittadino, Bologna, Gedit Edizioni, 2007; A. Contaldo, Dalla teleamministrazione all’e-government: una complessa transizione in fieri, in “Foro Amministrativo”, n. 4, 2002, pp. 1111-1127; G. Duni, Teleamministrazione (voce), in Enciclopedia Giuridica Treccani, Roma, XXX, n. 5, 1993. 34 2) definizione di un comune quadro di riferimento tecnico, organizzativo e metodologico per la realizzazione di progetti di eGovernment; 3) creazione, su tutto i territorio nazionale, di Centri Regionali di Competenza (CRC), aventi come obiettivo il sostegno alle Regioni e agli Enti Locali per la preparazione e realizzazione di progetti di eGovernment. In tale prima fase, il Ministro per l‟innovazione e le tecnologie ha stabilito, con Decreto del 14 novembre 2002, un finanziamento di 120 milioni di euro, di cui 80 per 98 progetti in grado di realizzare servizi ai cittadini e alle imprese. Ulteriore passo in avanti lungo la strada dell‟eGovernment è stato compiuto nel 2001, con la creazione del Ministero per l‟Innovazione e le Tecnologie, presieduto dal Ministro Stanca, volto a soddisfare l‟esigenza di un coordinamento centrale sulle iniziative di sviluppo e diffusione delle nuove tecnologie, il tutto attraverso l‟esercizio di molte delle deleghe in tema di innovazione, precedentemente appartenute alla Funzione Pubblica e ad altri ministeri. Il 2001 è da considerarsi un anno fondamentale dal punto di vista dell‟innovazione normativa, con riforme che cambiano i tradizionali rapporti tra centro e periferia. Prende avvio e si consolida la Riforma del Titolo V della Costituzione, approvato con la Legge Costituzionale n. 3/2001, dal titolo "Modifiche al titolo V della parte seconda della Costituzione". La Riforma del 2001 è incentrata sul decentramento amministrativo, attraverso la delega, di gran parte delle funzioni amministrative del Governo a Regioni ed Enti locali. Ciò ha comportato, nell‟ottica di una riorganizzazione dei poteri pubblici dal basso verso l‟alto, l‟affermazione del principio di sussidiarietà, favorendo i livelli di Amministrazione più vicini al cittadino, con l‟obiettivo di rivalutare il rapporto tra cittadinanza e Pubblica Amministrazione, incanalando gli interventi dello Stato in un‟azione maggiormente efficace in quanto ramificata sul territorio. La Riforma del 2001 si fonda, in definitiva, sul medesimo principio cardine sotteso al “pacchetto Bassanini” del 1997 59, con il quale si è intrapresa, concretamente, la strada del decentramento amministrativo. Nel 2002 sono state pubblicate dal Ministro Stanca le “Linee Guida del Governo per lo sviluppo della società dell‟informazione”, contenenti 10 obiettivi prioritari, da raggiungere entro la legislatura, raggruppati in 5 macro aree (servizi on-line ai cittadini e imprese, efficienza, valorizzazione delle risorse umane, trasparenza, qualità), volti a fornire 59 Per “pacchetto Bassanini” si intende: la L. n. 59/97, la L. n. 127/97 e il D.Lgs. n. 112/98. 35 indicazioni rispetto allo sviluppo dei progetti di eGovernment nel nostro Paese. La Pubblica Amministrazione inizia ad essere intesa come fornitrice di servizi. In tale prima fase è stato importante è il ruolo assunto dalle Regioni nell‟implementazione di processi di eGovernment sul territorio e nella predisposizione di servizi infrastrutturali per gli enti locali, i cittadini e le imprese, con un forte coinvolgimento degli enti più vicini al cittadino, i Comuni, nella direzione di una più ampia cooperazione tra Amministrazioni, sia di natura orizzontale che verticale. Nell‟ottica di un sempre maggiore coordinamento tra centro e periferia, prende vita nella primavera del 2002 il FORMEZ – Centro di Formazione Studi e, con l‟art. 176 del Dlgs n.196/2003, il Centro Nazionale per l‟Informatica nella Pubblica Amministrazione (CNIPA). Il CNIPA sostituisce l‟Autorità per l‟Informatica nella Pubblica Amministrazione (AIPA), creata con il D.Lgs. n. 39/93, e si occupa della progettazione e dell‟implementazione dell‟eGovernment. Il confronto tra CNIPA, Regioni ed Enti Locali ha poi permesso di definire gli obiettivi e le modalità di realizzazione della seconda fase dell‟eGovernment. La seconda fase di attuazione è stata avviata su approvazione della Conferenza Unificata Stato, Regioni, Città e Autonomie locali il 27 novembre 2003 e si è posta come obiettivo principale l‟allargamento alla maggior parte delle Amministrazioni locali dei processi di innovazione già avviati, attraverso il “riuso” delle iniziative realizzate nella prima fase, sia per ciò che concerne l‟organizzazione di servizi per cittadini e imprese che la realizzazione di servizi infrastrutturali in tutti i territori regionali. L‟introduzione delle nuove tecnologie dell‟informazione e della comunicazione, a seguito dell‟avvio di questa seconda fase di eGovernment, ha iniziato ad interessare concretamente l‟attività di tutti i livelli istituzionali. Infatti, la concertazione tra Governo, Regioni e Autonomie locali ha condotto, nel 2005, all‟emanazione del Codice dell‟Amministrazione Digitale (CAD) con D.lgs. n. 82/2005, con il preciso obiettivo di realizzare una Pubblica Amministrazione efficiente e amica, erogante servizi ICT caratterizzati da immediatezza e trasparenza. Inizia con il CAD la terza fase di attuazione dell‟eGovernment nel nostro Paese, che dura sino ad oggi. 1.5. Habeas corpus e habeas data 36 Nella società dell‟informazione, vita privata, riservatezza, oblio, assumono una dimensione ampliata e dilatata, in cui la stessa funzione regolatrice del diritto è costretta a superare schemi predefiniti di tutela. Le informazioni private di ogni singolo individuo circolano quotidianamente in molteplici attività. Si pensi alla corrispondenza elettronica, ai pagamenti con carte di credito e di debito, agli accessi in Internet, alle telefonate, solo per citare alcuni esempi: si tratta di azioni di routine, che tuttavia lasciano una traccia “elettronica” indelebile nelle banche dati degli apparati che gestiscono il servizio e offrono una radiografia permanente dei rapporti, delle relazioni, delle scelte, dei gusti (anche sessuali), delle preferenze e dei movimenti fisici sul territorio di ogni individuo. Le tecnologie informatiche offrono numerosi vantaggi attratti nell‟area dei valori economici ma rappresentano una sfida continua a vecchi diritti, che rischia di tradursi, nel tempo, in una potenziale violazione della dignità umana, dei diritti e delle libertà fondamentali, con spazi per la discriminazione, la stigmatizzazione e la sopraffazione burocratica60. L‟emergere di nuovi diritti, che ridefiniscono l‟integrità stessa della persona e che ne legittimano la tutela, comporta una rivisitazione della distinzione tra habeas corpus e habeas data. L‟antico habeas corpus, legato alla libertà personale intesa come libertà fisica, oggi è anche un habeas data61. Nella tradizione dottrinale, prima ancora che nella prassi giurisprudenziale, la nozione di libertà personale, intesa come “autonomia e disponibilità della propria persona” ha subito una particolare estensione, dimostrata dall‟attenzione della Corte Costituzionale nel valutare l‟inclusione o l‟esclusione delle ipotesi di limitazione della libertà personale, rispetto alle previsioni della Costituzione italiana che fa riferimento alla detenzione, all‟ispezione, alla perquisizione personale, e in generale a “qualsiasi altra restrizione della libertà personale”. La tutela del corpo fisico è, oggi, anche tutela delle informazioni personali che lo riguardano. In questo passaggio, la cultura giuridica tradizionale si scontra con l‟affermarsi di una società dell‟informazione in cui viene meno la corrispondenza piena e oggettiva ai termini, alle nozioni, alle regole costituzionali vigenti. La necessità di interpretare fenomeni del tutto nuovi e la “eterogenesi dei fini” determina l‟avvio di un percorso evolutivo in cui prevale la ratio e non l‟intentio del Legislatore. Infatti, è attraverso una interpretazione evolutiva della Costituzione che la Corte Costituzionale italiana è riuscita a ricondurre nella 60 Cfr. S. Rodotà. Tecnopolitica. La democrazia e le nuove tecnologie della comunicazione, Roma-Bari, Laterza, 2004; Id., Tecnologie e diritti, Bologna, Il Mulino, 1995. 61 Sul punto: G. Preite, Welfare State. Storie, Politiche, Istituzioni, cit., p. 175. 37 sfera delle garanzie legate alla persona “nuovi diritti” come il diritto di accesso o il diritto all‟oblio (solo per citarne alcuni). L‟interpretazione evolutiva della Costituzione è, inoltre, una necessità legata al “anacronismo legislativo” le cui cause sono individuabili: nel mutamento dei costumi sociali, ovvero nell‟esigenza di superare l‟incompatibilità con regole precedentemente valide; nell‟evoluzione tecnologica, ovvero nella necessità di estendere l‟interpretazione delle norme costituzionali alle nuove tecnologie (ad esempio, l‟art. 15 Cost. deve essere inteso come riferibile anche alle comunicazioni per posta elettronica o agli sms dei telefoni cellulari; l‟art. 21 Cost. sulla libertà di stampa si applica anche alle pubblicazioni in Internet); nell‟evoluzione indotta dal diritto internazionale, cui la Corte Costituzionale fa riferimento per aggiornare il significato delle disposizioni costituzionali62. In Italia, i diritti della sfera individuale assumono valenza costituzionale con una tecnica a spirale, che inizia con l‟habeas corpus (art. 13 Cost. sulla libertà della persona fisica), ossia con la garanzia e la tutela del bene fisicamente connesso all‟individuo, e che si allarga all‟ambito spaziale immediatamente circostante e così via in maniera ricorsiva, creando una continuità nella tutela della sfera individuale che porta la libertà personale a saldarsi con altri diritti sanciti dalla Costituzione. In tal modo se da un lato si rafforza e si completa la garanzia complessiva dei diritti individuali, dall‟altro si assiste ad una variazione della tutela mano a mano che ci si allontana dal punto di origine63. Tale constatazione ha indotto l‟Autorità Garante per la protezione dei dati personali a richiedere, sul piano legislativo, un rapido passaggio dall‟antico habeas corpus ad un più attuale habeas data. Per il Garante, la tutela dei dati è un diritto fondamentale della persona, una componente essenziale della nuova cittadinanza, come si evince dall‟art. 8 della Carta dei diritti fondamentali dell‟Unione Europea. Non vi è dubbio che il valore della privacy debba essere opportunamente controbilanciato con quello della sicurezza, ma a tutela dello stesso concetto di democrazia è importante che le ragioni della sicurezza non prevalgano incondizionatamente sui diritti fondamentali. I Paesi europei (così evoluti in molti settori e ambiti del sapere giuridico), hanno dunque Carte costituzionali arretrate, in cui non sono riconosciuti molti diritti ormai 62 63 Cfr. R. Bin., G. Pitruzzella, Diritto Costituzionale, cit., pp. 481 e 490. Ibidem. 38 comuni nell‟animo sociale, a differenza di Paesi extraeuropei che, inaspettatamente e per una serie di svariate motivazioni, hanno già costituzionalizzato la maggior parte di questi. L‟analisi ricognitiva che passa dal diritto di habeas corpus della cultura giuridica europea alla garanzia costituzionale di habeas data, assume evidenza nella comparazione con le moderne costituzioni64. Si prenda come esempio la Costituzione del Brasile. Questa contiene dichiarazioni solenni i cui contenuti non sono rintracciabili nelle Costituzioni europee, nonostante la maggior parte di questi diritti fossero stati pensati, analizzati ed elaborati proprio dalla dottrina europea, sanciti poi in leggi ordinarie o in sentenze degli Stati più evoluti. Tuttavia, già alcune costituzioni degli anni settanta (in particolare di paesi europei), prendevano in considerazione queste nuove esigenze, ma, come già anticipato, è soprattutto nelle Costituzioni degli Stati di recente indipendenza o di recente affermazione di regimi democratici che si possono rinvenire i nuovi diritti e le relative garanzie. Non ci si deve quindi meravigliare se è proprio nelle Carte costituzionali dei Paesi africani, degli ex “Paesi satellite” dell‟Europa dell‟Est ed in particolare dell‟America Latina che si trovano le più rilevanti novità in tema di diritti costituzionali. Altri Stati hanno infatti seguito altre vie per tutelare questi diritti, ricorrendo ad esempio alla legislazione ordinaria o all‟adattamento del diritto interno in seguito alla ratifica di atti internazionali, oppure all‟intervento delle Authority. Di contro, le Carte Costituzionali dei Paesi dell‟America Latina, rappresentano un esempio concreto di produzione giuridica e di garanzie che danno rilevanza e ruotano intorno a nuovi diritti, tra i quali: la libertà d‟informazione (intesa come diritto alla autodeterminazione informativa della persona, ossia il diritto a determinare il quando, il come e il quantum di una informazione personale oggetto di comunicazione ai terzi) e la libertà informatica (come garanzia personale a conoscere e accedere alle informazioni personali esistenti nelle banche dati, in formato elettronico, a controllare il loro contenuto e quindi a poterle modificare in caso di inesattezza o indebita archiviazione o trattamento, nonché a decidere sulla loro circolazione o trasmissione). L‟ulteriore ed originale elemento di novità previsto in tutte le moderne Costituzioni dei paesi dell‟America Latina riguarda l‟istituzione della garanzia costituzionale di habeas data65, 64 Cfr. G. Preite, Il riconoscimento biometrico: sicurezza versus privacy, Trento, UniService, 2007. 65 In America Latina è possibile inquadrare le diverse esperienze costituzionali di habeas data in tre categorie: 1) gli Stati la cui Costituzione cita in maniera diretta, completa e precisa il principio di habeas data (Guatemala, Brasile, Colombia, Paraguay, Perù, Ecuador, Argentina, Venezuela); b) gli Stati che prevedono la garanzia attraverso la legislazione o in forma indiretta attraverso il ricorso 39 in funzione della quale le persone hanno il diritto di pretendere che l‟immagine che gli altri hanno di esse corrisponda all‟esatta realtà66. Emerge, dunque, “il problema del riconoscimento di un diritto all‟identità personale come nuovo diritto della personalità, costituito dalla proiezione sociale della personalità dell‟individuo cui si correla un interesse del soggetto a essere rappresentato nella vita di relazione con la sua vera identità”67. La locuzione habeas indica un nuovo e specifico strumento di tutela, simmetrico rispetto al preesistente e tradizionale habeas corpus, proprio per proteggere l‟intimità e la libertà del cittadino contro gli abusi dei registri informatizzati e della comunicazione mendacea online in genere. Una tale esigenza nasce e si sviluppa con le nuove forme di comunicazione interpersonale, e anche interistituzionale, tipiche dell‟era tecnologica quali, lo sviluppo dell‟informatica e delle tecnologie dell‟informazione, l‟interconnessione delle reti mondiali, lo sviluppo dei nuovi canali comunicativi digitali, la gestione e la trasmissione telematica di dati. Per quel che concerne il Brasile, il costituente ha creato questo nuovo strumento della libertà del cittadino idoneo alla sua salvaguardia nei confronti dell‟informatica. Nel caso della Costituzione brasiliana del 1988, è garantita l‟azione di habeas data per assicurare: a) la conoscenza di ogni informazione personale; b) il diritto di rettifica e correzione dei dati; c) l‟accesso all‟informazione; d) la tutela della segretezza delle fonti68. Ciò si realizza attraverso il procedimento di “Amparo”, una particolare “azione di difesa” che tutela i diritto costituzionali del cittadino. A differenza della Costituzione del Brasile, in quella del Paraguay l‟istituto dell‟habeas data ha un contenuto decisamente più ampio in quanto include l‟accesso alle informazioni relative anche ai beni personali. Inoltre permette non solo la rettifica dei dati, ma la loro distruzione se questi sono sbagliati o se illegittimamente ledono i diritti. Ogni persona ha il diritto di conoscere come le informazioni verranno usate e quale sia lo scopo. Sono queste le sostanziali differenze rispetto alla Costituzione del Brasile, differenze che offrono più garanzie e ampliano l‟oggetto di tutela di questo diritto. di amparo costituzionale, di cui diremo appresso nel testo (Cile, Costa Rica, Bolivia, Nicaragua, Honduras); c) le altre esperienze, che prevedono una tutela indiretta dello habeas data (Panama, Messico, Uruguay e Salvador). L‟analisi è ripresa da: T.E. Frosini, Il diritto costituzionale di accesso a Internet, in “Rivista A.I.C.”, 1, 2011, pp. 5-6, disponibile all‟U.R.L.: http://www.rivistaaic.it/il-dirittocostituzionale-di-accesso-a-internet.html, consultato nel mese di settembre 2015. 66 E. R. Acuña, Habeas data costituzionale: nuova garanzia giurisdizionale del diritto pubblico latinoamericano in “Diritto Pubblico comparato ed Europeo”, IV, 2002, p. 1928. Sul tema anche: G. Ziccardi, Informatica giuridica. Controcultura, informatica giuridica, libertà del software e della conoscenza, cit., pp. 29-30. 67 T.E. Frosini, Il diritto costituzionale di accesso a Internet, cit., p. 5. 68 Ibidem. 40 Nello Stato del Perù, l‟inserimento dell‟istituto di habeas data nella Costituzione, è avvenuto invece in forma “contratta”, in quanto non è contemplato il diritto alla rettifica dei dati personali, ma i diritti contro le cui violazioni è ammesso il ricorso sono specificamente disciplinati col rinvio agli articoli della Costituzione. In Ecuador, la Costituzione del 1997, accanto al paragrafo dedicato all‟habeas corpus e a quello del difensore civico, vi è quello dedicato all‟habeas data; il paragrafo successivo invece contempla il giudizio di amparo. Non è certo casuale la collocazione del paragrafo in tema di habeas data in questa sezione della Costituzione intitolata “Delle garanzie dei diritti”. Come per la Costituzione del Brasile, qui l‟inserimento dell‟istituto di habeas data è stato voluto per la protezione di particolari “livelli” di libertà del cittadino, inerenti alle informazioni personali da altri detenute. Oltre alla possibilità di correzione e rettificazione dei dati è ammesso anche il loro annullamento. Il principio di “autodeterminazione informatica”, nel quale abbiamo visto si sostanzia l‟istituto dell‟habeas data, riducendosi da tensione di “affermazione” a sforzo di “negazione della esclusività altrui”69, assume il significato di tentativo infruttuoso di preservare ciò che di più caro rimane: il feticcio di una libera volontà. Non potendo “affermare se stesso”, il soggetto non può fare altro che “limitare gli influssi esterni”, non eliminandoli, ma riducendone la portata e la consistenza a un accettabile livello, modalità, procedura. Come ampiamente descritto nei primi capitoli del presente lavoro, lo sviluppo delle I.C.T. e la loro utilizzazione in tutti i campi dell‟agire umano hanno rappresentato una svolta significativa nell‟applicazione e nell‟interazione del sapere informatico con tutti gli altri. 1.6.1. L'Agenda Digitale Con l'avvento e la diffusione sempre più ampia degli strumenti della Società dell'Informazione, le Istituzioni pubbliche ad ogni livello, sia locale che internazionale e sovranazionale, hanno sentito l'esigenza di dotarsi di uno strumento di pianificazione strategica, che consentisse di individuare gli obiettivi da perseguire per favorire lo sviluppo delle tecnologie ICT da parte dei propri cittadini, in maniera da calendarizzare la loro 69 Definita, da altri, “autodecisione sui dati personali”. Si veda: V. Frosini, Contributi ad un diritto dell’informazione, Napoli, Liguori, 1991, p. 115. 41 attuazione, in un arco temporale prefissato, più o meno lungo in base alle finalità perseguite. E' apparsa, quindi, la c.d. Agenda Digitale o Digital Agenda nella versione internazionale, la quale rappresenta lo strumento di pianificazione utilizzato dalle Istituzioni pubbliche per delineare le strategie finalizzate ad una crescita inclusiva, intelligente e sostenibile. In tale ambito si possono, quindi, distinguere l'Agenda Digitale Europea (DAE), che svolge un ruolo preminente di guida, l'Agenda Digitale Italia (ADI), l'Agenda Digitale delle Regioni. 1.6.2. L'Agenda Digitale Europea L‟Agenda Digitale Europea è stata presentata dalla Commissione Europea nel maggio 2010, ed in seguito sottoscritta da tutti gli Stati membri che si sono impegnati alla sua attuazione. L'Agenda digitale per l'Europa (Digital Agenda for Europe, DAE) si propone di aiutare i cittadini e le imprese europee ad ottenere il massimo dall'utilizzo delle tecnologie ICT. Lo scopo dell‟Agenda Digitale Europea è quello di sfruttare al meglio il potenziale delle tecnologie dell‟informazione e della comunicazione per favorire l‟innovazione, la crescita economica e la competitività, ottenendo vantaggi socio-economici sostenibili grazie ad un mercato digitale unico basato su Internet veloce e superveloce nonchè su applicazioni interoperabili70. Essa è la prima di alcune iniziative pilota del programma “Europa 2020”, ossia la strategia con la quale l'Europa punta a rilanciare l'economia dell'UE nel prossimo decennio, negli ambiti della vita on line, della crescita e lavoro, della scienza e tecnologia, delle telecomunicazioni e internet, dei contenuti e media digitali. Come sottolineato dalla stessa Unione Europea, “in un mondo che cambia, l'U.E. si propone di diventare un'economia intelligente, sostenibile e solidale. Queste tre priorità che si rafforzano a vicenda intendono aiutare l'U.E. e gli Stati membri a conseguire elevati livelli 70 Per ulteriori approfondimenti, si rimanda al sito dedicato reperibile all'indirizzo internet https://ec.europa.eu/digital-singlemarket/, consultato dicembre 2016. 42 di occupazione, produttività e coesione sociale”71. Lanciata, come detto, nel maggio 201072, l'Agenda digitale per l'Europa contiene 101 azioni, raggruppate intorno a sette aree prioritarie, basate su altrettanti pilastri (pillars) e dirette: - a creare un nuovo e singolo mercato digitale per il libero scambio di contenuti on-line tra i vari Paesi aderenti; - ad identificare procedure per la definizione di standards migliorati ed aumentare l'interoperabilità; - a proporre una strategia per la sicurezza digitale dell'UE specie in materia di cyber attacchi e protezione dei dati personali; - ad implementare lo sviluppo ed il miglioramento della banda larga ed ultra-larga per l'accesso ad Internet; - a supportare la ricerca e l'innovazione attraverso consistenti investimenti e l'eliminazione della frammentazione degli sforzi dei singoli Paesi aderenti; - ad avviare una grande coalizione per le competenze digitali e per l'occupazione; - ad aumentare i benefici legati all'utilizzo delle ICT nella vita dei cittadini europei. Successivamente, il 18 dicembre 2012, gli obiettivi dell'Agenda Digitale Europea sono stati aggiornati con la revisione delle priorità digitali, intese a promuovere le condizioni per creare crescita e occupazione in Europa e specificamente finalizzate a: - creare un nuovo e stabile quadro normativo per quanto riguarda la banda larga; - realizzare nuove infrastrutture per i servizi pubblici digitali attraverso prestiti per collegare l'Europa; - Avviare una grande coalizione per le competenze digitali e per l'occupazione; - Proporre una strategia per la sicurezza digitale dell'UE; - Aggiornare il framework normativo dell'UE sul copyright; - Accelerare il cloud computing attraverso il potere d'acquisto del settore pubblico; - Lanciare una nuova strategia industriale sull'elettronica. La piena attuazione di questa Agenda Digitale aggiornata aumenterebbe il PIL europeo del 5%, l'equivalente di 1.500 € a persona, nel corso dei prossimi anni. 71 Testo ripreso dal portale europeo: https://ec.europa.eu/info/european-semester/framework/europe-2020-strategy_en, consultato dicembre 2016. In pratica, l'Unione si è posta cinque ambiziosi obiettivi – in materia di occupazione, innovazione, istruzione, integrazione sociale e clima/energia – da raggiungere entro il 2020. Ogni Stato membro ha adottato per ciascuno di questi settori i propri obiettivi nazionali. Interventi concreti a livello europeo e nazionale vanno a consolidare la strategia. 72 Si rinvia all‟URL: http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52010DC0245R(01)&from=EN, consultato dicembre 2016. 43 Ciò aumenterebbe di 3,8 milioni i nuovi posti di lavoro in tutti i settori dell'economia, nel lungo periodo. I progressi di tali obiettivi sono misurati nel quadro di valutazione annuale del digitale. Più recentemente, l'Agenda Digitale Europea è stata ancora aggiornata. La strategia del Digital Single Market (Mercato Digitale Unico), adottata il 6 maggio 2015, include 16 iniziative da concludere entro la fine del 2016. Il D.S.M., nelle aspettative dell'Unione, può creare opportunità per le start-up e per le società già esistenti in un mercato di oltre 500 milioni di persone, contribuendo ad apportare all'economia europea qualcosa come € 415 miliardi all'anno, creando posti di lavoro e trasformando i servizi pubblici. La strategia del DSM è basata su tre grandi pilastri: Accesso: miglior accesso per consumatori e imprese a beni e servizi digitali in tutta Europa; Ambiente: creare i giusti presupposti e far sì che gli attori abbiano le stesse condizioni per far fiorire servizi digitali innovativi; Economia & Società: massimizzare il potenziale di crescita della economia digitale. 1.6.3. L'Agenda Digitale Italiana Inserita nel più ampio contesto europeo, l‟Agenda Digitale Italiana (ADI) ha un enorme ruolo nel definire lo sviluppo del Paese, dal momento che il digitale rappresenta oggi uno strumento di competitività e sviluppo molto efficace. L‟Agenda Digitale, del resto, riguarda non solo il settore dell‟ICT, ma qualsiasi settore, ambito o comparto sia pubblico che privato, imprenditoriale o meno. L'Agenda Digitale Italiana è stata istituita il primo marzo 2012 con decreto del Ministro dello sviluppo economico, di concerto con il Ministro per la pubblica amministrazione e la semplificazione, il Ministro per la coesione territoriale, il Ministro dell'istruzione, dell'università e della ricerca e il Ministro dell'economia e delle finanze. Nel D. L. del 18 ottobre 2012 n. 179, intitolato “Ulteriori misure urgenti per la crescita del Paese” - c.d. provvedimento Crescita 2.0 -, sono previste le misure per l'applicazione concreta dell'ADI. I principali interventi sono previsti nei seguenti settori: identità digitale, amministrazione 44 digitale, istruzione digitale, sanità digitale, divario digitale, pagamenti elettronici e fatturazione, giustizia digitale. La strategia italiana Agenda Digitale si basa sul documento del 07 aprile 2014 73, nel quale viene elaborata una strategia paese, attraverso l‟individuazione di specifiche priorità e modalità di intervento collegate a chiare azioni, i cui risultati sono misurabili sulla base di specifici indicatori, in linea con lo scoreboard dell‟Agenda Digitale Europea (ADE). Nello specifico sono state declinate le priorità strategiche negli ambiti della Crescita Digitale e dello sviluppo di Infrastrutture Digitali; il documento descrive, anche sulla base dell‟analisi e del bilanciamento della domanda e dell‟offerta di ICT, tali priorità di intervento collegandole a specifiche azioni perseguite e/o da perseguire con riferimento ai citati ambiti, sviluppati secondo le specifiche priorità: Identità digitali, Dati pubblici e condivisione, Competenze digitali e inclusione, Amministrazione Digitale, Comunità Intelligenti, Mercato digitale74. Per quanto riguarda, invece, le Infrastrutture Digitali75, sono previste azioni riguardanti Infrastrutture a banda ultralarga, Data Center, Sistema Pubblico di Connettività e Sicurezza. I risultati raggiunti da tali azioni saranno misurati sulla base di specifici indicatori, appositamente individuati. Gli Attori coinvolti nella prima stesura della strategia (2012) sono: Ministero dello Sviluppo Economico; Ministero delle infrastrutture e dei trasporti; Ministero della Funzione Pubblica e semplificazione; Ministero dell‟Istruzione, Università e Ricerca; Ministero dell‟Economia e delle Finanze; Dipartimento di Coesione Territoriale; Dipartimento per l‟Editoria della Presidenza del Consiglio; Regioni, Comuni e Province italiane. L‟Italia, inoltre, ha istituito una Cabina di regia volta a definire una strategia nazionale per lo sviluppo del Paese puntando sull‟economia digitale (D. L. 9 febbraio 2012, n. 5, convertito nella legge 4 aprile 2012, n. 35). Gli obiettivi della Cabina ricalcano le azioni definite nell‟iniziativa faro – “digital agenda” all‟interno della strategia europea EU2020. Con il Decreto Sviluppo 2012, del 15 giugno 2012 e successive modificazioni, è stata 73 Reperibile all'indirizzo internet: http://www.agid.gov.it/agenda-digitale/agenda-digitale-italiana, consultato nel mese di novembre 2016. 74 Si veda il documento Strategia per la crescita digitale del 03 marzo 2015, risultato della consultazione pubblica avviata a fine 2014: http://www.governo.it/GovernoInforma/documenti/piano_crescita_digitale.pdf , consultato novembre 2016. 75 Si veda il documento Strategia italiana per la banda ultralarga, reperibile all‟indirizzo internet http://www.agid.gov.it/sites/default/files/documenti_indirizzo/StrategiaBandaUltraLarga2014.pdf, consultato dicembre 2016. 45 istituita l‟Agenzia per l‟Italia digitale con il compito operativo di portare avanti gli obiettivi definiti con la strategia italiana dalla Cabina di Regia di cui sopra, monitorando l'attuazione dei piani di ICT delle pubbliche amministrazioni e promuovendone annualmente di nuovi, in linea con l‟Agenda digitale europea. Con il D. L. 69/2013 il Governo ha rivisto la strategia dell'Agenda e il ruolo della Cabina di Regia, con l'istituzione di un “Tavolo permanente, composto da esperti”. Il periodico aggiornamento della strategia, invece, è ad opera dell‟Agenzia per l‟Italia digitale su indirizzo del Commissario di Governo per l‟attuazione dell‟Agenda Digitale, in coerenza con le novità che emergono a livello regionale e locale attraverso il costante monitoraggio che l‟Agenzia per l‟Italia fa sul territorio. Da segnalare, che l'art. 24-ter del D. L. n. 90 del 24 giugno 2014, introdotto in sede di conversione in L. n. 114 del 11 agosto 2014, ha previsto l'emanazione di apposite regole tecniche per l'attuazione dell'Agenda Digitale Italiana, attraverso le modalità di cui all'art. 71 del C.A.D. 1.6.4. L'Agenda Digitale delle Regioni e degli enti locali Il livello regionale e locale rappresenta un ambito fondamentale per la definizione, la concertazione e l‟attuazione della Società dell‟informazione e della conoscenza in quanto consente di coniugare un obiettivo europeo ad un‟unica progettualità ed un‟unica regolamentazione a livello nazionale, con le azioni programmatico - legislative proprie delle Regioni, valorizzandone le funzioni e le esperienze, e con l‟utilizzo sistemico dei fondi strutturali europei, nazionali e regionali, operando ad un livello locale per rispettare le specificità, ma adeguato alla valorizzazione delle economie di scala e delle possibili sinergie di rete. L‟Agenzia per l'Italia digitale sta lavorando con le regioni per la definizione delle agende digitali regionali. Il lavoro è coordinato, lato regioni, dal CISIS, l‟organo tecnico delle regioni per le tematiche dell‟agenda digitale. Nel giugno 2012, nell‟ambito di una Conferenza Stato-Regioni, è stato presentato il 46 documento di posizionamento delle regioni per quanto riguarda l‟agenda digitale76. Al momento sono disponibili on line le agende digitali delle seguenti regioni: Lombardia 77, Veneto78, Toscana79, Umbria80, Puglia81, Basilicata82, mentre altre regioni stanno attuando la propria Agenda Digitale. 1.7. eDemocracy Il termine e-democracy, inteso come utilizzazione delle nuove tecnologie della comunicazione e dell'informazione nell'ambito dei processi politici e sociali, compare alla fine del secolo scorso ed il suo significato, tanto sotto il profilo teorico quanto sotto il profilo pratico, è complesso. Il concetto racchiude in sé un insieme di modalità che favoriscono la partecipazione diretta dei cittadini ai processi politici ed istituzionali e che introducono forme innovative di democrazia. In base ad una condivisa definizione dobbiamo intendere l‟eDemocracy, in senso generale, come una democrazia caratterizzata dall’uso, da parte dei cittadini, degli strumenti ICT per una maggiore responsabilizzazione degli attori pubblici nelle loro azioni.83 Ci sono numerosi modelli di democrazia elettronica, ognuno dei quali poggia su una concezione differente di democrazia (liberal-individualista, autonomo-marxista, contropubblica e quant'altre) che ognuna promette, ma l'evoluzione della e-democracy può essere rappresentata da alcune forme che costituiscono, sostanzialmente, delle fasi di sviluppo della democrazia elettronica con l'uso delle nuove tecnologie dell'informazione e della comunicazione e che si propongono d'integrare e rivitalizzare la tradizionale democrazia rappresentativa mediante l'innesto su di essa di nuovi processi partecipativi: l'eGovernment, la eDemocracy amministrativa, la eDemocracy consultiva, la eDemocracy partecipativa, la eDemocracy deliberativa. 76 Documento disponibile all‟URL: http://www.regioni.it/download.php?id=256657&field=allegato&module=news, consultato nel mese di dicembre 2016. 77 Si veda l‟URL: http://www.agendadigitale.regione.lombardia.it/, consultato nel mese di dicembre 2016. 78 Si veda l‟URL: http://agendadigitale.regione.veneto.it/, consultato nel mese di dicembre 2016. 79 Si veda l‟URL: http://www.regione.toscana.it/agendadigitale, consultato nel mese di dicembre 2016. 80 Si veda l‟URL: http://www.agendadigitale.regione.umbria.it/, consultato nel mese di dicembre 2016. 81 Si veda l‟URL: http://www.regione.puglia.it/index.php?page=pressregione&opz=display&id=17848, consultato nel mese di dicembre 2016. 82 Si veda l‟URL: http://www.ibasilicata.it/web/guest/agenda-digitale, consultato nel mese di dicembre 2016. 83 Cfr. L. De Pietro, Dieci lezioni per capire e attuare l’eGovernment, Marsilio, Padova, 2011. 47 L'eGovernment o amministrazione elettronica, in senso stretto, come già anticipato nel capitolo dedicato all‟argomento, non è altro che il processo d'informatizzazione della pubblica amministrazione che semplifica il lavoro degli enti e rende rapidi ed efficienti i servizi per i cittadini; inoltre, attiva modalità di trasparenza informativa ed è il presupposto dei più complessi processi di e-democracy. Esso non è in sé democratico, ma lo diventa se viene orientato verso le finalità della democrazia. Esso non può significare solo maggiore efficienza dell'esercizio del potere, ma deve anche favorire una maggiore distribuzione del potere medesimo facendo aumentare le possibilità d'intervento diretto dei cittadini. Il suo tasso di democraticità si misura in termini di trasparenza dell'attività della pubblica amministrazione, di controllo diffuso sui processi amministrativi, di semplificazioni procedurali, di liberazione del cittadino dalla tirannia della burocrazia, e via continuando. La sfera della politica è stata così investita dalle nuove tecnologie dell‟informazione e della comunicazione attraverso l‟utilizzo di Internet da parte delle istituzioni governative come strumento di comunicazione con i cittadini, con le imprese e tra i diversi ambiti dell‟amministrazione nella dimensione di e-government. Governo elettronico ed amministrazione digitale rappresentano un nuovo modello che le amministrazioni pubbliche non possono tralasciare e che le spinge a riorganizzare conseguentemente le funzioni interne delle proprie strutture nella dimensione di governance elettronica. L‟eDemocracy amministrativa è la forma avanzata dell'e-government che, forzando il tradizionale principio di segretezza e gestione delle informazioni di atti amministrativi pubblici, ha favorito l'estensione del principio di trasparenza dalla semplice accessibilità alle informazioni al principio di verificabilità delle procedure e delle deliberazioni amministrative. L‟eDemocracy consultiva rafforza la trasparenza e si basa sul principio che gli enti pubblici debbano stimolare e favorire la consultazione dei cittadini attraverso cui devono esprimere la propria opinione su determinate questioni. Tuttavia, con tale forma di democrazia elettronica, che talvolta giunge a coinvolgere nelle consultazioni anche i residenti, i cittadini non esercitano un reale potere decisionale ma soltanto un ruolo appunto consultivo. L‟eDemocracy partecipativa, intesa come forma di potere esercitato mediante l'interazione dell'uomo col computer, ha anch'essa lo scopo di stimolare la partecipazione 48 attiva ed ampliare il coinvolgimento dei cittadini e, sebbene talvolta utilizzi il voto elettronico (in genere, a scopo consultivo), si risolve in una forma sperimentale d'integrazione delle modalità tradizionali di voto. L'avvento delle nuove tecnologie dell'informazione e della comunicazione, tuttavia, consente di generare spazi di dibattito pubblico, attraverso livelli diversi di discussione, da cui derivano processi e atti di deliberazione politica. Con le nuove forme di coinvolgimento nell'ambito della partecipazione politica, in ogni caso, si stanno offrendo maggiori possibilità ai cittadini d'influenzare il dibattito pubblico e soprattutto di conseguire una più ampia deliberazione. L‟eDemocracy deliberativa è una forma che presuppone la partecipazione dei cittadini ai processi decisionali e si basa essenzialmente sulla centralità dell'individuazione di soluzioni tecniche dirette a favorire processi di comunicazione interattivi e trasparenti unitamente all'attivazione di meccanismi di partecipazione e di deliberazione. Questa forma ingloba anche circuiti comunitari non ufficiali, come dimostra il progetto Your Voice Europe attuato in occasione del processo di elaborazione della Costituzione europea, con cui il dibattito è stato reso pubblico ed interattivo attraverso Internet. La democrazia elettronica deliberativa, le cui deliberazioni sono processi di natura politica e frutto di un'attività d'interazione fra individui di una determinata comunità, non è considerata da molti un nuovo modello di democrazia, ma un approfondimento delle teorie precedenti. In ogni caso, essa incide notevolmente sulle forme di organizzazione delle istituzioni in termini di coinvolgimento ed ampliamento della partecipazione dei cittadini, di trasparenza ed efficienza amministrativa e, soprattutto, di nuovi modelli decisionali più vicini alla democrazia diretta piuttosto che alla democrazia rappresentativa. CAPITOLO II INFORMATICA GIURIDICA E AMMINISTRAZIONE DIGITALE 49 2.1 Introduzione all’amministrazione digitale Il testo di riferimento per la disciplina dell‟Amministrazione digitale è da considerarsi il Codice dell’Amministrazione Digitale - CAD, emanato con Decreto Legislativo del 7 marzo 2005, n. 82, ovvero un corpo organico di disposizioni concernente l‟uso delle tecnologie info-telematiche nelle Pubbliche Amministrazioni. Entrato in vigore il 1º gennaio 2006, il codice si presenta come una sorta di “costituzione” del mondo digitale, un prezioso strumento nato per facilitare la vita ai cittadini e per rendere più produttivo ed efficiente il lavoro dei dipendenti pubblici. Scopo del CAD, in effetti, è proprio quello di rendere obbligatoria l‟innovazione della PA offrendo ai cittadini e alle imprese il diritto di confrontarsi ed interagire in ogni momento con qualunque amministrazione attraverso le reti, la posta elettronica, Internet. In particolare, esso si presenta come una sorta di “Testo unico” poiché riunisce ed ordina molte norme che già si erano susseguite nel corso degli anni in materia di eGovernement ed innovazione e, al tempo stesso, sancisce nuovi diritti ed opportunità, in linea con il panorama tecnologico in costante evoluzione. La versione iniziale del CAD è stata oggetto di significativi interventi di modifica ed aggiornamento da parte del legislatore; in particolare si segnalano le novelle rappresentate dal D. Lgs. n. 235/2010 e dal D.L. n. 179/2012 (c.d. “Agenda Digitale Italiana”) che hanno reso ancor più stringente l‟obbligo per le Amministrazioni di organizzarsi in modo da rendere sempre disponibili tutte le informazioni in modalità digitale. Le riforme hanno evidenziato l‟attitudine delle nuove tecnologie a porsi quale strumento privilegiato di dialogo con i cittadini, con conseguente impatto sui processi di comunicazione e di interazione tra PA e privati, nonché sull‟organizzazione e sugli strumenti della PA digitale. In particolare, le riforme al CAD introdotte con il D.Lgs. n. 235/2010, in vigore dal 25 gennaio 2011, si sono poste come finalità quella di poter delineare una Pubblica Amministrazione finalmente moderna, digitale e libera dal vincolo della burocrazia, che spesso si traduce in inutile e dispendioso aggravamento dei procedimenti amministrativi. Attraverso una corretta applicazione del CAD, in effetti, è possibile affermare che l'amministrazione digitale non è più banalmente una mera enunciazione concettuale o una “dichiarazione di principio” ma, al contrario, essa apporta un insieme di innovazioni 50 normative che vanno ad incidere concretamente sui comportamenti e sulle prassi delle amministrazioni e sulla qualità dei servizi resi. La riforma rende, in tal modo, stringenti gli obblighi per la PA, effettivi i diritti per cittadini e imprese e riconosce maggiore sicurezza agli operatori sulla validità, anche giuridica, dell'amministrazione digitale. Tuttavia, l‟importante opera di rinnovamento normativo in tema di amministrazione digitale avviata con il D.Lgs. n. 235/2010 si inserisce in un più ampio processo volto al rinnovamento della PA, già avviato in precedenza con il Decreto legislativo n. 150 del 27 ottobre 2009. Quest‟ultimo intervento normativo, intervenuto in attuazione della Legge 4 marzo 2009, n.15 introduce principi di primaria importanza, quanto a portata giuridica ed a forza di incidenza, in tema di efficienza e trasparenza della PA, ottimizzazione della produttività del lavoro pubblico, meritocrazia, premialità e responsabilizzazione dei dirigenti ma anche di tutti i dipendenti della pubblica amministrazione. Nel corso del 2016, però, importanti novità normative hanno segnato lo scenario di riferimento dell‟Amministrazione digitale: a) l‟entrata in vigore, dal primo luglio 2016, del nuovo Regolamento eIDAS (Electronic IDentification Authentication and Signature), che ridefinisce il quadro normativo in materia di servizi fiduciari, introducendo un‟innovazione rispetto alla Direttiva Europea 1999/93/EC relativa ad un quadro comunitario per le firme elettroniche; b) l‟emanazione, conseguente al citato Regolamento eIDAS che l‟ha resa necessaria, del Decreto legislativo 26 agosto 2016, n. 179 recante “Modifiche ed integrazioni al Codice dell'amministrazione digitale, in materia di riorganizzazione delle amministrazioni pubbliche”, volto a riformare il testo legislativo originario del CAD e ad introdurre ulteriori novità in materie correlate, una su tutte la trasparenza. Tali interventi di riforma si mostrano intimamente connessi fra loro, proponendosi come fine ultimo quello di rendere più efficace la pubblica amministrazione, sistematizzando e accelerando il processo di digitalizzazione iniziato oltre dieci anni fa. L‟ampia riforma del CAD era ritenuta ormai necessaria, ad oltre dieci anni dall‟emanazione del CAD, al fine di attribuire concretezza ed attualità ai diritti di cittadinanza digitale dei cittadini e delle imprese, garantendo, contestualmente, il diritto di accesso ai dati, ai documenti e ai servizi di loro interesse in modalità digitale. Fermo restando la più pressante 51 necessità di fare fronte alle profonde novità introdotte dal Regolamento eIDAS, tali da minare, se non recepiti nella giusta misura e forma, lo stesso impianto del CAD. L‟opportunità della riforma dell‟intero CAD nasce quindi, essenzialmente, dalla necessità di adeguare lo stesso al Regolamento eIDAS. Esso stabilisce le condizioni per il riconoscimento reciproco in ambito di identificazione elettronica e le regole comuni per le firme elettroniche, l‟autenticazione web ed i relativi servizi fiduciari per le transazioni elettroniche. L‟obiettivo fondamentale di questo provvedimento comunitario è quello dell‟eliminazione delle barriere esistenti all‟impiego transfrontaliero dei mezzi di identificazione elettronica utilizzati negli Stati membri almeno per l‟autenticazione nei servizi pubblici. Il Regolamento, difatti, mira a garantire l‟accesso ai servizi online transfrontalieri offerti dagli Stati membri attraverso un‟identificazione e un‟autenticazione elettronica sicura. A tal fine, il provvedimento in esame anzitutto disciplina l‟identificazione elettronica da intendersi come “il processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un‟unica persona fisica o giuridica, o un‟unica persona fisica che rappresenta una persona giuridica”, preoccupandosi del riconoscimento reciproco fra gli Stati membri dei mezzi di identificazione e autenticazione elettroniche per accedere ad un servizio prestato da un organismo del settore pubblico online in uno Stato membro. Grazie all‟applicazione del Regolamento, firme elettroniche, sigilli, validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati di autenticazione di siti web potranno essere usati ovunque nell'UE da cittadini, aziende e pubbliche amministrazioni, aumentando di fatto la certezza legale e la sicurezza delle transazioni elettroniche e favorendo, conseguentemente, la realizzazione di un mercato unico digitale. L‟idea di fondo, in effetti, è proprio quella di costituire un mercato unico digitale, in cui si assisterà ad una maggiore fruibilità dei servizi online di tutte le pubbliche amministrazioni dell‟Unione rafforzando così il concetto di cittadinanza europea84. Passando ad esaminare la seconda importante novità normativa intervenuta in tema di amministrazione digitale, il Decreto legislativo 26 agosto 2016, n. 179 recante “Modifiche ed integrazioni al Codice dell'amministrazione digitale, in materia di riorganizzazione delle amministrazioni pubbliche”, ha ad oggetto una complessa riforma che investe la quasi 84 M.Iaselli, Codice dell’amministrazione digitale: le modifiche in Gazzetta, 15 settembre 2016, disponibile al seguente URL: http://www.altalex.com/documents/news/2016/02/04/codice-amministrazione-digitale-le-modifiche-approvate-dal-consiglio-deiministri consultato nel mese di novembre 2016. 52 totalità degli articoli del Codice dell‟Amministrazione Digitale di cui al d.lgs. n. 82 del 2005. Tale novella, ritenuta ormai impellente al fine di promuovere e rendere effettivi i diritti di cittadinanza digitale dei cittadini e delle imprese, garantisce, contestualmente, il diritto di accesso ai dati, ai documenti e ai servizi di loro interesse in modalità digitale, semplificando le modalità di accesso ai servizi alla persona. Detto in altre parole, il D.Lgs. n. 179/2016 realizza quanto indicato nell‟art. 1 della Legge n. 124/2015, con la quale il Parlamento ha delegato il governo ad emanare il detto decreto, ovvero una vera e propria “carta della cittadinanza digitale”. I principi ed i criteri direttivi della riforma, esplicitamente previsti dalla normativa legislativa di riferimento, ovvero l‟art. 1 della Legge n. 124/2015, sono principalmente volti a favorire “l‟accesso dell‟utenza ai servizi delle amministrazioni pubbliche in modalità digitale”85. L‟obiettivo principale della riforma rimane quello di spostare l‟attenzione dal processo di digitalizzazione ai diritti digitali di cittadini e imprese. Con la “carta della cittadinanza digitale” si riconoscono concretamente numerosi diritti a cittadini e imprese e si costituisce la base giuridica per implementare Italia Login, la piattaforma di accesso che, attraverso il Sistema pubblico d‟identità digitale (SPID) e l‟Anagrafe nazionale della popolazione residente, permetterà ai cittadini di accedere ai servizi pubblici, e a quelli degli operatori privati che aderiranno, con un unico nome utente e un‟unica password (prenotazioni di visite mediche, iscrizioni a scuola, pagamento dei tributi). Ciò consentirà di superare la complessità della situazione attuale per cui ogni pubblica amministrazione o Ente pubblico 85 Più nel dettaglio, tali principi contenuti nell‟art. 1 della Legge n. 124/2015 riguardano: - la definizione di un livello minimo delle prestazioni in materia di servizi on line delle Amministrazioni pubbliche con particolare riferimento alla qualità, fruibilità, accessibilità, tempestività e sicurezza di tali servizi; - la piena applicazione del principio del “digital first” (cosiddetto principio “innanzitutto digitale”), in base al quale il digitale è il canale principale per tutte le attività amministrative; - il potenziamento della connettività a banda larga e ultralarga e dell‟accesso alla rete Internet presso gli uffici pubblici, in specie nei settori sanitario, scolastico e turistico, agevolando per quest‟ultimo la creazione di una rete wi-fi ad accesso libero attraverso autenticazione tramite il “Sistema pubblico di identità digitale” (SPID); - la partecipazione con modalità telematiche ai processi decisionali pubblici; - l'armonizzazione della disciplina del “Sistema pubblico di identità digitale” (SPID) consistente, in estrema sintesi, nell'utilizzo del cosiddetto PIN unico per accedere ai servizi forniti dall‟Amministrazione; - la promozione dell'elezione del domicilio digitale; l‟adeguamento dell'ordinamento nazionale “alla disciplina europea in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche”, materia di recente normata dal regolamento (UE) n. 910/2014 del 23 luglio 2014 (electronic IDentification Authentication and Signature - eIDAS), che, come innanzi detto, troverà automatica applicazione anche in Italia a decorrere dal 1° luglio 2016; - l‟individuazione del pagamento elettronico come mezzo principale di pagamento nei confronti delle pubbliche amministrazioni e degli esercizi di pubblica utilità, ritenuto il “volano per i processi di digitalizzazione e archiviazione documentale digitale”. Inoltre, nel predisporre il testo di riforma, il legislatore - in ossequio, peraltro, a quanto previsto dell‟Agenda digitale europea (ADE) e, in coerenza con gli obiettivi posti da tale documento, anche dall‟Agenda digitale italiana (ADI) - si propone di superare “l‟arretratezza” tecnologica del Paese, ponendo le condizioni per combattere i principali ostacoli a fondamento del gap di cui si è in precedenza detto, come, ad esempio, l‟uso ancora eccessivo della carta nell‟ordinario funzionamento delle Amministrazioni, la complessità e l‟incompletezza della vigente disciplina in materia di domicilio digitale dei cittadini e delle imprese o ancora, l‟“l‟analfabetismo” della cultura digitale della cittadinanza, con particolare riguardo alle categorie a rischio di esclusione. 53 che garantisce servizi on-line richiede proprie modalità di registrazione e di utilizzo dei servizi. Tra le tematiche di maggiore interesse del nuovo Codice dell‟Amministrazione Digitale, in effetti, rilevano, nello specifico, il perfezionamento del Sistema Pubblico di Identità Digitale (SPID) ed il programma “digital first”. Il sistema SPID assume un ruolo centrale nel novellato CAD e viene definito come un insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'AgID, secondo modalità definite con specifico decreto ministeriale, identificano cittadini, imprese e pubbliche amministrazioni per consentire loro l‟accesso ai servizi in rete. Esso, dunque, è legato alla creazione di un domicilio e di un‟identità digitali che consentiranno a cittadini e imprese di dialogare con la pubblica amministrazione attraverso un unico punto di accesso, abbattendo tempi e costi. È chiaro, quindi, l‟intento del legislatore di semplificare al massimo l‟accesso ai servizi on line dei cittadini, superando le difficoltà connesse alle carte elettroniche, anche se il pericolo “sicurezza” incombe sempre, poiché è evidente che con tale sistema si moltiplicano le identità digitali di un cittadino, che saranno diverse per ogni servizio. Proprio per far fronte a possibili abusi, il sistema è continuamente monitorato dall‟Autorità Garante. Il “digital first” consiste nell‟obbligo per le P.A. di garantire il passaggio in digitale di tutti i procedimenti amministrativi attualmente in cartaceo, permettendo dunque ai cittadini di entrare in contatto con le amministrazioni senza recarsi fisicamente agli sportelli. L‟obiettivo finale è quello di consentire a tutte le P.A. di produrre atti e documenti solo in formato elettronico, abolendo totalmente il cartaceo. Nel commentare le novella normativa, c‟è chi ha individuato i principali capisaldi della riforma del CAD, le cd. 3C, nei concetti di cittadinanza digitale, cultura digitale e concorrenza digitale86. L‟art. 1 della Legge n. 124/2015 è rubricato “Carta della cittadinanza digitale”, per cui la novità più rilevante del decreto di riforma del CAD è il riconoscimento della centralità del cittadino nella relazione con le P.A. e le società a controllo pubblico e dei diritti di cittadinanza digitale. Quest‟ultima rappresenta uno status, ossia il complesso dei diritti di utilizzo delle ICT nella relazione tra cittadino/imprese e la pubblica amministrazione, ai fini 86 F. Trojani, Riforma Codice Amministrazione Digitale: transizione, modalità operativa digitale, fiducia degli operatori. 12 ottobre 2016, disponibile al seguente URL: http://www.leggioggi.it/2016/10/12/riforma-codice-amministrazione-digitale-transizione-modalitaoperativa-digitale-fiducia-degli-operatori/ consultato nel mese di ottobre 2016. 54 della fruizione dei servizi pubblici e dell‟accesso ai dati e ai documenti in modalità dematerializzata, nonché mediante l‟utilizzo delle tecnologie dell‟informazione e della comunicazione. È questo il fulcro della riforma, che trova i propri corollari nella novella degli articoli 3, 3bis, 5, 64 e 65 del CAD. La cittadinanza digitale, come status, per poter essere piena ed effettiva, presuppone che siano adottate azioni in concreto tese al superamento dei possibili ostacoli sia di natura tecnologia, sia di natura cognitiva e delle competenze individuali. Pertanto, si deve immaginare il cittadino al centro della relazione con le P.A. e si deve prevedere che qualunque rapporto e interazione necessari con i soggetti pubblici possano avvenire mediante l‟utilizzo delle ICT; da qui: - diritto all‟uso delle tecnologie e all‟utilizzo delle ICT per presentare domande, istanze e dichiarazioni; - diritto all‟utilizzo di sistemi di pagamento elettronico; - diritto al ricevimento delle comunicazioni elettroniche; - facoltà di non dover conservare documenti, che per legge devono essere conservati dalle pubbliche amministrazioni. Perché la cittadinanza digitale possa dirsi effettiva, si segnalano le opportune modifiche e integrazioni da parte del D. Lgs. 179/2016 agli articoli 8 e 13 del CAD: - quanto al primo, al comma 1 all‟espressione alfabetizzazione informatica si è sostituita quella più compiuta di cultura digitale tra i cittadini, che è un obiettivo di politica e di crescita, con “particolare riguardo alle categorie a rischio di esclusione, anche al fine di favorire l‟utilizzo di servizi digitali delle pubbliche amministrazioni”; - nell‟art. 13, dopo il comma 1, è stato introdotto il comma 1bis, che dispone che “le politiche di formazione di cui al comma 1 sono altresì volte allo sviluppo delle competenze tecnologiche e manageriali dei dirigenti, per la transizione alla modalità operativa digitale”. Quanto alla cultura digitale, il Governo nel 2014 ha adottato il “Programma nazionale per la cultura, la formazione e le competenze digitali”, avente un orizzonte temporale che coincide con la programmazione europea (2014-2020), parte integrante dell‟Agenda Digitale Italiana, a cui contribuiscono per la definizione dell‟Asse Strategico “Competenze digitali”. 55 Il Programma nazionale si propone di definire il quadro strategico e operativo entro cui sviluppare la cultura e le competenze digitali del Paese. Inoltre, è uno strumento che intende raccordare e porre in rete le iniziative territoriali e settoriali già esistenti: si tratta di un lavoro in progress, che deve far proprie le nuove esigenze della cittadinanza, e mantenere un allineamento costante tra scelte strategiche, direttrici operative e piano di azione. Lo sviluppo delle competenze digitali e in generale della consapevolezza digitale è fondamentale per il nostro Paese, che sconta su questo campo uno svantaggio molto grave nei confronti della gran parte dei Paesi Europei, come rilevato da diversi rapporti internazionali. Ne paghiamo le conseguenze sul fronte dello sviluppo economico-sociale, ma anche dell‟inclusione e dell‟esercizio dei diritti democratici. Le competenze digitali (in continua evoluzione) sono necessarie per un utilizzo efficace degli strumenti e dei servizi digitali di uso comune nella vita quotidiana compreso l‟ambito lavorativo, senza finalità professionali specifiche. Il nesso con il concetto di cittadinanza digitale nasce proprio dall‟idea che saper utilizzare strumenti e servizi digitali ad un livello anche basilare, ma comunque adeguato allo scopo, sia una condizione oggigiorno sempre più necessaria per poter partecipare alle dinamiche sociali, economiche e politiche della realtà in cui viviamo ed esercitare i nuovi diritti legati proprio alla pervasività del digitale. Infine, il riconoscimento della cittadinanza digitale e la promozione della cultura digitale, non possono prescindere dalla vitalità del mercato e dalla fornitura di nuovi servizi, per cui è necessario promuovere la cd. “concorrenza digitale”. Questa non è rinvenibile nella Legge delega n. 124/2015, né nel D.Lgs. n. 179/2016. Tuttavia, si evince dal principio di cui alla lettera m) dell‟art. 1 del D.Lgs. n. 179/2016, secondo cui occorre “assicurare la neutralità tecnologica delle disposizioni del CAD”. Il principio di neutralità tecnologica presuppone che si possano utilizzare tecnologie differenti, che prescindano da una tipologia di tecnologia o da un‟altra; ciò favorisce la promozione della concorrenza e la crescita di piccole e medie imprese, a tutto vantaggio dei cittadini e degli utilizzatori delle soluzioni e delle tecnologie. Scopo del CAD è, ai sensi dell‟articolo 2 comma 1 del Codice, promuovere e regolare la disponibilità, la gestione, l'accesso, la trasmissione, la conservazione e la fruibilità dell'informazione in modalità digitale, utilizzando le tecnologie dell'informazione e della 56 comunicazione all'interno della Pubblica Amministrazione e nei rapporti tra amministrazione e privati. Il CAD riconosce nella PA il destinatario privilegiato ma, allo stesso tempo, racchiude importanti norme indirizzate alla generalità dei soggetti (inclusi cittadini, professionisti e imprese) soprattutto per quanto riguarda l‟utilizzo di alcuni strumenti come la Posta Elettronica Certificata, i documenti informatici e le firme elettroniche, atti a semplificarne i rapporti tra Pubbliche amministrazioni, cittadini e imprese. L‟art. 2, comma 1 del CAD prevede che “lo Stato, le Regioni e le autonomie locali assicurano la disponibilità, la gestione, l‟accesso, la trasmissione, la conservazione e la fruibilità dell‟informazione in modalità digitale e si organizzano ed agiscono a tale fine utilizzando con le modalità più appropriate e nel modo più adeguato al soddisfacimento degli interessi degli utenti le tecnologie dell‟informazione e della comunicazione”. Per adempiere a tale disposizione, tuttavia, è previsto che gli Enti si organizzino ed agiscano utilizzando le ICT nel modo più appropriato: appare evidente l‟intenzione del legislatore di garantire effettività e certezza di tutela, pur nel rispetto dell‟autonomia organizzativa di ciascuna Amministrazione. Il successivo comma 2 individua i soggetti pubblici e privati a cui è rivolta la disciplina dettata dal Codice. In particolare, il Codice, nella sua interezza, si applica alle: – Amministrazioni pubbliche destinatarie della normativa sul pubblico impiego (art. 1, comma 2, D.Lgs. 30 marzo 2001, n. 165) e quindi a tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane, e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti i del Servizio sanitario nazionale, l'Agenzia per la rappresentanza negoziale delle pubbliche amministrazioni (ARAN) e le Agenzie di cui al decreto legislativo 30 luglio 1999, n. 300 e, fino alla revisione organica della disciplina di settore, il CONI; 57 – società a controllo pubblico, come definite nel decreto legislativo87 adottato in attuazione dell'articolo 18 della legge n. 124 del 2015, escluse le società quotate come definite dallo stesso decreto legislativo adottato in attuazione dell'articolo 18 della legge n. 124 del 2015. In base ai commi 3 e 4 dell‟art. 2, il CAD si applica anche a: - privati, per quanto attiene alle disposizioni riguardanti il documento informatico e le firme elettroniche, i trasferimenti, libri e scritture, la formazione di documenti informatici, la riproduzione e conservazione dei documenti, i requisiti per la gestione e conservazione dei documenti informatici, la trasmissione informatica dei documenti (si tratta delle disposizioni di cui al capo II, agli articoli 40, 43 e 44 del capo III, nonché al capo IV); - gestori di servizi pubblici88 e organismi di diritto pubblico89, per quanto attiene le disposizioni concernenti l'accesso ai documenti informatici e la fruibilità delle informazioni digitali contenute nel Capo V. Ai sensi del comma 5 dell‟art. 2, le disposizioni del CAD si applicano nel rispetto della disciplina in materia di trattamento dei dati personali e, in particolare, delle disposizioni del Codice in materia di protezione dei dati personali approvato con decreto legislativo 30 giugno 2003, n. 196. Per quanto riguarda invece la sfera di non applicabilità del CAD, in base al suo art. 2, comma 6, tale testo unico non trova applicazione limitatamente a: * l‟esercizio delle attività e funzioni ispettive e di controllo fiscale, di ordine e sicurezza pubblica, difesa e sicurezza nazionale, polizia giudiziaria e polizia economico-finanziaria; * consultazioni elettorali. 87 D.Lgs. 19 agosto 2016, n. 175 , “Testo unico in materia di società a partecipazione pubblica”, pubblicato in G.U. Serie Generale n.210 del 8-9-2016. Si fa presente che la Corte Costituzionale è intervenuta sulla legittimità costituzionale delle disposizioni di delegazione contenute nella Legge n. 124 del 2015 con la sentenza n. 251/2016. L‟arresto giurisprudenziale, però, non ha comportato, ad oggi, effetti sul D.Lgs. n. 175/2016, che continua dunque a produrre i suoi effetti. 88 Possono essere “gestori di pubblico servizio” soggetti di varia natura che hanno in concessione servizi pubblici: ad es. l‟ENEL o gli ordini professionali. Un servizio pubblico è una tipologia di servizio reso alla collettività, oggettivamente non economica, ma suscettibile di essere organizzata in forma d'impresa, secondo la disciplina dei vari ordinamenti giuridici. 89 In base all‟art. 3, comma 1, lett d) del D.Lgs. n. 50 del 2016 (che ha sostituito il D. Lgs n. 163/2006, c.d. Codice dei contratti pubblici) per “organismo pubblico” occorre intendere qualsiasi organismo, anche in forma societaria il cui elenco non tassativo è contenuto nell‟allegato IV: 1) istituito per soddisfare specificatamente esigenze di interesse generale, aventi carattere non industriale o commerciale; 2) dotato di personalità giuridica; 3) la cui attività sia finanziata in modo maggioritario dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto pubblico oppure la cui gestione sia soggetta al controllo di questi ultimi oppure il cui organo d'amministrazione, di direzione o di vigilanza sia costituito da membri dei quali più della metà è designata dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto pubblico. 58 Le disposizioni del novellato CAD trovano, altresì, applicazione, come espressamente previsto dall‟articolo in esame, al processo civile, penale, amministrativo, contabile e tributario, in quanto compatibili e salvo che non sia diversamente disposto dalle disposizioni in materia di processo telematico. 2.2. Principi ispiratori e principali diritti del CAD Come già sottolineato, con la Legge n. 124/2015 (cd. Legge Madia) il Governo è stato delegato a modificare ed integrare il Codice dell‟amministrazione digitale, di cui al D.Lgs. n. 82/2005, “al fine di garantire ai cittadini e alle imprese, anche attraverso l‟utilizzo delle tecnologie dell‟informazione e della comunicazione, il diritto di accesso a tutti i dati, i documenti e i servizi di loro interesse in modalità digitale, nonché al fine di garantire la semplificazione nell‟accesso ai servizi alla persona”. Il legislatore è mosso dall‟intento di favorire un nuovo processo di innovazione e di crescita, in un momento in cui occorre razionalizzare le risorse pubbliche e favorire la semplificazione delle relazioni tra PA e tra enti, cittadini ed imprese. La scelta del Parlamento non è stata quella di riscrivere l‟intero corpo delle disposizioni in tema di digitalizzazione amministrativa (che in alcuni casi rimangono ancora frammentate e a volte di difficile ricostruzione), ma di conservare la struttura normativa consolidata (ossia il D.Lgs. n. 82/2005 – CAD), integrando lo stesso. È opportuno precisare che a seguito dell‟adozione del D.Lgs. 26 agosto 2016, n. 179 (pubblicato in GU n. 214 del 13/09/2016, in vigore dal 14 settembre 2016), recante modifiche ed integrazioni al Codice dell‟amministrazione digitale in attuazione della delega di cui all‟art. 1 della legge 124/2015, rimangono in vigore le disposizioni in tema di documentazione amministrativa (contenute nel DPR n. 445/2000) e le regole in materia di conservazione di archivi e documenti (di cui al D.Lgs. n. 42/2004). Già nei suoi primi articoli, il nuovo Codice dell‟Amministrazione Digitale contiene la disciplina dei principi ispiratori dell‟organizzazione e dell‟operato delle pubbliche amministrazioni e dei più importanti diritti, riconosciuti ai cittadini ed alle imprese nei confronti delle PA ed attuabili mediante l‟uso delle tecnologie ICT. 59 I due principi fondamentali sui quali è incentrato il CAD sono il principio dell‟effettività della riforma ed il principio degli incentivi all‟innovazione della PA. In base al primo principio, vengono introdotte misure premiali e sanzionatorie favorendo, da una parte, le amministrazioni virtuose (anche con la possibilità di quantificare e riutilizzare i risparmi ottenuti grazie alle tecnologie digitali) e sanzionando, dall‟altra, le amministrazioni inadempienti. Il principio degli incentivi all‟innovazione della PA, invece, stabilisce che dalla razionalizzazione della propria organizzazione e dall‟informatizzazione dei procedimenti, le PA ricaveranno dei risparmi da utilizzare per il finanziamento di progetti d‟innovazione e per l‟incentivazione del personale in essi coinvolto. Oltre ai suddetti principi ispiratori rientra senza dubbio, ai sensi dell‟articolo 2 del CAD, quello di assicurare “la disponibilità, la gestione, l‟accesso, la trasmissione, la conservazione e la fruibilità dell‟informazione in modalità digitale” attraverso un utilizzo appropriato delle tecnologie ICT. In tema di innovazione organizzativa e digitalizzazione, l‟art. 12 del CAD, così come modificato dal D.Lgs. n. 179/2016, enuncia il principio secondo il quale le Amministrazioni pubbliche, nell‟organizzare in autonomia la loro attività, si avvalgono delle tecnologie dell‟informazione e della comunicazione per la realizzazione degli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione nel rispetto dei principi di uguaglianza e di non discriminazione. Inoltre, tale articolo prevede che le Amministrazioni pubbliche utilizzino le tecnologie ICT per garantire l‟effettivo riconoscimento dei diritti di cittadinanza digitale, in conformità a quanto previsto dal Piano triennale per l‟informatica nella pubblica amministrazione, anche al fine di assicurare, nei rapporti interni e in quelli con altre amministrazioni e con i privati, la consultazione, la circolazione e lo scambio di dati e informazioni. Per un miglior perseguimento degli obiettivi su indicati, l‟articolo 15 del CAD dispone che la riorganizzazione gestionale e strutturale delle amministrazioni pubbliche debba avvenire attraverso il migliore utilizzo delle tecnologie ICT, nell‟ambito di una strategia coordinata che assicuri lo sviluppo coerente del processo di digitalizzazione. In concreto, le pubbliche amministrazioni provvedono a razionalizzare e semplificare i procedimenti amministrativi, le attività gestionali, i documenti, la modulistica, le modalità di accesso e di presentazione delle istanze da parte dei cittadini e delle imprese. 60 Tuttavia, il compito di promuovere l‟innovazione della PA spetta agli organi di governo, nell‟esercizio delle funzioni di indirizzo politico e nell‟emanazione delle direttive generali per l‟attività amministrativa. In effetti, secondo il disposto dell‟articolo 117, comma 2, lettera r) della Costituzione, spetta allo Stato disciplinare il “coordinamento informatico dei dati dell’amministrazione statale, regionale e locale, dettando anche le norme tecniche necessarie a garantire l’interoperabilità e la sicurezza dei sistemi informatici e dei flussi informativi”. Il CAD, dunque, si è reso possibile proprio in funzione dell‟applicazione di tale articolo costituzionale, che ha condotto ad una delega del Parlamento al Governo (contenuta nell‟articolo 10 della Legge 29 luglio 2003, n. 229) per la sua emanazione nel 2005. Al fine precipuo dell‟art. 117 della Costituzione, l‟articolo 14 del CAD prevede che, nell‟ambito dei rapporti tra Stato, regioni e autonomie locali, l‟Agid (Agenzia per l‟Italia digitale) assicuri il coordinamento informatico dei dati delle predette amministrazioni con la finalità di progettare e monitorare l‟evoluzione strategica del Sistema informativo della pubblica amministrazione, favorendo, altresì, l'adozione di infrastrutture e standard che riducano i costi sostenuti dalle singole amministrazioni e migliorino i servizi erogati. Viene inoltre aggiunto un ulteriore articolo 14bis in cui viene affidata all‟Agid la promozione dell‟innovazione digitale nel Paese e l‟utilizzo delle tecnologie digitali nell'organizzazione della pubblica amministrazione e nel rapporto tra questa, i cittadini e le imprese, nel rispetto dei principi di legalità, imparzialità e trasparenza e secondo criteri di efficienza, economicità ed efficacia. Essa inoltre collabora con le istituzioni dell'Unione europea svolgendo i compiti necessari per l'adempimento degli obblighi internazionali assunti dallo Stato nelle materie di competenza. Chiarito, a livello generale, il quadro normativo dei principi fondamentali del CAD, è opportuno soffermarsi sui nuovi diritti fruibili da cittadini ed imprese che si avvalgono delle moderne tecnologie informatiche nei confronti delle pubbliche amministrazioni. La Sezione II del Capo I del CAD enuncia i cd. “diritti dei cittadini e delle imprese”, alla luce delle modifiche più significative introdotte nel CAD dal D.lgs. n. 179/2016. L‟art. 3 (“Diritto all‟uso delle tecnologie”), da ritenersi un articolo centrale per tutto l‟impianto del nuovo CAD, prevede e dispone che: 1) chiunque ha il diritto di usare le soluzioni e gli strumenti del CAD nei rapporti con le P.A. che al CAD sono soggette; 61 2) la P.A. deve gestire i procedimenti amministrativi in modo da consentire al cittadino di verificare, anche con mezzi telematici, i termini previsti ed effettivi per lo specifico procedimento e il relativo stato di avanzamento, nonchè di individuare l'ufficio e il funzionario responsabile del procedimento; 3) tutti i cittadini e le imprese hanno il diritto all'assegnazione di un'identità digitale attraverso la quale accedere e utilizzare i servizi erogati in rete dalla P.A. attraverso la quale hanno il diritto di essere identificati dalle medesime P.A. di inviare loro comunicazioni e documenti e di riceverne dalle stesse per il tramite di un proprio indirizzo di posta elettronica certificata, così come previsto dall'articolo 3 bis del CAD (domicilio digitale del cittadino). L‟articolo in esame procede, inoltre, a riordinare e razionalizzare la vigente disciplina in materia d‟identità digitale, elevando la disponibilità di una identità digitale assegnata nell‟ambito dello SPID al rango di “diritto di cittadinanza digitale” e riconoscendo a tutti gli iscritti all‟Anagrafe nazionale della popolazione residente (ANPR) il diritto di essere identificati dalle pubbliche amministrazioni tramite l‟identità digitale. Ai fini della partecipazione a tutti i procedimenti amministrativi, dunque, la nuova formulazione dell‟articolo in commento si mostra innovativa poiché, da un lato, estende a “chiunque” il diritto all‟uso delle tecnologie, ovvero – rispetto alla disposizione vigente – anche a soggetti di diritto diversi da cittadini e imprese (come ad es. cittadini non italiani, associazioni, ecc.) e, dall‟altro, chiarisce gli obblighi che gravano sui soggetti destinatari delle disposizioni al fine di rendere effettivo l‟esercizio del suddetto diritto. Scopo della norma è quello di soddisfare le esigenze degli utenti consentendo a tutti gli interessati di verificare - anche da “remoto” - i tempi di risposta previsti ed effettivi per ogni specifico procedimento amministrativo e il relativo stato di avanzamento, nonché di individuare l‟ufficio e il responsabile del procedimento90. Proseguendo con l‟analisi delle modifiche maggiormente rilevanti, l‟art. 3 bis (“Domicilio digitale delle persone fisiche”) riordina la vigente disciplina in materia di domicilio digitale e prevede, al fine di facilitare la comunicazione tra l‟Amministrazione e i cittadini, la facoltà per ogni cittadino di indicare al Comune di residenza un proprio domicilio digitale, che dovrà costituire il mezzo esclusivo di comunicazione da parte pubbliche 90 Per maggiori informazioni si rinvia al sito web istituzionale: http://www.quotidianogiuridico.it/documents/2016/09/15/lemodifiche-al-codice-dell-amministrazione-digitale-in-gu ultima consultazione novembre 2016. 62 amministrazioni. Il medesimo articolo stabilisce che sarà messo a disposizione degli iscritti all’ANPR un domicilio digitale, qualora questi ultimi non abbiano ancora provveduto a indicarne uno, secondo le modalità che saranno stabilite con un prossimo decreto del Ministro dell‟interno di concerto con il Ministro delegato per la semplificazione e la pubblica amministrazione, sentito il Garante per la protezione dei dati personali. Più nel dettaglio, l‟articolo in esame prevede che l‟invio della documentazione digitale dall‟Amministrazione ai cittadini possa avvenire in due modi: direttamente, nei confronti di chi eleggerà un “domicilio digitale” oppure indirettamente nei confronti di chi non avrà eletto il suddetto domicilio, attraverso la predisposizione, da parte dello Stato, di una “casella di posta virtuale” che sarà utilizzata dalle pubbliche amministrazioni per inviare le comunicazioni ai destinatari. Il domicilio digitale così delineato “costituisce mezzo esclusivo di comunicazione e notifica” per le Pubbliche Amministrazioni: detto in altre parole, le Amministrazioni saranno costrette ad effettuare comunicazioni e notifiche ai cittadini utilizzando esclusivamente il domicilio indicato in ANPR, appena quest‟ultima sarà portata a regime. La novella in esame prevede, altresì, la possibilità di eleggere un domicilio speciale di cui all‟articolo 47 del Codice civile diverso dal domicilio digitale di cui al comma 1 e che, qualora l‟indirizzo digitale indicato quale domicilio speciale faccia riferimento a un servizio che non consenta la prova dell‟avvenuta ricezione di una comunicazione o del tempo di ricezione, colui che lo ha eletto non può opporre eccezioni relative a tali circostanze. Con l‟art. 5 (“Effettuazione di pagamenti con modalità informatiche”), il legislatore impone alla P.A. di accettare, tramite apposita piattaforma, i pagamenti spettanti a qualsiasi titolo attraverso sistemi di pagamento elettronico, ivi inclusi, per i micro-pagamenti, quelli basati sull'uso del credito telefonico. Resta ferma la possibilità di accettare anche altre forme di pagamento elettronico, senza discriminazione in relazione allo schema di pagamento abilitato per ciascuna tipologia di strumento di pagamento elettronico. Il successivo art. 5-bis del CAD (“Comunicazioni tra imprese e Amministrazioni Pubbliche”), è invece rimasto invariato dopo l‟intervento del D.Lgs. n. 179/2016. In base a tale norma, lo scambio di informazioni e documenti - anche a fini statistici - o la presentazione di istanze, dichiarazioni o dati fra le imprese e le amministrazioni pubbliche avviene esclusivamente utilizzando le moderne tecnologie ICT. Con le stesse modalità 63 informatiche e telematiche le Amministrazioni Pubbliche adottano e comunicano atti e provvedimenti amministrativi nei confronti delle imprese. Norma di particolare interesse è poi quella contenuta nell‟art. 6 del CAD (“Utilizzo della posta elettronica certificata”), la quale prevede un rinvio all‟articolo 3-bis dello stesso Codice, al fine di coordinare la disciplina delle comunicazioni attraverso posta elettronica certificata con quella del domicilio digitale delle persone fisiche, in modo da evitarne la sovrapposizione. La Posta Elettronica Certificata - PEC trova la sua disciplina non solo nell‟art. 6 citato ma anche nell‟art. 48 del CAD e, dettagliatamente, nel D.P.R. 11 Febbraio 2005 n.68. Come meglio si avrà modo di approfondire in seguito, essa rappresenta un sistema di comunicazione via e-mail, grazie al quale è possibile inviare e ricevere documentazione elettronica con valore legale equiparato alla Posta Raccomandata con ricevuta di ritorno (A/R). Inoltre, il sistema di Posta Certificata, grazie ai protocolli di sicurezza utilizzati, è in grado di garantire la certezza del contenuto non rendendo possibili modifiche al messaggio, sia per quanto riguarda i contenuti che gli eventuali allegati. La Posta Elettronica Certificata garantisce, in caso di contenzioso, l'opponibilità a terzi dell‟avvenuta consegna del messaggio: nel caso in cui il messaggio sia stato effettivamente consegnato, il destinatario non può negare l‟avvenuta ricezione, dal momento che la ricevuta di avvenuta consegna del messaggio, firmata ed inviata al mittente dal Gestore di PEC scelto dal destinatario, riporta la data e l‟ora in cui il messaggio è stato consegnato nella casella di PEC del destinatario, certificandone l‟avvenuta consegna. Uno strumento di grande utilità per i privati e le Amministrazioni è disciplinato nell‟art. 6bis del CAD, intitolato “Indice nazionale degli indirizzi Pec delle imprese e dei professionisti”. Il legislatore ha previsto, sempre mirando ad incentivare lo scambio di informazioni e documenti in modalità telematica tra la Pubblica Amministrazione, le imprese e i professionisti, l‟istituzione di un pubblico elenco delle PEC attive e attribuite a due categorie di soggetti tenuti per legge ad averle (imprese e professionisti iscritti agli albi professionali), denominato “Indice nazionale degli indirizzi di posta elettronica certificata” (INI-PEC: www.inipec.gov.it) e gestito dal Ministero per lo sviluppo economico. Le Amministrazioni e i privati possono accedere all'INI-PEC tramite sito web e senza 64 necessità di autenticazione. L'indice è realizzato in formato aperto, secondo la definizione di cui all'articolo 68, comma 3 del CAD. Il medesimo articolo prevede, inoltre, che l‟indice INI-PEC costituisca il mezzo esclusivo di comunicazione dei professionisti e delle imprese con gli organi amministrativi. Infine, la novella introduce il comma 6 ter all‟articolo in esame, il quale disciplina il pubblico elenco denominato “indice degli indirizzi della pubblica amministrazione e dei gestori di pubblici servizi”, consultabile alla pagina web www.indicepa.gov.it, la cui gestione è affidata all‟Agid e nel quale sono indicati gli indirizzi di posta elettronica certificata da utilizzare per le comunicazioni e per lo scambio di informazioni nonché per l'invio di documenti a tutti gli effetti di legge tra le pubbliche amministrazioni, i gestori di pubblici servizi ed i privati; stabilendo, altresì, che la mancata comunicazione degli elementi necessari al completamento dell'indice e del loro aggiornamento viene valutata ai fini della responsabilità dirigenziale e dell'attribuzione della retribuzione di risultato ai dirigenti responsabili. Il CAD, come dimostra il successivo art. 7 intitolato “Qualità dei servizi resi e soddisfazione dell‟utenza”, è particolarmente attento anche alle modalità di erogazione telematica dei servizi pubblici. Secondo tale disposizione, le Pubbliche Amministrazioni provvedono a riorganizzazione ed aggiornare i servizi resi agli utenti; a tal fine, implementano l'utilizzo delle tecnologie dell'informazione e della comunicazione sulla base di una preventiva valutazione delle reali esigenze dei cittadini e delle imprese, anche avvalendosi di strumenti utili per la valutazione del grado di soddisfazione dei fruitori dei loro servizi. I cittadini e le imprese, in effetti, hanno diritto non solo ad essere garantiti nell‟ascolto delle loro effettive esigenze (con riguardo ai servizi che ricevono dalle Amministrazioni) ma anche ad ottenere servizi pubblici di qualità in linea con le loro richieste. La novella, al fine di dare effettività ai principi di cittadinanza digitale, stabilisce che gli utenti possono ricorrere, in ogni ipotesi di violazione dei citati obblighi ovvero di erogazione di servizi on-line con standard inferiori a quelli previsti dalla legge, all‟azione di cui al D.Lgs. 20 dicembre 2009, n. 198, ovvero alla cosiddetta “class action amministrativa”. In ogni caso, per i servizi in rete, ogni Amministrazione dovrà consentire agli utenti di esprimere la loro soddisfazione rispetto alla qualità del servizio reso e dovrà pubblicare, sul proprio sito, i dati risultanti. 65 Ma per giungere ad un‟effettiva fruibilità dei servizi online da parte dei cittadini, occorre partire da una reale alfabetizzazione degli stessi di cui si occupa l‟art. 8 del CAD, intitolato, per l‟appunto, “Alfabetizzazione informatica dei cittadini”. Più nello specifico, lo Stato intende promuovere la “cultura digitale” tra i cittadini, intendendo con tale locuzione quel complesso di attività volta a facilitare l‟acquisizione di nozioni sull‟uso degli strumenti informatici da parte dei cittadini, con particolare attenzione alle categorie a rischio di esclusione sociale (ad esempio, gli anziani) e all‟uso dei servizi telematici delle Amministrazioni Pubbliche. Occorre in primis puntare, come dispone la norma in esame, sulla conoscenza delle tecnologie informatiche da parte dei cittadini “anche al fine di favorire lo sviluppo di competenze di informatica giuridica”. Ovviamente, lo scopo è quello di favorire l‟utilizzo dei servizi telematici delle Amministrazioni Pubbliche, superando il gap di conoscenza tecnologica che divide non solo le generazioni ma spesso anche le diverse zone della stessa nazione. I cittadini hanno diritto di partecipare al processo democratico e di esercitare i diritti politici usufruendo delle possibilità offerte dalle nuove tecnologie. In particolare, le P.A. dovranno favorire la disponibilità di connettività alla rete Internet presso gli uffici pubblici e altri luoghi pubblici, in particolare nei settori scolastico, sanitario e di interesse turistico, anche prevedendo che la porzione di banda non utilizzata dagli stessi uffici sia messa a disposizione degli utenti attraverso un sistema di autenticazione tramite SPID, carta d'identità elettronica o carta nazionale dei servizi. Il rapporto tra nuove tecnologie ed esercizio dei diritti è preso in considerazione dall‟art. 9 del CAD, dal titolo “Partecipazione democratica elettronica”. Lo Stato favorisce ogni forma di uso delle nuove tecnologie per promuovere una maggiore partecipazione dei cittadini, anche residenti all'estero, al processo democratico e per facilitare l'esercizio dei diritti politici e civili sia individuali che collettivi. La norma, dunque, potrebbe rappresentare al meglio il fondamento giuridico per lo sviluppo nel nostro Paese di politiche e discipline specifiche in tema di voto elettronico. L‟obiettivo della disposizione, ancora più chiaro con l‟intervento della riforma, è quello di porre in essere forme di democrazia basate sulla trasparenza dell‟azione amministrativa e sull‟utilizzo di modalità informatiche avanzate, capaci di migliorare il rapporto cittadino-politica, sia nei mezzi sia nei contenuti, ed il processo di formazione delle decisioni che riguardano la collettività. Uno strumento attuativo potrebbe essere rappresentato dall‟eVoting (voto elettronico) per 66 sostituire la carta nel normale processo di voto nei seggi elettorali, di cui meglio si dirà in altra parte del presente testo. Ma l’eVoting non è stato espressamente considerato nell’art. 9, neanche a seguito del processo di riforma conclusosi con il D.Lgs. n. 179/2016, motivo per il quale è lecito ritenere che vi sia una sorta di resistenza del legislatore ad un‟estensione generalizzata nel Paese di tale strumento, oggi invece diffuso in maniera massiva nel mondo. Sempre nel capo I del CAD, ma all‟interno della successiva sezione III, l‟art. 17 definisce due nuove figure obbligatorie all‟interno delle Pubbliche Amministrazioni, con ruoli di rilievo per la gestione digitale degli enti. La prima figura, definibile in inglese come “chief digital officer” (CDO), si concretizza nell‟individuazione in ogni Amministrazione di un unico ufficio dirigenziale generale, fermo restando il numero complessivo di tali uffici, cui è affidata la transizione alla modalità operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di un'amministrazione digitale e aperta, di servizi facilmente utilizzabili e di qualità, attraverso una maggiore efficienza ed economicità. Al suddetto ufficio sono inoltre attribuiti i compiti relativi a: a) coordinamento strategico dello sviluppo dei sistemi informativi, di telecomunicazione e fonia, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi comuni; b) indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell'amministrazione; c) indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettività; d) accesso dei soggetti disabili agli strumenti informatici e promozione dell'accessibilità anche in attuazione di quanto previsto dalla Legge 9 gennaio 2004, n. 4; e) analisi periodica della coerenza tra l'organizzazione dell'amministrazione e l'utilizzo delle tecnologie dell'informazione e della comunicazione, al fine di migliorare la soddisfazione dell'utenza e la qualità dei servizi nonché di ridurre i tempi e i costi dell'azione amministrativa; f) cooperazione alla revisione della riorganizzazione dell'amministrazione ai fini di cui alla lettera e); 67 g) indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia; h) progettazione e coordinamento delle iniziative rilevanti ai fini di una più efficace erogazione di servizi in rete a cittadini e imprese mediante gli strumenti della cooperazione applicativa tra pubbliche amministrazioni, ivi inclusa la predisposizione e l'attuazione di accordi di servizio tra amministrazioni per la realizzazione e compartecipazione dei sistemi informativi cooperativi; i) promozione delle iniziative attinenti l'attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l'innovazione e le tecnologie; j) pianificazione e coordinamento del processo di diffusione, all'interno dell'amministrazione, dei sistemi di posta elettronica, protocollo informatico, firma digitale o firma elettronica qualificata e mandato informatico, e delle norme in materia di accessibilità e fruibilità. Il responsabile dell'ufficio è dotato di adeguate competenze tecnologiche, di informatica giuridica e manageriali e risponde, con riferimento ai compiti relativi alla transizione, alla modalità digitale direttamente all’organo di vertice politico. In assenza del vertice politico, il CDO risponde direttamente a quello amministrativo dell‟ente. Nel rispetto della propria autonomia organizzativa, le pubbliche amministrazioni diverse dalle Amministrazioni dello Stato, individuano il CDO tra quelli di livello dirigenziale oppure, ove ne siano privi, tra le proprie posizioni apicali. La seconda figura è invece il “difensore civico digitale” (DCD), sempre disciplinata nel nuovo art. 17 del CAD. Le pubbliche amministrazioni, fermo restando il numero complessivo degli uffici, individuano, di norma tra i dirigenti di ruolo in servizio, un DCD in possesso di adeguati requisiti di terzietà, autonomia e imparzialità. Al difensore civico per il digitale chiunque può inviare segnalazioni e reclami relativi ad ogni presunta violazione del presente Codice e di ogni altra norma in materia di digitalizzazione ed innovazione della pubblica amministrazione: se tali segnalazioni sono fondate, il DCD invita l‟ufficio responsabile della presunta violazione a porvi rimedio tempestivamente e comunque nel termine di trenta giorni. Il difensore segnala le inadempienze all‟ufficio competente per i procedimenti disciplinari. 68 Nel rispetto della propria autonomia organizzativa, le pubbliche amministrazioni diverse dalle Amministrazioni dello Stato, individuano il DCD tra quelli di livello dirigenziale. Al fine di facilitare l‟attività di tali nuove figure e, di certo, la stessa interpretazione del CAD da parte del cittadino, sempre l‟art. 17, al comma 1quinquies, attribuisce all‟AgID l‟onere di pubblicazione sul proprio sito di una guida di riepilogo dei diritti di cittadinanza digitali previsti dal presente CAD. Quando sarà pubblicato costituirà, di certo, uno strumento utilissimo per orientarsi nell‟ormai ampio capo dei diritti di cittadinanza digitali, campo probabilmente destinato ad ampliarsi ancor più nel tempo. 2.3 Documento informatico e firme elettroniche Il Codice dell‟Amministrazione Digitale, come novellato dal D.Lgs. n. 179/2016, definisce il documento informatico all‟articolo 1, comma 1, lett. p), come: il documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti 91. Tale definizione è il frutto delle evoluzioni che si sono a lungo susseguite in questa materia92 e costituisce il punto centrale attorno a cui ruota gran parte del Codice e che, da ultimo, sono state oggetto della incisiva azione della normativa europea, con il Regolamento del Parlamento e del Consiglio del 23 luglio 2014 n. 910, c.d. Regolamento eIDAS. Risulterebbe difficile, in effetti, poter parlare di Pubblica Amministrazione digitale senza che la parte più corposa e rilevante della sua attività (vale a dire la formazione, la 91 Per “atto”, in diritto, si deve intendere un fatto consistente in un comportamento umano rilevante per l'ordinamento giuridico, poichè volontario. Elemento costitutivo è dunque l'imputazione a un soggetto di diritto, che può essere la persona fisica che ne ha voluto l‟accadimento o la persona giuridica per la quale detta persona fisica ha agito in qualità di organo, nonchè la volontarietà che, a sua volta, implica la consapevolezza da parte di chi ha agito, ossia la sua capacità di comprendere e, quindi, liberamente volere. Esempi sono da considerarsi il testamento, la sentenza, il contratto, l'atto amministrativo. Per “fatto” si deve intendere un accadimento che avviene nella realtà materiale (“fatto naturalistico”) e non si concretizza in un comportamento umano. Se il fatto è considerato all‟interno di una norma, allora il suo verificarsi diviene rilevante per l‟ordinamento (fatto giuridico”). E‟ lecito affermare che tutti i fatti giuridici sono altresì fatti naturalistici, mentre non è vero il contrario. Un esempio di fatto giuridico è il decorso del tempo. Per “dato” si deve intendere una descrizione elementare, spesso codificata, di un‟entità, di un fenomeno, di una transazione, di un avvenimento o di altro. Nasce dall‟osservazione di aspetti e fenomeni elementari; esso permette di effettuare dei calcoli, risolvere un problema, caratterizzare un fenomeno o esprimere un‟opinione. Il dato può divenire “informazione” per un soggetto solo se comporta un reale aumento di conoscenza. 92 La definizione oggi riportata nell‟art. 1, comma 1, lett. p), del CAD è stata introdotta compiutamente nel nostro ordinamento con il Regolamento attuativo dell‟art. 15, comma 2, della Legge n. 59/97 (DPR n. 531/1997), a seguito dei lavori della Commissione creata ad hoc dall‟Autorità per l‟Informatica nella Pubblica Amministrazione - AIPA, coordinata dal prof. Donato A. Limone. 69 trasmissione e la conservazione della documentazione amministrativa) sia realizzata in forma elettronica93. Sul punto occorre però precisare che l‟introduzione della locuzione “documento elettronico” nella definizione del CAD di “documento informatico” (presente nel nostro ordinamento sin dagli anni ‟90 del secolo scorso94) è stata essenzialmente dovuta alla necessità di assolvere al Regolamento eIDAS che, appunto, non definisce i documenti informatici ma quelli elettronici. In futuro tale riferimento all‟elettronica potrebbe perdere di necessità e vigore, dato la possibile realizzazione di computer quantici (volti quindi ad utilizzare i quanti e non gli elettroni), come già da tempo preannunciato da Google: ciò porterà all‟abbandono del documento elettronico in favore del documento quantico. Al di là delle doverose puntualizzazioni sull‟introduzione della locuzione “documento elettronico”, l‟intero concetto di Amministrazione Digitale ruota di fatto intorno a quella che viene chiamata “rappresentazione informatica” e può essere definita non solo come il risultato della trasformazione in bit, e successiva memorizzazione su supporto informatico, di quegli atti, fatti o dati che possano avere rilevanza giuridica, ma anche come il contenuto elettronico vero e proprio, a prescindere da quale che sia la sua genesi. Per cui “documento informatico” può essere un file di testo, una foto, un video, un audio, che rappresenti informaticamente o conservi elettronicamente un atto, un fatto o un dato rilevanti giuridicamente. Il Reg. eIDAS, infatti, dal canto suo, definisce «documento elettronico», qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva. Per maggiori informazioni si rinvia al sito web istituzionale: http://www.agid.gov.it/agenda-digitale/pubblicaamministrazione/gestione-procedimenti-amministrativi/documento-informatico, ultima consultazione nel mese di ottobre 2015. 94 La Legge 7 agosto 1990, n. 241, come più appresso nel testo si dirà, ha ricompreso la forma informatica tra quelle possibili del documento amministrativo, come anche il D.Lgs. 12 febbraio 1993, n. 39 ha riconosciuto la possibilità di atti amministrativi predisposti tramite sistemi informativi automatizzati. Sempre nel periodo, la Legge 23 dicembre 1993, n. 547, modificando ed integrando alcune norme del codice penale e di procedura penale in tema di criminalità informatica, ha introdotto l'art. 491-bis c.p., il quale precisa che ai fini dell'applicazione delle disposizioni concernenti la falsità in atti, per documento informatico è da intendersi “qualunque supporto informatico contenente dati o informazioni avanti efficacia probatoria o programmi specificatamente dedicati ad elaborarli”. Al di là di tali doverose citazioni, storicamente si fa risalire alla Legge 15 marzo 1997, n. 59, art. 15, comma 2, la prima compiuta affermazione giuridica del documento informatico: “Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge”. Norma che poi trovo ampia disciplina nel regolamento attuativo contenuto nel DPR 10 novembre 1997, n. 513 recante criteri e modalità per la formazione, l‟archiviazione e la trasmissione di documenti con strumenti informatici e telematici. La bozza di disegno di legge è stata presentata il 18 settembre 1996 dall‟allora Autorità Informatica per la Pubblica Amministrazione - AIPA e costituisce il risultato del lavoro compiuto dalla commissione creata ad hoc dall‟Autorità e coordinata da Donato A. Limone. (Cfr. D.A. Limone, La validità giuridica dei documenti informatici. La firma digitale, in AA.VV., Liber amicorum in onore di Vittorio Frosini, II, Studi giuridici, Giuffrè, Milano, 1999, pp. 165-170). 93 70 Il CAD dedica l‟intero capo II alla disciplina del documento informatico e delle firme elettroniche mentre il Reg. eIDAS dedica il capo IV al documento elettronico95 e la sez. IV del capo III alle firme elettroniche (artt. 25-34) Una volta stabilita la rilevanza giuridica del documento informatico-elettronico, è venuta meno la necessità di prevederlo espressamente, come in precedenza con l‟art. 20 co. 1 del CAD96, tanto che tale disposizione è stata abrogata. Vengono, invece, rafforzate e disciplinate dal co. 1Bis dello stesso art. 20, la validità (specie nella accezione di forma scritta) ed efficacia probatoria dei documenti informatici, come vedremo più avanti, dopo aver illustrato il quadro delle firme elettroniche. La Sezione II del Capo II del CAD è interamente dedicata alle firme elettroniche ed ai certificatori. Il Codice, infatti, distingue due macro-categorie di firme: 1. la firma elettronica (semplice)97; 2. le firme elettroniche avanzate, categoria nella quale rientrano: - la firma elettronica avanzata98; - la firma elettronica qualificata99; - la firma (qualificata) digitale100. Le firme elettroniche di un documento informatico, e in particolare le firme elettroniche avanzate e qualificate, tra cui quella digitale, si propongono di soddisfare tre esigenze che non tutte le tipologie di firma elettronica però soddisfano: 95 Costituito, in realtà, dal solo articolo 46, rubricato “Effetti giuridici dei documenti elettronici”, il cui testo é: “A un documento elettronico non sono negati gli effetti giuridici e l‟ammissibilita come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica”. 96 “Il documento informatico da chiunque formato, la memorizzazione su supporto informatico e la trasmissione con strumenti telematici conformi alle relative regole tecniche sono validi e rilevanti agli effetti di legge”. Si veda anche il DPCM 13 novembre 2014 dal titolo “Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici nonchè di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni ai sensi degli articoli 20, 22, 23-bis, 23-ter, 40, comma 1, 41, e 71, comma 1, del Codice dell'amministrazione digitale di cui al decreto legislativo n. 82 del 2005” (in Gazzetta Ufficiale Serie Generale n.8 del 12-1-2015). 97 Definita nel Reg. eIDAS all‟art. 3 co. 1 n. 10): dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare. 98 Definita nel Reg. eIDAS all‟art. 3 co. 1 n. 11): una firma elettronica che soddisfi i requisiti di cui all‟articolo 26 (ossia: a) e connessa unicamente al firmatario; b) e idonea a identificare il firmatario; c) e creata mediante dati per la creazione di una firma elettronica che il firmatario puo, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; d) è collegata ai dati sottoscritti in modo da consentire l‟identificazione di ogni successiva modifica di tali dati. 99 Definita nel Reg. eIDAS all‟art. 3 co. 1 n. 12): una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche. 100 Definita nel CAD art. 1 co. 1 lett s) come: un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici. 71 ● che il destinatario possa verificare l'identità del mittente (autenticità); ● che il mittente non possa disconoscere un documento da lui firmato (non ripudio); ● che il destinatario non possa inventarsi o modificare un documento firmato da qualcun altro (integrità). Volendo ora procedere alla disamina delle singole tipologie di firma elettronica e partendo da quelle più basilari, secondo l‟art. 3, comma 1, n. 10) del Reg. eIDAS, le firme elettroniche semplici possono essere definite come: dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare sparisce, pertanto, l'inciso “utilizzati come metodo di identificazione elettronica”, dalla definizione precedentemente contenuta nel CAD. Sotto il profilo pratico, la categoria delle firme elettroniche semplici può essere definita come una categoria residuale, nella quale confluiscono tutte le tipologie di firma che non detengono caratteri tali da configurarle come firme avanzate. Un classico esempio di scuola di firma elettronica semplice è quello della firma elettronica contenuta in una normale email: le credenziali di accesso riconosciute dal fornitore del servizio, infatti, integrano gli estremi di una firma elettronica semplice e, nella normalità dei casi, non di una firma avanzata. Per quanto riguarda, invece, la firma elettronica avanzata, in base all‟art. 3, comma 1, 11) del Reg. eIDAS, esse deve essere definita come: una firma elettronica che soddisfi i requisiti di cui all’articolo 26. L‟art. 26 del Reg. eIDAS, a sua volta, stabilisce che una firma può essere considerata avanzata se: a) è connessa unicamente al firmatario; b) è idonea a identificare il firmatario; c) è creata mediante dati per la creazione di una firma elettronica che il firmatario puo, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; e 72 d) è collegata ai dati sottoscritti in modo da consentire l‟identificazione di ogni successiva modifica di tali dati. Con il Decreto del Presidente del Consiglio dei Ministri del 22 febbraio 2013 dal titolo “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali” le firme avanzate hanno trovato una precisa regolamentazione tecnica nel nostro ordinamento. Come su evidenziato, all‟interno della categoria delle firme elettroniche avanzate è possibile distinguere un altro gruppo di firme aventi caratteristiche di particolare importanza, ovvero le “firme qualificate”, definite tali in quanto rilasciate da un certificatore accreditato presso l‟Agenzia per l‟Italia Digitale101. Tra queste, grande importanza occupa la “firma digitale”, la quale è un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici; quindi, le sue caratteristiche tecniche più importanti sono: - la chiave pubblica (contenuta nel certificato qualificato) - la chiave privata (custodita dal mittente). Il sistema consente al titolare, tramite la chiave privata, e al destinatario, tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici. In altre parole, il meccanismo si basa sul fatto che, se con una delle due chiavi si cifra (o codifica) un messaggio, allora quest'ultimo sarà decifrato solo con l'altra: da questa asimmetria nasce anche la definizione del meccanismo come “crittografia asimmetrica”. Affinchè il sistema risulti sicuro, è necessario che solo l'utente che intende crittare il documento, e nessun altro, abbia accesso alla chiave privata: l'unica copia della chiave deve 101 In base all‟art. 1, comma 1, lett. g) del CAD, il “certificatore” è il soggetto che presta servizi di certificazione delle firme elettroniche o che fornisce altri servizi connessi con queste ultime. nella realtà pratica, i certificatori accreditati sono soggetti pubblici o privati che emettono certificati qualificati (per la firma digitale) e certificati di autenticazione (per le carte nazionali dei servizi). Nel settore l‟Agenzia per l‟Italia Digitale - AGID svolge i seguenti compiti: offre l‟elenco di certificatori accreditati a cui cittadini, amministratori e dipendenti di società e pubbliche amministrazioni possono richiedere la firma digitale; sottoscrive la lista dei certificati delle chiavi di certificazione; definisce le linee guida per la vigilanza sui gestori qualificati; autorizza i certificatori a svolgere la propria attività conferendogli il ruolo di “certificatori accreditati”; effettua vigilanza sui certificatori accreditati. Uno dei principali requisiti per svolgere l'attività di certificatore di firma elettronica è quello di rivestire la forma di società con capitale sociale non inferiore a quello richiesto per svolgere l'attività bancaria (2.000.000€, come una S.p.A): da ciò consegue che i certificatori non sono soggetti singoli, come ad es. i notai, ma grosse società di capitali. La materia è disciplinata dalla Direttiva europea 1999/93/CE, dal Regolamento eIDAS 910/2014/EC e dal DPCM 22 febbraio 2013 e dal CAD. Per un elenco aggiornato dei certificatori accreditati, si rinvia all‟URL: http://www.agid.gov.it/identita-digitali/firme-elettroniche/certificatori-attivi, consultato nel mese di settembre 2015. 73 essere “in mano” all'utente, che deve impedirne l'accesso a terzi. Vi sono, però, soluzioni alternative, come l‟uso di una “firma digitale remota”, ovvero una tipologia di firma digitale, accessibile via rete (Intranet e/o Internet), nella quale la chiave privata del firmatario viene conservata assieme al certificato di firma, all'interno di un server remoto sicuro (basato su un HSM - Hardware Security Module) da parte di un certificatore accreditato. Il firmatario viene identificato dal servizio e autorizza l'apposizione della firma tramite un meccanismo di sicurezza fra i quali: ● PIN Firma di tipo statico102; ● Token OTP103; ● Riconoscimento grafometrico della firma autografa104; ● Telefono Cellulare (come OTP) seguito da PIN Firma. Il meccanismo di firma digitale è semplice, riassumibile nelle seguenti fasi: a. l‟utente, avviando lo strumento di firma digitale sul proprio computer, ricava innanzitutto l'impronta digitale del documento con l'ausilio di una “funzione hash” (pubblica), detta anche message digest: l‟impronta digitale si concretizza in un file di dimensioni relativamente piccole (128, 160 o più bit), che contiene una sorta di codice di controllo relativo al documento stesso; la funzione hash è fatta in modo da rendere minima la probabilità che da testi diversi si possa ottenere il medesimo valore dell'impronta, inoltre, è one-way, a senso unico, questo significa che dall'impronta è impossibile ottenere nuovamente il testo originario, quindi questa è “non invertibile”; b. l‟utente utilizza, poi, la propria chiave privata per cifrare l'impronta digitale: il risultato di questa codifica è la firma; la firma prodotta dipende dall'impronta digitale del documento e, quindi, dal documento stesso, oltre che dalla chiave privata dell'utente; c. a questo punto la firma viene allegata al documento che si intende sottoscrivere, insieme alla chiave pubblica; d. il destinatario del documento su cui è apposta una firma digitale può verificarne l'autenticità: per farlo, decifra la firma del documento con la chiave pubblica del 102 Per PIN si intende una Personal Identification Number, ovvero un codice numerico che consente l'uso di dispositivi elettronici solo a chi ne è a conoscenza. 103 Una One-Time Password - OTP (password usata una sola volta) è una password che è valida solo per una singola sessione di accesso o una transazione. Un sistema di autenticazione basato su OTP fornisce un sicuro strumento di controllo ad accessi logici che si avvale di un duplice fattore: un dato noto, il codice identificativo associato all‟utente; un dato non noto e sempre diverso, ovvero una password casuale.. Il sistema OTP si avvale, quindi, di un dispositivo portatile, “token”, che genera la password casuale. Il token può avere una connessione USB o essere completamente off-line; basterà digitare il codice generato nel computer per generare un percorso di firma. 104 Si veda l‟approfondimento in tema di “Biometria e firma grafometrica” posto al termine del presente capitolo. 74 mittente, ottenendo l'impronta digitale del documento, e quindi confronta quest'ultima con quella che si ottiene applicando la funzione hash al documento ricevuto; se le due impronte sono uguali, l'autenticità e l'integrità del documento sono garantite; si tratta, in realtà, di un‟operazione sostanzialmente automatica svolta dal computer, quindi pressoché immediata e semplice da realizzare per il destinatario, previa installazione sul proprio device del software di verifica, scaricabile gratuitamente dal sito dell‟Agenzia per l‟Italia Digitale (AgID)105. Nel loro uso combinato, dunque, le due chiavi servono a garantire e a verificare la provenienza e l‟integrità di un documento informatico o di un insieme di documenti informatici106. La firma digitale rappresenta l‟equivalente elettronico della tradizionale firma autografa su carta ed è univocamente associata al documento elettronico sul quale è apposta, attestandone con certezza, l'integrità, l'autenticità, la non ripudiabilità. L‟utilizzatore di firma elettronica qualificata o di firma (qualificata) digitale deve prestare particolare attenzione ai casi di scadenza temporale del proprio certificato di firma, di revoca o sospensione dello stesso. Infatti, l‟apposizione di una firma digitale con certificato scaduto, revocato o sospeso equivale a mancata sottoscrizione. È ciò che stabilisce l‟art. 24 comma 4-bis del CAD, prevedendo per la validità della sottoscrizione l‟utilizzo di un certificato qualificato in corso di validità, attraverso il quale si possano rilevare gli elementi identificativi del titolare e del certificatore. Normalmente il certificato di firma digitale, rilasciato dall‟ente certificatore, ha una durata biennale e o triennale107. Nel caso in cui il certificato di firma digitale sia scaduto, è necessario rivolgersi al proprio ente certificatore al fine di procedere al rinnovo, oppure dotarsi di nuovo certificato presso uno dei soggetti abilitati dall‟Agenzia per l‟Italia Digitale108. 105 Per i software di verifica della firma digitale, si veda il contenuto all‟URL: http://www.agid.gov.it/agendadigitale/infrastrutture-architetture/firme-elettroniche/software-verifica, ultima consultazione dicembre 2015. 106 Per maggiori informazioni si rinvia al sito web istituzionale: http://egov.formez.it/sites/all/files/3_firme_elettroniche_16_07_2013.pdf, ultima consultazione nel mese di ottobre 2015. 107 L‟art. 1 del D.P.R. 10 novembre 1997 n. 513, ora abrogato, stabiliva che la validità del certificato di firma non poteva essere superiore a 3 anni; l‟art. 19, commi 5 e 6, DPCM 22 febbraio 2013 – Regole tecniche sulle firme avanzate, stabiliscono ora che è lo stesso certificatore a determinare il periodo di validità dei certificati qualificati anche in funzione della robustezza crittografica delle chiavi impiegate, fermo restando sempre il potere dell‟AgID di determinare il periodo massimo di validità del certifi cato qualifi cato in funzione degli algoritmi e delle caratteristiche delle chiavi. 108 Per l‟elenco si rimanda all‟URL: http://www.agid.gov.it/identita-digitali/firme-elettroniche/certificatori-attivi, consultato nel mese di dicembre 2016. 75 Revoca o sospensione del certificato hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che di essa ne erano già a conoscenza tutte le parti interessate. Per quanto attiene alla validità nel tempo di firme qualificate o digitali il cui certificato sia scaduto, revocato o sospeso, in base all‟art. 62, comma 1, delle Regole tecniche del 2013 sono comunque da ritenersi valide se alle stesse è associabile un riferimento temporale opponibile ai terzi che collochi la generazione di dette firme rispettivamente in un momento precedente alla scadenza, revoca o sospensione del suddetto certificato. Detto in altre parole, gli odierni sistemi di firma digitale evidenziano, nella loro normalità, il campo “signing time” (momento della firma), inserendo in automatico data e ora di sottoscrizione nella busta crittografica della firma qualificata o digitale: tale indicazione di data e ora può essere ritenuta un riferimento temporale, considerando quest‟ultimo come “l‟informazione contenente la data e l‟ora con riferimento al Tempo Universale Coordinato (UTC), della cui apposizione è responsabile il soggetto che forma il documento” (Regole tecniche sul documento informatico – DPCM 13 novembre 2014). Riassumendo, se il riferimento temporale generato dal meccanismo di firma qualificata o digitale è anteriore alla data e ora di scadenza, revoca o sospensione del certificato allora la firma detiene comunque validità nel tempo. Di seguito un‟analisi comparativa tra la firma analogica (quella tradizionale su carta) e le firme elettroniche, al fine di evidenziare le differenze109: Firma analogica Creazione manuale Firma elettronica tramite un algoritmo di creazione Apposizione direttamente sul fuori dal documento: il documento: la firma è parte documento firmato è quindi integrante del documento costituito dalla coppia (documento, firma) Verifica confronto con una firma uso di valutazioni tecniche autenticata (metodo (metodo insicuro) o 109 La tabella, integrata e modificata in talune sue parti, prende https://it.wikipedia.org/wiki/Firma_digitale, consultato nel mese di dicembre 2016. 76 spunto da quella pubblicata all‟URL: insicuro basato su perizia mediante algoritmo di calligrafica) verifica pubblicamente noto e certificazione (metodo sicuro, come nelle firme qualificate) Validità temporale illimitata limitata: ad es., i certificati di firma qualificata hanno una validità temporale Automazione dei non possibile possibile processi Una volta descritto il quadro delle firme elettroniche, anche nell‟ottica comparativa con le firme analogiche, possiamo passare a descrivere le diverse ipotesi che si possono incontrare in base al tipo di firma elettronica apposta al documento informatico. Occorre distinguere due situazioni tra loro differenti, ossia: - l’efficacia probatoria del documento informatico; - la sua capacità di soddisfare il requisito della forma scritta. 2.3.2 L’efficacia probatoria Per quanto riguarda l’efficacia probatoria del documento informatico, essa è da intendersi come la “forza” che determinati documenti hanno come prova di un fatto una volta assunti in un processo; pertanto, è la capacità di quei determinati atti di provare il loro contenuto. Riprendendo in parte quanto già detto, distinguiamo ora tre diverse situazioni che possono venirsi a creare nella realtà pratica: a. il documento informatico sprovvisto di firma elettronica è liberamente valutabile dal Giudice, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità (art. 20, comma 1-bis, del CAD)110; 110 La norma che riconosce un effetto probatorio anche al documento informatico privo di qualsiasi modalità di firma elettronica è da considerarsi come una norma di chiusura nel nostro ordinamento, in quanto in grado di regolare anche casi limite nei quali l‟interprete difficilmente potrebbe trovare soluzione. Si pensi, ad esempio, alla possibilità di un tablet di conservare un testamento olografo, con apposizione di un segno autografo da parte dell‟autore (quindi non una firma elettronica qualificata o digitale). Il tutto nel 77 b. altrettanto si può dire per il documento informatico cui è apposta una firma elettronica semplice (art. 21, comma 1, del CAD); c. il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche che garantiscano l'identificabilità dell'autore, l'integrità e l'immodificabilità del documento stesso, ha l'efficacia probatoria prevista dall‟art. 2702 del Codice Civile per la scrittura privata (alla quale, quindi, il documento informatico è parificato ai fini probatori) : in base all‟art. 2702 c.c. la scrittura privata (quindi il semplice atto redatto tra le parti senza particolari formalità) fa piena prova, fino a querela di falso111, della provenienza delle dichiarazioni da chi l'ha sottoscritta: 1) se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione; 2) ovvero se questa è legalmente considerata come riconosciuta (art. 21, comma 2, del CAD)112. Circa l‟esposta portata probatoria del documento informatico, si rende necessaria una doppia riflessione. Nei casi a) e b) su riportati il Giudice non accerta semplicemente se il requisito della forma scritta sia stato realizzato, ma è chiamato egli stesso a soddisfare il detto requisito tramite la sua decisione: detto con altre parole, nei casi a) e b) la forma scritta del documento informatico non è auto-evidente ma si palesa solo a seguito di una decisione (rectius: valutazione) del Giudice, successiva alla predisposizione del documento. L‟idoneità di un documento a soddisfare la forma scritta è una questione che dovrebbe, al contrario, pieno rispetto dei requisiti di legge di qualità, sicurezza, integrità e immodificabilità. Applicando l‟art. 20, comma 2, del CAD il testamento olografo così predisposto avrebbe una sua efficacia probatoria (M. Q. Silvi, Atto giuridico e documento informatico, Ledizioni, Milano, 2013, par. 6.2.2.2.). 111 La querela di falso è l'unico strumento per contestare l'aspetto estrinseco di un atto pubblico e di una scrittura privata riconosciuta, quindi anche di un documento informatico sottoscritto con firma avanzata. È un particolare procedimento giurisdizionale, quindi da svolgersi innanzi ad un Giudice, disciplinato dagli articoli 221-227 del Codice di Procedura Civile. Il procedimento per querela di falso, per costante indirizzo della giurisprudenza, ha il fine di privare “un atto pubblico (od una scrittura privata riconosciuta) della sua intrinseca idoneità a „far fede‟, a servire, cioè, come prova di atti o di rapporti, mirando così, attraverso la relativa declaratoria, a conseguire il risultato di provocare la completa rimozione del valore del documento, eliminandone, oltre all'efficacia sua propria, qualsiasi ulteriore effetto attribuitogli, sotto altro aspetto, dalla legge, e del tutto a prescindere dalla concreta individuazione dell'autore della falsificazione” (cfr., ex multis, Cass. n. 8362/2000; Cass. n. 18323/2007). Per cui, la querela di falso può essere proposta soltanto allo scopo di togliere a un documento (atto pubblico o scrittura privata) la sua idoneità a far fede come prova di determinati rapporti. Nell‟eventualità del disconoscimento, la legge stabilisce che l'utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria (c‟è quindi inversione dell‟onere della prova) (art. 21, co. 2, C.A.D.) Si ha per riconosciuta, ai sensi dell‟art. 2703 cod.civ., la firma elettronica o qualsiasi altro tipo di firma avanzata che venga autenticata dal notaio o altro pubblico ufficiale a ciò autorizzato (art. 25, co. 1, C.A.D.) mediante apposita attestazione. 112 La sottoscrizione è da intendersi legalmente riconosciuta quando ci troviamo dinanzi ad una “scrittura privata autenticata” (quindi sottoscritta dalla parte dinanzi a soggetti indicati dall‟ordinamento in base all‟art. 2703 del Codice Civile) o quando vi è stato un “riconoscimento tacito della scrittura privata” (si rimanda al contenuto articolato di cui all‟art. 215 del Codice di Procedura Civile). L‟impianto normativo in tema di strumenti processuali volti ad accertare o, al contrario, mettere in dubbio l‟autenticità della sottoscrizione olografa è completato dall‟istituto del “disconoscimento” (art. 214 del Codice di Procedura Civile) e quella della “verificazione della scrittura privata” “ (art. 216 del Codice di Procedura Civile). 78 cronologicamente precedere l‟esecuzione dell‟atto e potrebbe venire in rilievo, al più, in un momento cronologicamente contestuale all‟esecuzione dell‟atto ma non in uno cronologicamente successivo (decisione del Giudice in sede di controversia giudiziale)113. I casi a) e b), quindi, sono casi particolari nel nostro ordinamento, utili essenzialmente a dare completezza ad un impianto normativo sul documento informatico, diversamente debole. Per quanto attiene il caso di cui alla lett. c), il legislatore aggiunge che: l'utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria. Ciò significa che nel momento in cui un soggetto adopera un dispositivo di firma elettronica qualificata o digitale deve sempre prestare il massimo dell‟attenzione: infatti, l‟uso indebito del dispositivo da parte di un altro soggetto porrebbe il titolare in una posizione processualmente scomoda, in quanto sarebbe costretto a fornire lui la prova di essere stato spogliato del possesso del dispositivo. 2.3.3. Il requisito della forma scritta Volendo ora affrontare la questione del requisito della forma scritta di un documento, primariamente occorre sottolineare come la rappresentazione di un atto, fatto o dato può avere diverse forme (modalità di rappresentazione): scritta, orale, attraverso segnali ottici o sonori, ed altre ancora. La forma scritta, pertanto, è solo una delle possibili, visto il principio di libertà delle forme previsto nel nostro ordinamento, ma detiene una valenza fondamentale, perché solo ad essa, e quindi per esemplificare non ad un documento orale, è possibile riconoscere un particolare valore in determinate circostanze. La forma scritta è posta soprattutto a tutela di una o di entrambe le parti in un rapporto negoziale (come un contratto), poiché serve ad attirare l'attenzione dei contraenti rispetto all'atto che stanno per compiere ed alla sua importanza. Inoltre, con l'atto scritto si certifica la volontà delle parti e si agevola la prova della sua esistenza. Normalmente la forma scritta si riconduce nel nostro ordinamento a due concetti: 113 Cfr. M. Q. Silvi, Atto giuridico e documento informatico, cit., par. 6.2.2.3.2. 79 a) forma scritta ad substantiam (“ai fini della sostanza”), richiesta per l'esistenza stessa del negozio (come per es. per un contratto di compravendita di una casa); b) forma scritta ad probationem (“ai fini della prova”), richiesta solo per provare l’esistenza del negozio giuridico (come per es. per un contratto di agenzia114): nella generalità dei casi, un negozio giuridico può essere provato in giudizio mediante qualsiasi mezzo (ad es. mediante testimoni), accade però, che, in talune ipotesi, la legge, con disposizioni espresse, stabilisca che possa esser provato in giudizio solo mediante documenti, ossia per mezzo di atti aventi forma scritta; è necessario sottolineare che il negozio mancante della forma ad probationem è perfettamente valido ed efficace, ma, in caso di processo, l‟unico modo per provare l'esistenza di quel particolare negozio sarà la forma che la legge richiedeva, salva la possibilità di ottenere una confessione115 o un giuramento116 in giudizio. I privati possono convenzionalmente prevedere per i loro atti determinate forme, come nel caso in cui si stabilisca che la disdetta del contratto debba necessariamente avvenire per iscritto attraverso un telegramma; anche in questo caso è da ritenersi, salvo diversa volontà, che il mancato rispetto della forma prevista convenzionalmente comporti la nullità dell'atto. Compreso il concetto di forma scritta e la sua portata nell‟ordinamento, occorre ora soffermarsi sull‟idoneità del documento informatico, cui sia apposta o meno una firma elettronica, a soddisfare il requisito della forma scritta. Distinguiamo ora due casi: - l‟idoneità del documento informatico sprovvisto di qualsivoglia firma elettronica a soddisfare il requisito della forma scritta è liberamente valutabile in giudizio, sempre tenendo conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità, come previsto dal citato art. 20, comma 1-bis, del CAD117; In base all‟art. 1742 c.c. col contratto di agenzia una parte assume stabilmente l' incarico di promuovere, per conto dell' altra, verso retribuzione, la conclusione di contratti in una zona determinata. 115 La confessione è disciplinata dagli artt. 2730 e 2735 c.c.. 116 Il giuramento decisorio in giudizio è disciplinato dall‟art. 2739 c.c.. 117 La più attenta dottrina ha giustamente sottolineato come tale impostazione normativa, reintrodotta con la riforma 2016, comporta un ritorno al passato, ovvero all‟impostazione di cui al D.Lgs. 23 gennaio 2002, n. 10, volto all‟attuazione in Italia della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche: “Come allora, sarebbe dunque lecito chiedersi se il requisito della forma scritta sia richiesto ad substantiam oppure ad probationem. Sul punto il legislatore non ha dipanato i dubbi che erano stati precedentemente sollevati in relazione alla versione presentata a inizio anno. Permangono infatti margini di incertezza circa la reale portata del requisito della forma scritta e cioè se questa venga richiesta ai fini della validità dell‟atto [ad substantiam], a fini probatori [ad probationem] ovvero ancora a fini informativi. A ben vedere, i contratti formali sono già disciplinati nelle norme che richiamano l‟art. 1350 c.c., richiedendo la firma digitale, la firma qualificata o la firma elettronica avanzata. Dunque, si ritiene che questa novella si riferisca alla firma semplice a fini informativi” (G. Finocchiaro, Documento informatico e firme elettroniche, cosa cambia nel nuovo CAD, articolo del 21 settembre 2016, pubblicato in ForumPA e disponibile all‟URL: http://www.forumpa.it/pa-digitale/finocchiaro-documentoinformatico-e-firme-elettroniche-cosa-cambia-nel-nuovo-cad, consultato nel mese di dicembre 2016; per un approfondimento in tema di documento informatico e firme elettroniche si veda G. Finocchiaro, Documento informatico. Tipologia, in P. Cendon, Commentario al Codice 114 80 - al contrario rispetto al primo caso su delineato, il documento informatico cui sia apposta una firma elettronica semplice è da intendersi sempre idoneo a soddisfare il requisito della forma scritta, come previsto dal citato artt. 21, comma 1, del CAD. Lo scopo della “forma scritta digitale” è quello, quindi, di ottenere garanzie circa la qualità, l'integrità, la sicurezza e l‟immodificabilità nel tempo di un documento, o meglio di un determinato “atto”, “fatto” o “dato”, in modo da consentirne la sua corretta documentazione. Il CAD, pertanto, pone le condizioni di equivalenza tra forma informatica e forma scritta. Il modello legislativo detiene una chiara impostazione: la forma informatica deve essere trattata come species del genus forma scritta. Come anticipato, in taluni casi la forma scritta diviene essenziale per attribuire validità al documento (forma scritta ad substantiam), anche informatico. In particolare, l’art. 1350 del Codice Civile, rubricato con il titolo di “Atti che devono farsi per iscritto”, impone a pena di nullità118 una determinata forma per taluni atti e contratti ai fini di una loro validità giuridica. La norma elenca al suo primo comma, in n. 13 punti, gli atti e contratti che a pena di nullità devono necessariamente farsi: - o per atto pubblico (per iscritto, redatto interamente dal notaio o da altro pubblico ufficiale autorizzato ad attribuirgli pubblica fede nel luogo dove l‟atto è formato); - o per scrittura privata (sempre per iscritto, ma in assenza di particolari formalità)119. Civile. Artt. 1321-1342, vol. XIII, Milano, Giuffrè, 2009, pp. 311-312, nonchè F. Delfini (a cura di), Diritto dell’informatica, Torino, UTET Giuridica, 2014, pp. 309-319). Per fini informativi occorre intendere, secondo l‟Autrice, casi come quelli di cui alla disciplina dei consumatori, nella quale alcune informazioni devono essere fornite al consumatore necessariamente “per iscritto” o confermate “per iscritto”: la forma informativa non richiede la sottoscrizione. 118 La nullità di un atto o contratto è la forma di invalidità più grave (ad esempio quando il contratto o atto è contrario a norme imperative del nostro ordinamento) e determina il venir meno di tutti gli effetti da esso prodotti, come se lo stesso non fosse mai venuto ad esistenza. L‟annullabilità di un atto o contratto, al contrario, è una forma meno grave di invalidità (ad esempio quando il consenso è stato estorto con la violenza) e determina il prodursi degli effetti dell‟atto o contratto, come un qualsiasi contratto valido, ma questi possono venire meno se viene fatta valere con successo l'azione di annullamento da chi ne è interessato. 119 Art. 1350 c.c.: “Devono farsi per atto pubblico o per scrittura privata, sotto pena di nullità: 1) i contratti che trasferiscono la proprietà di beni immobili; 2) i contratti che costituiscono, modificano o trasferiscono il diritto di usufrutto su beni immobili, il diritto di superficie, il diritto del concedente e dell'enfiteuta; 3) i contratti che costituiscono la comunione di diritti indicati dai numeri precedenti; 4) i contratti che costituiscono o modificano le servitù prediali, il diritto di uso su beni immobili e il diritto di abitazione; 5) gli atti di rinunzia ai diritti indicati dai numeri precedenti; 6) i contratti di affrancazione del fondo enfiteutico; 7) i contratti di anticresi; 8) i contratti di locazione di beni immobili per una durata superiore a nove anni; 9) i contratti di società o di associazione con i quali si conferisce il godimento di beni immobili o di altri diritti reali immobiliari per un tempo eccedente i nove anni o per un tempo indeterminato; 10) gli atti che costituiscono rendite perpetue o vitalizie, salve le disposizioni relative alle rendite dello Stato; 11) gli atti di divisione di beni immobili e di altri diritti reali immobiliari; 12) le transazioni che hanno per oggetto controversie relative ai rapporti giuridici menzionati nei numeri precedenti; 81 Dal combinato del CAD (art. 21, comma 2-bis) e del Codice Civile si comprende che: - gli atti di cui ai punti dal n. 1 al n. 12 dell’art. 1350 c.c., se predisposti con documento informatico, devono essere sottoscritti, a pena di nullità, con firma elettronica qualificata o con firma (qualificata) digitale: si tratta, ad esempio, degli atti di acquisto di una casa120; - gli atti di cui al n. 13 dell’art. 1350 c.c.121 soddisfano comunque il requisito della forma scritta se sottoscritti con una qualsiasi firma elettronica avanzata (quindi anche qualificata o digitale)122: si tratta, ad esempio, degli atti di consenso informato, ovvero quella forma di autorizzazione del paziente a ricevere un qualunque trattamento sanitario, medico o infermieristico, previa la necessaria informazione sul caso da parte del medico proponente123. Volendo schematizzare quanto detto negli ultimi due paragrafi in tema di efficacia probatoria e forma scritta del documento informatico: DOCUMENTO INFORMATICO E FIRME ELETTRONICHE Liberamente valutabile dal Giudice sia sotto il profilo dell‟efficacia probatoria che della forma scritta, tenuto conto delle caratteristiche oggettive di Liberamente valutabile dal Giudice sotto il profilo dell‟efficacia probatoria, tenuto conto delle caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità Piena prova fino a querela di falso, se colui contro il quale è prodotto ne riconosce la sottoscrizione o se è legalmente considerata come riconosciuta Soddisfa il requisito della Soddisfa il requisito della forma scritta ex art. 1350 forma scritta n. 13 c.c. 13) gli altri atti specialmente indicati dalla legge”. 120 Ragionando a contrario, consegue che ai sensi dell‟art. 1350 c.c., comma 1, gli atti e contratti di cui ai nn. 1-12 sono invalidi se conclusi mediante la formazione di: -documenti informatici sottoscritti con firme diverse da quella elettronica qualificata o digitale; - documenti informatici sprovvisti di sottoscrizione; - documenti informatici sottoscritti con firma elettronica qualificata o digitale ma senza il rispetto delle condizioni previste dalle regole tecniche di cui all‟art. 71 CAD, da rispettarsi sempre. Sul punto si veda: M. Q. Silvi, Atto giuridico e documento informatico, cit., par. 6.1. 121 Ossia tutti gli altri atti specialmente indicati dalla legge. 122 Per maggiori informazioni si rinvia al sito web istituzionale: http://www.agid.gov.it/identita-digitali/firmeelettroniche#navfoglia, consultato nel mese di ottobre 2014. 123 Ragionando a contrario, consegue che ai sensi dell‟art. 1350 c.c., comma 1, gli atti e contratti di cui al n. 13 sono invalidi se conclusi mediante la formazione di: - documenti informatici sottoscritti con firme diverse da quella avanzata; - documenti informatici sprovvisti di sottoscrizione; - documenti informatici sottoscritti con firma avanzata ma senza il rispetto delle condizioni previste dalle regole tecniche di cui all‟art. 71 CAD, da rispettarsi sempre. 82 qualità, sicurezza, integrità ed immodificabilità Se NON vi è Se vi è una FIRMA alcuna tipologia ELETTRONICA di firma (SEMPLICE) elettronica Se vi è una FIRMA ELETTRONICA AVANZATA Soddisfa anche il requisito della forma scritta ex art. 1350 nn. 1-12 c.c. se vi è una: FIRMA ELETTRONICA QUALIFICATA FIRMA (QUALIFICATA) DIGITALE 2.3.4. Il quadro normativo europeo introdotto dal Regolamento 910/2014 Con il Regolamento del Parlamento Europeo e del Consiglio n. 910 del 23 luglio 2014124 sono state introdotte importanti norme, destinate a disciplinare il documento elettronico e le firme elettroniche (oltre ai sistemi di identificazione) in maniera uniforme per tutta l‟Unione Europea. Il Regolamento, infatti, a differenza delle Direttive, ha immediata forza di legge all‟interno degli ordinamenti giuridici di tutti gli stati membri, senza che sia necessario un ulteriore atto normativo nazionale per il suo recepimento. Il Regolamento n. 910/14, anche denominato eIDAS (electronic IDentification Authentication and Signature) definisce, all‟art. 3 n. 35) il documento elettronico (e non, si badi, informatico) come qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva. 124 Regolamento in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE, reperibile all‟indirizzo internet http://eur-lex.europa.eu/legalcontent/IT/TXT/HTML/?uri=CELEX:32014R0910&from=EN, consultato ottobre 2015. 83 Come si può notare, la definizione di documento elettronico è radicalmente diversa rispetto a quella di documento informatico, in quanto fa riferimento, in maniera molto ampia, al concetto di “contenuto” ed a quello di “conservazione in forma elettronica”. Al successivo art. 46, poi, il legislatore europeo si preoccupa di conferire al documento elettronico la dignità giuridica fondamentale per il funzionamento dell‟ordinamento, stabilendo quelli che sono gli effetti giuridici dei documenti elettronici: A un documento elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica. Con tale affermazione, letta insieme ai considerando 26 e 27, il legislatore europeo intende sottolineare il principio di neutralità tecnologica del documento elettronico, in modo da evitare di imporre requisiti che solo una specifica tecnologia potrebbe offrire, ma, anzi, facendo in modo che gli effetti giuridici prodotti dal regolamento siano ottenibili mediante qualsiasi modalità tecnica. E‟ stato, quindi, ribadito che per stabilire il valore giuridico la efficacia probatoria di un documento elettronico occorre far riferimento al livello di certezza dell‟autenticità dell‟origine e dell‟integrità che il documento stesso è in grado di assicurare sin dalla sua formazione e per tutto il suo ciclo di vita, oltre naturalmente la garanzia di leggibilità del documento stesso nel corso del tempo. La collocazione sistematica dell‟art. 46 sugli effetti giuridici del documento elettronico, pressochè al termine del testo del regolamento, insieme alla scarna per quanto ampia definizione che viene data dello stesso, sembra quasi far perdere di importanza alla figura del documento elettronico e di voler spostare maggiormente l‟attenzione sugli aspetti relativi alla identificazione e ai servizi fiduciari, in modo da rafforzare la sicurezza giuridica complessiva e dare maggiore fiducia agli utenti. Importanza superiore, infatti, viene rivestita dalla disciplina relativa alle firme elettroniche, laddove il Regolamento arriva addirittura ad abrogare la Direttiva 1999/93, sinora cardine normativo per le firme elettroniche. 84 Il Regolamento, quindi, prevede tre tipologie di firme125: 1) firma elettronica (semplice), definita come dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare; 2) firma elettronica avanzata, ossia una firma elettronica che soddisfi i requisiti di cui all‟articolo 26 del Regolamento eIDAS, e, quindi, che soddisfa i seguenti requisiti: a) è connessa unicamente al firmatario126; b) è idonea a identificare il firmatario; c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; d) è collegata ai dati sottoscritti in modo da consentire l‟identificazione di ogni successiva modifica di tali dati; 3) firma elettronica qualificata, definita una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche. Per quanto riguarda gli effetti giuridici delle firme elettroniche, l‟art 25 del Regolamento eIDAS stabilisce che: 1. a una firma elettronica non possono essere negati gli effetti giuridici e l‟ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate; 2. una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa; 3. una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri. Oltre al documento elettronico e alle firme elettroniche, il Regolamento eIDAS introduce una nuova figura giuridica, il Sigillo elettronico, la cui definizione è quella di dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi. 125 Per le specifiche relative ai formati delle firme elettroniche avanzate si veda il Regolamento di esecuzione 1506/15, reperibile all‟indirizzo internet http://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32015D1506&from=IT tecniche , consultato ottobre 2015 126 Ossia una persona fisica che crea una firma elettronica. 85 Il sigillo elettronico può essere generato esclusivamente da un “creatore di un sigillo”, ossia una persona giuridica che crea un sigillo elettronico e serve per provare l‟emissione di un documento elettronico da parte di tale persona giuridica, dando la certezza dell‟origine e dell‟integrità del documento stesso. Il regolamento eIDAS oltre al semplice sigillo elettronico, prevede poi anche il sigillo elettronico avanzato127 ed il sigillo elettronico qualificato (i.e. sigillo digitale) 128 , rilevando che in caso di impiego di quest‟ultimo, a norma dell‟art. 35 secondo comma del regolamento eIDAS, vi è una “presunzione di integrità dei dati e di correttezza dell‟origine di quei dati a cui il sigillo elettronico qualificato è associato”. Da tali definizioni balza subito evidente la differenza tra sigillo elettronico e firma elettronica: - il sigillo elettronico non è in grado di assicurare l’identità del firmatario; - la firma elettronica è in grado di assicurare l’identità del firmatario (e la ratio è comprensibile, visto che il sigillo non è collegato ad una persona fisica). Inoltre il sigillo, diversamente dalla firma elettronica, non si traduce in un documento elettronico con forma scritta, nelle varie gradazioni dell'efficacia probatoria di questa secondo le previsioni del Codice dell‟Amministrazione Digitale. Alla luce di tali considerazioni si ritiene che il sigillo elettronico possa avere molteplici utilizzi anche nel nostro ordinamento, ad esempio in tema di fatturazione elettronica. 2.3.5. La firma grafometrica La firma grafometrica è una sottoscrizione elettronica attraverso la quale viene acquisita la firma autografa del titolare. Ciò avviene tramite l‟apposizione della firma con una penna elettronica su un dispositivo hardware comunemente rappresentato da una tavoletta grafica che consente la registrazione dei dati biometrici legati alla sottoscrizione, intendendo per dati biometrici quella particolare categoria di dati ricavati da “proprietà biologiche, aspetti comportamentali, caratteristiche fisiologiche, tratti biologici o azioni ripetibili laddove tali 127 Un sigillo elettronico che soddisfi i requisiti sanciti all‟articolo 36, ossia quando soddisfa i seguenti requisiti: a) è connesso unicamente al creatore del sigillo; b) è idoneo a identificare il creatore del sigillo; c) è creato mediante dati per la creazione di un sigillo elettronico che il creatore del sigillo elettronico può, con un elevato livello di sicurezza, usare sotto il proprio controllo per creare sigilli elettronici; d) è collegato ai dati cui si riferisce in modo da consentire l‟identificazione di ogni successiva modifica di detti dati. 128 Un sigillo elettronico avanzato creato da un dispositivo per la creazione di un sigillo elettronico qualificato e basato su un certificato qualificato per sigilli elettronici. 86 caratteristiche o azioni sono tanto proprie di un certo individuo quanto misurabili, anche se i metodi usati nella pratica per misurarli tecnicamente comportano un certo grado di probabilità”129. Sulla base del DPCM 22 febbraio 2013, la firma grafometrica è una tipologia di firma elettronica avanzata che deve rispettare determinate caratteristiche. Ciò significa che il legislatore ha regolamentato tale sottoscrizione come soluzione neutra non individuando una tecnologia tassativa, ma prevedendo delle condizioni al verificarsi delle quali la firma grafometrica potrà essere considerata una firma elettronica avanzata. Affinché ciò si verifichi è, pertanto, necessario che la firma grafometrica rispetti dei requisiti tecnologici sanciti dal citato DPCM. Nella realtà pratica, in Italia la firma grafometrica ha iniziato a diffondersi innanzitutto nel settore bancario, a seguito di alcuni provvedimenti del Garante per la protezione dei dati personali emessi a seguito di richiesta di verifica preliminare da parte di taluni istituti 130. Considerata la veloce diffusione di pratiche non controllate in tema di biometria, il Garante è poi intervenuto con il Provvedimento generale prescrittivo in tema di biometria - 12 novembre 2014, avente come allegati le Linee guida in materia di riconoscimento biometrico e firma grafometrica e un modulo per la comunicazione all'Autorità di violazioni dei sistemi biometrici131. Con tale Provvedimento generale il Garante ha individuato alcune tipologie di trattamento che, per le specifiche finalità perseguite, presentano un livello ridotto di rischio e non necessitano più della verifica preliminare da parte dell'Autorità. La semplificazione riguarda solo le specifiche tipologie di trattamento che devono in ogni caso essere effettuate nel rispetto delle rigorose misure di sicurezza individuate dal Garante, e comunque rispettando i presupposti di legittimità previsti dal Codice privacy, in particolare informando sempre gli interessati sui loro diritti, sugli scopi e le modalità del 129 Definizione ricavata dal Parere 3/2012 sugli sviluppi nelle tecnologie biometriche, WP193, adottato il 27 aprile 2012 dal “Gruppo per la tutela dei dati personali Articolo 29” costituito da rappresentanti delle Autorità di protezione dati dei diversi stati membri. La definizione è stata fatta propria dal Garante per la protezione dei dati personali con il Provvedimento 12 novembre 2014 e relative “Linee Guida in materia di riconoscimento biometrico e firma grafometrica”. Per un approfondimento sulla tematica: G. Preite, Il riconoscimento biometrico: sicurezza versus privacy, Trento, Editrice UNI Service, 2007. 130 Per comprendere il concetto di “verifica preliminare” occorre fare riferimento all‟art. 17 del D.Lgs. n. 196/2003, anche definito Codice Privacy, in base al quale: il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti; le misure e gli accorgimenti ora citati sono prescritti dal Garante in applicazione dei principi sanciti dal Codice Privacy, nell'ambito della “verifica preliminare all'inizio del trattamento”, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare. 131 Per una consultazione del Provvedimento generale del 12 novembre 2014 e dei relativi allegati, si rinvia all‟URL: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3556992, consultato nel mese di settembre 2015. 87 trattamento. Di seguito alcuni aspetti specifici esaminati dal Garante nel Provvedimento generale: • Autenticazione informatica Le caratteristiche biometriche dell'impronta digitale o dell'emissione vocale di una persona possono essere utilizzate come credenziali di autenticazione per l'accesso a banche dati e sistemi informatici. Tale trattamento può essere effettuato anche senza il consenso dell'utente. • Controllo di accesso fisico ad aree “sensibili” e utilizzo di apparati e macchinari pericolosi Le caratteristiche dell'impronta digitale o della topografia della mano possono essere trattate per consentire l'accesso ad aree e locali ritenuti “sensibili” oppure per consentire l'utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati. Tale trattamento può essere realizzato anche senza il consenso dell'utente. • Sottoscrizione di documenti informatici L'analisi dei dati biometrici associati all'apposizione a mano libera di una firma autografa può essere utilizzata per la firma elettronica avanzata. Questa modalità è però consentita solo con il consenso degli interessati, consenso non necessario invece in ambito pubblico, se devono essere perseguite specifiche finalità istituzionali. Dovranno comunque essere resi disponibili sistemi alternativi (cartacei o digitali) di sottoscrizione, che non comportino l'utilizzo di dati biometrici. • Scopi facilitativi L'impronta digitale e la topografia della mano possono essere utilizzate anche per consentire l'accesso fisico di utenti ad aree fisiche in ambito pubblico (ad es. biblioteche) o privato (ad es. aree aeroportuali riservate). Anche in questo caso l'utilizzo è consentito solo con il consenso degli interessati. Dovranno comunque essere previste modalità alternative per l'erogazione del servizio per chi rifiuta di far utilizzare i propri dati biometrici. Ogni sistema di rilevazione deve essere configurato in modo tale da raccogliere un numero limitato di informazioni (principio di minimizzazione), escludendo l'acquisizione di dati ulteriori rispetto a quelli necessari per il conseguimento della finalità perseguita. Ad esempio, in caso di autenticazione informatica, i dati biometrici non devono essere trattati in modo da poter desumere anche informazioni di natura sensibile dell'interessato. Tra le numerose misure di sicurezza individuate dal Garante nel Provvedimento generale vi è quella che obbliga a cifrare il riferimento biometrico con tecniche crittografiche, con una 88 lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati. Particolare attenzione è inoltre rivolta alla messa in sicurezza dei dispositivi mobili (come tablet o pc) che potrebbero più facilmente essere compromessi o smarriti. Anche al fine di prevenire eventuali furti di identità biometrica, tutte le violazioni dei dati o gli incidenti informatici ("data breaches") che possano avere un impatto significativo sui sistemi biometrici o sui dati personali custoditi, devono poi essere comunicati da chi detiene i dati al Garante entro 24 ore dalla scoperta, così da consentire di adottare opportuni interventi a tutela delle persone interessate. A tal fine è stato allegato al Provvedimento generale un modulo che consente di semplificare il predetto adempimento. Sono esclusi dalle modalità semplificate individuate nel provvedimento del Garante i trattamenti che prevedono la realizzazione di archivi biometrici centralizzati, per i quali continua ad essere obbligatorio richiedere una verifica preliminare. Rimane in vigore anche l'obbligo di notificazione al Garante per i trattamenti non esplicitamente esclusi dal provvedimento, come quelli effettuati da esercenti le professioni sanitarie e da avvocati. 2.3.6. Copie di documenti e duplicati Come detto, in genere, i documenti possono essere sia analogici che informatici. Per entrambi, comunque, si pone il problema della circolazione del documento, che normalmente esiste anzitutto nella sua versione “originale”. Tuttavia, il documento originale può essere fatto circolare non direttamente, ma attraverso delle sue copie, appositamente realizzate. Per quanto riguarda le varie ipotesi rinvenibili nel CAD, troviamo: 1) la copia informatica di documento analogico (ad esempio il caso di un documento originariamente cartaceo e il cui contenuto viene riportato interamente in bit), definita dall‟art. 1, comma, 1 lettera i-bis, come “il documento informatico avente contenuto identico a quello del documento analogico da cui è tratto”132; l‟art. 22, comma 1, del CAD stabilisce il valore legale di atti pubblici, scritture private o documenti in genere, ivi compresi gli atti e documenti amministrativi, originariamente su supporto analogico e 132 Art. 22, comma 1: i documenti informatici contenenti copia di atti pubblici, scritture private e documenti in genere, compresi gli atti e documenti amministrativi di ogni tipo formati in origine su supporto analogico, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli articoli 2714 e 2715 del codice civile, se ad essi è apposta o associata, da parte di colui che li spedisce o rilascia, una firma digitale o altra firma elettronica qualificata. La loro esibizione e produzione sostituisce quella dell'originale. 89 poi rilasciati con copia informatica da un pubblico ufficiale o altro soggetto autorizzazione, come un notaio, attribuendo loro efficacia (ai sensi degli artt. 2714 e 2715 c.c.), quando sia apposta la firma digitale o altra firma elettronica qualificata da parte del soggetto che le ha rilasciate; le copie così create sostituiscono gli originali analogici ad ogni effetto di legge, anche sotto il profilo dell‟esibizione e produzione in giudizio e l‟assoluzione degli obblighi di conservazione; 2) la copia per immagine su supporto informatico di documento analogico (ad esempio la scansione di un documento originariamente cartaceo), definita dall‟art. 1, comma 1, lettera i-ter, come “il documento informatico avente contenuto e forma identici a quelli del documento analogico da cui è tratto”133; l‟art. 22, commi 2 e 3, del CAD dispone che tali copia hanno la stessa efficacia probatoria degli originali da cui sono tratte, se la loro conformità è attestata da un notaio o altro pubblico ufficiale autorizzato (come un notaio), con dichiarazione allegata al documento informatico e asseverata secondo le regole tecniche di cui all‟art. 71 CAD o se la loro conformità all‟originale non è disconosciuta, purché gli originali siano stati formati a loro volta nel rispetto delle regole tecniche; 3) la copia (o estratto) informatica di documento informatico (ad esempio quando si genera copia di un file passando da un estensione .doc a una .pdf), definita dall‟art. 1, comma 1, lettera i-quater, come “il documento informatico avente contenuto identico a quello del documento da cui è tratto su supporto informatico con diversa sequenza di valori binari”134; l‟art. 23-bis, comma 2, del CAD dispone che tali copie hanno il medesimo valore giuridico dei documenti informatici da cui sono tratte, se prodotte in conformità alle regole tecniche di cui all‟art. 71 del CAD e la loro conformità all‟originale è attestata da un pubblico ufficiale autorizzato o se la loro conformità non è espressamente disconosciuta; in tali casi, se previsto, resta fermo l‟obbligo di conservazione del documento originale informatico; 4) la copia analogica di un documento informatico (ad esempio, la stampa di un file gestito e conservato dall‟Amministrazione); l‟art. 23 del CAD dispone che tali copie hanno 133 Art. 22, commi 2 e 3: le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico hanno la stessa efficacia probatoria degli originali da cui sono estratte, se la loro conformità è attestata da un notaio o da altro pubblico ufficiale a ciò autorizzato, con dichiarazione allegata al documento informatico e asseverata secondo le regole tecniche stabilite ai sensi dell'articolo 71; le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico nel rispetto delle regole tecniche di cui all'articolo 71 hanno la stessa efficacia probatoria degli originali da cui sono tratte se la loro conformità all'originale non è espressamente disconosciuta. 134 Art. 23 bis co. 2: le copie e gli estratti informatici del documento informatico, se prodotti in conformità alle vigenti regole tecniche di cui all'articolo 71, hanno la stessa efficacia probatoria dell'originale da cui sono tratte se la loro conformità all'originale, in tutti le sue componenti, è attestata da un pubblico ufficiale a ciò autorizzato o se la conformità non è espressamente disconosciuta. 90 la stessa efficacia probatoria dell‟originale da cui sono tratte se la conformità all‟originale è attestata da un pubblico ufficiale autorizzato oppure se il documento informatico originale è conforme alle vigenti regole tecniche e la conformità all‟originale non sia disconosciuta; in tali casi, se previsto, resta fermo l‟obbligo di conservazione del documento originale informatico; Altra figura, distinta rispetto alla copia, e peculiare per il documento informatico, è il c.d. duplicato informatico, ossia il documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima sequenza di valori binari del documento originario: si tratta quindi del caso in cui si genera la copia di un file mantenendo la stessa estensione (da un .pdf ad un .pdf)135. Il duplicato informatico, per espressa disposizione dell‟art. 23-bis del C.A.D., ha il medesimo valore giuridico, ad ogni effetto di legge, del documento informatico da cui è tratto, se prodotto in conformità alle regole tecniche di cui all'articolo 71. Le norme ora esposte in tema di copie e duplicati si applicano anche all‟attività della Pubblica Amministrazione. Due possono essere i classici casi in un‟Amministrazione, che di seguito richiamiamo applicando la normativa già enucleata. Un primo caso può essere quello della richiesta di un cittadino di copia anallogica di un documento originariamente informatico dell‟Amministrazione. In base al citato art. 23 CAD si deve provvedere per mezzo del soggetto incaricato (che in tal caso svolge la funzione di pubblico ufficiale) alla stampa del documento originario informatico e all’attestazione di conformità all‟originale informatico del documento stampato, quindi apponendo il relativo timbro e firma. In questo modo la stampa di un documento originale informatico avrà la stessa efficacia del documento da cui è tratta136. Al fine di garantire la provenienza e conformità dell‟atto alla sua versione originale, sulle copie analogiche dei documenti informatici che l‟Amministrazione rilascia al cittadino è possibile apporre un timbro digitale, se l‟applicativo lo consenta. Si tratta di un codice a barre bidimensionale (glifo), disciplinato dall‟art. 23, comma 2bis: “Sulle copie analogiche di documenti informatici può essere apposto a stampa un contrassegno, sulla base dei criteri definiti con le regole tecniche di cui all'articolo 71, tramite il quale è possibile accedere al 135 Come definito dall‟art. 1, comma 1 lett. i-quinquies) del CAD. 136 Il successivo comma 2, poi, specifica che le copie e gli estratti su supporto analogico del documento informatico, conformi alle vigenti regole tecniche, hanno la stessa efficacia probatoria dell'originale se la loro conformità non è espressamente disconosciuta. Resta fermo, ove previsto l'obbligo di conservazione dell'originale informatico. 91 documento informatico, ovvero verificare la corrispondenza allo stesso della copia analogica. Il contrassegno apposto ai sensi del primo periodo sostituisce a tutti gli effetti di legge la sottoscrizione autografa del pubblico ufficiale e non può essere richiesta la produzione di altra copia analogica con sottoscrizione autografa del medesimo documento informatico. I programmi software eventualmente necessari alla verifica sono di libera e gratuita disponibilità”137. In altre parole, con la stampa di un documento amministrativo informatico è possibile l‟apposizione automatica di un timbro digitale, tale da non necessitare la copia creata di una dichiarazione di conformità firmata dal Pubblico Ufficiale. Il Timbro digitale, ove previsto negli applicativi, permette quindi di snellire notevolmente la fase di creazione di copie conformi analogiche derivanti da un file. Altro classico caso che si verifica nelle Amministrazioni è la ricezione di documenti cartacei, di cui si rende poi necessaria la scansione e acquisizione. In particolare, al fine di garantire al documento informatico così ottenuto la stessa efficacia del corrispettivo analogico è necessario che il soggetto incaricato (secondo quanto previsto dall‟art. 22 del CAD) vi apponga una firma digitale. 2.3.7. Documento amministrativo informatico e procedimento amministrativo informatico L‟art. 22, comma 1, lett. d), della Legge n. 241/1990 dal titolo “Nuove norme sul procedimento amministrativo”, come novellato nel 2005138, così definisce il documento amministrativo: ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, anche interni o non relativi ad uno specifico procedimento, detenuti da una pubblica amministrazione e concernenti attività di pubblico interesse, indipendentemente dalla natura pubblicistica o privatistica della loro disciplina sostanziale. Pertanto, documento amministrativo può essere considerato una rappresentazione informatica di atti, anche interni, formati o utilizzati dalla Pubblica Amministrazione. Detto Attraverso la circolare n. 62 del 30 aprile 2013 l‟AgID ha emanato le Linee guida che definiscono le modalità tecniche di generazione, apposizione e verifica del contrassegno riportato elettronicamente, necessarie per l‟uso del contrassegno a stampa (timbro digitale), con il quale si rende possibile la verifica della corrispondenza del documento analogico riprodotto in remoto rispetto all‟originale informatico. 138 Articolo così sostituito dall'art. 15 della Legge n. 15 del 2005. 137 92 in altre parole, il “documento amministrativo informatico” si configura come species del genus “documento amministrativo”. L'art. 23 ter del CAD (norma introdotta dal D.Lgs.n. 235/2010) ha poi disciplinato gli atti formati dalle Pubbliche Amministrazioni mediante strumenti informatici. In base alla norma, gli atti formati dalle Pubbliche Amministrazioni con strumenti informatici, nonché i dati e i documenti informatici detenuti dalle stesse, costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi o identici tipi di supporto, duplicazioni e copie per gli usi consentiti dalla legge. Sempre secondo il CAD, le Pubbliche Amministrazioni sono obbligate a formare gli originali dei propri atti come documenti informatici (art. 40, comma 1), nel rispetto delle disposizioni del Codice e delle relative regole tecniche. Va sottolineato che formare gli originali significa non solo redigere il testo con l‟ausilio degli strumenti informatici ma anche sottoscrivere gli atti in modalità elettronica. Pertanto, l‟art. 40 non attribuisce alle Amministrazioni un potenziale strumento per operare, il documento informatico, ma ne prescrive la totale e assoluta obbligatorietà. Da ultimo, del documento amministrativo informatico si è interessato il DPCM 13 novembre 2014, contenente le “Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici nonché di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni ai sensi degli articoli 20, 22, 23-bis, 23-ter, 40, comma 1, 41, e 71, comma 1, del Codice dell'amministrazione digitale, di cui al decreto legislativo n. 82 del 2005”. Le regole tecniche dedicano il capo III alla disciplina del documento amministrativo informatico che presenta specifiche peculiarità rispetto al documento informatico disciplinato nei capi precedenti. Nella formazione dei documenti amministrativi, difatti, assumono una particolare rilevanza anche l‟acquisizione delle istanze, dichiarazioni e comunicazioni di cui agli articoli 5-bis (comunicazioni tra imprese e Amministrazioni), 40-bis (protocollo informatico) e 65 (istanze e dichiarazioni presentate alle Pubbliche Amministrazioni per via telematica) del CAD. Particolarmente importante è la specificazione secondo la quale il documento amministrativo informatico assume le caratteristiche di immodificabilità e di integrità anche con la sua semplice registrazione nel registro di protocollo, negli ulteriori registri, 93 nei repertori, negli albi, negli elenchi, negli archivi o nelle raccolte di dati contenute nel sistema di gestione informatica dei documenti, come richiesto dalla normativa di settore. Ai fini della trasmissione telematica di documenti amministrativi informatici, le Pubbliche Amministrazioni pubblicano sui loro siti gli standard tecnici di riferimento, le codifiche utilizzate e le specifiche per lo sviluppo degli applicativi software di colloquio, rendendo eventualmente disponibile gratuitamente sul proprio sito il software per la trasmissione di dati coerenti alle suddette codifiche e specifiche. Dato l‟impianto normativo ora citato, il documento amministrativo informatico trova oggi una sua puntuale disciplina. Per il procedimento amministrativo informatico la situazione è più complessa. Il “procedimento amministrativo”, in senso lato, è da intendersi come una sequenza di atti amministrativi che portano all’emanazione di un atto finale (il provvedimento), e che quindi concorrono al conseguimento di un interesse pubblico. Pertanto, il procedimento amministrativo rappresenta la forma esteriore attraverso la quale si dispiega l‟azione amministrativa, ovvero quel particolare iter procedurale che rende l‟atto efficace e perfetto, nel pieno rispetto dell‟art. 97 della nostra Costituzione139 e della disciplina primaria di settore dettata dalla Legge n. 241/1990. Compreso il concetto di “procedimento amministrativo” è giusto ora sottolineare come non esista una definizione normativa di “procedimento amministrativo informatico”, né tantomeno una sua puntuale disciplina all‟interno di un unico testo legislativo. Infatti, la Legge n. 241/1990 sul procedimento amministrativo è stata ideata e scritta con obiettivi essenzialmente “analogici” (si pensi che non era ancora nata Internet), poi nel tempo integrata sempre più in senso “digitale”. Si veda, ad esempio, l‟art. 3-bis, introdotto con la Legge n. 15/2005, secondo il quale la Pubblica Amministrazione, per conseguire maggiore efficienza nella sua attività, deve incentivare l‟uso della telematica, nei rapporti interni, tra le diverse Amministrazioni e tra queste e i privati. Lo stesso Consiglio di Stato, con i rilievi allo schema del CAD svolti dalla sezione consultiva per gli atti normativi (Adunanza del 7 febbraio 2005), richiamava l‟attenzione del Legislatore sulla necessità di una “perimetrazione” del Codice con riferimento alla 139 L‟art. 97 Cost. così dispone: “Le Pubbliche Amministrazioni, in coerenza con l‟ordinamento dell‟Unione europea, assicurano l‟equilibrio dei bilanci e la sostenibilità del debito pubblico. I pubblici uffici sono organizzati secondo disposizioni di legge, in modo che siano assicurati il buon andamento e l‟imparzialità dell‟amministrazione. Nell‟ordinamento degli uffici sono determinate le sfere di competenza, le attribuzioni e le responsabilità proprie dei funzionari. Agli impieghi nelle pubbliche amministrazioni si accede mediante concorso, salvo i casi stabiliti dalla legge”. 94 disciplina del procedimento amministrativo. Richiamo non considerato appieno dal Legislatore nel testo finale del CAD. Ad oggi, quindi, una disciplina unica e puntuale sul procedimento amministrativo informatico, contenuta in un unico testo legislativo, non esiste. È fondata, comunque, la posizione in dottrina secondo la quale, in base alla normativa vigente (essenzialmente CAD e D.P.R. n. 445/2000), sia possibile oggi espletare e gestire il procedimento amministrativo esclusivamente in forma elettronica140. L‟interprete, dunque, può oggi ricostruire una disciplina compiuta del procedimento amministrativo informatico, ma sempre da una sommatoria di norme contenute in diversi testi normativi di settore. Il CAD, probabilmente, poteva essere il luogo ideale ove ricostruire un‟unica disciplina sul procedimento amministrativo informatico o, comunque, è auspicabile possa divenirlo in futuro. Delle norme di interesse in tema di procedimento amministrativo e web sono contenute nel cd. Decreto Trasparenza, ovvero il D.Lgs. n. 33/2013. Il suo art. 35, c. 1, lett. d) dispone che le Amministrazioni pubblichino nella sezione “Amministrazione trasparente”, sottosezione di primo livello “Attivita e procedimenti”, sotto-sezione di secondo livello “Tipologie di procedimento”, gli atti e i documenti da allegare alle istanze, oltre che la modulistica necessaria, compresi i fac-simile per le autocertificazioni. Nella pubblicazione della modulistica sui siti istituzionali è innanzitutto necessario rispettare le disposizioni previste dalla L. n. 4/2004 in tema di accessibilità. Pertanto, i moduli pubblicati dovranno essere dei file accessibili. Una specifica accortezza, non richiesta dalla norma e quindi di rado considerata dalle Amministrazioni, è quella di pubblicare file editabili e salvabili, al fine di ridurre la mole di documenti cartacei in entrata. 2.3.8 Fascicolo informatico 140 Cfr. A. Masucci. Procedimento amministrativo e nuove tecnologie. Il procedimento amministrativo elettronico ad istanza di parte, Giappichelli, Torino, 2011. Per un approfondimento in tema di procedimento amministrativo informatico: G. Duni, L‟Amministrazione digitale, Giuffrè, Milano, 2008; A. G. Orofino, Forme elettroniche e procedimenti amministrativi, Cacucci, Bari, 2008; C. Giurdanella E. Guarnaccia, Elementi di Diritto Amministrativo Elettronico, Halley Editore, Milano 2005; L. Sergio, Enti locali e Amministrazione digitale, Manni, San Cesario di Lecce, 2010. Una riflessione più attenta al rapporto tra informatica e Amministrazione, con uno sguardo d‟analisi informatico-giuridica ai procedimenti e ai principi che li sovraintendono, è rinvenibile in: G. Taddei Elmi, Corso di Informatica giuridica, Esselibri, Napoli, 2007, pp. 213-228. 95 Come detto nel precedente paragrafo, le Pubbliche Amministrazioni sono del tutto obbligate a formare gli originali dei propri atti come documenti informatici (art. 40, comma 1, D.Lgs. n. 82/2005), nel rispetto delle disposizioni del CAD e delle relative regole tecniche. Quindi, ogni documento amministrativo deve non solo nascere informaticamente ma anche essere gestito con le stesse modalità: l‟art. 41, infatti, dispone che per la gestione amministrativa dei documenti occorre utilizzare le tecnologie dell'informazione e della comunicazione e, più nello specifico, occorre raccogliere in un fascicolo informatico gli atti, i documenti e i dati di ogni procedimento amministrativo, da chiunque formati. Tale fascicolo deve poter essere, inoltre, alimentato e consultato da tutte le Amministrazioni coinvolte nel procedimento. Di conseguenza, l‟unico fascicolo che l‟ufficio deve creare è quello informatico avendo cura di inserire nello stesso sia i documenti digitali (ricevuti da privati-altre Amministrazioni o formati dall‟Amministrazione) sia i documenti analogici acquisiti al sistema informatico (ad esempio, tramite scansione). Il fascicolo informatico deve essere realizzato garantendo la possibilità di essere direttamente consultato ed alimentato da tutte le Amministrazioni coinvolte nel procedimento. Le regole per la costituzione, l'identificazione e l'utilizzo del fascicolo devono essere conformi ai principi di una corretta gestione documentale ed alla disciplina della formazione, gestione, conservazione e trasmissione del documento informatico, ivi comprese le regole concernenti il protocollo informatico ed il sistema pubblico di connettività, e comunque rispettano i criteri dell'interoperabilità e della cooperazione applicativa. In base al comma 2-ter dell‟art. 41 del CAD, il fascicolo informatico deve recare l'indicazione: ● dell‟Amministrazione titolare del procedimento, che cura la costituzione e la gestione del fascicolo medesimo; ● delle altre amministrazioni partecipanti; ● del responsabile del procedimento; ● dell‟oggetto del procedimento; ● dell‟elenco dei documenti contenuti; ● dell‟identificativo del fascicolo medesimo. 96 Il fascicolo informatico può contenere aree a cui hanno accesso solo l'amministrazione titolare e gli altri soggetti da essa individuati; esso è formato in modo da garantire la corretta collocazione, la facile reperibilità e la collegabilità, in relazione al contenuto ed alle finalità, dei singoli documenti; è inoltre costituito in modo da garantire l'esercizio in via telematica dei diritti previsti dalla citata Legge n. 241/1990, in primis quelli di accesso ai documenti. I documenti così ottenuti saranno conservati nell‟archivio digitale dell‟Ente e trasmessi, ove necessario, a privati o altre PA. 2.3.10 Servizi in Rete Tutti gli Uffici pubblici sono obbligati ad erogare i servizi in modalità esclusivamente telematica. Infatti, il D.L. n. 5/2012 introducendo il comma 3-bis del CAD, ha previsto che a partire dal 1 gennaio 2014 le P.P.A.A. utilizzano esclusivamente i canali e i servizi telematici per l‟erogazione dei propri servizi. A norma dell‟art. 63 del Codice dell‟Amministrazione Digitale, le P.P.A.A. ai fini dell‟individuazione delle modalità di erogazione dei servizi in rete devono tenere conto dei criteri di valutazione di efficacia, economicità ed utilità nel rispetto dei principi di eguaglianza e non discriminazione, tenendo comunque presenti le dimensioni dell'utenza, la frequenza dell'uso e l'eventuale destinazione all'utilizzazione da parte di categorie in situazioni di disagio. Con il D. L.vo 179/16, di riforma del C.A.D., è stato introdotto l'Art. 64-bis, rubricato “Accesso telematico ai servizi della Pubblica Amministrazione”, il quale stabilisce che le PP.AA. rendono fruibili i propri servizi in rete, in conformità alle regole tecniche di cui all'art. 71, tramite il punto unico di accesso telematico attivato presso la Presidenza del Consiglio dei ministri, senza nuovi o maggiori oneri per la finanza pubblica. Per l‟accesso ai servizi in rete delle Amministrazioni il CAD prevede i seguenti strumenti di autenticazione: ● la Carta d‟Identità Elettronica - CIE; ● la Carta Nazionale dei Servizi; - CNS; 97 ● lo SPID. Con l‟istituzione dello SPID sarà possibile utilizzare per l‟autenticazione solo questo sistema o la carta di identità elettronica o la carta nazionale dei servizi: non altri strumenti. Al fine di verificare le esigenze degli utenti per l‟erogazione dei servizi, gli Uffici possono predisporre dei questionari da rivolgere agli utenti (ad es. in relazione alla dotazione tecnologica) nei quali chiedere quali sono i servizi che si ritengono maggiormente rilevanti. Tali accorgimenti possono guidare l‟amministrazione nell‟identificazione delle priorità relative alla digitalizzazione dei servizi. 2.3.9. Istanze e dichiarazioni La normativa vigente in tema di digitalizzazione prevede all‟art. 65 del D.Lgs. n. 82/2005 che le istanze e le dichiarazioni presentate alle Amministrazioni sono valide: a) se sottoscritte mediante la firma digitale o la firma elettronica qualificata, il cui certificato è rilasciato da un certificatore qualificato; b) ovvero, quando l'istante o il dichiarante è identificato attraverso il sistema pubblico di identità digitale (SPID), nonché attraverso carta di identità elettronica (CIE) e cara nazionale dei servizi (CNS); c) ovvero sono sottoscritte e presentate unitamente alla copia del documento d'identità; c-bis) ovvero se trasmesse dall'istante o dal dichiarante mediante la propria casella di posta elettronica certificata purché le relative credenziali di accesso siano state rilasciate previa identificazione del titolare, anche per via telematica secondo modalità definite con regole tecniche, e ciò sia attestato dal gestore del sistema nel messaggio o in un suo allegato. In tal caso, la trasmissione costituisce dichiarazione vincolante per chi spedisce la PEC: la dichiarazione dell'indirizzo PEC vincola quindi solo il dichiarante e rappresenta espressa accettazione dell'invio, tramite posta elettronica certificata, da parte delle Pubbliche Amministrazioni, degli atti e dei provvedimenti che lo riguardano. Sono fatte salve le disposizioni normative che prevedono l'uso di specifici sistemi di trasmissione telematica nel settore tributario. 98 Il mancato avvio del procedimento da parte del titolare dell'ufficio competente a seguito di istanza o dichiarazione inviate validamente comporta responsabilità dirigenziale e responsabilità disciplinare dello stesso. Le istanze e le dichiarazioni inviate con modalità telematiche sono da ritenersi equivalenti alle istanze e alle dichiarazioni sottoscritte con firma autografa apposta in presenza del dipendente addetto al procedimento. 2.4 Posta Elettronica Certificata La PEC trova la sua disciplina agli articoli 6 e 48 del CAD e, dettagliatamente, nel D.P.R. 11 Febbraio 2005 n.68. Essa rappresenta un nuovo sistema di comunicazione via e-mail, grazie al quale è possibile inviare e ricevere documentazione elettronica con valore legale equiparato alla Posta Raccomandata con ricevuta di ritorno (A/R)141. Rispetto alla posta elettronica ordinaria, tale strumento di comunicazione telematica consente di associare al messaggio la prova legale della sua spedizione e della sua ricezione da parte del destinatario: esattamente, dunque, come una raccomandata “cartacea”. Si potrebbe affermare, esemplificando, che la posta elettronica certificata (PEC) sta alla lettera (cartacea) Raccomandata come la posta elettronica ordinaria sta alla lettera (cartacea) ordinaria. Ovviamente, rispetto alla raccomandata cartacea, la PEC presenta tutta una serie di vantaggi in termini di flessibilità ed economia ai quali si aggiungono aspetti più peculiari tipici del suo funzionamento142. 141 Per una sua massiva diffusione il Governo ha attivato in passato la cd. CEC-PAC, ovvero una PEC gratuita per il cittadino attivabile tramite apposito portale delle Poste Italiane (www.postacertificata.gov.it). La CEC-PAC (Comunicazione Elettronica Certificata tra la Pubblica Amministrazione e il Cittadino) è una modalità di posta elettronica, gratuita per il cittadino e oramai dismessa, che però ha permesso di comunicare esclusivamente con la pubblica amministrazione, non potendo essere utilizzata per comunicazioni tra aziende o tra cittadini. Il servizio di CEC-PAC non è mai decollato, basti pensare che l‟82% delle caselle attivate non è mai stata utilizzata, come evidenziato dalla stessa AGID. Inoltre, sempre fonte AGID, con la dismissione di CEC - PAC vengono recuperati quasi 19 milioni di euro da investire in altri servizi ai cittadini e imprese, come delineato nel documento “Strategia per la crescita digitale 2014-2020” predisposto nel marzo 2015 dalla Presidenza del Consiglio, insieme al Ministero dello Sviluppo Economico, all‟Agenzia per l‟Italia Digitale e all‟Agenzia per la Coesione, per il perseguimento degli obiettivi dell‟Agenda Digitale (documento disponibile all‟URL: http://www.agid.gov.it/sites/default/files/documentazione/strategia_crescita_digitale_ver_def_21062016.pdf, consultato nel mese di dicembre 2016). Nel 2015 l‟AGID ha avviato un processo di dismissione della CEC-PAC, oramai concluso, per far convergere tutte le comunicazioni di posta certificata su sistemi di PEC standard, abitualmente utilizzati nelle comunicazioni tra cittadini, professionisti e imprese. Dal 18 settembre 2015 al 17 marzo 2018, è comunque garantita agli utenti del servizio CEC-PAC la possibilità di richiedere l'accesso ai log dei propri messaggi di posta elettronica certificata. 142 M. IASELLI, Diritto e nuove tecnologie.Prontuario giuridico informatico, Montecatini Terme (PT), Altalex Editore, 2011, pp. 369. 99 In via riassuntiva, il soggetto che possiede un indirizzo PEC (perché lo richiede e lo ottiene dalla pubblica amministrazione o semplicemente lo acquista da un fornitore accreditato dalla legge) per spedire un messaggio PEC dovrà utilizzare il proprio indirizzo di posta elettronica certificato attraverso un client di posta elettronica opportunamente configurato (Outlook, Mail, Thunderbird ed altri ancora) oppure collegandosi attraverso un web browser (Internet Explorer, Safari, Chrome ed altri ancora) al dominio di posta certificata del proprio fornitore, utilizzando l‟interfaccia apposita ed inserendo user Id e password. Fin qui, l‟utente si comporta esattamente come farebbe per utilizzare un indirizzo di posta elettronica ordinaria, fatto salvo che la connessione per la PEC è sempre (e non solo eventualmente, come avviene per la posta elettronica ordinaria) cifrata per esigenza di sicurezza previste dalla legge. Il messaggio viene quindi composto dall‟utente (mittente) che lo invia al proprio gestore PEC; questi provvede all‟identificazione del mittente ed ai controlli di sicurezza e formali, come ad esempio la verifica dell‟assenza di virus informatici nel messaggio e nei suoi eventuali allegati. Se tali controlli vanno a buon fine, il gestore mittente provvede all‟imbustamento informatico del messaggio e dei suoi eventuali allegati, che vengono firmati digitalmente - insieme al messaggio - dal gestore mittente e trasmessi al gestore destinatario. L‟utente mittente riceve un messaggio di ricevuta di accettazione dal proprio gestore PEC, che costituisce prova legale di spedizione del messaggio e della data e dell‟ora della spedizione, del contenuto del messaggio ed anche dei suoi allegati (ad esempio, immagini, documenti di testo, suoni, video ed altro ancora) nonché prova legale della sua riferibilità alla persona fisica o giuridica del mittente. Ad ulteriore garanzia dell‟avvenuta spedizione del messaggio PEC, il gestore destinatario, (alla pari del gestore mittente) dopo aver effettuato i controlli di sicurezza e formali del messaggio, provvede a ad inviare al gestore mittente - non all‟utente mittente - una ricevuta di presa in carico del messaggio che abbia superato i controlli di sicurezza e formali. Nel caso in cui il messaggio non venga preso in carico dal gestore mittente o da quello destinatario per qualsiasi motivo, l‟utente mittente riceverà comunque da questi l‟invio di un messaggio di anomalia che certificherà, in ogni caso, l‟invio del messaggio da parte della persona fisica o giuridica dal proprio dominio PEC. 100 Se il messaggio PEC oltrepassa tutti i controlli viene quindi recapitato dal gestore destinatario nella casella postale PEC dell‟utente destinatario, con contestuale invio di ricevuta di consegna al mittente, la quale costituirà prova legale a tutti gli effetti di ricezione da parte del destinatario titolare dell‟indirizzo PEC, con certificazione legale di ricezione, in quel preciso momento, di quel preciso messaggio e di quegli specifici allegati, proprio dall‟utente mittente al quale è assegnato il relativo indirizzo PEC143. Detto in altre parole, sia la ricevuta di accettazione che quella di consegna rappresentano prove legali. Infatti, la posta certificata fornisce al mittente una prova, firmata dal provider scelto dal destinatario, di tutto il contenuto che è stato recapitato, inclusa la data e l‟ora della comunicazione. Quanto finora esposto può essere illustrato attraverso il seguente schema esemplificativo sul funzionamento della PEC144: Ai sensi dell‟art. 3 del D.P.R 11 febbraio 2005 n.68, “Il documento informatico trasmesso per via telematica si intende spedito dal mittente se inviato al proprio gestore, e si intende consegnato al destinatario se reso disponibile all'indirizzo elettronico da questi 143 Ivi, pp.370-371. 144 Rappresentazione grafica ripresa dal sito web: https://www.pec.it/ComeFunziona.aspx (ultima consultazione nel mese di dicembre 2015). 101 dichiarato, nella casella di posta elettronica del destinatario messa a disposizione dal gestore”. La Posta Elettronica Certificata garantisce, in caso di contenzioso, l'opponibilità a terzi dell‟avvenuta consegna del messaggio: nel caso in cui il messaggio sia stato effettivamente consegnato, il destinatario non può negare l‟avvenuta ricezione, dal momento che la ricevuta di avvenuta consegna del messaggio, firmata ed inviata al mittente dal Gestore di PEC scelto dal destinatario, riporta la data e l‟ora in cui il messaggio è stato consegnato nella casella di PEC del destinatario, certificandone l‟avvenuta consegna. Sotto il profilo probatorio, quindi, il comma 3 dell'art. 6 dispone che “la ricevuta di avvenuta consegna fornisce al mittente prova che il suo messaggio di posta elettronica certificata è effettivamente pervenuto all'indirizzo elettronico dichiarato dal destinatario e certifica il momento della consegna tramite un testo, leggibile dal mittente, contenente i dati di certificazione”, con la precisazione che “la ricevuta di avvenuta consegna è rilasciata contestualmente alla consegna del messaggio di posta elettronica certificata nella casella di posta elettronica messa a disposizione del destinatario dal gestore, indipendentemente dall'avvenuta lettura da parte del soggetto destinatario”. Volendo ora soffermarsi sui processi all‟interno di un‟Amministrazione, occorre evidenziare che scaricare e consultare la posta elettronica ormai fa parte dei doveri di ufficio così come evadere la corrispondenza tradizionale. Al fine di evitare conseguenze individuali e/o esporre l‟ufficio a procedimenti conseguenti a tale mancanza, è sempre necessario provvedere quotidianamente in tal senso. Si fa infatti presente che ai sensi dell‟art. 12, comma 1-ter, i dirigenti rispondono dell‟applicazione delle norme in materia di digitalizzazione ferme restando le eventuali responsabilità penali, civili e contabili previste dalle norme vigenti. Il rispetto di tali obblighi è, inoltre, rilevante ai fini della valutazione della performance organizzativa ed individuale. Sotto il profilo pratico, può capitare che vi siano istanze e dichiarazioni inviate ad una Pubblica Amministrazione per mezzo di un indirizzo PEC di proprietà di un terzo, quindi per mezzo di una PEC non di proprietà del soggetto che propone l‟istanza o invia la dichiarazione. In tali casi, l‟istanza e la dichiarazione sono valide solo se conformi a quanto richiesto dal combinato degli artt. 65 D. Lgs. n. 82/2005 e 38 D.P.R. n. 445/2000. Di conseguenza, le istanze o le dichiarazioni inviate mediante l'indirizzo PEC di un terzo sono valide solo se: 102 - sottoscritte con la firma digitale o la firma elettronica qualificata del richiedente; - quando sia allegata alla PEC l‟istanza o dichiarazione con una sottoscrizione (anche scansionata) ed una copia del documento di identità (in corso di validità) del sottoscrittore. Solo da tali tipologie di sottoscrizione può derivare la garanzia di paternità della dichiarazione e l'autenticità delle informazioni relative al sottoscrittore, lasciando alla casella PEC del terzo il mero ruolo di mero “vettore”. L‟art. 13, c. 1, lett. d) del D.Lgs. n. 33/20133 prevede che le amministrazioni pubblichino nella sezione “Amministrazione trasparente”, sotto-sezione di primo livello “organizzazione”, sotto-sezione di secondo livello “telefono e posta elettronica”, l‟elenco completo dei numeri di telefono e delle caselle di posta elettronica istituzionali e delle caselle di posta elettronica certificata dedicate, cui il cittadino possa rivolgersi per qualsiasi richiesta inerente i compiti istituzionali. Le amministrazioni devono altresì assicurare un servizio che renda noti al pubblico i tempi di risposta ad un‟istanza pervenuta via PEC. La normativa vigente ha previsto, a seconda del destinatario della comunicazione, diversi strumenti per individuare facilmente i recapiti PEC. Questi sono: ● l’Indice delle Pubbliche Amministrazioni - IPA (www.indicepa.gov.it), in cui sono presenti tutti i riferimenti relativi agli Enti Pubblici, ivi compresi gli indirizzi di PEC, e che deve necessariamente essere aggiornato ogni semestre (artt. 47, 57-bis CAD); ● l’Indice Nazionale degli Indirizzi di Posta Elettronica Certificata - INI-PEC (www.inipec.gov.it), per reperire i recapiti telematici di imprese e professionisti iscritti agli Albi (art. 6-bis CAD); ● l’Anagrafe Nazionale della Popolazione Residente – ANPR (in fase di realizzazione per il 2017), per conoscere il recapito telematico dei cittadini (art. 62 CAD). Va segnalato che l‟ANPR non è ancora pienamente operativo. Nell‟attesa, i cittadini hanno comunque la facoltà di indicare alle Pubbliche Amministrazioni un proprio indirizzo di Posta Elettronica Certificata che avrà la funzione di domicilio digitale (art. 3-bis CAD). Un ultimo, ma non per importanza, aspetto in tema di PEC, è quello che concerne la sua protocollazione e conservazione a norma. 103 Il ricevimento di una PEC fa sorgere l‟obbligo giuridico in capo all‟Ufficio di protocollare la comunicazione. L‟Amministrazione dovrà, quindi, provvedere a conservare la busta di consegna e gli eventuali allegati per la successiva protocollazione. È inoltre necessario associare alla registrazione di protocollo la ricevuta di consegna contenuta nel messaggio. 2.5 Identità digitali (carte elettroniche, SPID, ANPR). Il Codice dell‟Amministrazione Digitale, per come recentemente riformato145, anche in considerazione dell‟impatto prodotto negli ultimi due anni dal Regolamento europeo sull‟identificazione elettronica (eIDAS)146 (emanato nel 2014 ma efficace dal 1° luglio 2016), si occupa oggi con maggiore attenzione della problematica dell‟identità digitale, non sempre affrontata in passato in maniera specifica o sistematica quanto, piuttosto, limitatamente a singoli aspetti e modalità applicative. Per identità digitale si deve intendere, ai sensi della neo introdotta lettera u-quater dell’art. 1 comma 1 del nuovo CAD, “la rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale secondo le modalità fissate nel decreto attuativo dell’articolo 64”. Già il citato regolamento europeo aveva provveduto ad assegnare nuove definizioni alla materia, con il precipuo obiettivo di creare regole uniformi nelle procedure di accesso e identificazione elettronica; all‟art. 3 del suddetto atto normativo, infatti, si legge “ai fini del presente regolamento si intende per: 1) «identificazione elettronica», il processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica; 2) «mezzi di identificazione elettronica», un’unità materiale e/o immateriale contenente dati di identificazione personale e utilizzata per l’autenticazione per un servizio online; 3) «dati di identificazione personale», un insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica; Si rammenta che il D.Lgs. del 7 marzo 2005 n. 82, con il quale è stato introdotto nel nostro ordinamento il Codice dell‟Amministrazione Digitale è stato da ultimo sistematicamente modificato dal D.Lgs. del 26 agosto 2016 n. 179. 146 Il riferimento è al Regolamento (UE) n. 910/2014 del Parlamento Europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, che abroga la direttiva 1999/93/CE. 145 104 4) «regime di identificazione elettronica», un sistema di identificazione elettronica per cui si forniscono mezzi di identificazione elettronica alle persone fisiche o giuridiche, o alle persone fisiche che rappresentano persone giuridiche”. L‟intervento del legislatore europeo è stato giustificato dall‟oggettiva difficoltà, riscontrata nelle esperienze dei vari Stati membri, di sviluppare sistemi di identificazione digitale che fossero riconosciuti reciprocamente, andando così ad abbattere la barriera elettronica, creata dai singoli regimi nazionali, che impediva ai prestatori di servizi di godere pienamente dei vantaggi del mercato interno. Il 1 luglio 2016 le disposizioni contenute nel regolamento sono divenute operative ed efficaci, con lo scopo di rafforzare la fiducia nelle interazioni elettroniche fra cittadini, imprese e pubbliche amministrazioni, rendendo le stesse quanto più possibile sicure. L‟ultimo e più recente passo in avanti nella regolamentazione della materia, a livello nazionale, si è avuto, come già ampiamente anticipato, con le novelle apportate al vecchio CAD dal D.Lgs. del 26 agosto 2016 n. 179. Ad oggi, in particolare, il nostro legislatore affronta il tema dell‟identificazione elettronica sotto i diversi aspetti in cui esso si declina: carte elettroniche, sistema per l‟identità digitale (SPID) e anagrafe nazionale della popolazione residente (ANPR). Invero, tralasciando l‟esame delle cosiddette “identità digitali deboli”, “utilizzate dagli operatori online per l’accesso a servizi digitali (email, social network e-Commerce) costituite, di norma, da nome utente e password, oltre a una serie di attributi funzionali alla fruizione del servizio ” 147, le quali non hanno, come vedremo nel paragrafo sulle prove informatiche, una valenza univoca in un procedimento civile o penale, il CAD si occupa delle diverse misure di identificazione digitale definite “forti”. Per quel che riguarda le carte elettroniche, il CAD (sia nella vecchia che nella nuova versione) distingue due tipologie, delle quali dà una definizione all‟art. 1, precisando: - alla lettera c) cosa debba intendersi per “carta d'identità elettronica” (CIE), ovvero “il documento d'identità munito di elementi per l’identificazione fisica del titolare rilasciato su supporto informatico dalle amministrazioni comunali con la prevalente finalità di dimostrare l'identità anagrafica del suo titolare”; Agenzia per l'Italia Digitale – Presidenza del Consiglio dei Ministri, Agenda digitale italiana per l’Europa 2020, così definisce le Identità Digitali all'URL: http://www.agid.gov.it/agenda-digitale/identita-digitali, consultato il 15 novembre 2016. 147 105 - alla lettera d) “carta nazionale dei servizi” (CNS), ovvero “ il documento rilasciato su supporto informatico per consentire l’accesso per via telematica ai servizi erogati dalle pubbliche amministrazioni”. La disciplina applicativa di tali strumenti è poi contenuta negli artt. 64 e seguenti del suddetto Codice, recentemente oggetto di intervento riformatore, ove vengono specificate le caratteristiche tecniche che le carte elettroniche devono possedere e la funzione peculiare delle stesse. In particolare, è bene sin da subito chiarire che prima della novella del 2016 la CIE e la CNS costituivano gli strumenti cardine previsti dal legislatore per consentire l‟accesso dei cittadini ai servizi erogati in rete dalle pubbliche amministrazioni, con specifica delimitazione alle attività per le quali era richiesta l‟autenticazione informatica; oggi ad esse è stato affiancato, e reso preminente, lo SPID 148 , il quale costituisce, insieme alle carte elettroniche, l‟unico sistema di accesso ai servizi in rete erogati da una PA. Pur essendo fortemente assimilabili, l‟elemento discretivo che rende le citate carte elettroniche non sovrapponibili è dato dalla maggiore sicurezza garantita dalla CIE rispetto alla CNS: invero, la seconda non possiede alcune caratteristiche tecniche possedute dalla prima, come per esempio la foto del soggetto, la banda ottica, gli ologrammi di sicurezza, etc., che fanno sì da una parte che la CNS dia meno garanzie sull‟identificazione del suo possessore, ma che, per converso, permettono una più agevole distribuzione dello strumento, indipendentemente dai canali istituzionali abilitati a rilasciare la CIE. Se la CIE ha la funzione principale di sostituire il classico documento di riconoscimento cartaceo, utilizzando la CNS, inserita in un apposito lettore collegato ad un pc, si può fruire di numerosi servizi messi a disposizione dalle PA, quali la firma digitale, la tessera sanitaria, il codice fiscale, i pagamenti on-line, semplicemente accedendo da remoto agli uffici pubblici in rete, in qualunque posto del territorio nazionale ci si trovi. Non tragga in inganno la definizione della carta d‟identità elettronica come documento per l‟identificazione “fisica” del titolare. Infatti, come appare evidente nella Sezione III del Capo V del CAD, intitolato “Dati delle pubbliche amministrazioni e servizi in rete”, tanto la carta nazionale dei servizi quanto la carta di identità elettronica costituiscono strumenti per l‟accesso ai servizi erogati in rete dalle pubbliche amministrazioni per i quali sia necessaria “l'identificazione informatica” 149. 148 149 Di cui si parlerà innanzi, nel medesimo paragrafo. Cfr. art. 64 CAD. 106 Con tale disposizione il legislatore ha voluto chiaramente definire le suddette carte elettroniche come strumento forte per l‟affermazione dell‟identità digitale, codificando espressamente il loro utilizzo per poter ricevere i servizi delle PA in un‟ottica di informatizzazione amministrativa completamente equivalente al modello fisico/cartaceo. Da ultimo è bene dare atto che, se ad oggi il cittadino italiano ha ancora facoltà di scelta tra la richiesta di rilascio di una carta di identità cartacea o di una carta di identità digitale, a partire dal 2017 il documento digitale sostituirà definitivamente quello cartaceo150. Invero, mediante un processo di adeguamento graduale, tutti i comuni italiani avranno l‟obbligo di emettere esclusivamente la Carta d‟Identità Elettronica e, come stabilito dalla circolare del Ministero dell’Interno n. 18 del 19 ottobre 2016, dalla prima metà del 2017 verrà avviato un piano di dispiegamento per l‟abilitazione di tutti i comuni al rilascio della nuova CIE 151. Tale nuova carta di identità porterà dei vantaggi rilevanti per i cittadini, in quanto è previsto che la stessa contenga anche il codice fiscale dell‟intestatario, le impronte digitali e gli estremi dell‟atto di nascita; ulteriore novità è costituita, poi, dalla possibilità di aggiungere alla memoria del microchip elettronico anche la volontà di essere donatore di organi, la propria tessera elettorale e l‟abilitazione all‟utilizzo dei servizi della Pubblica Amministrazione mediante l‟inserimento della propria firma digitale152. Come già anticipato, tuttavia, l‟art. 64 del CAD, per come riformato, pare oggi dare priorità, in materia di accesso ai servizi in rete delle PA, ad un altro strumento, ovvero al Sistema Pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID), di cui all‟art. 64, comma 2-bis e seguenti, CAD. Tale sistema, unitamente alle carte elettroniche, è definito dal legislatore, nella norma in questione, come unica via di accesso ai servizi in rete delle Pubbliche Amministrazioni. Viene, infatti, specificato nel medesimo articolo 64, ai commi 2-octies e 2-nonies, che “le pubbliche amministrazioni consentono mediante SPID l'accesso ai servizi in rete da esse erogati che richiedono identificazione informatica. L’accesso […] può avvenire anche con la carta di identità elettronica e la carta nazionale dei servizi”. In dettaglio, il documento di identità cartaceo non potrà più essere emesso dagli uffici comunali italiani, fermo restando che le carte in corso di validità rimarranno valide fino alla data di scadenza. 151 Per attuare l‟adeguamento in questione è prevista l‟apertura di un portale ad hoc, ovvero il Portale istituzionale della CIE, sul quale reperire tutte le informazioni necessarie e prenotare l‟appuntamento con i vari uffici comunali delegati al rilascio delle nuove CIE. 152 Tali informazioni sono state diffuse su varie testate e siti di informazione online, tra i quali si rinvia all‟URL: www.forexinfo.it/Carta-d-identita-elettronica-2017, consultata nel dicembre 2016. 150 107 La stessa previsione dello SPID all‟interno del CAD demanda, tuttavia, a successivi decreti attuativi e regolamenti la determinazione, in concreto, dei tempi e delle modalità di adozione e funzionamento del Sistema. Ebbene, tali atti normativi sono stati emanati a partire dal 2014, con la finalità di disciplinare le modalità di accreditamento, di autorizzazione ed operative. L‟ultima Determina è stata pubblicata il 7 ottobre del 2016153. L‟accesso al sistema SPID si caratterizza per il fatto che esso è gestito come un grande insieme, dove i diversi soggetti privati e pubblici, previo accreditamento da parte dell‟AgID (Agenzia per l‟Italia Digitale) possono interagire anche in assenza delle carte elettroniche, dando quindi valore, per esempio, ai metodi di identificazione digitale debole che in tal caso, invece, si verranno ad affermare quale forma “perfetta” di identificazione digitale. Nello specifico la struttura dello SPID prevede che la richiesta dell‟utente venga inoltrata ad un identity provider (ovvero ad un soggetto privato previamente accreditato da AgID) che ne verifica le credenziali e lo reindirizza verso il service provider competente, affinché l‟utente possa interagire, avendo già superato la fase di identificazione. In definitiva, dunque, lo SPID è il nuovo sistema di login che consente a cittadini e imprese di accedere con un’unica identità digitale, da più dispositivi, a tutti i servizi on-line di pubbliche amministrazioni e imprese aderenti. Il vantaggio immediato del suddetto strumento è costituito dal venir meno delle molteplici password, chiavi e codici, necessari sino ad oggi per utilizzare i servizi on-line di PA e imprese. L‟identità SPID è, tra l‟altro, costituita da credenziali con caratteristiche differenti in base al livello di sicurezza richiesto per l‟accesso. Esistono, infatti, tre livelli di sicurezza, progressivamente crescenti, ognuno dei quali corrisponde a un diverso livello di identità SPID; in dettaglio: livello 1: permette l‟accesso ai servizi con nome utente e password (di almeno otto caratteri, da cambiare ogni 180 giorni); livello 2: permette l'accesso ai servizi con nome utente e password insieme ad un codice temporaneo che viene inviato via sms o con app mobile dedicata; Cfr. al riguardo Determinazione n. 239/2016 adottata dall‟AgID, avente ad oggetto l‟“Emanazione Schema di convenzione per l‟adesione al Sistema Pubblico per la gestione dell‟Identità digitale (SPID) tra l‟Agenzia per l‟Italia digitale e i privati in qualità di fornitori di servizi accessibili nell‟ambito SPID”. 153 108 livello 3: permette l'accesso ai servizi con nome utente e password e l'utilizzo di un dispositivo di accesso (ad es. smart card). È, altresì, riservata alle Pubbliche Amministrazioni e ai privati la possibilità di definire autonomamente il livello di sicurezza necessario per poter accedere ai propri servizi digitali 154 . Come già anticipato, all‟interno della macro-area dell‟identificazione digitale va inserita anche l‟ANPR, ovvero l‟Anagrafe Nazionale della Popolazione Residente, disciplinata dall‟art. 62 del CAD. In base alle nuove disposizioni155 l‟ANPR assorbe al suo interno l‟indice Nazionale delle Anagrafi (INA)156 e l‟Anagrafe degli italiani residenti all‟estero (AIRE)157; entro la fine 2016 la stessa dovrebbe subentrare anche alle anagrafi comunali. Con i nuovi regolamenti è stata concretamente avviata l‟attuazione dell‟ANPR, così destinata ad assumere un ruolo strategico nel processo di digitalizzazione della pubblica amministrazione, in un‟ottica di miglioramento dei servizi offerti al cittadino, nel quadro dell‟agenda digitale italiana. L‟obiettivo prefissato con la creazione della suddetta anagrafe è rappresentato dall‟ampia fruibilità e interscambiabilità, tra comuni, di ampie base dati contenenti i riferimenti di tutta la popolazione italiana residente sia in Italia che all‟estero, potenziando, così, il travalicamento dei confini fisici nella gestione amministrativa. L‟ANPR garantirà la possibilità di effettuare con cadenza annuale il censimento generale della popolazione e delle abitazioni, realizzando anche l‟archivio nazionale delle strade e dei numeri civici. Non può certo tacersi che la creazione di una base dati così voluminosa comporta criticità nella gestione della sicurezza del trattamento di tali dati. Per ovviare, almeno in parte, alle più diffuse problematiche, il legislatore ha attribuito un ruolo fondamentale al Garante per la protezione dei dati personali. È stato stabilito, infatti, che la base di dati relativa Cfr. in tal senso Agenzia per l'Italia Digitale – Presidenza del Consiglio dei Ministri, Agenda digitale italiana per l‟Europa 2020, già citata. Lo SPID viene così definito all'URL: http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/spid/percorsoattuazione, consultato nel mese di novembre 2016. 155 Si fa riferimento alla pubblicazione del D.P.C.M. n. 109 del 23 agosto 2013, ovvero al Regolamento recante disposizioni sull‟Anagrafe Nazionale della Popolazione Residente; del D.P.C.M. n. 194 del 10 novembre 2014, ovvero Regolamento recante modalità di attuazione e di funzionamento dell'Anagrafe nazionale della popolazione residente (ANPR) e di definizione del piano per il graduale subentro dell'ANPR alle anagrafi della popolazione residente; del D.P.R. n. 126 del 17.7.2015 che adegua il Regolamento anagrafico della popolazione residente. 156 L‟INA è stato istituito con la funzione di promuovere la circolarità delle informazioni anagrafiche essenziali al fine di consentire, alle amministrazioni pubbliche centrali e locali collegate la disponibilità, in tempo reale, dei dati relativi alle generalità delle persone residenti in Italia, certificati dai comuni e, limitatamente al codice fiscale, dall'Agenzia delle entrate. 157 L‟AIRE contiene i dati dei cittadini italiani che hanno dichiarato di voler risiedere all´estero per un periodo di tempo superiore ai dodici mesi o per i quali sia stata accertata d´ufficio tale residenza; l´iscrizione presuppone la comunicazione, da parte dell´Ufficio consolare di residenza al comune di iscrizione, dell´esatto e completo indirizzo estero. 154 109 all‟ANPR debba essere sottoposta a un audit di sicurezza, da effettuarsi con cadenza annuale, in conformità alle regole tecniche di cui all‟articolo 51 del CAD158; i risultati del citato controllo sono, poi, inseriti nella relazione annuale del Garante per la protezione dei dati personali159. Nonostante le scadenze imposte agli enti comunali, si dà atto che l‟adozione di un sistema di Anagrafe unica a livello nazionale ha incontrato non poche difficoltà tecniche e resistenze; motivo per cui il Ministero dell‟Interno con la circolare n. 13 del 29 luglio 2016 ha sollecitato i Comuni a completare le attività necessarie per il subentro dei dati anagrafici dalle banche dati locali ad ANPR. Gli strumenti ora descritti rientrano, oramai, in un‟unica strategia di sviluppo governativa, volta alla costruzione di un ecosistema digitale per l‟identificazione online, denominato “Italia Login”160. Italia Login vuole essere la casa online del cittadino e dell‟impresa italiana. Un‟unica piattaforma che sostituisca l‟eterogeneità dell‟offerta attuale e sappia integrare i piani verticali avviati (sanità, scuola, giustizia, eccetera) in un‟unica piattaforma di accesso, attraverso SPID e ANPR, che abiliterà la profilazione. Ogni cittadino italiano avrà un profilo civico online dal quale potrà accedere alle informazioni e ai servizi pubblici che lo riguardano, in maniera profilata. Un luogo di interazione personalizzato con la pubblica amministrazione e le sue ramificazioni, arricchito dalle segnalazioni sulle opportunità e gli obblighi pubblici che il sistema filtrerà in relazione al profilo anagrafico. L‟intervento vuole rappresentare la vera semplificazione della pubblica amministrazione, uno “Stato” facile da usare e accedere su multipiattaforma, anche mobile: • la Pubblica Amministrazione offre a cittadini ed alle imprese i propri servizi online, comunica l‟avvio di ogni procedimento amministrativo che li riguardi, attiva un canale aperto di comunicazione; • Cittadini ed imprese devono trovare in un solo luogo i servizi necessari, fare operazioni in pochi passaggi dovunque si trovino, trovare nei propri mezzi di interazione la risposta agli atti necessari nel suo ruolo di cittadino. Non a caso, l‟art. 51 CAD è rubricato “Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni”. In questi termini un articolo di D. Montagna, visionabile all‟URL: http://saperi.forumpa.it/story/70783/il-nuovo-sistemaunificato-d-identita-digitale-peculiarita-e-profili-privacy, consultato ad ottobre 2016. 160 Per un approfondimento si veda quanto pubblicato dall‟Agenzia per l‟Italia Digitale: http://www.agid.gov.it/agenda-digitaleitaliana/verso-italia-login, consultato nel mese di dicembre 2016. 158 159 110 Un luogo unico dove il cittadino con il suo profilo unico: • riceve e invia tutte le comunicazioni con le PA e ne conserva lo Storico; • accede a tutti i servizi via via disponibili; • riceve avvisi di scadenze, effettua e riceve versamenti e ne conserva lo storico; • archivia i propri documenti; • interagisce con l‟anagrafe digitale; • esprime valutazioni su servizi e fornisce feedback e suggerimenti; • partecipa alla vita democratica. Ogni Amministrazione pubblica dovrà portare i propri servizi all‟interno di questa “casa” online del cittadino. La piattaforma avrà un set di API161, documentate in un apposito sito, che garantiranno l‟interoperabilità del servizio e il suo utilizzo attraverso l‟interfaccia unica. E naturalmente gli uffici, interoperabili, si occuperanno di scambiarsi le informazioni in relazione alle funzioni che devono svolgere senza imporre al cittadino di trovarle per loro. Ogni cittadino avrà una chiave d‟accesso ai servizi digitali pubblici, avrà un‟identità digitale garantita da un sistema standard, avrà un domicilio su Internet e un sistema facile e sicuro per i pagamenti e per ricevere scadenze ed avvisi. Si tratta di un cambiamento di paradigma che pone il cittadino al centro e l‟amministrazione al suo servizio, avendo una focalizzazione particolare sulla semplicità e l‟usabilità. Una nuova piattaforma relazionale che nel tempo integrerà flussi applicativi delle relazioni con i cittadini di tutta la Pubblica Amministrazione. 2.6. Il protocollo informatico Una gestione moderna della Pubblica Amministrazione, che sia in grado, tra l'altro, di perseguire gli obblighi legali di efficacia, efficienza, trasparenza, semplicità ed economicità, deve necessariamente basarsi sull'utilizzo consapevole ed adeguato delle tecnologie della comunicazione e della informazione. In informatica con application programming interface – API (in italiano: interfaccia di programmazione di un'applicazione) si indica ogni insieme di procedure disponibili al programmatore, normalmente raggruppate a formare un set di strumenti specifici per l'espletamento di un determinato compito all'interno di un certo programma; spesso le API si traducono in librerie software disponibili in un certo linguaggio di programmazione. 161 111 L'informatica giuridica, quindi, svolge un ruolo imprescindibile nell'organizzazione di ciascuna pubblica amministrazione, tanto centrale quanto locale, in modo da far funzionare al meglio l'apparato ed erogare i servizi all'utenza. L'attivita di protocollazione dei documenti amministrativi, in arrivo o in uscita dall‟ufficio (registratura, nella terminologia del legislatore del regio decreto del 25 gennaio 1900, n. 35, che approva il “regolamento per gli Uffici di registratura e di archivio delle amministrazioni) è una delle attività più importanti e delicate dell'organizzazione amministrativa e consiste nella registrazione del documento (in genere cartaceo), mediante l‟attribuzione allo stesso - e sua contestuale trascrizione su un registro - di un numero ordinale progressivo e della data di arrivo o di partenza, seguendo una numerazione su base annuale, preceduta da una sigla o da altro numero che indica il titolo, la classe e sottoclasse di classificazione degli atti. Applicando a tale attività le logiche e gli strumenti informatici, con i dovuti adeguamenti, ecco che il protocollo tradizionale diventa informatico. In tale ambito, il c.d. Protocollo informatico, oltre a non essere la semplice trasposizione informatica della tradizionale attività di protocollazione, nel corso degli anni (almeno un quindicennio) ha subito diversi rimaneggiamenti del quadro normativo che lo disciplina, pur rimanendo sostanzialmente immutato nell'impianto fondamentale. Come al solito, la normativa in materia è completa e consentirebbe di informatizzare e digitalizzare tutta la gestione dell'attività amministrativa. Inizialmente, infatti, era il D.P.R. 428 del 20.10.1998, Regolamento recante norme per la gestione del protocollo informatico da parte delle amministrazioni pubbliche, a disciplinare specificamente la materia, seguìto ed integrato dal D.P.C.M. 31.10.2000, recante le cc.dd. Regole tecniche. Il quadro normativo appena descritto è stato integralmente trasfuso in un nuovo provvedimento, il D.P.R. 445 del 28.12.2000, il T.U. sulla semplificazione amministrativa che ha reso obbligatoria per le Pubbliche Amministrazioni la registrazione di tutti i flussi documentali. In particolare, l‟art. 61 del Decreto dispone che ciascuna Amministrazione debba istituire un servizio per la tenuta del protocollo informatico, della gestione dei flussi 112 documentali e degli archivi per ciascuna delle Aree Organizzative Omogenee (AOO)162 in cui essa si sviluppa. Successivamente al D.P.R. 445/00, l'assetto normativo è stato rimodulato sulla base del C.A.D., il quale, pur non contenendo la completa disciplina del protocollo informatico, in parte ancora mantenuta nel D.P.R. 445/00, ne completa alcuni aspetti e, soprattutto, contiene la definizione legislativa aggiornata di gestione informatica dei documenti, al cui interno si colloca il protocollo informatico. Tale definizione, infatti, considera la gestione informatica dei documenti come l'insieme delle attivita finalizzate alla registrazione e segnatura di protocollo, nonche alla classificazione, organizzazione, assegnazione, reperimento e conservazione dei documenti amministrativi formati o acquisiti dalle amministrazioni, nell'àmbito del sistema di classificazione d'archivio adottato, effettuate mediante sistemi informatici. La normativa si completa con il recente D.P.C.M. 03.12.2013, recante le regole tecniche per il protocollo informatico ai sensi degli articoli 40-bis, 41, 47, 57-bis e 71, del C.A.D, che sostituiscono le precedenti di cui al D.P.C.M. 31.10.2000. Vanno, altresì, segnalate la Circolare AIPA del 7 maggio 2001 n. 28 e la successiva Circolare AgID n. 60 del 23 gennaio 2013 ed infine, da ultimo, le “Istruzioni per la produzione e conservazione del registro giornaliero di protocollo”, emanate dall‟AGID per aiutare le PP.AA. a rispettare l‟obbligo, a partire dall'11 ottobre 2015, di inviare in conservazione il registro giornaliero di protocollo entro la giornata lavorativa successiva. 2.6.2. Il nucleo minimo del protocollo informatico Ai sensi dell'art. 56 del D.P.R. 445/00 (.T.U.), le operazioni di registrazione e le operazioni di segnatura di protocollo nonché le operazioni di classificazione costituiscono operazioni necessarie e sufficienti per la tenuta del sistema di gestione informatica dei documenti da parte delle pubbliche amministrazioni, ossia quella che viene considerata la funzionalità minima del protocollo informatico. L‟Area Organizzativa Omogenea è il nucleo minimo di cui deve dotarsi l‟Ente per legge e attorno al quale possono nascere diverse strutture secondarie, non obbligatorie. Pertanto, nel caso di più AOO abbiamo un insieme di unità organizzative dell‟Amministrazione che usufruiscono, in modo omogeneo e coordinato, degli stessi servizi per la gestione dei flussi documentali. 162 113 Le due attività più importanti sono, quindi, la registrazione del protocollo e la segnatura di protocollo. La prima è effettuata per ogni documento ricevuto o spedito dalle pubbliche amministrazioni mediante la memorizzazione delle seguenti informazioni: a) numero di protocollo del documento generato automaticamente dal sistema e registrato in forma non modificabile; b) data di registrazione di protocollo assegnata automaticamente dal sistema e registrata in forma non modificabile; c) mittente per i documenti ricevuti o, in alternativa, il destinatario o i destinatari per i documenti spediti, registrati in forma non modificabile; d) oggetto del documento, registrato in forma non modificabile; e) data e protocollo del documento ricevuto, se disponibili; f) l'impronta del documento informatico, se trasmesso per via telematica, costituita dalla sequenza di simboli binari in grado di identificarne univocamente il contenuto, registrata in forma non modificabile. Invece, la segnatura di protocollo consiste nell‟apposizione o associazione all‟originale del documento, in forma permanente e non modificabile, delle informazioni riguardanti il documento stesso. Essa consente di individuare ciascun documento in modo inequivocabile e le informazioni minime previste sono: a) il progressivo di protocollo; b) la data di protocollo; c) l'identificazione in forma sintetica dell'amministrazione o dell'area organizzativa individuata. In base al comma 2 dell'art. 55 T.U., l'operazione di segnatura di protocollo va effettuata contemporaneamente all'operazione di registrazione di protocollo. Il D.P.C.M. 03.12.2013, inoltre, prevede che le pubbliche amministrazioni individuino obbligatoriamente le Aree Organizzative Omogenee163 e i relativi uffici di riferimento, nominino, in ciascuna delle Aree Organizzative Omogenee individuate, il responsabile della gestione documentale, e un suo vicario, per casi di vacanza, assenza o impedimento del primo, adottino il manuale di gestione, definiscano i tempi, le modalita e le misure 163 L'Area Organizzativa Omogenea (AOO) è definita come un insieme di funzioni e di strutture, individuate dalla amministrazione, che opera su tematiche omogenee e che presenta esigenze di gestione della documentazione in modo unitario e coordinato ai sensi dell‟articolo 50, comma 4, del D.P.R. 28 dicembre 2000, n. 445 114 organizzative e tecniche finalizzate all‟eliminazione dei protocolli di settore e di reparto, dei protocolli multipli, dei protocolli di telefax, e, piu in generale, dei protocolli diversi dal protocollo informatico. Al servizio della gestione dei flussi documentali deve essere preposto un dirigente ovvero un funzionario, comunque in possesso di idonei requisiti professionali o di professionalità tecnico archivistica acquisita a seguito di processi formazione definiti secondo le procedure prescritte dalla disciplina vigente (art. 61, co. 2, D.P.R. n. 445/2000). È comunque raccomandabile che tale figura venga ricoperta dal soggetto preposto all‟archivio dell‟ente in quanto è il soggetto più indicato ad assumersi la responsabilità di garantire l‟operatività ed il rispetto delle norme in materia di conservazione. Un dubbio classico all‟interno delle Amministrazioni è quello connesso al “cosa”, nella realtà della pratica quotidiana, occorra protocollare: l‟Amministrazione, a norma dell‟art. 53 del D.P.R. n. 445/2000 ha l‟obbligo di provvedere alla registrazione di protocollo per tutti i documenti ricevuti o spediti. Sono esclusi da tale obbligo gli atti infraprocedimentali tra i quali, a titolo esemplificativo, rientrano le circolari scolastiche. Non è, altresì, obbligatorio protocollare documenti come le offerte commerciali, le comunicazioni augurali, le newsletter e altri casi similari. Occorre sottolineare che le istruzioni relative alle comunicazioni sottratte alla protocollazione, in conformità con le norme di legge, devono essere sempre indicate nel manuale di gestione del protocollo informatico. Per quanto attiene le PEC e PEO (Posta Elettronica Ordinaria), l‟art. 40-bis del CAD impone alle Amministrazioni la loro protocollazione. In particolare, dovranno formare oggetto di registrazione di protocollo, sia in entrata che in uscita: a) i messaggi Posta Elettronica Ordinaria inviati tra Pubbliche Amministrazioni; b) i messaggi Posta Elettronica Ordinaria contenenti comunicazioni tra Amministrazione e dipendenti; c) i messaggi di Posta Elettronica Certificata in genere. 2.6.3 I requisiti di sicurezza In ottemperanza all‟art. 6 del DPCM 3 dicembre 2013, i sistemi di protocollo devono 115 necessariamente comprendere una “funzionalità minima” e eventualmente, sulla base del rapporto tra costi e benefici nell‟ambito dei propri obiettivi di miglioramento dei servizi e di efficienza operativa, delle funzionalità aggiuntive. L‟art. 7 prevede, inoltre, che nel rispetto delle funzionalità minime il sistema di protocollo informatico deve assicurare: a) l‟univoca identificazione ed autenticazione degli utenti; b) la protezione delle informazioni relative a ciascun utente nei confronti degli altri; c) la garanzia di accesso alle risorse esclusivamente agli utenti abilitati; d) la registrazione delle attività rilevanti ai fini della sicurezza svolte da ciascun utente, in modo tale da garantirne l‟identificazione. Inoltre, deve sempre essere possibile il controllo differenziato all‟accesso alle risorse del sistema per ciascun utente o gruppi di utenti oltre che il tracciamento di tutti gli eventi di modifica al fine di poterli ricondurre all‟autore della stessa. Rientra tra le misure minime anche il rispetto degli artt. da 31 a 36 dell‟allegato B al D.Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali), di cui meglio si dirà nella parte del presente testo dedicata all‟analisi della materia dei dati personali. 2.6.4. Il manuale di gestione Tra gli obblighi delle PP.AA., ai fini di una corretta istituzione del protocollo informatico, vi è la accurata redazione del manuale di gestione, ossia di quel documento che descrive il sistema di gestione, anche ai fini della conservazione, dei documenti informatici e fornisce le istruzioni per il corretto funzionamento del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi. Nel manuale di gestione sono riportati, in particolare: a) la pianificazione, le modalità e le misure volte all'eliminazione degli altri protocolli; b) il piano di sicurezza dei documenti informatici; c) le modalità di utilizzo di strumenti informatici per la formazione dei documenti informatici e per lo scambio degli stessi all‟interno ed all‟esterno dell‟area organizzativa omogenea, ivi comprese le caselle di posta elettronica, anche certificata, utilizzate; d) la descrizione di eventuali ulteriori formati utilizzati per la formazione del documento informatico in relazione a specifici contesti operativi esplicitati e motivati; 116 e) l‟insieme minimo dei metadati associati ai documenti soggetti a registrazione particolare e gli eventuali ulteriori metadati rilevanti ai fini amministrativi, definiti, per ogni tipologia di documento, nell‟ambito del contesto a cui esso si riferisce; f) la descrizione del flusso di lavorazione dei documenti ricevuti, spediti o interni, incluse le regole di registrazione per i documenti pervenuti secondo particolari modalità di trasmissione, tra i quali, in particolare, documenti informatici pervenuti attraverso canali diversi dalla posta elettronica e la cooperazione applicativa, nonchè tramite fax, raccomandata o assicurata; g) l‟indicazione delle regole di smistamento ed assegnazione dei documenti ricevuti con la specifica dei criteri per l‟ulteriore eventuale inoltro dei documenti verso aree organizzative omogenee della stessa amministrazione o verso altre amministrazioni; h) le modalità di formazione, implementazione e gestione dei fascicoli informatici relativi ai procedimenti e delle aggregazioni documentali informatiche con l‟insieme minimo dei metadati ad essi associati; i) l‟indicazione delle unità organizzative responsabili delle attività di registrazione di protocollo, di organizzazione e tenuta dei documenti all‟interno dell‟area organizzativa omogenea; j) l‟elenco dei documenti esclusi dalla registrazione di protocollo; k) l‟elenco dei documenti soggetti a registrazione particolare e le relative modalità di trattamento; l) i registri particolari definiti per il trattamento di registrazioni informatiche anche associati ad aree organizzative omogenee definite dall‟amministrazione sull‟intera struttura organizzativa e gli albi, gli elenchi e ogni raccolta di dati concernente stati, qualita personali e fatti; m) il sistema di classificazione, con l‟indicazione delle modalità di aggiornamento, integrato con le informazioni relative ai tempi, ai criteri e alle regole di selezione e conservazione, con riferimento alle procedure di scarto; n) le modalità di produzione e di conservazione delle registrazioni di protocollo informatico e, in particolare, l‟indicazione delle soluzioni tecnologiche ed organizzative adottate per garantire l‟immodificabilità della registrazione di protocollo, la contemporaneità della stessa con l‟operazione di segnatura, nonchè le modalità di registrazione delle informazioni annullate o modificate nell‟ambito di ogni sessione di 117 attività di registrazione; o) la descrizione funzionale ed operativa del componente «sistema di protocollo informatico» del sistema di gestione informatica dei documenti con particolare riferimento alle modalità di utilizzo; p) i criteri e le modalità per il rilascio delle abilitazioni di accesso interno ed esterno alle informazioni documentali; q) le modalità di utilizzo del registro di emergenza, inclusa la funzione di recupero dei dati protocollati manualmente. Il manuale di gestione deve reso pubblico dalle pubbliche amministrazioni mediante la pubblicazione sul proprio sito istituzionale. Sul sito dell'AgID sono reperibili anche le linee guida per una corretta redazione del manuale di gestione164. Un caso particolare è quello del verificarsi di un‟anomalia nel protocollo informatico. L‟art. 63 del D.P.R. n. 445/2000 dispone che, nel caso in cui si verifichi un‟anomalia del sistema di protocollo informatico che non consenta di registrare documenti, il responsabile del servizio debba autorizzare la registrazione di protocollo (anche manuale) su uno o più registri di emergenza. In tale registro dovranno essere riportate le cause dell‟anomalia, la data e l‟ora di inizio dell‟interruzione, nonché la data di ripristino del sistema. Una volta ripristinata la funzionalità del sistema, le informazioni relative ai documenti protocollati in emergenza andranno inserite tramite l‟apposita funzionalità per il ripristino dei dati. La procedura di emergenza da seguire deve necessariamente indicata nel manuale di gestione del protocollo informatico da tenere ai sensi dell‟art. 5 del DPCM 3 dicembre 2013. Un ambito particolarmente delicato del protocollo informatico è quello della regolamentazione degli accessi al sistema. Nell‟ambito del sistema di gestione documentale dell‟ufficio i dati relativi al sistema di protocollo informatico, nonché al sistema di gestione dei fascicoli informatici deve consentire l’accesso soltanto ai soggetti (pubblici e privati) legittimati. In proposito, si osserva che il Garante per la protezione dei dati personali con provvedimento n. 280 dell‟11 ottobre 2012, ha affermato che l‟accesso ai documenti deve essere limitato al personale autorizzato per cui vanno individuati e 164 http://www.agid.gov.it/sites/default/files/documenti_indirizzo/guida_alla_redazione_del_manuale_di_gestione_quaderno_n_21b.pdf 118 configurati i profili di autorizzazione dei diversi incaricati, così da limitare l‟accesso al solo personale assegnato a questo compito. 2.6.5. La semplificazione e la digitalizzazione dei processi amministrativi. La sola istituzione del protocollo informatico, magari attraverso pacchetti software generalisti, non consente di ottenere tutti i vantaggi che una completa implementazione della gestione digitale dei documenti e dei processi amministrativi comporta in termini di risultati concreti e di conformità alla normativa. Accanto ad esso, occorre introdurre un altro strumento finalizzato alla completa riorganizzazione e riprogettazione dei processi amministrativi, attraverso la completa digitalizzazione dell'attività e dei processi amministrativi stessi165. Tale attività viene chiamata di reingegnerizzazione o, nel lessico internazionale, Business Process Reengineering (B.P.R.). La reingegnerizzazione166 si caratterizza, pertanto, come una specifica modalità di cambiamento di una organizzazione, nel caso particolare di una Pubblica Amministrazione167, con il fine precipuo di semplificarla. 165 Linee guida alla realizzazione dei sistemi di protocollo informatico e gestione dei flussi documentali nelle pubbliche amministrazioni (GEDOC 2) http://archivio.pubblica.istruzione.it/amministrazione/allegati/gedoc2.pdf 166 A.I.P.A.: La Reingegnerizzazione dei Processi nella Pubblica Amministrazione, http://archivio.cnipa.gov.it/site/_contentfiles/00131300/131335_bpr.pdf ; Ministero per l'Innovazione e le Tecnologie, 9 dicembre 2002 “Direttiva sulla trasparenza dell‟azione amministrativa e gestione elettronica dei flussi documentali.” http://archivio.digitpa.gov.it/sites/default/files/normativa/Direttiva%209%20dic%202002%20%20Trasparenza20amm_va%20e%20flussi%20documentali.pdf 167 Una Pubblica Amministrazione è una complessa macchina il cui funzionamento è determinato da persone, strutture organizzative, procedure operative, strumenti informatici di supporto, modalità di interazioni con altre entità dello Stato e della società civile. Tale macchina opera, come ovvio, secondo principi e criteri che variano a seconda della PA considerata e che tengono conto del ruolo che quella amministrazione svolge all‟interno della struttura dello Stato. Cionondimeno, esiste un tratto comune che lega amministrazioni anche assai diverse tra loro come, ad esempio, il Ministero della Pubblica Istruzione e il Ministero della Difesa. Ogni amministrazione consuma e produce un‟enorme quantità di informazioni. Tali informazioni si materializzano sotto forma di documenti che hanno varia natura sia per ciò che concerne i contenuti (per esempio l‟ordine di trasferimento di un impiegato o la cartella esattoriale inviata ad un contribuente non in regola) che la loro struttura fisica (per esempio un messaggio di posta elettronica o una classica lettera su carta). I documenti vengono prodotti, utilizzati, comunicati e mantenuti nell'esercizio delle attività amministrative che ogni p.a. svolge per il raggiungimento degli obiettivi stabiliti nel proprio mandato istituzionale. Tali attività sono articolate per processi o, in alcuni casi, per veri e propri "procedimenti amministrativi", caratterizzati da sequenze di atti governate da regole e procedure più o meno complesse a seconda dello scopo e contesto del processo considerato. L'attività di protocollo è quella fase del processo che certifica provenienza e data certa di acquisizione del documento, mediante la sua identificazione univoca nell'ambito di una sequenza numerica collegata con l'indicazione temporale. La registrazione di protocollo svolge, quindi, un ruolo essenziale nella gestione dei procedimenti prevista ai sensi della legge 241/1990 e, più in generale, in tutti i processi amministrativi che prevedono fasi di attività e termini certi per la loro conclusione. Un processo amministrativo può essere supportato da strumenti informatici che siano in grado di facilitare e, laddove possibile, automatizzare le attività previste. Le tecnologie disponibili per queste scopo sono molteplici e sono spesso identificate con l‟espressione sistemi di supporto al lavoro cooperativo (CSCW, Computer Supported Cooperative Work). Tali sistemi sono poi spesso raggruppati in due grandi famiglie di prodotti: i workflow management systems (WFMS) e i sistemi di groupware. Anche per le attività di protocollazione sono disponibili supporti informatici in grado di creare e gestire il protocollo informatico, cioè l‟insieme delle registrazioni che vengono effettuate ogni qual volta un documento venga ricevuto o prodotto. Tali sistemi possono essere modularmente 119 La caratteristica fondamentale della reingegnerizzazione/semplificazione consiste nel considerare i processi come se si trattasse di ripensarli da zero, senza essere condizionati da come si svolgono attualmente, ma ipotizzando soluzioni alternative, anche radicali. Il tipo di riprogettazione radicale è dovuto, oltre che alla riprogettazione organizzativa, anche all'introduzione di tecnologie dell'informazione e della comunicazione (ICT) che consentono di superare gli ostacoli che in passato avevano condotto a mettere in sequenza le attività, a separare le mansioni, a introdurre attività di controllo, ecc. Di norma, l'intervento complessivo sul processo è realizzato grazie a tecnologie dell'informazione e della comunicazione in grado di rendere condivise le informazioni che tradizionalmente erano nella disponibilità esclusiva di un solo ufficio. Tale caratteristica di trasversalità organizzativa è un aspetto imprescindibile della reingegnerizzazione, anche in ambiente pubblico, se si vogliono davvero ottenere i miglioramenti discontinui che il BPR ha dimostrato di poter raggiungere. Tutto ciò trova, anzitutto, fondamento normativo nella previsione dell'art. 23-ter del C.A.D., il quale stabilisce che gli atti formati dalle pubbliche amministrazioni con strumenti informatici, nonchè i dati e i documenti informatici detenuti dalle stesse, costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi o identici tipi di supporto, duplicazioni e copie per gli usi consentiti dalla legge. Il comma 2 dispone che i documenti costituenti atti amministrativi con rilevanza interna al procedimento amministrativo sottoscritti con firma elettronica avanzata hanno l'efficacia prevista dall'art. 2702 del codice civile, ossia di scrittura privata. L'architettura normativa della digitalizzazione prosegue con l'art. 12 C.A.D., in base al quale, le pubbliche amministrazioni, nell'organizzare autonomamente la propria attività, utilizzano le tecnologie dell'informazione e della comunicazione per la realizzazione degli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione nel rispetto dei principi di uguaglianza e di non discriminazione. Il comma 2 specifica che le pubbliche amministrazioni, poi, adottano le tecnologie dell'informazione e della comunicazione nei rapporti interni, tra le diverse amministrazioni e tra queste e i privati, con misure informatiche, tecnologiche e procedurali di sicurezza. Il comma 5 stabilisce che le pubbliche amministrazioni utilizzano le tecnologie integrati in un sistema vero e proprio di supporto al lavoro cooperativo, oppure includere essi stessi alcune forme di minime supporto ai processi e ai flussi amministrativi (v. Linee Guida Gedoc 2, cit.). 120 dell'informazione e della comunicazione, garantendo, nel rispetto delle vigenti normative, l'accesso alla consultazione, la circolazione e lo scambio di dati e informazioni, nonchè l'interoperabilità dei sistemi e l'integrazione dei processi di servizio fra le diverse amministrazioni, nel rispetto delle regole tecniche. Tale comma va letto insieme al comma 5-bis, in base al quale le pubbliche amministrazioni implementano e consolidano i processi di informatizzazione in atto, ivi compresi quelli riguardanti l'erogazione, attraverso le tecnologie dell'informazione e della comunicazione in via telematica di servizi a cittadini ed imprese, anche con l'intervento di privati. Dal canto suo, l'art. 15 del C.A.D. prevede che la riorganizzazione strutturale e gestionale delle pubbliche amministrazioni, volta al perseguimento degli obiettivi di cui all'articolo 12, comma 1, avviene anche attraverso il migliore e più esteso utilizzo delle tecnologie dell'informazione e della comunicazione nell'àmbito di una coordinata strategia che garantisca il coerente sviluppo del processo di digitalizzazione. Le pubbliche amministrazioni, inoltre, provvedono in particolare a razionalizzare e semplificare i procedimenti amministrativi, le attività gestionali, i documenti, la modulistica, le modalità di accesso e di presentazione delle istanze da parte dei cittadini e delle imprese, assicurando che l'utilizzo delle tecnologie dell'informazione e della comunicazione avvenga in conformità alle prescrizioni tecnologiche definite nelle regole tecniche. Proseguendo nel richiamo della normativa, occorre indicare l'art. 40 del C.A.D., in base al quale le pubbliche amministrazioni formano gli originali dei propri documenti con mezzi informatici, secondo le disposizioni di cui al C.A.D. e le regole tecniche, mentre l'art. 41, disciplina il Procedimento e fascicolo informatico, prevedendo che le pubbliche amministrazioni gestiscono i procedimenti amministrativi utilizzando le tecnologie dell'informazione e della comunicazione, nei casi e nei modi previsti dalla normativa vigente. Il comma 2-bis prosegue stabilendo che il fascicolo informatico è realizzato garantendo la possibilità di essere direttamente consultato ed alimentato da tutte le amministrazioni coinvolte nel procedimento. Le regole per la costituzione, l'identificazione e l'utilizzo del fascicolo sono conformi ai principi di una corretta gestione documentale ed alla disciplina della formazione, gestione, conservazione e trasmissione del documento informatico, ivi comprese le regole concernenti il protocollo informatico ed il sistema pubblico di connettività e comunque 121 rispettando i criteri dell'interoperabilità e della cooperazione applicativa; regole tecniche specifiche possono essere dettate 168. Infine, non si può non menzionare l'art. 42, sulla Dematerializzazione dei documenti delle pubbliche amministrazioni, le quali valutano in termini di rapporto tra costi e benefici il recupero su supporto informatico dei documenti e degli atti cartacei dei quali sia obbligatoria o opportuna la conservazione e provvedono alla predisposizione dei conseguenti piani di sostituzione degli archivi cartacei con archivi informatici, nel rispetto delle regole tecniche. Nel suddetto ambito, poi, ricoprono un ruolo molto importante anche l'art. 43 C.A.D. sulla riproduzione e conservazione dei documenti, e l'art. 47 C.A.D. sulla trasmissione dei documenti attraverso la posta elettronica tra le P.A. In tale modo, opportunamente reingegnerizzato, il processo di gestione documentale da parte delle Pubbliche amministrazioni, sia in entrata che in uscita, può in concreto diventare interamente digitale, dando vita ad un vero e proprio Workflow Management System169. 2.7.1 Sistema di conservazione digitale dei documenti informatici Per sistema di conservazione si intende quell‟infrastruttura che garantisce attraverso l‟adozione di precise regole, procedure e tecnologie, dalla presa in carico fino all‟eventuale scarto, la conservazione dei documenti informatici, dei documenti amministrativi informatici e dei fascicoli informatici o delle aggregazioni di dati informatiche. Tale sistema, oltre alle misure previste dall‟art. 44 del CAD, indicanti i requisiti che il sistema di conservazione dei documenti deve assicurare in materia di identificazione dei soggetti, integrità dei documenti, reperibilità dei dati e sicurezza, deve consentire l‟accesso 168 2-ter. Il fascicolo informatico reca l'indicazione: a) dell'amministrazione titolare del procedimento, che cura la costituzione e la gestione del fascicolo medesimo; b) delle altre amministrazioni partecipanti; c) del responsabile del procedimento; d) dell'oggetto del procedimento; e) dell'elenco dei documenti contenuti, salvo quanto disposto dal comma 2-quater ; e-bis) dell'identificativo del fascicolo medesimo. 2-quater. Il fascicolo informatico puo contenere aree a cui hanno accesso solo l'amministrazione titolare e gli altri soggetti da essa individuati; esso è formato in modo da garantire la corretta collocazione, la facile reperibilita e la collegabilita, in relazione al contenuto ed alle finalita, dei singoli documenti; e inoltre costituito in modo da garantire l'esercizio in via telematica dei diritti previsti dalla citata legge n. 241 del 1990. 3. Ai sensi degli articoli da 14 a 14-quinquies della legge 7 agosto 1990, n. 241, previo accordo tra le amministrazioni coinvolte, la conferenza dei servizi e convocata e svolta avvalendosi degli strumenti informatici disponibili, secondo i tempi e le modalita stabiliti dalle amministrazioni medesime. 169 Un Workflow Management System è un sistema che permette di definire, creare e gestire l‟esecuzione di workflow (ossia la definizione formale di un processo, utilizzata per la gestione di particolari attività ) attraverso l‟utilizzo di software in esecuzione all‟interno di uno o più motori di workflow. Normalmente, un WFMS è un componente software che prende in input la descrizione formale del processo di business e mantiene lo stato di esecuzione delegando le attività alle applicazioni e/o persone necessarie al completamento dello stesso. 122 agli oggetti conservati per tutto il periodo indicato dalle norme, indipendentemente dall‟evoluzione del contesto tecnologico. Il DPCM 3 dicembre 2013 prevede che la conservazione dei documenti debba avvenire innanzitutto mediante l‟invio degli stessi ad un sistema di conservazione che garantisca le caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità. Passo successivo, per portare correttamente a termine il procedimento di conservazione, è l‟apposizione, sull‟insieme dei documenti, o su un‟evidenza informatica contenente una o più impronte dei documenti, o di un insieme di essi, del riferimento temporale e della firma digitale da parte del responsabile della conservazione che attesta così lo svolgimento corretto del processo. I Documenti amministrativi informatici devono essere conservati nel tempo in modalità esclusivamente digitale, nel rispetto degli articoli 40, 44 e 44-bis del Codice dell‟Amministrazione Digitale. Nel concreto, gli Enti dovranno assicurare che la conservazione avvenga perseguendo gli obiettivi di autenticità, integrità, affidabilità, leggibilità e reperibilità degli stessi. Dal punto di vista tecnico, le regole che presidiano il processo di conservazione sono dettate dal DPCM 3 dicembre 2013, che prevede le caratteristiche del sistema che ogni Amministrazione deve implementare. Il DPCM 21 marzo 2013 ha dettato la disciplina per i documenti analogici “originali unici”. Il decreto indica sia le tipologie di documenti analogici originali unici per i quali permane l‟obbligo della conservazione dell‟originale cartaceo (e per i quali, dunque, non è possibile procedere alla conservazione sostitutiva), sia le particolari tipologie per le quali, in ragione di esigenze di natura pubblicistica, permane l'obbligo della conservazione dell'originale analogico oppure, in caso di conservazione sostitutiva, la necessità di autenticare la conformità all'originale ad opera di un notaio o di un altro pubblico ufficiale a ciò autorizzato, con dichiarazione da questi firmata digitalmente ed allegata al documento informatico ai sensi dell'art. 22, comma 5, del Codice dell'amministrazione digitale. Gli Enti hanno comunque la la facoltà di conservare, in originale analogico unico, documenti diversi da quelli stabiliti dal decreto. Con il D.P.C.M. 21.03.2013 il legislatore, in ottemperanza all‟art. 22 comma 5 del CAD, ha individuato le tipologie di documenti analogici originali unici per i quali, in ragione di esigenze di natura pubblicistica, permane l'obbligo della conservazione dell'originale 123 cartaceo oppure, in caso di conservazione sostitutiva, la loro conformità all'originale deve essere autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato con dichiarazione da questi apposta e firmata digitalmente. Il decreto, all‟allegato A, prevede un‟elencazione tassativa di tali documenti. A titolo esemplificativo, tra i documenti da conservare obbligatoriamente in originale cartaceo rientrano gli atti giudiziari, processuali o di polizia giudiziaria e gli atti notarili. Possono, invece, essere conservati digitalmente distruggendo l‟originale analogico documenti come i decreti del Presidente del Consiglio dei Ministri, decreti ministeriali, interministeriali e i titoli del debito pubblico. Resta ferma, in ogni caso, la facoltà delle Amministrazioni di conservare, in originale analogico unico, documenti diversi da quelli stabiliti dal decreto. Tuttavia, atteso che il processo di conservazione deve essere svolto in modalità esclusivamente digitale, la conservazione anche in forma cartacea dei documenti originali unici per i quali non sussiste l‟obbligo, comporterebbe solamente un aggravio di costi e oneri che, auspicabilmente dovrebbero essere evitati. Così come previsto dall‟art. 44 del CAD e dal DPCM 3 dicembre 2013, le pubbliche amministrazioni possono gestire il processo di conservazione sostitutiva sia internamente che affidando lo stesso a soggetti pubblici o privati che offrano idonee garanzie organizzative e tecnologiche. In particolare, il responsabile della conservazione può chiedere che la conservazione dei documenti informatici o la certificazione della conformità del relativo processo di conservazione sia svolta da soggetti accreditati o meno. Questi ultimi (i c.d. conservatori accreditati) sono soggetti pubblici o privati che ottengono uno specifico riconoscimento (l‟accreditamento) dei requisiti summenzionati ad opera dell‟Agenzia per l‟Italia Digitale in seguito ad un‟apposita richiesta. I conservatori non accreditati sono soggetti pubblici o privati che offrono idonee garanzie organizzative e tecnologiche. Nel caso in cui si opti, come spesso accade, per conservatori non accreditati, il responsabile dovrà verificare, prima dell‟affidamento, che l‟operatore prescelto possieda tutti i requisiti tecnici necessari alla corretta erogazione del servizio di conservazione. La figura principale da nominare è certamente quella del responsabile della conservazione. 124 Tale soggetto è responsabile della definizione e attuazione delle politiche del sistema di conservazione che gestisce in piena autonomia. Secondo quanto disposto dalle regole tecniche cui al DPCM 3 dicembre 2013, la figura del responsabile della conservazione può essere svolta da un dirigente o da un funzionario a ciò designato. Sarà poi necessario nominare un responsabile della sicurezza che, di concerto col responsabile della conservazione, provvederà a predisporre, all‟interno del piano generale della sicurezza, il piano di sicurezza del sistema di conservazione. È importante sottolineare che a norma dell‟art. 7, comma 4, del DPCM 3 dicembre 2013, il ruolo di responsabile della conservazione può essere svolto dal responsabile della gestione documentale. Una Pubblica Amministrazione al fine di garantire la sicurezza del sistema di conservazione dovrà prevedere, per mezzo del responsabile della sicurezza di concerto con il responsabile della conservazione, la redazione di un piano di sicurezza del sistema di conservazione, nel rispetto delle misure previste dagli artt. da 31 a 36 del D.Lgs. n. 196/2003 (codice in materia di protezione dei dati personali) e dal disciplinare tecnico cui all‟allegato B allo stesso decreto. Più in dettaglio, è necessario che sia redatto un piano che disciplini le procedure di sicurezza del sistema di conservazione al fine di ridurre al minimo i rischi di: distruzione e perdita accidentale dei dati, accesso non autorizzato, trattamento dati non consentito dalla legge, trattamento non conforme alle finalità. Il piano dovrà, altresì, essere coerente con le disposizioni in tema di continuità operativa e disaster recovery, nonché con quelle in materia di sicurezza dei dati delle P.P.A.A., dettate rispettivamente dagli artt. 50 e 51 del Codice dell‟Amministrazione Digitale. In particolare, il piano di continuità operativa ha lo scopo di fissare gli obiettivi e i principi da perseguire e descrivere le procedure per la gestione delle operazioni indispensabili per il servizio e il ritorno alla normale operatività dei sistemi. Il piano di disaster recovery, parte integrante di quello di continuità operativa, stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. 125 2.7.2 Manuale di conservazione digitale Il manuale di conservazione deve necessariamente illustrare l‟organizzazione, i soggetti coinvolti e i ruoli svolti dagli stessi, il modello di funzionamento, la descrizione del processo, la descrizione delle architetture e delle infrastrutture utilizzate, le misure di sicurezza adottate ed ogni altra informazione utile alla gestione e alla verifica del funzionamento, nel tempo, del sistema di conservazione. Il documento, a norma dall‟art. 8, comma 2 delle regole tecniche in materia di conservazione cui al DPCM 3 dicembre 2013, deve quanto meno riportare: a) i dati dei soggetti che nel tempo hanno assunto la responsabilità del sistema di conservazione, descrivendo in modo puntuale, in caso di delega, i soggetti, le funzioni e gli ambiti oggetto della delega stessa; b) la struttura organizzativa comprensiva delle funzioni, delle responsabilità e degli obblighi dei diversi soggetti che intervengono nel processo di conservazione; c) la descrizione delle tipologie degli oggetti sottoposti a conservazione, comprensiva dell‟indicazione dei formati gestiti, dei metadati da associare alle diverse tipologie di documenti e delle eventuali eccezioni; d) la descrizione delle modalità di presa in carico di uno o più pacchetti di versamento, comprensiva della predisposizione del rapporto di versamento; e) la descrizione del processo di conservazione e del trattamento dei pacchetti di archiviazione; f) la modalità di svolgimento del processo di esibizione e di esportazione dal sistema di conservazione con la produzione del pacchetto di distribuzione; g) la descrizione del sistema di conservazione, comprensivo di tutte le componenti tecnologiche, fisiche e logiche, opportunamente documentate e delle procedure di gestione e di evoluzione delle medesime; h) la descrizione delle procedure di monitoraggio della funzionalità del sistema di conservazione e delle verifiche sull‟integrità degli archivi con l‟evidenza delle soluzioni adottate in caso di anomalie; i) la descrizione delle procedure per la produzione di duplicati o copie; 126 j) i tempi entro i quali le diverse tipologie di documenti devono essere scartate ovvero trasferite in conservazione, ove, nel caso delle pubbliche amministrazioni, non già presenti nel manuale di gestione; k) le modalità con cui viene richiesta la presenza di un pubblico ufficiale, indicando anche quali sono i casi per i quali è previsto il suo intervento; l) le normative in vigore nei luoghi dove sono conservati i documenti. 2.8. Continuità operativa ed interoperabilità Sarà utile anzitutto chiarire che i concetti di continuità operativa ed interoperabilità rappresentano gli elementi portanti di un eGovernement maturo in quanto valorizzano il dialogo e l‟interazione fra enti pubblici ed istituzioni, al fine di semplificare e rendere più efficiente l‟operato amministrativo, garantendo servizi di qualità ai cittadini170. La società ed il mondo in cui viviamo stanno assumendo sempre più le sembianze di un sistema globale in cui ogni elemento, per funzionare al meglio, necessita di informazioni che deve attingere da altri sistemi. Per agevolare tale dialogo, è necessario che i diversi elementi del sistema interscambino fra loro le informazioni. Se poi pensiamo alla Pubblica Amministrazione come uno strumento al servizio dei propri utenti, è ovvio che le tematiche di interoperabilità e di cooperazione applicativa divengono il presupposto fondamentale per una PA unitaria che, al di là della sua articolazione interna, si presenta al cittadino in maniera integrata. Sempre a favore di un più costruttivo interscambio di dati tra le stesse ed i cittadini, va detto che da diversi anni è in corso nel nostro Paese una politica di semplificazione e snellimento dei processi amministrativi, volta ad eliminare quanto più possibile gli obblighi di certificazione da parte delle amministrazioni pubbliche. Tale politica si basa sulla necessaria applicazione delle moderne tecnologie ICT in ambito burocratico, giungendo a riconoscere in capo al cittadino un vero e proprio diritto alla decertificazione, alleggerendolo dall‟onere di esibizione della documentazione già in possesso della PA. 170 L. De Pietro (a cura di ), Dieci lezioni per capire e attuare l’e-governement, Venezia, Marsilio, 2011, p.72 127 A livello concettuale, il distinguo fra interoperabilità e cooperazione applicativa esiste soltanto in Italia; le definizioni normative sono oggi contenute nell'art. 1 co. 1 del C.A.D. alle lett. : dd) interoperabilità: caratteristica di un sistema informativo, le cui interfacce sono pubbliche e aperte, di interagire in maniera automatica con altri sistemi informativi per lo scambio di informazioni e l'erogazione di servizi; ee) cooperazione applicativa: la parte del Sistema Pubblico di Connettività finalizzata all'interazione tra i sistemi informatici dei soggetti partecipanti, per garantire l'integrazione dei metadati, delle informazioni, dei processi e procedimenti amministrativi. Nel linguaggio internazionale, in effetti, si parla di “interoperability frame work” (letteralmente "contesto di interoperabilità"), espressione comprendente entrambi i concetti su menzionati. La definizione di continuità operativa è racchiusa nel Glossario delle Linee guida per il disaster recovery delle pubbliche amministrazioni, pubblicate dal DigitPa in “Gazzetta Ufficiale”n. 295 del 20 dicembre 2011, ai sensi del comma 3, lett. b dell‟art.50 bis171 del CAD: “ L‟insieme delle attività e delle politiche adottate per ottemperare all‟obbligo di assicurare la continuità nel funzionamento dell‟organizzazione”. Più tecnicamente, con il termine interoperabilità si intende la capacità di un sistema o di un prodotto informatico – la cui interfaccia è completamente dichiarata, ossia priva di parti di codice celato - di cooperare e di scambiare informazioni o servizi con altri sistemi o prodotti in maniera più o meno completa e priva di errori, con affidabilità e con ottimizzazione delle risorse172. Essa attiene a tutto ciò che afferisce alla possibilità di far colloquiare parti di sistema o sistemi diversi, secondo standard tecnologici definiti. Va precisato che il concetto di continuità operativa attiene all‟intera funzionalità di un‟organizzazione, non potendosi ritenere limitato al solo ambito informatico. È in quest‟ottica che la continuità operativa arriva a ricomprendere sia gli aspetti logici, organizzativi, comunicativi e logistici che consentono la prosecuzione delle funzionalità di 171 172 Ora abrogato dal D. L.vo 179/16. Ivi, p.73. 128 un‟organizzazione ma anche la continuità tecnologica, che riguarda l‟intera infrastruttura informatica e telecomunicativa, conosciuta anche come disaster recovery. Esemplificando, pensiamo ad una situazione standard nella quale un cittadino è chiamato a relazionarsi con la pubblica amministrazione: la nascita di un figlio e l‟avvio del processo di riconoscimento da parte dello Stato. Grazie all‟interoperabilità (ma anche alla cooperazione applicativa) tra gli enti, tale percorso di riconoscimento potrebbe risultare molto più snello e semplificato. Per il genitore, in effetti, sarà sufficiente recarsi presso il Comune del luogo di nascita del figlio per ottenere la dichiarazione di nascita e l‟iscrizione nell‟anagrafe e, dopodiché, tutte le comunicazioni successive, coinvolgenti i diversi uffici interessati (ad esempio, l‟Agenzia delle Entrate per il rilascio del codice fiscale, l‟Asl per la scelta del pediatra), potrebbero avvenire automaticamente mediante un sistema di notifiche direttamente a livello di sistemi informativi degli enti. Obiettivo dell'interoperabilità è, dunque, facilitare l'interazione fra sistemi eterogenei fra loro, attivando in maniera automatica dei processi elaborativi per lo scambio e il riutilizzo di informazioni a livello di applicazioni. Il termine interoperabilità è utilizzato in ambito tecnologico per indicare un elevato grado di sinergia di sistemi diversi al fine di offrire servizi o funzionalità nuove ed è direttamente legato alla ormai consolidata tendenza di far convergere su alcune tecnologie evolute una vasta gamma di servizi. Un esempio emblematico della potenza dell‟interoperabilità potrebbe essere Internet: grazie alla sua architettura aperta, miliardi di persone in tutto il mondo possono sfruttare i dispositivi e le applicazioni interoperabili. Quando, invece, si fa riferimento alla cooperazione applicativa, il focus si sposta dal “come” può avvenire un dialogo informatico fra pubbliche amministrazioni (piattaforme, standard, regole ecc.) al “cosa”, ossia all‟ oggetto del dialogo stesso (l‟ambito applicativo ed il processo di erogazione di un servizio che viene interessato, il servizio di cooperazione applicativa che viene sviluppato, ecc. )173. La cooperazione applicativa, infatti, rappresenta la capacità di uno o più sistemi informatici di avvalersi, ciascuno nella propria logica applicativa, dell‟interscambio meccanico di informazioni con gli altri sistemi, per soddisfare le proprie finalità applicative. 173 Ivi, p. 74. 129 In virtù dell‟applicazione di tale principio, l‟applicazione di un ente, durante l‟espletamento del suo processo elaborativo, può servirsi di una informazione elaborata da un‟altra applicazione. Esemplificando, un applicativo sanitario può richiedere i dati anagrafici di un assistito direttamente al programma di anagrafe civile del comune di residenza del cittadino. O ancora, per citare altri esempi, un applicativo per la gestione dei tributi locali può rintracciare automaticamente l‟informazione aggiornata delle imprese o del cittadino debitore di un tributo, avanzando una richiesta alla banca dati del Registro delle Imprese (se l‟informazione riguarda l‟impresa) o dell‟Anagrafe (se il dato si riferisce al cittadino). L‟interoperabilità e la cooperazione applicativa, dunque, assurgono ad elementi chiave in un modello di pubblica amministrazione collaborativa, efficiente ed orientata all‟utente finale per l‟erogazione di servizi qualitativamente alti e soddisfacenti. L‟interoperabilità agevola, infatti, il dialogo fra gli enti, in modo sicuro e affidabile e si prefigge come obiettivo la riduzione dei tempi e dei costi legati alle attività di richiesta e reperimento di dati e di informazioni ed il miglioramento della fornitura dei servizi pubblici ai cittadini e alle imprese, attraverso un‟esecuzione efficiente ed efficace dei servizi pubblici. Dalla cooperazione applicativa beneficiano sia gli enti fruitori dei dati che gli enti erogatori degli stessi poiché, ad esempio, questi ultimi risparmiano le attività manuali di risposta a richieste e notifica di dati prima eseguite. Ovviamente, interoperabilità e cooperazione applicativa si traducono in un incremento della qualità dei servizi percepita dagli utenti e legata alla semplificazione stessa del processo. Ciò accade perché, ad esempio, gli utenti fruitori del servizio non sono più gravati dal presentare autocertificazioni ed altri documenti da produrre, in quanto i dati richiesti per completare una pratica vengono direttamente richiesti dall‟amministrazione ai vari enti competenti in maniera automatica, liberando l‟utente da disagi ed oneri. 2.9. Condivisione e riuso del software 130 Come si è già avuto modo di vedere, le Pubbliche Amministrazioni hanno l'obbligo giuridico di organizzarsi in modo da tendere alla completa digitalizzazione nello svolgimento delle funzioni istituzionali. Affinchè ciò sia possibile, le stesse P.A. devono dotarsi di appositi programmi informatici. Il C.A.D. dedica un intero Capo, il VI, allo Sviluppo, acquisizione e riuso di sistemi informatici nelle pubbliche amministrazioni. Il Capo, dopo le modifiche introdotte con il D. L.vo 179/16, si apre con l'art. 68, rubricato “Analisi comparativa delle soluzioni”, il quale stabilisce che le pubbliche amministrazioni (tutte le PP.AA.) acquisiscono programmi informatici o parti di essi nel rispetto dei principi di economicita e di efficienza, tutela degli investimenti, riuso e neutralita tecnologica, a seguito di una valutazione comparativa di tipo tecnico ed economico; al contempo, concede loro la possibilità di scegliere alle seguenti soluzioni disponibili sul mercato: a) software sviluppato per conto della pubblica amministrazione; b) riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione; c) software libero o a codice sorgente aperto; d) software fruibile in modalità cloud computing; e) software di tipo proprietario mediante ricorso a licenza d'uso; f) software combinazione delle precedenti soluzioni. A tal fine, le pubbliche amministrazioni prima di procedere all'acquisto, secondo le procedure di cui al codice di cui al Codice degli Appalti174, effettuano una valutazione comparativa delle diverse soluzioni disponibili sulla base dei seguenti criteri: a) costo complessivo del programma o soluzione quale costo di acquisto, di implementazione, di mantenimento e supporto; b) livello di utilizzo di formati di dati e di interfacce di tipo aperto nonche di standard in grado di assicurare l'interoperabilita e la cooperazione applicativa tra i diversi sistemi informatici della pubblica amministrazione; c) garanzie del fornitore in materia di livelli di sicurezza,conformita alla normativa in materia di protezione dei dati personali, livelli di servizio tenuto conto della tipologia di software acquisito. 174 Già Decreto legislativo 12 aprile 2006 n. 163, ora D. L.vo 18 aprile 2016 n. 50. 131 Nel caso in cui dalla suddetta valutazione comparativa di tipo tecnico ed economico, risulti motivatamente l'impossibilita di accedere a soluzioni già disponibili all'interno della pubblica amministrazione, o a software liberi o a codici sorgente aperto, adeguati alle esigenze da soddisfare, è consentita l'acquisizione di programmi informatici di tipo proprietario mediante ricorso a licenza d'uso. La valutazione di cui sopra è effettuata secondo le modalita e i criteri definiti dall'Agenzia per l'Italia digitale, che, a richiesta di soggetti interessati, esprime altresi parere circa il loro rispetto. Il comma 2 impone alle pubbliche amministrazioni nella predisposizione o nell'acquisizione dei programmi informatici, l'adozione di soluzioni informatiche, quando possibile modulari, che assicurino l'interoperabilita e la cooperazione applicativa e consentano la rappresentazione dei dati e documenti in più formati, di cui almeno uno di tipo aperto, salvo che ricorrano motivate ed eccezionali esigenze. Una delle modalità più appetibili è disciplinata dall'art. 69, rubricato “Riuso dei programmi informatici e standard aperti”; in base a tale articolo, Le pubbliche amministrazioni che siano titolari di soluzioni e programmi informatici realizzati su specifiche indicazioni del committente pubblico, hanno l'obbligo di rendere disponibile il relativo codice sorgente, completo della documentazione e rilasciato in repertorio pubblico sotto licenza aperta, in uso gratuito ad altre pubbliche amministrazioni o ai soggetti giuridici che intendano adattarli alle proprie esigenze, salvo motivate ragioni di ordine e sicurezza pubblica, difesa nazionale e consultazioni elettorali. Secondo la definizione reperibile sul sito dell'AgID, per "riuso di programmi informatici o parti di essi" si intende la possibilità per una pubblica amministrazione di riutilizzare gratuitamente programmi informatici o parti di essi, sviluppati per conto e a spese di un‟altra amministrazione adattandoli alle proprie esigenze. Al fine di favorire il riuso dei programmi informatici di proprieta delle pubbliche amministrazioni, il comma 2 stabilisce che nei capitolati o nelle specifiche di progetto venga previsto, ove possibile, che i programmi ed i servizi ICT appositamente sviluppati per conto e a spese dell'amministrazione siano conformi alle specifiche tecniche di SPC definite da AgID. 132 Le pubbliche amministrazioni inseriscono, poi, nei contratti per l'acquisizione di programmi informatici o di singoli moduli, clausole che garantiscano il diritto di disporre dei programmi ai fini del riuso da parte della medesima o di altre amministrazioni. Nei contratti di acquisizione di programmi informatici sviluppati per conto e a spese delle amministrazioni, invece, le stesse possono includere clausole, concordate con il fornitore, che tengano conto delle caratteristiche economiche ed organizzative di quest'ultimo, volte a vincolarlo, per un determinato lasso di tempo, a fornire, su richiesta di altre amministrazioni, servizi che consentono il riuso dei programmi o dei singoli moduli. Le clausole suddette definiscono le condizioni da osservare per la prestazione dei servizi indicati. L'art. 70 C.A.D. prevede l'istituzione di uno strumento di raccolta e messa a disposizione, attraverso una apposita banca dati, dei programmi informatici riutilizzabili. Le pubbliche amministrazioni centrali che intendono acquisire programmi applicativi valutano preventivamente la possibilita di riuso delle applicazioni analoghe rese note dal DigitPA (oggi AgID), motivandone l'eventuale mancata adozione. Il catalogo nazionale dei programmi informatici riutilizzabili è reperibile sul sito web dell'AgID175. Ovviamente, perchè l'alimentazione e la consultazione della suddetta banca dati siano efficaci e spingano le amministrazioni ad attingere dalla stessa per le loro esigenze, è fondamentale il ruolo dell'organo tecnico. Con le linee guida per l'Inserimento ed il riuso di programmi informatici o parti di essi pubblicati nella “banca dati dei programmi informatici riutilizzabili” del DigitPA (oggi AgID)176, quindi, si è fornito alle PP.AA. uno strumento molto utile per incentivare la pratica del riuso e favorire la riduzione dei costi di acquisto di prodotti e servizi in ambito ICT nella pubblica amministrazione e la disponibilita di software di qualita. Le linee guida contengono una Check List destinata a valutare l‟idoneità al riuso degli oggetti e la determinazione dell‟Indice di riusabilità, forniscono modelli di accordi per l'uso e la cessione dei programmi da una P.A. ad un'altra, i passi da seguire per inserire nella banca dati i software da condividere e per ottenere il riuso dei programmi ivi inseriti. 175 http://www.agid.gov.it/catalogo-nazionale-programmi-riusabili consultato nel mese di dicembre 2016. 176 http://www.agid.gov.it/sites/default/files/linee_guida/linee-guida-riuso-12-04-2012-rev_23-07-2012.pdf mese di dicembre 2016. 133 consultato nel Esse chiariscono che il riuso di un programma informatico o parte di esso (anche definito “Oggetto”) di un‟amministrazione cedente e il ri-utilizzo del medesimo in un contesto diverso da quello per il quale e stato originariamente realizzato, al fine di soddisfare esigenze simili o anche solo parzialmente simili a quelle che portarono al suo primo sviluppo. Lo scenario sopra rappresentato, non indicando vincoli alle modalita di riuso, ovvero alle modalita di utilizzo dell‟Oggetto all‟interno del contesto dell‟utilizzatore, consente di identificare diverse modalita di riuso: - Riuso in cessione semplice: semplice cessione di un applicativo da un‟amministrazione ad un‟altra; - Riuso con gestione a carico del cedente: oltre a cedere l‟applicativo, l‟amministrazione proprietaria del software si fa carico della manutenzione dello stesso; - Riuso in facility management: oltre che della manutenzione del software, l‟amministrazione cedente si fa carico della predisposizione e gestione dell‟ambiente di esercizio per l‟amministrazione che effettua il riuso; - Riuso in ASP: è una variante del caso precedente in cui un soggetto terzo, (amministrazione cedente o utilizzatrice o fornitore selezionato nel rispetto delle norme vigenti) si fa carico della manutenzione e dell‟esercizio del software per più amministrazioni, che riconoscono il corrispettivo in relazione al servizio ricevuto attraverso un accordo/contratto quadro all‟uopo predisposto. Altrettanto importante, anche in considerazione degli aggiornamenti allo stato dell'arte, è la già citata Circolare AgID n. 68 del 6.12.2013, la quale ha lo scopo di illustrare, attraverso l‟esposizione di un percorso metodologico e di una serie di esempi, le modalità e i criteri per l‟effettuazione della valutazione comparativa delle soluzioni prevista dal Codice per l‟Amministrazione Digitale all‟art. 68. La circolare, sotto forma di Linee guida, è strutturata in capitoli; dopo una Premessa, comprendente un resoconto delle attivita svolte dal Tavolo di lavoro incaricato della composizione delle Linee guida, viene descritto il Contesto di riferimento, riportante l‟ambito di applicazione delle Linee guida e un quadro generale della metodologia proposta, vengono quindi elencate le varieFasi della metodologia, ove si descrivono in dettaglio i passi da seguire per la valutazione comparativa. 134 Un apposito capitolo tratta gli Aspetti giuridici, ove si forniscono informazioni su alcune tipologie di licenze d‟uso ed elementi per la redazione degli atti del procedimento di acquisizione, mentre l'Appendice, comprendente la bibliografia, il glossario e i principali riferimenti normativi. 2.10. SPC e RIPA. Il Sistema Pubblico di Connettività (SPC) è stato introdotto nel nostro ordinamento con il Decreto Legislativo, 28 febbraio 2005, n. 42177, al fine di realizzare un sistema complesso di interoperabilità tra le reti delle diverse pubbliche amministrazioni, per l‟erogazione telematica di servizi e per la condivisione di dati e risorse informative. Esso rappresenta il risultato finale di un più generale processo d‟informatizzazione iniziato negli anni ‟90 con la progettazione di una Rete Unitaria della Pubblica Amministrazione (RUPA), resa operativa solo nel 2000 e solo tra PA centrali, rivelatasi fallimentare principalmente a causa dell‟arretratezza organizzativa, tecnologica e culturale delle amministrazioni italiane. Con il SPC il Legislatore ha, quindi, compiuto un altro passo importante verso la completa digitalizzazione della pubblica amministrazione, prevedendo un‟infrastruttura telematica in grado di consentire lo scambio di informazioni digitali tra PA centrali e locali, oltre che tra le stesse e i cittadini. E ciò anche in applicazione dei principi generali del Codice dell‟Amministrazione Digitale, il quale, all‟art. 3, comma 1, così come novellato nel 2016178, garantisce a chiunque (e non più solo a cittadini e imprese) il diritto ad usare le soluzioni e gli strumenti del codice nelle comunicazioni con le pubbliche amministrazioni, complessivamente intese, e con i gestori di pubblici servizi. In particolare, nel riformato articolo 73, comma 1, del CAD, il SPC è definito come l‟ “insieme di infrastrutture tecnologiche e di regole tecniche che assicura l’interoperabilità tra i sistemi informativi delle pubbliche amministrazioni, permette il coordinamento informativo e informatico dei dati tra le amministrazioni centrali, regionali e locali e tra queste e i sistemi dell’Unione europea ed è aperto all’adesione da parte dei gestori di servizi pubblici e dei soggetti privati”. 177 178 Successivamente, con il D.lgs 159/06, il D.l. 42 del 2005 è confluito nel CAD. La novella legislativa di riferimento è il D.lgs. del 26 agosto 2016 n. 179. 135 Tale strumento di interoperabilità e connessione tra PA e cittadini e tra le stesse PPAA, come già anticipato, è stato ampiamente modificato dal recente intervento del legislatore nazionale, il quale ha abrogato numerose disposizioni del CAD ad esso previamente dedicate. La novità maggiormente significativa è data dalla possibilità di adesione al SPC concessa anche ai soggetti privati e non più solo alle PPAA o ai gestori di pubblici servizi. Inoltre, in linea con la tendenza a rendere lo strumento in questione maggiormente fruibile, si pone la nuova formulazione del comma 2 dell‟art. 75 CAD. Oggi, infatti, il CAD prevede che chiunque possa partecipare al SPC nel rispetto delle regole tecniche di cui all‟articolo 73, comma 3-quater. Resta ferma, come unica limitazione, l‟esclusione, nell‟ambito delle PA, di quelle che svolgono funzioni di ordine e sicurezza pubblica, difesa nazionale e consultazioni elettorali179. Il SPC è divenuto operativo a partire dal dicembre 2007; tuttavia, gli ostacoli da superare al fine di garantire un pieno e perfetto funzionamento del sistema sono stati vari e graduali, anche in considerazione del fatto che, al momento di introduzione del suddetto processo di interscambio, le molteplici amministrazioni presenti sul territorio italiano operavano con piattaforme informatiche e telematiche difformi e, talvolta, incompatibili tra loro, al punto da non essere in grado di accedere e lavorare sulle stesse Reti. Il processo d‟informatizzazione degli uffici pubblici è stato, pertanto, compiuto in vista del raggiungimento di due obiettivi cardine: 1) l‟interconnessione, ovvero la capacità di due o più sistemi informativi diversi di colloquiare tra loro attraverso reti telematiche; 2) l‟interoperabilità, ovvero la capacità di due o più sistemi informativi di scambiare documenti, flussi di dati o informazioni. A ciò si aggiunga lo storico argomento del c.d. digital divide, ovvero il divario esistente tra le varie fasce della popolazione italiana in merito ai processi di alfabetizzazione informatica, sia esso per disomogenei livelli d‟istruzione ovvero per questioni anagrafiche. Anche la suddetta tematica è stata oggetto di attenzione nazionale; ne è prova la recente riformulazione dell‟art. 8 del CAD il quale oggi prevede che “lo Stato e i soggetti di cui all’articolo 2, comma 2, promuovono iniziative volte a favorire la diffusione della cultura digitale tra i 179 Tale previsione è oggi contenuta nel comma 1 dell‟art. 75 CAD. 136 cittadini con particolare riguardo ai minori e alle categorie a rischio di esclusione, anche al fine di favorire lo sviluppo di competenze di informatica giuridica e l’utilizzo dei servizi digitali delle pubbliche amministrazioni con azioni specifiche e concrete, avvalendosi di un insieme di mezzi diversi fra i quali il servizio radiotelevisivo”. Proprio per ovviare ai problemi scaturenti dalla mancanza di alfabetizzazione informatica il legislatore ha fornito linee guida e programmi in grado di avvicinare la popolazione e gli uffici al SPC; invero, il nuovo comma 3 dell‟art. 75 del CAD prevede che “AgID rende gratuitamente disponibili specifiche delle interfacce tecnologiche, le linee guida, le regole di cooperazione e ogni altra informazione necessaria a garantire l'interoperabilità del SPC con ogni soluzione informatica sviluppata autonomamente da privati o da altre amministrazioni che rispettano le regole definite ai sensi dell’articolo 73, comma 3-quater”. Non da ultimo, è evidente che un altro scoglio che i tecnici hanno dovuto superare concerneva la sicurezza dei dati scambiati: invero, il sistema non può prescindere dal garantire la riservatezza e la salvaguardia dei flussi informativi che viaggiano tra PA e cittadini, preservando i dati da eventuali ingerenze esterne o da abusi di informazioni. A tal proposito, il legislatore ha inserito, a seguito della novella del 2016, un‟apposita disposizione, di cui al comma 2 dell‟art 73 CAD, in forza della quale il SPC deve garantire la sicurezza e la riservatezza delle informazioni, nonché la salvaguardia e l‟autonomia del patrimonio informativo di ciascun soggetto aderente. Quanto sin qui detto mette in luce la complessità dell‟operazione e il grande lavoro tecnico e organizzativo che richiede un sistema pubblico di connettività efficiente e sicuro. Tuttavia, i benefici che esso apporta all‟economia e alla governance non sono certo di poco conto; basti pensare che l‟utilizzo del SPC permette di velocizzare tutte le procedure amministrative, consentendo al cittadino di ottenere risposte certe in tempi rapidi, per non parlare poi dell‟ottimizzazione nell‟uso di risorse e tempo con riferimento all‟interazione tra PA distanti geograficamente tra loro, le quali potranno procedere allo scambio di documenti informatici semplicemente inserendoli in Rete. Ad oggi, anche in considerazione dell‟assetto amministrativo attuale, che comporta la ripartizione della gestione pubblica tra le varie articolazioni territoriali, gli enti locali assumono prevalentemente il ruolo di front-office, mentre le amministrazioni centrali 137 svolgeranno la funzione di back-office 180 , cui gli enti locali faranno accesso per recuperare i dati contenuti negli archivi informatici. Un dato formale di considerevole portata è rappresentato dal riconoscimento, riservato al documento telematico circolato tramite il sistema, della piena validità legale; invero, secondo quanto stabilito nell‟attuale art. 76 CAD, “gli scambi di documenti informatici nell’ambito del SPC, realizzati attraverso la cooperazione applicativa e nel rispetto delle relative procedure e regole tecniche di sicurezza, costituiscono invio documentale valido a ogni effetto di legge”. Viene così sancita la piena equiparabilità tra documento cartaceo e documento informatico rilasciato da una PA, seppur subordinata alla condizione che siano state osservate le apposite regole tecniche e di sicurezza. Un‟altra novità apportata dalla novella del 2016 è costituita dall‟abrogazione dell‟art. 79 del CAD, il quale prevedeva l‟istituzione di una apposita Commissione, preposta ad attuare e verificare gli indirizzi strategici, l‟evoluzione del modello organizzativo, il funzionamento generale del sistema, nonché il rispetto di alti standard di sicurezza nel trasferimento di dati e file. Tale figura era stata creata come organo di controllo e coordinamento, necessario per gestire un sistema complesso ed assicurare la qualità e la sicurezza dei servizi erogati. Oggi, invece, nella gestione pratica e nella risoluzione dei problemi che di volta in volta vengono concretamente riscontrati, un ruolo fondamentale è ancora svolto dall‟AgID181, le cui competenze e i cui poteri di intervento sono stati ampiamente e analiticamente definiti all‟interno del nuovo art. 14bis del CAD. A conferma di ciò, la stessa AgID aveva già in passato previsto d‟investire come budget previsionale 2014-2020, per la progettazione, realizzazione, gestione ed evoluzione del SPC circa 1,95 miliardi di euro. Da giugno 2016 Tiscali, BT Italia e Vodafone Italia sono diventati i fornitori di connettività per la pubblica amministrazione italiana, essendosi aggiudicati la gara Consip182 del sistema pubblico di connettività. Il collegamento operativo tra infrastrutture che costituisce la base del Sistema pubblico di connettività era, poi, ulteriormente completato mediante la creazione della Rete Sul punto, E. Bellisario, La nuova pubblica Amministrazione Digitale. Guida al Codice dell’Amministrazione Digitale dopo la Legge n. 69/09, Santarcangelo di Romagna, Maggioli, 2009, p. 98. 181 Agenzia per l‟Italia Digitale. 182 Consip è una società in-house del Ministero dell‟Economia e delle Finanze; essa oggi è la centrale acquisti della PA italiana. 180 138 Internazionale delle Pubbliche Amministrazioni (RIPA), oggi non più disciplinata dal CAD a seguito delle modifiche dell‟agosto 2016. La RIPA era prevista all‟art. 74 CAD 183 , che così disponeva: “costituisce l’infrastruttura di connettività che collega, nel rispetto della normativa vigente, le pubbliche amministrazioni con gli uffici italiani all’estero, garantendo adeguati livelli di sicurezza e qualità”. Il suddetto strumento nasceva in stretta connessione con lo sviluppo del SPC, in quanto pensato per consentire il collegamento delle PA nazionali con gli uffici italiani all‟estero, garantendo sempre e comunque alti standard di sicurezza e affidabilità. In sostanza, la Rete Internazionale consentiva di ottenere all‟estero gli stessi servizi erogati in Italia mediante il SPC, andando così a completare la struttura complessa di interoperabilità interna 184. Sino ad oggi sono state coinvolte nella Rete Internazionale oltre 400 sedi, dislocate in 120 Paesi e appartenenti a varie diramazioni amministrative, quali il Ministero degli affari esteri, il Ministero della difesa e l‟Agenzia delle dogane 185. Grazie alla RIPA, negli anni, sono stati predisposti, attuati ed erogati servizi fondamentali per i cittadini residenti all‟estero; nello specifico, si vuol far riferimento al voto degli italiani residenti all‟estero, allo sportello unico per gli italiani che vivono in paesi stranieri, all‟anagrafe consolare centralizzata e al progetto dei visti. Nonostante l‟importante funzione svolta dalla suddetta Rete, il legislatore del 2016, in un‟ottica di semplificazione dei processi e degli strumenti, al fine di favorirne lo sviluppo e la concreta ed efficace attuazione, ha abrogato le disposizioni del CAD che disciplinavano la RIPA, prevedendo, però, che il SPC consenta il coordinamento informativo e informatico dei dati non solo tra le amministrazioni centrali, regionali e locali, ma anche tra queste e i sistemi dell‟Unione europea. Si è in tal modo concretamente realizzato quel processo d‟interazione e fruizione dislocata, anche sul piano internazionale, che era nelle intenzioni del Legislatore, senza per questo porre un freno allo sviluppo di ulteriori ambiziosi progetti in materia. Articolo inserito dall‟art. 30, comma 1, D.Lgs. 4 aprile 2006, n. 159. Al riguardo, in dottrina, cfr. E. Bellisario, La nuova pubblica Amministrazione Digitale, cit., p. 100, il quale precisa che “la RIPA non rappresenta quindi un’alternativa al SPC, ma (come chiarito dall’art. 85, comma 1, CAD) una rete interconnessa al Sistema Pubblico”. 185 I dati riportati sono stati rilevati sul sito dell‟Agid, all‟URL: http://www.agid.gov.it/infrastrutture-sicurezza/la-reteinternazionale-pa-ripa, consultato nel mese di ottobre 2015. 183 184 139 2.11. Diritto all’accessibilità informatica In base all‟art. 2 comma 1, lett. a, della Legge 9 gennaio 2004, n.4, Disposizioni per favorire l’accesso dei soggetti disabili agli strumenti informatici e ai sensi dell‟art. 1, comma 1, lett. a, del D.M 8 luglio 2005, Requisiti tecnici e i diversi livelli per l'accessibilità agli strumenti informatici per “accessibilità” si intende la capacità dei sistemi informatici, nelle forme e nei limiti consentiti dalle conoscenze tecnologiche, di erogare servizi e fornire informazioni fruibili, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari. Concetto strettamente connesso all‟accessibilità informatica è quello di “fruibilità”, di cui alla lett. q dello stesso articolo della Legge n. 4/2004: caratteristica dei servizi di rispondere a criteri di facilità e semplicità d‟uso, di efficienza, di rispondenza alle esigenze dell‟utente, di gradevolezza e di soddisfazione nell‟uso del prodotto. L‟accessibilità deve essere garantita a tutti gli strumenti informatici, per essi intendendosi non soltanto i siti web ma anche i pc di tipo desktop e portatili, i sistemi operativi, le applicazioni ed i prodotti a scaffale. Il citato D.M.8 luglio 2005 (Allegati A, C, D) stabilisce i requisiti minimi che questi strumenti devono possedere per garantire una piena accessibilità186; recentemente, con il D.M. 20 marzo 2013 del Ministro dell‟Istruzione, dell‟Università e della ricerca, tali requisiti sono stati ridotti a dodici187. Tuttavia, al 186 M.Mancarella, E-health e diritti. L’apporto dell’informatica giuridica, Roma, Carocci, 2013, p.277. 187 I nuovi requisiti tecnici di accessibilità per gli strumenti informatici sono: Requisito 1 - Alternative testuali: fornire alternative testuali per qualsiasi contenuto di natura non testuale in modo che il testo predisposto come alternativa possa essere fruito e trasformato secondo le necessità degli utenti, come per esempio convertito in stampa a caratteri ingranditi, in stampa Braille, letto da una sintesi vocale, simboli o altra modalità di rappresentazione del contenuto. Requisito 2 - Contenuti audio, contenuti video, animazioni:fornire alternative testuali equivalenti per le informazioni veicolate da formati audio, formati video, formati contenenti immagini animate (animazioni), formati multisensoriali in genere. Requisito 3 - Adattabile: creare contenuti che possano essere presentati in modalità differenti (ad esempio, con layout più semplici), senza perdita di informazioni o struttura. Requisito 4 - Distinguibile: rendere più semplice agli utenti la visione e l'ascolto dei contenuti, separando i contenuti in primo piano dallo sfondo. Requisito 5 - Accessibile da tastiera: rendere disponibili tutte le funzionalità anche tramite tastiera. Requisito 6 - Adeguata disponibilità di tempo: fornire all'utente tempo sufficiente per leggere ed utilizzare i contenuti. Requisito 7 - Crisi epilettiche: non sviluppare contenuti che possano causare crisi epilettiche. Requisito 8 - Navigabile: fornire all'utente funzionalità di supporto per navigare, trovare contenuti e determinare la propria posizione nel sito e nelle pagine. Requisito 9 - Leggibile: rendere leggibile e comprensibile il contenuto testuale. Requisito 10 - 140 ridimensionamento numerico non corrisponde un‟altrettanta diminuzione delle attività per chi deve verificare i requisiti. L‟accessibilità, dunque, così come definita dalla citata normativa, è da interpretarsi come una caratteristica propria dei sistemi informatici, pronti a manifestarsi facilmente fruibili da parte di chiunque, senza alcun tipo di discriminazione collegata agli strumenti utilizzati o alle eventuali limitazioni, fisiche o cognitive, da cui l‟utente può risultare affetto. Da sottolineare come l‟accessibilità, oltre a porsi come proprietà dei sistemi informatici, sia da intendersi, in primis, un diritto soggettivo riconosciuto ad ogni cittadino, così come stabilisce l‟art.1 della citata legge 4/2004: La Repubblica riconosce e tutela il diritto di ogni persona ad accedere a tutte le fonti di informazione e ai relativi servizi, ivi compresi quelli che si articolano attraverso gli strumenti informatici e telematici. È tutelato e garantito, in particolare, il diritto di accesso ai servizi informatici e telematici della pubblica amministrazione e ai servizi di pubblica utilità da parte delle persone disabili, in ottemperanza al principio di uguaglianza ai sensi dell’articolo 3 della Costituzione. A tal proposito, merita aggiungere che il diritto all‟accessibilità dei sistemi informatici pubblici garantito alle persone disabili non soltanto trova il suo fondamento nel principio di uguaglianza di cui all‟art. 3 della Costituzione ma si configura come un vero e proprio diritto sociale, integrando i principi in materia di diritti sociali dettati dalla legge 5 febbraio 1992, n. 104 Legge quadro per l’assistenza, l’integrazione sociale e i diritti delle persone handicappate188. A garanzia dell‟effettivo rispetto della legge 4/2004, fra l‟altro, è stata prevista la figura del Responsabile dell‟accessibilità informatica, al quale spetta assicurare il costante livello di accessibilità e fruibilità del sito; le gravose conseguenze per la pubblica amministrazione nel caso in cui non rispetti la normativa in esame nelle attività negoziali sono disciplinate dall‟art. 4 della citata legge. Circa l‟effettiva applicabilità della legge in esame, nelle Linee guida per i siti web della pubblica amministrazione del 2011 si evidenzia come a distanza di alcuni anni, i siti web della PA Prevedibile: creare pagine web che appaiano e che si comportino in maniera prevedibile. Requisito 11 - Assistenza nell'inserimento d dati e informazioni: aiutare l'utente ad evitare gli errori ed agevolarlo nella loro correzione. Requisito 12 - Compatibile: garantire la massima compatibilità con i programmi utente e con le tecnologie assistive. 188 M.Mancarella, E-health e diritti. L’apporto dell’informatica giuridica, cit., p.280. 141 italiana risultino ancora oggi accessibili in molti casi, non consentendo a tutti gli utenti un pieno accesso ai servizi erogati sul web. Infine, per il rilevante impatto che avrà, va segnalata l'approvazione della Risoluzione legislativa del Parlamento europeo del 26 ottobre 2016 relativa alla posizione del Consiglio in prima lettura in vista dell'adozione della direttiva del Parlamento europeo e del Consiglio, relativa proprio all'accessibilità dei siti web e delle applicazioni mobili degli enti pubblici. 2.12. Trasparenza online ed evoluzione del diritto di accesso La tendenza alla scarsa accessibilità web è in via di cambiamento: a conferma di ciò, il D.Lgs. 14 marzo 2013, n. 33 in tema di trasparenza e obblighi di pubblicazione online delle amministrazioni, sta costringendo queste ultime ad una applicazione più scrupolosa di tutte le norme in tema di creazione e gestione dei siti web. Il provvedimento, predisposto in attuazione dei principi e criteri di delega previsti dall‟articolo 1, comma 35, della Legge n. 190/2012 (c.d. “anti-corruzione”), riordina – in un unico corpo normativo – le numerose disposizioni legislative in materia di obblighi di informazione, trasparenza e pubblicità da parte delle pubbliche amministrazioni, susseguitesi nel tempo e sparse in testi normativi non sempre coerenti. Tuttavia, il decreto non si limita alla sola ricognizione e al coordinamento delle disposizioni vigenti ma modifica ed integra l‟attuale quadro normativo, prevedendo ulteriori obblighi di pubblicazione di dati ed ulteriori adempimenti. La trasparenza è intesa come “accessibilità totale” a mezzo web delle informazioni concernenti l’organizzazione e l’attività amministrativa e costituisce “livello essenziale” delle prestazioni che devono essere garantite su tutto il territorio nazionale (ai sensi dell‟art. 117, comma 2, lett. m), Costituzione). Principi, questi, espressi per la prima volta non nel 2013 ma nel 2009. Infatti, ai sensi dell‟art. 11, comma 1, del D.Lgs. 150/2009: la trasparenza è intesa come accessibilità totale, anche attraverso lo strumento della pubblicazione sui siti internet delle pubbliche amministrazioni, delle informazioni concernenti ogni aspetto dell’organizzazione delle pubbliche amministrazioni, degli indicatori relativi agli andamenti gestionali e all’utilizzo delle risorse per il perseguimento delle funzioni istituzionali, dei risultati dell’attività di misurazione e valutazione svolta 142 in proposito dagli organi competenti, allo scopo di favorire forme diffuse di controllo del rispetto dei princìpi di buon andamento e imparzialità. Definire la trasparenza “accessibilità totale” a mezzo dell‟ausilio web sottolinea, dunque, la centralità dell‟utente nell‟agire amministrativo: è il diritto del cittadino a far scaturire l‟obbligo delle amministrazioni di adeguarsi da un punto di vista sia organizzativo sia tecnologico, per soddisfare al meglio le esigenze dell‟utenza. In tal modo, l‟innovazione diventa strumento di misura del grado di soddisfazione dell‟utenza nei rapporti con l‟amministrazione. Numerosi gli adempimenti previsti per le Amministrazioni dal D.Lgs. n. 33/2013: ● il rispetto del diritto di accesso civico; ● l‟istituzione di un “Responsabile della trasparenza” in ogni Amministrazione (individuato tra i dirigenti amministrativi di ruolo di prima fascia in servizio); ● la rivisitazione della disciplina in materia di trasparenza sullo stato patrimoniale di politici e amministratori pubblici e sulle loro nomine; ● l‟obbligo di definire nella home page del sito istituzionale di ciascun Ente un‟apposita sezione denominata “Amministrazione trasparente” in cui, per almeno cinque anni, saranno pubblicati una serie rilevante di informazioni (dal “Programma per la trasparenza e l‟integrità” alla condizione reddituale dei componenti degli organi di indirizzo politico, dalle spese per il personale e le consulenze ai dati per i contratti stipulati). All‟obbligo di pubblicazione online delle Amministrazioni corrisponde un diritto del cittadino ad esigere tale pubblicazione: il diritto di “accesso civico”. Pertanto, con la locuzione “accesso civico” si intende il diritto, concesso a chiunque, di richiedere alle Pubbliche Amministrazioni la pubblicazione di documenti, informazioni o dati che la P.A. è tenuta a pubblicare, nei casi in cui sia stata omessa la loro pubblicazione. L‟istanza di accesso civico non deve essere motivata, è gratuita e va presentata al Responsabile della trasparenza dell'amministrazione obbligata alla pubblicazione. I documenti pubblicati nella sezione “Amministrazione Trasparente” devono essere pubblicati in formato aperto, ossia in un formato di cui viene resa pubblica, mediante esaustiva documentazione, la sintassi, la semantica, il contesto operativo e le modalità di utilizzo. Al fine di facilitare il compito degli Enti nella pubblicazione dei dati in formato 143 aperto, l‟Agenzia per l‟Italia Digitale ha redatto e pubblicato un repertorio di formati aperti contenente tutti i formati utilizzabili per la pubblicazione nella sezione “Amministrazione Trasparente”189. Più nello specifico, per quanto riguarda eventuali licenze dei dati rilasciati, l‟art. 7 del D.Lgs. n. 33/2013 prevede che la pubblicazione nella sezione “Amministrazione Trasparente” avvenga sotto la licenza prevista ai sensi degli artt. 52 e 68 de D.Lgs. n. 82/2005. Tale licenza deve essere di tipo aperto e deve consentire il riutilizzo delle informazioni anche per finalità lucrative. A titolo di esempio, pensiamo all‟utilizzo dei dati del trasporto pubblico locale, rilasciati in formato aperto da un Comune, per la creazione di un‟applicazione per smartphone che consenta di conoscere gli orari degli autobus. Infine, il provvedimento introduce un forte apparato sanzionatorio per gli Enti che non rispettassero gli obblighi di trasparenza: responsabilità disciplinare e dirigenziale, eventuale responsabilità erariale (anche per danno all’immagine). Gli uffici devono quindi adempiere a tutti gli obblighi di pubblicazione online dettati dal Decreto ma sempre in linea con la propria struttura istituzionale, oltre a quelli che non siano già soddisfatti dalle Istituzioni centrali. Ad esempio, gli Istituti Scolastici non sono tenuti, per ovvi motivi, a popolare le sezioni specificamente previste per le strutture sanitarie né quella relativa al personale a tempo indeterminato in quanto la pubblicazione è soddisfatta dal MIUR. È necessario, tuttavia, che gli Uffici prevedano tutte le sezioni contemplate dal Decreto, specificando all‟interno di quelle non soddisfabili che la pubblicazione dei quei dati non è prevista per l‟Ufficio. Gli Uffici, inoltre, devono sempre tenere presente la normativa in materia di accessibilità dei documenti (contenuta nella L. n. 4/2004) non pubblicando PDF immagine (come le scansioni di documento cartaceo, che rendono la pubblicazione inefficace) ma PDF/A, perfettamente leggibili dai soggetti disabili con l‟ausilio delle tecnologie assistive. L‟articolo 4 del D.Lgs. n. 33/2013 prevede dei limiti alla pubblicazione di atti e documenti nel caso in cui contengano dati sensibili e giudiziari cui all'art. 4, comma 1, lett. d) ed e), del D.Lgs. n. 196/2003. In questi casi sarà necessario adottare tutti gli accorgimenti necessari (come ad es. anonimizzare i dati) al fine di evitare di ledere la riservatezza dei soggetti interessati. 189 Il documento è disponibile al seguente link: http://archivio.digitpa.gov.it/sites/default/files/allegati_tec/Repertorio%20formati%20aperti%20vers%20%201%200b_1.pdf. 20. 144 Lo stesso articolo prevede, inoltre, l’esclusione della pubblicazione di atti e documenti; ● nei casi previsti dall‟art. 24, commi 1 e 6, della L. n. 241/1990190, dell‟art. 9 del D.Lgs. n. 322/1989191; ● nei casi previsti dalla normativa europea in materia di tutela del segreto statistico; ● nei casi di atti e documenti che siano espressamente qualificati come riservati dalla normativa nazionale ed europea in materia statistica; ● nei casi di atti e documenti idonei a diffondere dei dati volti a rivelare lo stato di salute e la vita sessuale di un individuo. L‟onere di pubblicazione online di documenti nella sezione “Amministrazione trasparente” non deve mai essere confuso con l’onere di pubblicazione online nella sezione “Albo pretorio”192: nel primo caso (“Amministrazione trasparente”) la finalità è quella della trasparenza; nel secondo caso (“Albo pretorio”) la finalità è quella di pubblicità legale dell‟atto, cui è subordinata l‟efficacia dello stesso. Da ciò consegue che la pubblicazione in albo pretorio online di documenti per i quali sussistono anche obblighi di trasparenza non 190 Di seguito il contenuto dell‟art.24, comma 1, della L. n. 241/1990: “Il diritto di accesso è escluso: a) per i documenti coperti da segreto di Stato ai sensi della legge 24 ottobre 1977, n. 801, e successive modificazioni, e nei casi di segreto o di divieto di divulgazione espressamente previsti dalla legge, dal regolamento governativo di cui al comma 6 e dalle pubbliche amministrazioni ai sensi del comma 2 del presente articolo;b) nei procedimenti tributari, per i quali restano ferme le particolari norme che li regolano;c) nei confronti dell'attività della pubblica amministrazione diretta all'emanazione di atti normativi, amministrativi generali, di pianificazione e di programmazione, per i quali restano ferme le particolari norme che ne regolano la formazione;d) nei procedimenti selettivi, nei confronti dei documenti amministrativi contenenti informazioni di carattere psico-attitudinale relativi a terzi”. Di seguito il contenuto dell‟art. 24, comma 6, della L. n. 241/1990: “Con regolamento, adottato ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400, il Governo può prevedere casi di sottrazione all'accesso di documenti amministrativi: a) quando, al di fuori delle ipotesi disciplinate dall'articolo 12 della legge 24 ottobre 1977, n. 801, dalla loro divulgazione possa derivare una lesione, specifica e individuata, alla sicurezza e alla difesa nazionale, all'esercizio della sovranità nazionale e alla continuità e alla correttezza delle relazioni internazionali, con particolare riferimento alle ipotesi previste dai trattati e dalle relative leggi di attuazione;b) quando l'accesso possa arrecare pregiudizio ai processi di formazione, di determinazione e di attuazione della politica monetaria e valutaria;c) quando i documenti riguardino le strutture, i mezzi, le dotazioni, il personale e le azioni strettamente strumentali alla tutela dell'ordine pubblico, alla prevenzione e alla repressione della criminalità con particolare riferimento alle tecniche investigative, alla identità delle fonti di informazione e alla sicurezza dei beni e delle persone coinvolte, all'attività di polizia giudiziaria e di conduzione delle indagini;d) quando i documenti riguardino la vita privata o la riservatezza di persone fisiche, persone giuridiche, gruppi, imprese e associazioni, con particolare riferimento agli interessi epistolare, sanitario, professionale, finanziario, industriale e commerciale di cui siano in concreto titolari, ancorché i relativi dati siano forniti all'amministrazione dagli stessi soggetti cui si riferiscono;e) quando i documenti riguardino l'attività in corso di contrattazione collettiva nazionale di lavoro e gli atti interni connessi all'espletamento del relativo mandato”. 191 Di seguito il contenuto dell‟art. 9 del D.Lgs. n. 322/1989: “I dati raccolti nell'ambito di rilevazioni statistiche comprese nel programma statistico nazionale da parte degli uffici di statistica non possono essere esternati se non in forma aggregata, in modo che non se ne possa trarre alcun riferimento relativamente a persone identificabili)), e possono essere utilizzati solo per scopi statistici. I dati di cui al comma 1 non possono essere comunicati o diffusi se non in forma aggregata e secondo modalita' che rendano non identificabili gli interessati ad alcun soggetto esterno, pubblico o privato, ne' ad alcun ufficio della pubblica amministrazione. In ogni caso, i dati non possono essere utilizzati al fine di identificare nuovamente gli interessati. In casi eccezionali, l'organo responsabile dell'amministrazione nella quale e' inserito l'ufficio di statistica puo', sentito il comitato di cui all'art. 17, chiedere al Presidente del Consiglio dei Ministri l'autorizzazione ad estendere il segreto statistico anche a dati aggregati. Fatto salvo quanto previsto dall'art. 8, non rientrano tra i dati tutelati dal segreto statistico gli estremi identificativi di persone o di beni, o gli atti certificativi di rapporti, provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque”. 192 Meglio si dirà in tema di “Albo pretorio” pubblicato online nello specifico approfondimento al termine del Capitolo. 145 esenta l‟Ufficio dalla pubblicazione nella sezione “Amministrazione Trasparente”, in quanto l‟obbligo di affissione degli atti all‟albo pretorio e quello di pubblicazione sui siti istituzionali all‟interno della sezione “Amministrazione trasparente” svolgono funzioni diverse. È opportuno, inoltre, considerare che la durata della pubblicazione dei documenti nell‟albo pretorio on line non coincide, poiché inferiore193, con la durata della pubblicazione dei dati sui siti istituzionali entro la sezione “Amministrazione trasparente” che l‟art. 8, comma 3, del D.Lgs. n. 33/2013 fissa, come detto, a cinque anni. Sia le Linee guida per i siti web della pubblica amministrazione del 2011 che il D.Lgs. n. 33/2013 sono da intendersi strettamente connessi alla Legge n. 4/2004 e ne presuppongono l‟integrale rispetto: è impensabile, infatti, obbligare le amministrazioni a pubblicare online alcune informazioni se non si dà per scontato che il relativo sito web risulti già accessibile. Volendo ora effettuare un confronto tra il diritto “digitale” all‟accesso civico (D.Lgs. n. 33/2013) e il classico diritto “analogico” all‟accesso ai documenti in possesso di una Pubblica Amministrazione (L. n. 241/1990), si consideri quanto segue. Nel nostro Paese, il diritto di accesso agli atti della PA è stato introdotto con la già citata L. n. 241/90, Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi. La normativa è stata dunque pensata a scritta ben prima dello stesso avvento di Internet. Pertanto, la sua ratio non può che essere “analogica”, connessa indissolubilmente alla carta, anche se nel tempo il Legislatore si sia sforzato di effettuare innesti a carattere informatico: ciononostante, l‟impianto e la logica rimangono analogiche. Il diritto di accesso sin dalla sua genesi, risulta esercitabile soltanto in presenza di una situazione legittimante. Interessati a far valere il diritto di accesso, ai sensi dell‟art. 22, comma 1, lett b, si intendono dunque: tutti i soggetti privati, compresi quelli portatori di interessi pubblici o diffusi, che abbiano un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l'accesso. 193 Si pensi, ad es., al periodo fissato dall‟art. 124, comma 1, del D.Lgs. 167/2000 (“Testo unico degli enti locali”) per la pubblicazione nell‟Albo Pretorio di una delibera di un Consiglio comunale: n. 15 giorni. 146 Successivamente alla L. n. 241/1990, il legislatore è intervenuto disciplinando tre tipologie di accesso con il D.P.R. 445/2000 Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa: - l‟accesso ai documenti da parte dei dipendenti dell‟amministrazione (art.58); - l‟accesso ai documenti da parte degli utenti (art.59); - l‟accesso ai documenti da parte delle altre amministrazioni (art.60). Tali disposizioni ben si collegano con quelle dettate dalla L. n. 241/1990 , ponendosi a completamento di essa, con una portata più organizzativa e sistematica. Infine, l‟ultimo importante intervento legislativo in tema di diritto d‟accesso è intervenuto con il Codice dell‟amministrazione digitale: l‟art. 52 del CAD disciplina l’accesso telematico ai documenti informatici della amministrazioni pubbliche. Secondo la disposizione in commento, le amministrazioni pubblicano nel proprio sito web, precisamente all‟interno della sezione “Trasparenza, valutazione e merito”, poi superata dalla sezione “Amministrazione trasparente” di cui al citato D.Lgs. n. 33/2013, il catalogo dei dati, dei metadati e delle relative banche dati in loro possesso, in aggiunta ai regolamenti che ne disciplinano l‟esercizio della facoltà di accesso telematico e il riutilizzo. Oltre a ciò, si rende necessario definire, per ogni tipologia di accesso, un sistema di abilitazione all‟accesso per i singoli soggetti interessati, nel rispetto della legge sulla tutela dei dati personali. Il diritto di accesso civico (D.Lgs. n. 33/2013) si differenzia dal classico diritto di accesso ai documenti amministrativi (L. n. 241/1990), non caratterizzato da accessibilità totale. Più nello specifico, possono essere messe in evidenza varie differenze con il diritto di accesso „‟ordinario‟‟, quindi ai documenti cartacei dell‟Amministrazione, e più precisamente il diritto di accesso civico si caratterizza per l‟oggetto, per le modalità e per il destinatario: ● l‟oggetto: l‟accesso civico si può estrinsecare solo nei confronti degli atti la cui pubblicazione online sia obbligatoria, richiamata dallo stesso D.Lgs. n. 33/2013; ● la modalità: l‟accesso civico, a differenza di quello ordinario ai documenti amministrativi, non necessita di domanda motivata che si basi su un interesse qualificato, non è quindi sottoposto a limitazione alcuna, ed è completamente gratuito; ● il destinatario della domanda: nell‟ accesso „‟ordinario‟‟ la domanda viene presentata generalmente agli Uffici Relazioni con il Pubblico (anche se il responsabile dei relativi 147 procedimenti è il vertice dell‟ufficio che ha formato l‟atto o che detiene lo stesso stabilmente), invece nell‟accesso civico la domanda deve essere presentata al Responsabile per la trasparenza. Da quanto sopra ne discende di conseguenza come la generale disciplina di favore per la trasparenza online, intesa come quasi assoluta conoscibilità di ogni “prodotto” della pubblica amministrazione, finirà progressivamente nel tempo per relegare il ruolo del diritto di accesso ordinario, e della relativa competenza degli uffici Relazioni con il Pubblico, ad un ambito residuale e marginale. Il diritto di accesso all‟informazione è regolato da norme conosciute internazionalmente come “Freedom of Information Acts” (FOIA). In base ad esse la Pubblica Amministrazione ha obblighi di informazione, pubblicazione e trasparenza e i cittadini hanno diritto a chiedere ogni tipo di informazione prodotta e posseduta dalle Amministrazioni che non contrastino con la sicurezza nazionale o la privacy. Storicamente, il primo FOIA è stato quello degli Stati Uniti d‟America, emanato il 4 luglio 1966 durante il mandato del presidente Lyndon B. Johnson. Il Freedom of Information Act ha aperto a giornalisti e studiosi l'accesso agli archivi di Stato statunitensi, ivi compresi molti documenti riservati e coperti da segreto di Stato. Il provvedimento costituisce un punto di riferimento legislativo importante, volto a garantire la trasparenza della Pubblica Amministrazione nei confronti del cittadino e il diritto di cronaca e la libertà di stampa dei giornalisti. La legge è stata emendata negli anni. Con le modifiche apportate nel 1996 si è infine normato l'accesso ai documenti elettronici, da ciò derivando il nome dell‟emendamento: Electronic Freedom of Information Act (E-FOIA). A livello europeo la Corte dei Diritti dell‟Uomo ha riconosciuto l‟accesso alle informazioni detenute dai Governi come diritto. Complessivamente al mondo oltre 90 Paesi hanno approvato un FOIA, ma non l‟Italia. Nel nostro Paese operano da alcuni anni gruppi di attivisti, la cui azione sta conducendo a dei passi legislativi nel settore. In base all‟art. 1 della Legge 7 agosto 2015 n. 124, il Governo è stato recentemente delegato ad adottare uno o più decreti legislativi attuativi di una serie di principi e criteri, anche al fine di una piena attuazione del “diritto [di cittadini e imprese] di accedere a tutti i dati, i documenti e i servizi di loro interesse in modalità digitale”. Ovviamente non si può parlare, già, di piena attuazione del FOIA in Italia, ma occorre attendere i decreti attuativi, nella speranza che i principi di fondo del FOIA, già 148 elencati nel condivisibile progetto FOIA4Italy194, siano affermati: assenza di un obbligo di motivazione e di interesse giuridicamente rilevante per chi chiede l‟accesso, quindi superamento di taluni ostacoli dettati dalla Legge n. 241/1990; applicazione non solo alle Amministrazioni ma anche alle società partecipate e ai gestori di servizi pubblici; rapidità delle risposte delle Amministrazioni; eccezioni all‟accesso chiare e tassative; accesso sempre gratuito (in caso di accesso analogico solo il costo effettivo di riproduzione e di eventuale spedizione); se un‟informazione è oggetto di almeno tre distinte richieste di accesso presso una medesima Amministrazione, allora l‟informazione deve essere pubblicata all‟interno della sezione “Amministrazione Trasparente” del sito web istituzionale dell‟Ente; rimedi giudiziari e stragiudiziali, in caso di accesso negato, particolarmente veloci e non onerosi per il richiedente; previsione di sanzioni in caso di accesso illegittimamente negato. 2.13. Open Government La continua evoluzione della complessa e farraginosa macchina amministrativa ha, nel corso del tempo, comportato il radicale ripensamento delle logiche di trasparenza e accessibilità da parte di cittadini ed imprese, anche e soprattutto attraverso l'utilizzo sempre più diffuso e comune delle tecnologie della comunicazione e della informazione. E' innegabile, infatti, che tale evoluzione sia in gran parte dovuta alla spinta sempre più forte esercitata da soggetti esterni alle PP.AA. che hanno preteso di poter esercitare i propri diritti di comunicazione telematica nei confronti delle amministrazioni nonché di ottenere trasparenza ed accessibilità alle informazioni pubbliche. Ciò ha comportato l'avvio di un inarrestabile percorso di continua apertura delle PP.AA. verso i cittadini e le imprese nonché degli utenti in generale. Per descrivere tale situazione, è stato creato il movimento “Open Government Data”, sviluppatosi inizialmente a livello globale. Il movimento ha il fine di stimolare le Pubbliche Amministrazioni a rendere disponibili i dati in loro possesso, generando in tal modo servizi che favoriscano la trasparenza e la partecipazione, nonché una maggiore efficienza amministrativa. Il movimento propone e sviluppa da anni percorsi innovativi di gestione del dato delle 194 Per un approfondimento del progetto FOIA4Italy si rinvia all‟URL: http://www.foia4italy.it/, consultato nel mese di settembre 2015. 149 pubbliche amministrazioni e la cui definizione è contenuta nell‟art. 1, comma 1, lett. m) del C.A.D.: “Il dato formato, o comunque trattato, da una Pubblica Amministrazione”. In ambito governativo, il principio di Open Government Data ha ottenuto i suoi primi riconoscimenti a seguito di alcune iniziative del Presidente U.S.A. Obama, a partire dal 2009195. In Europa il primo passo verso l‟Open Government Data si è avuto con la “Dichiarazione aperta sui servizi pubblici europei”, promossa da cittadini e organizzazioni non governative nel 2009196. Da ultimo, il vertice dei Capi di Stato e di Governo degli otto Paesi più industrializzati (G.8) tenutosi a Lough Erne (Irlanda del Nord) il 17 e 18 giugno 2013 è giunto all‟adozione di una vera e propria “Carta dei dati aperti (Open Data Charter)”, sul presupposto che l‟apertura dei dati è un ottimo strumento per rendere più efficienti e trasparenti le Amministrazioni e per stimolare la crescita economica. Sono stati dettati cinque principi cardine: 1. Open Data by Default; 2. quantità e qualità dei dati aperti; 3. accessibilità dei dati per tutti; 4. utilizzazione dei dati aperti per un miglioramento della Governance; 5. utilizzazione dei dati aperti per la promozione dell‟innovazione. Non si tratta di una mera dichiarazione di principi, in quanto gli Stati si sono dati una deadline per la loro attuazione: l‟anno 2015197. In Italia le prime affermazioni legislative del principio di Open Government si sono avute, a livello regionale e non nazionale, a decorrere dal 2007 (Toscana, Puglia, Umbria, Piemonte). 195 Il Memorandum di insediamento del 21 gennaio 2009, in tema di trasparenza e Open Government, rivolto ai Responsabili dei dipartimenti e delle Agenzie della sua Amministrazione; la Direttiva “Open Government” dell‟8 dicembre 2009, che indica alle varie Agenzie i tre principi da seguire (trasparenza, partecipazione e collaborazione dei cittadini); la “Open Government Initiative”, cioè l‟insieme delle varie iniziative avviate dall‟Amministrazione federale per un Governo aperto e racchiuse in un apposito sito volto a favorire una diretta partecipazione dei visitatori (www.whitehouse.gov). 196 La Dichiarazione si sostanzia nella proposta di un nuovo modello di politiche pubbliche, incentrato su trasparenza, partecipazione e collaborazione. La proposta è rivolta ai Governi e alla Commissione Europea ai fini di una pronta traslazione di tali principi nel Piano di eGovernment. I Ministri dell‟U.E. responsabili per le strategie di eGovernment hanno accolto la proposta con la Dichiarazione conclusiva del vertice di Malmö (Svezia) del 18 novembre 2009, nella quale sono evidenziate le aspettative dei cittadini ad un‟Amministrazione Pubblica aperta, flessibile e collaborativa, in grado quindi di affrontare, entro il 2015, le importanti sfide di questa Era (economiche, ambientali, sociali). Gli obiettivi sottoscritti dai Ministri intervenuti sono molteplici, tra i quali, per la materia che ci interessa: l‟avvio di servizi “user-centric” in grado di favorire l‟interazione tra cittadino e Amministrazione, per giungere, quindi, ad una reale partecipazione attiva; una maggiore disponibilità della “Public Sector Information” (P.S.I.) per stimolarne il riuso; maggiore trasparenza nei processi amministrativi. 197 Ogni Paese, a tal fine, dovrà redigere un “Piano di azione” entro il mese di ottobre 2013, oggetto di un successivo incontro nel 2014. Si è proceduto, inoltre, alla precisa indicazione delle categorie di dati da aprire prioritariamente, sulla base del loro alto valore. 150 Nel medesimo periodo, a livello governativo, si è proceduto invece alla predisposizione di atti pianificatori comprendenti al loro interno anche attività di Open Government Data, come il Piano “eGovernment 2008-2012” del Ministro per la Pubblica Amministrazione e l‟innovazione. Nell‟ottobre 2011 si è giunti alla pubblicazione, da parte del Ministro per la Pubblica Amministrazione e l‟innovazione, del “Vademecum Open Data”198. Da ultimo, ma non per importanza, nel percorso evolutivo dell‟Open Government Data nel nostro Paese è necessario richiamare l‟”Action Plan” presentato dall‟Italia nel summit internazionale “Open Government Partnership”, tenutosi a Brasilia (Brasile) il 17-18 aprile 2012, nel quale è esplicitata la programmazione nazionale intrapresa sul cammino dell‟Open Government Data e le aree strategiche di riforma legislativa. L‟Open Government, quindi, si basa su tre elementi199: - Trasparenza: favorisce e promuove la responsabilita fornendo ai cittadini le informazioni sulle attivita dell‟Amministrazione. Un‟Amministrazione trasparente, per questo, e un‟Amministrazione più controllata e nel contempo più aperta e affidabile. - Partecipazione: aumenta l‟efficacia dell‟azione amministrativa e migliora la qualita delle decisioni dell‟Amministrazione. I cittadini devono perciò essere coinvolti nei processi decisionali e potervi contribuire attivamente, anche grazie al ricorso alle tecnologie di comunicazione attualmente disponibili e diffuse. - Collaborazione: vede un coinvolgimento diretto dei cittadini nelle attività dell'amministrazione. Anche in tal senso l‟Open Government traccia uno scenario nuovo nelle dinamiche di relazione tra l‟Amministrazione e i suoi stakeholder (essendo questi ultimi i singoli cittadini, ma anche le organizzazioni non-profit e le imprese). La combinazione simultanea di trasparenza, partecipazione e collaborazione ha avuto il risultato di innovare profondamente le modalità operative dell‟Amministrazione Pubblica ed i processi decisionali sui quali si basa. Il principio dell‟Open Government ha trovato finalmente disciplina nazionale legislativa con l‟art. 9 del D.L. n. 179/2012, convertito con la Legge n. 221/2012. Questa norma, tra l'altro, ha riscritto l‟art. 52 C.A.D., in tema di accesso telematico e riutilizzo dei dati delle Pubbliche Amministrazioni. 198 Vademecum – Open Data http://www.dati.gov.it/sites/default/files/VademecumOpenData.pdf 199 V. Vademecum – Open Data, cit., pagg. 14 e ss. 151 Formez, reperibile all'indirizzo In base all‟art. 52 C.A.D., dal 19 marzo 2013 i dati e i documenti che le Amministrazioni pubblicano con qualsiasi modalità in Rete senza l‟espressa adozione di una licenza standard per il riutilizzo si devono intendere come dati di tipo aperto (Open Data by Default)200. I dati privi di licenza, quindi, si considerano accompagnati da una licenza aperta; l‟eventuale adozione di una licenza tra quelle previste dal decreto-legislativo 24 gennaio 2006, n. 36, all‟articolo 2, comma 1 lett. h) va, invece, motivata201. Un‟ultima norma finalizzata all‟apertura dei documenti, informazioni e dati della Pubblica Amministrazione è quella contenuta nell‟art. 7 del D.Lgs. n. 33/2013, rubricato “Dati aperti e riutilizzo”. L‟art. 7 dispone che i documenti, le informazioni e i dati che le Pubbliche Amministrazioni sono obbligate a pubblicare nei propri siti Web istituzionali, elencati nell‟Allegato 1 al Decreto Legislativo di cui si tratta, devono essere in formato di tipo aperto ai sensi dell'art. 68 C.A.D. (come in seguito indicato) e riutilizzabili ai sensi della normativa in materia, senza ulteriori restrizioni diverse dall‟obbligo di citare la fonte e di rispettarne l‟integrità. Considerata l‟enorme mole di documenti, informazioni e dati che obbligatoriamente le Amministrazioni devono oramai pubblicare online, occorre sottolineare come questa semplice norma sia destinata a generare una profonda innovazione di Open Government Data nel nostro Paese. In Italia è stato anche pubblicato in data 18 ottobre 2011, sulla scia di altre esperienze estere, un portale governativo di riferimento nel processo di apertura dei dati pubblici: www.dati.gov.it. Si segnala, infine, che in data 20 settembre 2016 è stata pubblicata la versione definitiva del Terzo Piano d‟Azione (2016-2018) dell‟Italia nell‟ambito dell‟Open Government Partnership202. 200 In base ai commi 6 e 7 dell‟art. 52 C.A.D., l‟Agenzia per l‟Italia Digitale riveste un ruolo cardine e di coordinamento nell‟attuazione dell‟ Open Government Data, lungo tre direttive: predispone l‟Agenda nazionale, volta a definire la strategia di valorizzazione del patrimonio pubblico attraverso il rilascio di dati aperti, in linea con le indicazioni contenute nell‟Agenda digitale italiana ed europea; predispone le Linee Guida nazionali per l‟attuazione della normativa sui dati aperti, nelle quali sono anche definite le modalità di accesso telematico ai dati e le regole di riutilizzo, con individuazione, inoltre, degli standard tecnici, delle procedure e, in linea generale, delle modalità di attuazione della parte del C.A.D. (Capo V, artt. 50-66) il cui effettivo recepimento da parte delle Pubbliche Amministrazioni è valutabile ai fini delle performance dirigenziali; predispone il Rapporto sullo stato di avanzamento del processo di valorizzazione del patrimonio pubblico, sulla base di quanto attuato dalle Amministrazioni rispetto all‟Agenda nazionale e alle Linee Guida. I tre documenti ora richiamati hanno cadenza annuale, con aggiornamento all‟inizio di ogni anno. 201 M. Ragone, “Focus: Open Data e riuso”, in Commento al D.Lgs. 82/2005 dopo le modifiche apportate" Realizzato dal Digital&Law Department Studio Legale Lisi col patrocinio di ANORC e FORUM PA – Giugno 2014, Edizioni FORUM PA, pag. 241, reperibile all'indirizzo http://profilo.forumpa.it/doc/?file=2014/Commentario_CAD.pdf 202 Reperibile all'indirizzo internet http://open.gov.it/wp-content/uploads/2016/09/2016-09-23-Terzo-Piano-Azione-OGPNazionale-FinaleDEF_m.pdf, consultato nel mese di novembre 2016. 152 2.13.2. Open Data Uno degli strumenti più efficaci, al fine di realizzare diffusamente la dottrina dell'Open Government, è quello già citato dell'Open Data. Le pubbliche amministrazioni, infatti, per le loro finalità e nello svolgimento delle proprie funzioni, normalmente raccolgono, organizzano e gestiscono una vasta quantità di dati pubblici203. Tuttavia, col passare degli anni, l‟autonomia delle singole amministrazioni e le modalita di gestione dei dati hanno contribuito a creare isole di informazioni, con scarsa visione sistemica, nonostante alcuni significativi interventi normativi tendessero a favorire un maggior livello di integrazione e condivisione dei dati tra le amministrazioni204. Del resto, l'attuale situazione socio-economica e l‟opportunita di sviluppo e di competitività che un utilizzo sistemico delle tecnologie digitali possono portare, impongono di non considerare più tali tecnologie beni strumentali, ma leve di innovazione e di politica economica. In tal senso la Digital Agenda for Europe e l‟Agenda Digitale Italiana considerano l‟uso pervasivo delle tecnologie ICT come opportunita per fornire sviluppo, occupazione e benessere sociale. Da questo angolo di visuale, i dati pubblici delle amministrazioni, che solo fino a poco tempo fa avevano un ruolo esclusivamente funzionale al perseguimento dei compiti istituzionali delle amministrazioni, assumono una differente valenza in termini di stimolo dell‟economia digitale, sviluppo dell‟innovazione e trasparenza amministrativa. Essi rappresentano un vero e proprio patrimonio informativo, cui corrisponde un valore economico che deve essere necessariamente considerato come volano per lo sviluppo del mercato, per la nascita di nuove figure professionali e per il supporto alle decisioni di ogni organo politico, anche locale, cosi come accade in altri Paesi205. Una definizione comunemente accettata di Open Data è quella fornita dall‟Open Data Manual, che definisce gli Open Data come dati che possono essere liberamente utilizzati, 203 V. le “Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico (ANNO 2014)”, allegate alla Determinazione Commissariale AG.I.D. n. 95/2014 e reperibili all'indirizzo internet http://www.agid.gov.it/sites/default/files/linee_guida/patrimoniopubblicolg2014_v0.7finale.pdf 204 V. le “Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico (ANNO 2014)”, cit. 205 V. le “Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico (ANNO 2014)”, cit. 153 riutilizzati e redistribuiti, con la sola limitazione – al massimo – della richiesta di attribuzione dell‟autore e della redistribuzione allo stesso modo (ossia senza che vengano effettuate modifiche”. Un insieme di dati pubblicati prende il nome di dataset206. L‟Open Data in genere è caratterizzato dai seguenti principi207: - Disponibilità e accesso: i dati devono essere disponibili nel loro complesso, per un prezzo non superiore a un ragionevole costo di riproduzione, preferibilmente mediante scaricamento da Internet. I dati devono essere inoltre disponibili in un formato utile e modificabile. - Riutilizzo e ridistribuzione: i dati devono essere forniti a condizioni tali da permetterne il riutilizzo e la ridistribuzione. Ciò comprende la possibilita di combinarli con altre basi di dati. - Partecipazione universale: tutti devono essere in grado di usare, riutilizzare e ridistribuire i dati. Non devono essere poste discriminazioni di ambiti di iniziativa in riferimento a soggetti o gruppi. Per esempio, il divieto di utilizzare i dati per scopi commerciali o le restrizioni che permettono l‟uso solo per determinati fini (quale quello educativo) non sono contemplabili. Occorre, a questo punto, fare riferimento alle definizioni riportate nell'art. 68, comma 3, del CAD, come modificato dalle norme contenute nell‟art. 9 del DL n. 179/2012, convertito con la Legge n. 221/2012, ove si definisce: a) formato dei dati di tipo aperto, un formato di dati reso pubblico, documentato esaustivamente e neutro rispetto agli strumenti tecnologici necessari per la fruizione dei dati 206 V. Vademecum OpenData cit. pagg. 19 e ss. Per “dataset” si intende una rappresentazione in memoria volatile di un insieme di dati strutturati in forma relazionale (cfr. P. Rob, C. Coronel, Database Systems: Design, Implementation, and Management, Boston, Course Technology, 2007, p. 580). 207 Vademecum OpenData cit. pagg. 19 e ss. Per garantire l'effettività di tali principi è necessario che i dati – per considerarsi aperti in base agli standard internazionali – siano: - Completi. I dati devono comprendere tutte le componenti (metadati) che consentano di esportarli, utilizzarli on line e off line, integrarli e aggregarli con altre risorse e diffonderli in rete.- Primari. Le risorse digitali devono essere strutturate in modo tale che i dati siano presentati in maniera sufficientemente granulare, cosi che possano essere utilizzate dagli utenti per integrarle e aggregarle con altri dati e contenuti in formato digitale; - Tempestivi. Gli utenti devono essere messi in condizione di accedere e utilizzare i dati presenti in rete in modo rapido e immediato, massimizzando il valore e l‟utilita derivanti da accesso e uso di queste risorse;- Accessibili. I dati devono essere resi disponibili al maggior numero possibile di utenti senza barriere all‟utilizzo, quindi preferibilmenteattraverso il solo protocollo Hypertext Transfer Protocol (HTTP) e senza ilricorso a piattaforme proprietarie. Devono essere inoltre resi disponibili senza alcuna sottoscrizione di contratto, pagamento, registrazione o richiesta.- Leggibili da computer. Per garantire agli utenti la piena libertà di accesso e soprattutto di utilizzo e integrazione dei contenuti digitali, è necessario che i dati siano machine-readable, ovvero processabili inautomatico dal computer.- In formati non proprietari. I dati devono essere codificati in formatiaperti e pubblici, sui quali non vi siano entità (aziende o organizzazioni) che ne abbiano il controllo esclusivo. Sono preferibili i formati con le codifiche più semplici e maggiormente supportati.- Liberi da licenze che ne limitino l‟uso. I dati aperti devono essere caratterizzati da licenze che non ne limitino l‟uso, la diffusione o la redistribuzione.- Riutilizzabili. Affinche i dati siano effettivamente aperti, gli utenti devono essere messi in condizione di riutilizzarli e integrarli, fino a creare nuove risorse, applicazioni e servizi di pubblica utilità.- Ricercabili. I dati devono essere facilmente identificabili in rete, grazie a cataloghi e archivi facilmente indicizzabili dai motori di ricerca.- Permanenti. Le peculiarita fino ad ora descritte devono caratterizzare i dati nel corso del loro intero ciclo di vita. 154 stessi; b) dati di tipo aperto, i dati che presentano le seguenti caratteristiche: 1) sono disponibili secondo i termini di una licenza che ne permetta l'utilizzo da parte di chiunque, anche per finalità commerciali, in formato disaggregato; 2) sono accessibili attraverso le tecnologie dell'informazione e della comunicazione, ivi comprese le reti telematiche pubbliche e private, in formati aperti ai sensi della lettera a), sono adatti all'utilizzo automatico da parte di programmi per elaboratori e sono provvisti dei relativi metadati; 3) sono resi disponibili gratuitamente attraverso le tecnologie dell'informazione e della comunicazione, ivi comprese le reti telematiche pubbliche e private, oppure sono resi disponibili ai costi marginali sostenuti per la loro riproduzione e divulgazione. La definizione di "formato dei dati di tipo aperto" fa riferimento agli aspetti tecnologici e risulta finalizzato ad assicurare un adeguato livello di interoperabilità. E' invece direttamente collegata alle caratteristiche del dato la definizione di "dati di tipo aperto" che contempla tre requisiti essenziali: • la disponibilita del dato, che questa nuova accezione qualifica con maggiore precisione consentendo di escludere dalla definizione di dato pubblico disponibile il dato pubblico (quindi potenzialmente conoscibile) cui e associata una tipologia di licenza che non consente il libero uso del dato stesso; • l'accessibilita del dato, che richiama l'aspetto tecnologico del formato aperto in cui il dato viene reso disponibile e richiede l'effettiva presenza dei metadati relativi al dato medesimo; • la gratuità del dato o la sua disponibilità a costi marginali, salvo casi eccezionali da definire con atto dell'Agenzia per l'Italia Digitale. Il dato di tipo aperto è, quindi, un dato della pubblica amministrazione, conoscibile (pubblico), a cui è associata una licenza che ne consente il libero utilizzo (disponibile) e che abbia le caratteristiche di accessibilità e gratuità come sopra definite. E‟ inoltre importante notare la netta distinzione tra i concetti di condivisione dei dati e dati di tipo aperto. Mentre la condivisione di dati riguarda solitamente contesti ristretti (e.g., tra pubbliche amministrazioni o enti con finalità pubbliche) e può agire sulla base di uno determinato scopo di condivisione e su un insieme di dati specifici, inclusi anche dati personali, i dati 155 aperti sono invece tipicamente (i) non riferibili a singole persone e (ii) disponibili gratuitamente per l‟uso, il riutilizzo e la distribuzione da parte di chiunque anche per finalita commerciali, soggetti al massimo alla richiesta di indicare la fonte di provenienza dei dati e di riutilizzarli secondo gli stessi termini per cui sono stati licenziati originariamente208. Infine, molto recentemente, con l‟art. 24-quinquies del D.L. 24 giugno 2014, n. 90, convertito in L. 11.08. 2014, n. 114, è stato modificato il comma 2 dell‟art. 58 del CAD. L‟articolo, rubricato “Comunicazioni tra le pubbliche amministrazioni”, ha introdotto l‟obbligo per le PP.AA. di comunicare tra loro, attraverso la messa a disposizione a titolo gratuito degli accessi alle proprie basi di dati alle altre amministrazioni mediante la cooperazione applicativa di cui all‟art. 72, comma 1, lettera e) del CAD, finalizzata all'interazione tra i sistemi informatici delle pubbliche amministrazioni per garantire l'integrazione dei metadati, delle informazioni e dei procedimenti amministrativi. Inoltre, l‟AgID, sentiti il Garante per la protezione dei dati personali e le amministrazioni interessate alla comunicazione telematica, dovrà definire gli standard di comunicazione e le regole tecniche a cui le pubbliche amministrazioni dovranno conformarsi. Al riguardo, è altrettanto importante ricordare che lo stesso art. 58, al comma 1, stabilisce un altro principio fondamentale, ossia che il trasferimento di un dato da un sistema informativo ad un altro non modifica la titolarità del dato. In conclusione, va fatto anche un cenno all'evoluzione degli Open Data, la quale è basata sui c.d. Linked Open Data, ossia dati collegati tra di loro, secondo la logica del web semantico e dell'interoperabilità. Per collegare i dati tra loro, occorre stabilire un link diretto quando i dati (possibilmente provenienti da diverse sorgenti) si riferiscono a oggetti identici o comunque relazionati tra loro. Tale collegamento diretto si manifesta come la possibilità di «saltare» da un dataset all‟altro, ad esempio quando si vuole accedere a dati (come i dettagli su una particolare entità) che non si posseggono all‟interno209. 208 Al riguardo cfr le “Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico (ANNO 2014)”, cit., da cui è stato ripreso il brano. 209 Per fare questo, se i dati non sono «collegati» (linked) occorre in qualche modo creare questi link, processando i dati a mano o attraverso algoritmi ad hoc. Questo processo può non essere banale e sicuramente è una barriera al riuso organico dei dati. Nei cosiddetti Linked Data, questi collegamenti e relazioni tra le entità descritte nei dataset sono espliciti. Definizione pubblicata nella pagina Web dedicata ai Linked data nel sito ufficiale dell‟Associazione “Linked Open Data Italia – L.K.D.I. O.N.L.U.S.”, che ne promuove in Italia l‟adozione: http://www.linkedopendata.it/semantic-web, consultato nel mese di giugno 2013. Per ulteriori approfondimenti in tema di interoperabilità semantica, Linked Data e Open Government, si rimanda a: G. Cogo, La cittadinanza digitale. Nuove opportunità tra diritti e doveri, Roma, Edizioni della Sera, 2010, pp. 129-145. 156 2.14. Social network nella PA. La materia dei servizi pubblici on line è stata per la prima volta compiutamente disciplinata attraverso l‟emanazione di “Linee Guida per i siti web della PA”210, mediante le quali sono stati forniti ai vari enti amministrativi dei criteri guida per lo sviluppo, la gestione e l‟aggiornamento dei siti web istituzionali, molto spesso obsoleti. Alle Linee Guida è poi seguita la pubblicazione di appositi Vademecum211 di approfondimento, redatti con lo scopo di fornire alle Pubbliche Amministrazioni indicazioni operative su specifici temi, con lo scopo ultimo di rendere integralmente attuabili le predette Linee Guida. In dettaglio, il Vademecum del 2011 destinato a regolare l‟uso dei social media in seno alla PA consente agli operatori interni212 ad un pubblica amministrazione di comprendere le modalità con cui è possibile la comunicazione tra Ente ed utenti attraverso canali social, incentivando la fruizione di nuove dinamiche di dialogo e partecipazione. Invero, il suddetto documento si occupa in una prima parte di fornire raccomandazioni generali sull‟uso dei social, sulle particolari modalità di creazione degli account (affinché gli stessi siano riferibili univocamente ad una specifica amministrazione), sulle tipologie di ascolto e risposta alle istanze avanzate dai cittadini tramite i canali sociali, sulla gestione dei tempi di azione e reazione dell‟account pubblico, etc. Nella seconda parte, invece, il Vademecum compie un‟analisi più dettagliata delle principali piattaforme presenti sul web213, illustrandone i termini di servizio e le finalità d‟uso per cui le stesse sono pensate. Comprendere compiutamente gli strumenti tecnologici, il loro significato e utilizzo, e avere coscienza delle potenzialità degli stessi è l‟unico modo per evitare che forme di condivisione mediatiche si rivelino dannose per l‟immagine dell‟Ente pubblico. Così come richiesto e prescritto nella Direttiva n. 8 del 2009 emanata dal Ministero per la pubblica amministrazione e l‟innovazione. 211 Nella materia in questione, nel dicembre del 2011, è stato realizzato il Vademecum “Pubblica Amministrazione e social media”, curato da Formez PA. 212 Il vademecum è indirizzato principalmente a figure rappresentative dell‟Ente, quali: il Responsabile del procedimento di pubblicazione dei contenuti sui siti, il Responsabile dell‟accessibilità informatica, il Responsabile dei sistemi informativi, il Capo Ufficio stampa, il Responsabile U.R.P. e un eventuale community manager. 213 Tra tutte, Facebook, Twitter e You Tube. 210 157 Invero, il mutamento delle forme comunicative presenti sul mercato ha imposto anche alla pubblica amministrazione un aggiornamento dei propri registri e stili interattivi che fosse al passo con i tempi, con il fine ultimo di soddisfare al meglio i bisogni degli utenti, fornendo altresì servizi efficienti e immediati. Sempre più spesso l‟informazione passa attraverso canali alternativi, se paragonati a quelli classici istituzionali, utilizzando strumenti moderni di comunicazione quali i c.d. social network. Con tale termine si suole far riferimento alle più comuni reti sociali che mettono in comunicazione diversi utenti, creando o rinsaldando relazioni e favorendo l‟adesione a iniziative, eventi, incontri e simili. Nel perseguire l‟obiettivo della massima trasparenza nel rapporto con il cittadino, anche la PA si avvale sovente dei suddetti strumenti, incentivando l‟utilizzo di nuove modalità di interazione e di cittadinanza attiva, abbandonando le vecchie logiche di autoreferenzialità che hanno caratterizzato, in passato, l‟agire degli enti pubblici. Il Web 2.0214 ha consentito alle PA di sfruttare i social media per rivoluzionare il dialogo con il cittadino, in un‟ottica di condivisione di informazioni e contenuti; il web diventa, quindi, una piattaforma sulla quale far “girare” le varie applicazioni, consentendo di creare relazioni sociali non vincolate all‟utilizzo del pc, in quanto condivise in rete, in gruppi o comunità di appartenenza. La ePartecipation rappresenta appieno una concretizzazione del diritto all‟uso delle soluzioni e degli strumenti del CAD nei rapporti tra qualsiasi soggetto giuridico e le Pubbliche Amministrazioni, garantito dall‟art. 3 del CAD, oltre che un‟applicazione dei principi fondamentali in materia di eDemocracy. È ben evidente che la presenza attiva sui social network è frutto di una scelta della PA, non essendoci alcuna normativa che impone specificamente un‟attività di tal genere. Tuttavia, è estremamente interessante monitorare l‟evoluzione delle dinamiche relazionali che si instaurano tra PA e utenti, in stretta connessione con l‟utilizzo dei social network. Invero, l‟elemento caratterizzane dei social media è dato dall‟essere essi stessi strumenti di partecipazione diretta, prima ancora che di comunicazione. Il Web 2.0 è un termine coniato per indicare uno stato dell‟evoluzione del World Wide Web, rispetto a una condizione precedente. Si fa riferimento, cioè, all‟insieme di tutte quelle applicazioni online che permettono un elevato livello di interazione tra il sito web e l‟utente come, per esempio, i blog, i forum, le chat, i wiki, le piattaforme di condivisione di media (come Flickr,YouTube, Vimeo) e i social network (come Facebook, Myspace, Twitter, Google+, Linkedin, etc.). Il termine web 2.0 è stato utilizzato per la prima volta nel 2004 da Tim O‟Reilly durante una conferenza. 214 158 Ecco perché oggi, affianco ai siti istituzionali, moltissimi comuni italiani sono presenti sui social: tale scelta è giustificata dalla necessità indifferibile di conoscere i luoghi virtuali che il cittadino frequenta abitualmente, il suo livello di soddisfazione in merito ai servizi pubblici offerti e il grado di condivisione dei progetti posti in essere. Tutto ciò ha come fine ultimo, lo si ripete, lo sviluppo di nuove modalità di partecipazione e interazione, garantendo al contempo una maggiore trasparenza ed efficienza. Un‟opzione innovativa di tal genere può, altresì, essere giustificata da motivazioni meno sociologiche ma certamente più pratiche, e per questo non meno importanti, ovvero il risparmio di spesa nell‟utilizzo dei social network. In termini prettamente economici, una PA che apre un account su un social non sostiene in concreto costi ulteriori, ad esclusione di limitate spese di gestione che, tuttavia, sono ben ammortizzate se commisurate alla rilevante possibilità di monitorare in tempo reale i risultati delle iniziative promosse o la condivisione delle scelte effettuate nell‟interesse dell‟utenza, diffondendo informazioni in maniera istantanea e capillare. Ciò consente di individuare facilmente le preferenze dei destinatari dei pubblici servizi, orientando altresì le attività successive dell‟Ente nella direzione maggiormente partecipata, con un risparmio di tempo e risorse. Come dimostrato da studi di settore, infatti, un cittadino su due (48,1% degli italiani) discute e si informa dei servizi della Pubblica Amministrazione tramite social network, tra i quali i più popolari sono indubbiamente Twitter (62%) e Facebook (37%)215. Sugli account degli enti pubblici possono essere reperiti contenuti di svariato genere, a carattere informativo o di servizio, come per esempio opportunità offerte a cittadini e imprese, bandi, fondi disponibili, eventi e notizie istituzionali. Si creano così degli sportelli virtuali che raccolgono manifestazioni di approvazione ma anche di insoddisfazione da parte dei cittadini, consentendo agli stessi di segnalare eventuali problematiche o emergenze da sottoporre in tempo reale all‟attenzione della PA. L‟informazione si muove oggi non più, e non solo, su un canale monodirezionale che parte dalla PA e ha come destinatario ultimo il cittadino; questo è possibile solo grazie ad un‟attività d‟interazione attiva, che coinvolge l‟utente nelle scelte dell‟amministrazione, favorendo la creazione di un dialogo partecipativo e responsabile. I dati in questione sono riportati sul sito dell‟Agenda Digitale, in un interessante articolo di Laura Vergani, che si inserisce nell‟ambito del progetto seguito dall‟Osservatorio di eGovernment del Politecnico di Milano; cfr. http://www.agendadigitale.eu/egov/599_la-pa-coinvolge-il-cittadino-con-i-social-network.htm, consultato nel mese di novembre 2016. 215 159 Dei recentissimi studi di settore hanno dimostrato, tuttavia, che l‟utilizzo degli strumenti social segue logiche differenti a seconda dell‟Ente locale di riferimento; in particolare, l‟ANCI (Associazione Comuni Italiani) ha appurato che nel 2016 la presenza social dei comuni italiani è ancora molto bassa: solamente il 6% circa degli oltre 8mila comuni italiani possiede un account sui principali social network. Invece, per quanto riguarda le Regioni emerge che la maggioranza di queste possiede sia un account Twitter che Facebook216. Pare opportuno chiarire, però, che l‟uso dei social network non va a sostituire i classici canali istituzionali di comunicazione, per i quali è comunque previsto l‟obbligo di efficienza, chiarezza e revisione continua. Ciò si giustifica anche in considerazione del fatto che non tutti i cittadini dispongono di account social, per libera scelta o per incapacità personale; pertanto, l‟Ente deve garantire la comunicazione, la partecipazione e il dialogo on line anche a coloro che non sono iscritti sulle varie piattaforme sociali, pena la violazione del principio costituzionale di uguaglianza. Si auspica, infatti, che i social network siano dei meri servizi integrativi che permettano di raggiungere più facilmente l‟utenza, consentendole di interagire con la PA mediante strumenti di uso quotidiano, per coloro i quali decidano liberamente di avvalersene. La manutenzione del sito istituzionale e il suo continuo aggiornamento diventano una necessità primaria per la PA che decida di presidiare i social: è proprio a quel portale principale, invero, che ogni discussione mediatica farà riferimento per l‟erogazione di un servizio o per il reperimento di dati ufficiali. Il social network resta dunque un ottimo strumento per veicolare e pubblicizzare le informazioni che, tuttavia, resterebbero prive di riscontro senza un contestuale reindirizzamento al sito web preposto, che assume il ruolo di vero e proprio front office dell‟Amministrazione. Ad essere innovato è, quindi, anche il concetto stesso di trasparenza, che da obbligo normativo diventa un precipitato logico della politica di apertura della PA nei confronti dei cittadini, con consequenziale accesso agevolato ai dati e alle informazioni pubbliche detenute, oltre che con un proporzionale aumento di fiducia nelle relazioni con le istituzioni. Tali risultati, frutto di un progetto di ricerca presentato dalla giurista Morena Ragone, sono stati resi noti al convegno su social network e sentiment analisys che si è tenuto nel maggio 2016 a ForumPA. Interessante, al riguardo, l‟articolo di Micaela Pinola, reperibile all‟URL Http://www.techeconomy.it/2016/05/27/social-network-pa/, consultato nel mese di dicembre 2016. 216 160 Invero, un cittadino consapevole e informato collabora più facilmente con l‟ente pubblico che, in piena trasparenza, dimostra di avere interesse alle opinioni e alla condivisione. sociale dei propri progetti. Ad ogni modo, lo sforzo organizzativo e strutturale richiesto ad una PA non è di poco conto se relazionato alla complessità degli strumenti adoperati: perché l‟opera di comunicazione sia veramente efficace è necessario che l‟ente pubblico comprenda appieno le dinamiche sottese all‟utilizzo dei social, adeguando alle suddette dinamiche non solo le proprie competenze tecniche, ma altresì il contesto culturale di riferimento e il linguaggio utilizzato. Ecco perché sempre più frequentemente sono svolti studi e ricerche in materia, monitorando le attività, le conversazioni o le discussioni mediatiche di campioni di utenza, al fine di meglio comprendere il modus operandi del cittadino internauta, le sue esigenze e la percezione che lo stesso ha dell‟agire dell‟Ente. Inoltre, non costituisce un aspetto trascurabile la necessità di assegnare ruoli e responsabilità ben definite all‟interno del gruppo, facente capo all‟amministrazione pubblica, che si occupa della gestione di siti e social network: solo in questo modo si potrà garantire che siano fornite risposte celeri e che le stesse provengano da soggetti legittimati. Sarebbe auspicabile che per ogni Ente ci fosse un community manager, ovvero un soggetto espressamente addetto alla gestione della comunità virtuale e alle comunicazioni social, così da coordinare e gestire in modo organico e controllato l‟attività in rete della PA. Invero, è bene precisare, poi, che la scelta da parte di una PA di presidiare uno o più social network comporta che, al pari dei siti web tradizionali, sia rispettata la principale normativa di settore, concernente la protezione del diritto d‟autore e del diritto alla privacy, oltre che, ovviamente, la disciplina contenuta nel codice dell‟amministrazione digitale. Tutto ciò è ancora più comprensibile se si considera che registrandosi ad uno degli svariati social presenti sul mercato si conclude con il suo gestore un vero e proprio contratto a oggetto informatico (c.d. contratto di social networking), con accettazione delle clausole e dei contenuti unilateralmente predisposti. Ecco perché nel caso in cui un Ente decida di registrarsi e creare un profilo social, accettando incondizionatamente i termini del servizio offerto dal provider, si presume che stia compiendo una scelta ponderata e consapevole. 161 Sarebbe, pertanto, opportuno che tutti gli Enti si dotassero di una “social media policy”, ovvero di un documento formale nel quale vengono definite le norme di comportamento e i regolamenti in merito all‟uso dei social media, rivolte sia ai dipendenti di un‟organizzazione che agli utenti con cui questa entra in contatto attraverso i canali di comunicazione istituzionale online. In dettaglio, ai sensi del Vademecum “Pubblica Amministrazione e Social Network”, precedentemente citato, la policy interna all‟Ente deve contenere due tipi di indicazioni principali: • generali, attinenti alle modalità di presenza in Rete e alle regole di comportamento dei dipendenti nella gestione della presenza on line dell‟Ente, alle modalità di interazione con i cittadini, alle strategie di interazione generali, alla filosofia di presenza in Rete, etc.; • specifiche, che attengono alle regole di gestione dei singoli siti come Facebook, Twitter, YouTube; il documento deve fornire indicazioni sulla tipologia di contenuti pubblicabili e sul tipo di licenza, sul soggetto che si deve occupare di gestire i profili specifici di ogni sito di social networking, sulle modalità di gestione del feedback in ogni contesto e altro ancora. Come risulta facile intuire da quanto sinora esplicato, la gestione di canali social è da intendersi come un lavoro definito e assorbente, non limitabile a sporadici interventi. La strutturazione di canali social, quindi, è auspicabile che avvenga nelle Pubbliche Amministrazioni nella consapevolezza dell‟impegno e dedizione di risorse che ciò richiede, diversamente la (cattiva) comunicazione può ritorcersi con estrema velocità avverso all‟ente. CAPITOLO III INFORMATICA GIURIDICA E SOCIETA‟ 3.1.1. Trattamento dei dati personali Il Codice in materia di protezione dei dati personali, anche definito come “Codice Priavcy”, trova la sua disciplina nel D.Lgs. 30 giugno 2003, n. 196 ed è entrato in vigore il 1 gennaio 2004. 162 Si tratta di un Testo Unico chiaro e semplice mediante il quale il legislatore ha dato vita ad un nuovo sistema di tutela del “dato personale”, sostituendo la previgente normativa contenuta nella Legge n. 675/1996. A quest‟ultima, pur tuttavia, va riconosciuto il rilevante pregio di aver diffuso la consapevolezza dell‟esistenza di una sfera inviolabile meritevole di tutela per ciascun individuo. Accanto alla fonte normativa nazionale, il 4 Maggio 2016 è stato pubblicato nella Gazzetta Ufficiale dell'Unione Europea il “Regolamento europeo n. 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”. Il Regolamento mira a garantire una disciplina sulla protezione dei dati personali uniforme ed omogenea in tutta la UE, al fine di assicurare un livello coerente ed elevato di protezione e rimuovere gli ostacoli alla circolazione dei dati personali all‟interno dell‟Unione Europea. Tale provvedimento è entrato in vigore il 25 Maggio 2016 e sarà concretamente esecutivo nei Paesi UE a decorrere dal 25 maggio 2018, lasciando a tutti i soggetti interessati un biennio di tempo per gli adeguamenti necessari alle proprie politiche del trattamento dei dati. Si osserva che l‟Unione europea già da tempo riconosce il diritto alla protezione dei dati personali quale diritto fondamentale, sancito dall‟articolo 8 della Carta dei diritti fondamentali dell‟Unione europea, nonché dall‟art. 16, primo paragrafo del Trattato sul funzionamento dell'Unione europea (TFUE), introdotto dal trattato di Lisbona, ai sensi dei quali «ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano». Il contenuto del Regolamento europeo n. 679/2016 sarà più appresso approfondito nel paragrafo, dopo avere compreso l‟odierna struttura della disciplina privacy nel nostro Paese, contenuta nel Codice per la protezione dei dati personali, emanato con D.Lgs. 30 giugno 2003, n. 196, destinato ad essere integrato e modificato entro il 25 maggio 2018 per adeguarsi al citato nuovo Regolamento europeo. Il Codice italiano, nel suo articolo 1, esordisce fornendo una chiara enunciazione di principio: “Chiunque ha diritto alla protezione dei dati personali che lo riguardano”. Il significato di tale principio è inequivocabile: i dati personali vanno tutelati sempre, qualunque sia il trattamento al quale sono sottoposti. Per dato personale si intende qualsiasi informazione che riguardi le persone (fisiche, giuridiche, enti o associazioni) identificate o che possono essere identificate anche attraverso altre notizie, ad esempio, attraverso un 163 numero o un codice identificativo. Un esempio di dati personali sono il nome e cognome, l'indirizzo, il codice fiscale di una persona ma anche un'immagine, la registrazione della voce, l‟impronta digitale, i dati sanitari, i dati bancari e via di seguito. La massima espressione di tutela riservata ai dati personali è riconducibile all‟articolo 2 della Costituzione, ove è sancito che “la Repubblica riconosce e garantisce i diritti inviolabili dell’uomo, sia come singolo sia nelle formazioni sociali ove si svolge la sua personalità, e richiede l’adempimento dei doveri inderogabili di solidarietà politica, economica e sociale”. Qualsiasi attività, dunque, che coinvolga dati personali, espletata nel territorio dello Stato con o senza l‟ausilio di mezzi informatici, deve essere svolta necessariamente nel rispetto delle norme contenute nel Codice della privacy. A tal proposito, il Codice per la protezione dei dati personali fissa alcuni principi fondamentali che disciplinano il trattamento dei dati personali. Fra i più importanti da ricordare rientrano: - il principio di finalità (art. 11, comma 1 lettera b)) secondo il quale il trattamento è consentito soltanto se sussiste una ragione che lo giustifica (ad. es. un rapporto contrattuale); - il principio di necessità (art. 3) in base al quale i sistemi informativi e i programmi informatici devono essere configurati in modo tale da circoscrivere l‟uso di dati personali e di dati identificativi ai soli casi di effettiva occorrenza, in maniera da privilegiare, nella pubblicazione dei dati, l‟utilizzo di dati anonimi o solo indirettamente identificativi; - il principio di proporzionalità (art. 11, comma 1 lettera d) in virtù del quale i dati personali e le modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite (ad esempio, trattare un dato che, per la finalità dichiarata non è necessario trattare, costituisce senz‟altro un trattamento sproporzionato). L‟articolo 4 del Codice della privacy, rubricato Definizioni, chiarisce preliminarmente alcune espressioni lessicali che potrebbero essere intese con una valenza diversa nel linguaggio comune. Anzitutto, per “trattamento” dei dati personali si intende “qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”. 164 Inoltre, l‟indeterminatezza del concetto di “dato personale” ha indotto il legislatore a specificare le singole tipologie rientranti nella categoria, ovvero: - i dati identificativi, che permettono l'identificazione diretta dell‟interessato (come ad esempio i dati anagrafici); - i dati sensibili, ossia i dati che possono rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale dell‟individuo; - i dati giudiziari, che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Merita, tuttavia, aggiungere che grazie all'evoluzione delle nuove tecnologie, altri dati personali stanno assumendo un ruolo significativo, come ad esempio quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi visitati e sugli spostamenti 217. Le principali figure individuate dal Codice per il trattamento dei dati personali sono: il titolare, il responsabile, l‟incaricato ed il Garante. Il titolare è colui che esegue il trattamento dei dati personali ed assume il potere decisionale in ordine alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati. Tale figura può essere rappresentata da una persona fisica o giuridica. Tuttavia, quando il trattamento è esercitato da una persona giuridica, da una pubblica amministrazione o da un ente, titolare del trattamento è - ai sensi dell‟art.28 del Codice privacy - “l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza”. Il soggetto al quale si riferiscono le informazioni è, invece, l‟interessato. Quest‟ultimo è il protagonista indiscusso del Codice della privacy ed è, in sostanza, colui che può autorizzare un altro soggetto (il titolare)al trattamento delle informazioni che lo riguardano. Ciascun interessato ha diritto di accedere ai dati personali a sé riferiti e di esercitare gli altri diritti menzionati all‟art.7 del Codice privacy. Nel dettaglio, se l‟interessato si avvale del proprio diritto 217 Per maggiori informazioni si rinvia al sito web istituzionale: http://www.garanteprivacy.it/web/guest/home/diritti/cosaintendiamo-per-dati-personali consultato nel mese di novembre 2016 165 d‟accesso ai dati che lo riguardano o uno degli altri diritti che gli sono garantiti, il titolare del trattamento (o il responsabile) è obbligato a fornire riscontro entro quindici giorni dal ricevimento dell‟istanza, ai sensi dell‟art. 146 del Codice privacy. In base al successivo art. 145, nel caso in cui alla richiesta di accesso seguisse un omesso o incompleto riscontro, i suddetti diritti potranno esser fatti valere dinanzi al giudice o, in alternativa, mediante ricorso all‟Autorità garante. Altro importante soggetto contemplato nel Codice per la protezione dei dati personali è il responsabile del trattamento, la cui introduzione nasce “dall‟esigenza di appurare, in una tematica così delicata, le sfere di autonomia e di responsabilità”218. Il titolare del trattamento dei dati può nominare uno o più soggetti “responsabili del trattamento” con poteri determinati dallo stesso titolare mediante atto di nomina. Tale figura, anche se facoltativa ai sensi dell‟art.29 del Codice privacy, risulta indispensabile nei casi in cui l‟organizzazione dell‟ente abbia dimensioni considerevoli. Ulteriore figura meritevole di nota ai fini del trattamento dei dati personali è rappresentata dall‟incaricato. Sono incaricati tutti coloro (ad esempio, gli impiegati) che effettivamente prenderanno diretta cognizione dei dati personali di un soggetto. Essi riceveranno le istruzioni esecutive loro impartite da parte del titolare o del responsabile per le modalità di trattamento dei dati. Infine, il Garante per la protezione dei dati personali ha il compito di vigilare sulla corretta applicazione della legge e, a tal fine, “opera in piena autonomia e con indipendenza di giudizio e di valutazione”, conformemente alla normativa comunitaria. L‟Authority, come analizzato nel corso della presente trattazione, tutela coloro che ritengono di essere stati lesi in un diritto o libertà riferita al trattamento dei dati personali e dispone di funzioni di tipo investigativo, regolamentare e giurisdizionale. Quanto all‟ambito di applicazione del Codice privacy, il legislatore valorizza il criterio della territorialità, stabilendo - all‟art.5 - che sono tenuti ad osservare la normativa in merito alla protezione dei dati personali tutti coloro che, stabiliti nel territorio dello Stato o in un luogo sottoposto alla sua sovranità, effettuano il trattamento dei dati personali, ancorchè gli stessi siano detenuti all‟estero. Nel caso in cui, invece, il soggetto che effettua il trattamento sia stabilito in un altro Paese dell‟Unione Europea, troverà applicazione la legge del Paese di stabilimento. 218 G. Buttarelli, Banche dati e tutela della riservatezza. La privacy nella società dell’informazione. Giuffrè, Milano 1997, pag. 172. 166 Per concludere, il Codice della privacy prevede in capo al titolare del trattamento dei dati personali precisi obblighi, che potremmo classificare in due categorie: adempimenti verso l‟Autorità garante ed adempimenti verso gli interessati219. Quanto agli adempimenti verso il Garante, sono due i tipi di adempimento previsti dal Codice privacy nei confronti del Garante per la protezione dei dati personali: la notificazione e la richiesta di autorizzazione per i trattamenti effettuati. Mediante la notificazione, il titolare comunica al Garante l‟esistenza di un‟attività di trattamento di dati personali. La precedente normativa sulla privacy (L.n.675/96) prevedeva un obbligo di notificazione assai ampio e quasi generalizzato. Attualmente, il Codice privacy ha ridotto notevolmente l‟obbligo di notificazione, essa, infatti, dev‟essere effettuata esclusivamente nei casi previsti dall‟art.37, come ad esempio, per il trattamento dei dati genetici e dei dati biometrici oppure per il trattamento dei dati che indicano la posizione geografica di persone o oggetti attraverso una rete di comunicazione elettronica. Fuori dai casi tassativamente elencati dall‟art.37, non è necessaria la notificazione, ancorchè i dati trattati rientrino fra i dati sensibili e/o giudiziari. La notificazione va effettuata una volta soltanto per tutti i trattamenti, all‟inizio dell‟attività “a prescindere dal numero delle operazioni e della durata del trattamento da effettuare” e le sanzioni per “omessa o incompleta notificazione” o per “falsità nelle dichiarazioni e notificazioni” sono disciplinate agli articoli 163 e 168 del Codice privacy. Quanto agli adempimenti verso gli interessati, i principali destinatari della tutela in tema di privacy sono le persone fisiche, giuridiche o gli enti cui si riferiscono i dati personali trattati; è proprio per garantire loro maggiore tutela che il legislatore ha previsto in capo ai titolari del trattamento due obblighi ben determinati: “fornire l‟informativa” e “richiedere il consenso per il trattamento dei dati”. L‟obbligo di informativa è previsto dall‟articolo 13 del D.Lgs. n.196/03 e si riferisce ad una comunicazione orale o scritta che mira ad informare l‟interessato circa i soggetti che effettueranno il trattamento, attraverso quali modalità e secondo quali finalità. La norma in commento indica con precisione i requisiti che deve contenere la comunicazione: la finalità e modalità del trattamento, la natura obbligatoria o facoltativa del conferimento dei dati, gli estremi identificativi del titolare, i diritti dell‟interessato, le conseguenze di un eventuale rifiuto di rispondere, i soggetti ai quali possono essere comunicati i dati o che possono venirne a conoscenza. Inoltre, con riguardo alla modalità, ciascun titolare non ha vincoli di 219 M.Farina, Fondamenti di diritto dell’informatica, Forlì, Experta ed., 2012, p.175. 167 forma nell‟elaborazione dell‟informativa, trattandosi di un adempimento a forma libera, anche orale. Quanto poi ai diritti dell‟interessato, l‟art.7 del Codice privacy sancisce che questi ha diritto ad essere informato su tutto ciò che riguarda il trattamento dei propri dati. L‟interessato, inoltre, può far valere i propri diritti - anche senza particolare formalità mediante semplice richiesta rivolta al titolare, che ha l‟obbligo di darne opportuno e tempestivo riscontro. La violazione dell‟obbligo di informativa verso l‟interessato comporta una sanzione da seimila euro a trentaseimila euro. Con riferimento al secondo adempimento gravante sul titolare del trattamento, l‟art. 23 del Codice privacy prevede la preventiva richiesta di consenso da parte dell‟interessato. In particolare, per il trattamento dei dati sensibili, il consenso deve essere manifestato in forma scritta mentre per la restante categoria di dati - genericamente definiti dati comuni- è sufficiente il consenso espresso. Ciò vuol dire che potrebbe essere fornito anche oralmente. Inoltre, il consenso dell‟interessato per il trattamento dei dati comuni deve essere espresso, ossia manifestato in modo inequivocabile ed esplicito; libero, cioè manifestato liberamente dal soggetto, richiesto in termininon definitivi e non incondizionati (non è possibile, ad esempio, chiedere il consenso per ogni trattamento fututo svolto con qualsiasi modalità); specifico, ossia riferito ad uno o più trattamenti chiaramente individuati e aventi specifiche finalità; informato, cioè preceduto dall‟apposita informativa di cui all‟art. 13 del Codice privacy; documentato per iscritto, cioè ottenuto in qualunque forma, anche oralmente, e contestualmente annotato in un apposito registro. Tuttavia, come già osservato, per il trattamento dei dati sensibili il consenso va obbligatoriamente prestato in forma scritta, salvo le deroghe previste all‟art.26 del Codice privacy. La delicatezza della materia sul trattamento dei dati personali, soprattutto se effettuato mediante l‟ausilio di mezzi informatici, è facilmente riscontrabile, da ultimo, in una recente controversia avvenuta in Germania in merito alla qualificazione degli indirizzi IP come dati personali, ai sensi dell‟art. 2, lett. a) della direttiva 95/46/CE, attualmente ancora normativa europea di riferimento in materia di trattamento dei dati personali. Anzitutto, occorre precisare che un indirizzo IP (indirizzo di protocollo Internet) è una sequenza di numeri binari che, assegnata da un fornitore di accesso alla rete ad un determinato dispositivo (es. computer), ne consente l‟univoca identificazione oltre all‟accesso alla rete di comunicazioni elettroniche. Si parla di “indirizzo IP dinamico” quando il fornitore di 168 accesso alla rete assegna al dispositivo del cliente un indirizzo IP temporaneo per ciascun collegamento a Internet, modificandolo in occasione di successivi accessi alla Rete. La controversia (causa C-582/2014) è nata dalla proposizione da parte del sig. Breyer di un‟azione inibitoria contro la Repubblica federale di Germania a causa della memorizzazione, da parte dei siti istituzionali da questa gestiti, degli indirizzi IP associati al sistema host del sig. Beyer ogni volta che questi vi effettuava un accesso. In attesa della sentenza del giudice europeo, sembra interessante esaminare le conclusioni raggiunte dall‟Avvocato generale. L‟Avvocato generale entra nel merito della questione chiarendo che un indirizzo IP dinamico (che fornisce la data e l‟ora di un collegamento), se associato ad altre informazioni, consente indubbiamente l‟identificazione indiretta del titolare del dispositivo utilizzato per l‟accesso alla pagina web e debba quindi considerarsi un dato personale. Tali informazioni “aggiuntive” possono essere in possesso del medesimo soggetto che conosce l‟indirizzo IP o possono essere in possesso di un terzo (nel caso di specie un fornitore di accesso alla rete). Inoltre, l‟Avvocato generale precisa che, per considerare un indirizzo IP quale dato personale, non è sufficiente la mera possibilità, in astratto, di conoscere le informazioni aggiuntive in possesso di un soggetto terzo, ma è necessario che il fornitore di servizi possa “ragionevolmente” rivolgersi a quest‟ultimo al fine di ottenere tali informazioni. Non sarà da considerarsi ragionevole il contatto che sia di fatto molto costoso in termini umani ed economici o praticamente irrealizzabile o vietato dalla legge. Nella fattispecie, essendo il terzo a cui si fa riferimento un fornitore di accesso alla rete, la possibilità del fornitore di servizi Internet di contattarlo e ottenere da lui la trasmissione delle informazioni aggiuntive risulta essere perfettamente “ragionevole”. In attesa di ulteriori aggiornamenti sulla questione, l‟Avvocato generale conclude quindi che, nello specifico caso così come inquadrato, l‟indirizzo IP dinamico deve essere qualificato, ai fini dell‟attività esercitata dal fornitore di servizi Internet, come dato personale220. 3.1.2. Regolamento UE n. 679/2016 220 M. Meneghetti, Gli indirizzi IP dinamici possono essere qualificati come dati personali?, 20 maggio 2016, disponibile al seguente URL: http://www.blogstudiolegalefinocchiaro.it/privacy-e-protezione-dei-dati-personali/gli-indirizzi-ip-dinamici-possono-essere-qualificaticome-dati-personali/ consultato nel mese di novembre 2016 169 Come detto nella parte introduttiva del paragrafo, compreso l‟odierno contenuto del Codice Privacy italiano, occorre ora concentrarsi sulla portata innovativa del “Regolamento europeo n. 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”, pubblicato il 4 Maggio 2016 nella Gazzetta Ufficiale dell'Unione Europea. Sin dalla lettura della rubrica del Regolamento appare evidente il duplice intento che anima il legislatore europeo: la tutela del diritto delle persone alla protezione dei dati che le riguardano, considerato diritto fondamentale dell‟individuo, e la libera circolazione dei dati stessi, divenuta ormai indispensabile in un mondo globalizzato e interconnesso per consentire la realizzazione di un mercato unico europeo. Infatti, dalle quattro libertà fondamentali (libera circolazione delle persone, libera circolazione delle merci, libera circolazione dei servizi e libera circolazione dei capitali), simbolo dell‟integrazione comunitaria, muove la libertà di circolazione del dato, essenziale e ineludibile nell‟odierna società iperconnessa per l‟affermazione delle quattro libertà e la realizzazione del mercato digitale europeo. Quanto alla portata del Regolamento sulla protezione dei dati, esso è applicabile sia al trattamento effettuato in ambito digitale che al trattamento effettuato mediante mezzi analogici. Tuttavia, esso non si applica a tutte le tipologie di trattamento e sono posti limiti all‟ambito di applicazione territoriale, sebbene grazie alla definizione dell‟ambito di applicazione nel provvedimento formulata, appaia forte la forza espansiva anche al di fuori del territorio dell‟Unione. Il Regolamento è, inoltre, applicabile sia ai trattamenti di dati personali effettuati da titolari del trattamento (o responsabili) stabiliti nel territorio dell‟Unione, sia ai trattamenti che, sebbene effettuati da titolari stabiliti in territorio extraeuropeo, riguardano soggetti che “si trovano” nel territorio dell‟Unione, in quanto volti a fornire a tali soggetti beni o servizi o a monitorare i loro comportamenti. Le novità introdotte con la normativa in commento riguardano, dal punto di vista delle aziende (i c.d. "titolari" del trattamento dei dati personali) tutte quelle che, avendo uno stabilimento all'interno dell'UE, trattano dati personali, indipendentemente dal fatto che il trattamento sia effettuato nell'UE stessa. Dal punto di vista, invece, delle persone fisiche – i c.d. "interessati" al trattamento dei propri dati – la nuova normativa si applica a tutti i soggetti presenti nell'UE anche quando, 170 sebbene l'azienda titolare del trattamento non abbia uno stabilimento in territorio UE, il trattamento stesso riguardi l'offerta di beni o la prestazione di servizi ai soggetti interessati o il monitoraggio del loro comportamento, nella misura in cui tale comportamento abbia luogo nei confini dell'UE. Analizzando, nel dettaglio, alcune delle novità di maggior rilievo introdotte dal Regolamento, merita sicuramente attenzione particolare una nuova figura e professionalità (che va ad affiancarsi alla nomenclatura già conosciuta nel nostro Codice Privacy, di seguito trattata, ovvero al "titolare", al "responsabile" e all' "incaricato" del trattamento dei dati) del c.d. Data Protection Officer ("DPO"), il "responsabile della protezione dei dati". Il DPO dovrà essere obbligatoriamente presente all'interno di tutte le aziende pubbliche nonché in tutte quelle ove i trattamenti presentino specifici rischi, come ad esempio le aziende nelle quali sia richiesto un monitoraggio regolare e sistematico degli "interessati", su larga scala, e quelle che trattano i c.d. "dati sensibili". Fra i principali compiti cui sarà adibito il DPO rientra quello di informare e consigliare il titolare o il responsabile del trattamento in merito agli obblighi derivanti dal Regolamento stesso; verificare l'attuazione e l'applicazione della normativa, oltre alla sensibilizzazione e formazione del personale e dei relativi auditors ed infine fornire, se richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti. Concludendo sulle principali novità apportate dal Regolamento, esso: - riconosce espressamente il "diritto all'oblio", ovvero la possibilità per l'interessato di decidere che siano cancellati e non sottoposti ulteriormente a trattamento i propri dati personali non più necessari per le finalità per le quali sono stati raccolti, nel caso di revoca del consenso o quando si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento; - stabilisce il diritto alla "portabilità dei dati", in virtù del quale l'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti, qualora l'interessato abbia fornito il proprio consenso al trattamento o se questo sia necessario per l'esecuzione di un contratto; - sancisce il principio di "accountability", per cui il titolare dovrà dimostrare l'adozione di politiche privacy e misure adeguate in conformità al Regolamento; 171 - introduce il principio della "privacy by design" (dal quale discende l'attuazione di adeguate misure tecniche e organizzative sia all'atto della progettazione che dell'esecuzione del trattamento) nonché quello della "privacy by default" (che ricalca il principio di necessità di cui all'attuale disciplina, stabilendo che i dati vengano trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini). Infine, per quanto concerne il "sistema sanzionatorio", il Regolamento ha aumentato l'ammontare delle sanzioni amministrative pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo, lasciando peraltro ciascuno Stato membro libero di adottare norme relative ad altre sanzioni221. 3.1.3. Privacy e pubblicazione online di atti e documenti amministrativi Al fine di comprendere quali siano le soluzioni privacy in caso di pubblicazione di atti e documenti amministrativi online, il Garante per la protezione dei dati personali ha pubblicato le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” del 15 maggio 2014222. Di seguito gli aspetti essenziali. Le Amministrazioni devono pubblicare solo dati esatti, aggiornati e contestualizzati. Prima di mettere on line sui propri siti informazioni, atti e documenti amministrativi contenenti dati personali, le amministrazioni devono verificare che esista una norma di legge o di regolamento che ne preveda l'obbligo. Le Amministrazioni devono pubblicare on line solo dati la cui pubblicazione risulti realmente necessaria. E' sempre vietata la pubblicazione di dati sulla salute e sulla vita sessuale. I dati sensibili (etnia, religione, appartenenze politiche etc.) possono essere diffusi solo laddove indispensabili al perseguimento delle finalità di rilevante interesse pubblico. Qualora le Amministrazioni intendano pubblicare dati personali ulteriori rispetto a quelli individuati nel D.Lgs. n. 33/2013, devono procedere prima all‟anonimizzazione di questi 221 S. Martinelli, Il nuovo Regolamento generale sulla protezione dei dati: alcune considerazioni informatico-giuridiche, 31 maggio 2016, disponibile al seguente URL: http://www.dimt.it/2016/05/31/il-nuovo-regolamento-generale-sulla-protezione-dei-datialcune-considerazioni-informatico-giuridiche/ consultato nel mese di novembre 2016 222 Le Linee guida sono visionabili all‟URL: http://www.garanteprivacy.it/web/guest/home/docweb/-/docwebdisplay/docweb/3134436 , consultato nel mese di dicembre 2016. 172 dati, evitando soluzioni che consentano l'identificazione, anche indiretta o a posteriori, dell'interessato. I dati pubblicati on line non sono liberamente utilizzabili da chiunque per qualunque finalità. L'obbligo previsto dalla normativa in materia di trasparenza on line di pubblicare dati in “formato aperto”, non comporta che tali dati siano anche “dati aperti”, cioè liberamente utilizzabili da chiunque per qualunque scopo. Il riutilizzo dei dati personali non deve pregiudicare, anche sulla scorta della direttiva europea in materia, il diritto alla privacy. Le Amministrazioni dovranno quindi inserire nella sezione denominata “Amministrazione trasparente” sui propri siti web un alert con cui si informa il pubblico che i dati personali sono riutilizzabili in termini compatibili con gli scopi per i quali sono raccolti e nel rispetto del norme sulla protezione dei dati personali. I dati sensibili e giudiziari non possono essere riutilizzati. Il periodo di mantenimento on line dei dati, come varie volte sottolineato, è stato generalmente fissato in 5 anni dal D.Lgs. n. 33/2013. Sono previste però alcune deroghe, come nell'ipotesi in cui gli atti producano i loro effetti oltre questa scadenza. In ogni caso, quando sono stati raggiunti gli scopi per i quali essi sono stati resi pubblici e gli atti hanno prodotto i loro effetti, i dati personali devono essere oscurati anche prima del termine dei 5 anni. L'obbligo di indicizzare i dati nei motori di ricerca generalisti (es. Google) durante il periodo di pubblicazione obbligatoria è limitato ai soli dati tassativamente individuati dalle norme in materia di trasparenza. Vanno dunque esclusi gli altri dati che si ha l'obbligo di pubblicare per altre finalità di pubblicità (ad es. pubblicità legale sull'albo pretorio o le pubblicazioni matrimoniali). Non possono essere indicizzati (e quindi reperibili attraverso i motori di ricerca) i dati sensibili e giudiziari. A tutela di fasce deboli, persone invalide, disabili o in situazioni di disagio economico destinatarie di sovvenzioni o sussidi, sono previste limitazioni nella pubblicazione dei dati identificativi. Vi è invece l'obbligo di pubblicare la dichiarazione dei redditi di politici e amministratori, con l‟esclusione di dati non pertinenti (stato civile, codice fiscale) o dati sensibili (spese mediche, erogazioni di denaro ad enti senza finalità di lucro ecc.). 173 3.2. I sistemi di cloud computing L'evoluzione delle modalità di utilizzo dei dati e delle informazioni nella società moderna ha portato ad un radicale cambiamento delle abitudini e delle esigenze degli utenti, sia privati che pubblici. La possibilità di essere sempre connessi alla rete internet, a prescindere dal luogo in cui ci si trova, e la necessità di reperire le informazioni ed i dati necessari per il proprio lavoro o per la propria organizzazione di vita, infatti, hanno consentito che si sviluppassero tecniche di memorizzazione ed accesso ai dati tali da consentire di averli sempre pronti e disponibili, a prescindere dal luogo e dal dispositivo con cui ci si collega. In tale ambito, un ruolo decisivo è svolto dal cloud computing la c.d. nuvola informatica. Secondo il N.I.S.T. Statunitense223, “il cloud computing è un ambiente di esecuzione elastico che consente l‟accesso via Rete e su richiesta ad un insieme condiviso di risorse di calcolo configurabili (ad esempio Rete, server, dispositivi di memorizzazione, applicazioni e servizi) sotto forma di servizi a vari livelli di granularità. Tali servizi possono essere rapidamente richiesti, forniti e rilasciati con minimo sforzo gestionale da parte dell‟utente e minima interazione con il fornitore”. Comunemente, il cloud computing viene suddiviso in varie tipologie di cloud oggi utilizzate224: “private cloud”, ovvero un‟infrastruttura informatica dedicata alle esigenze di una singola organizzazione, ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale forma dell‟hosting dei server) nei confronti del quale il responsabile del trattamento esercita un controllo puntuale; “public cloud”, ovvero un‟infrastruttura di proprietà di un fornitore specializzato nell‟erogazione di servizi che mette a disposizione di utenti, aziende o Pubbliche Amministrazioni, e quindi condivide tra di essi, i propri sistemi; la fruizione di tali servizi avviene tramite la rete Internet e implica il trasferimento delle operazioni di trattamento dei dati e/o dei soli dati ai sistemi del fornitore del servizio, il quale assume pertanto un ruolo 223 National Institute of Standards and Technology, P. Mell, T. Grance, The N.I.S.T. Definition of Cloud Computing. Recommendation of the National Institute of Standards and Technology (N.I.S.T.), U.S. Department of Commerce, 2011. 224 Richiamate anche nelle Raccomandazioni del Gruppo di Lavoro “Art. 29” per la protezione dei dati dell‟Unione Europea adottava il Parere n. 5 del 01.07.2012, specialmente nell'Allegato. 174 importante in ordine all‟efficacia della protezione dei dati che gli sono stati affidati; insieme ai dati, l‟utente cede una parte importante del controllo esercitabile su di essi; “cloud intermedi” o “ibridi”, nei quali i servizi erogati da infrastrutture private coesistono con servizi acquisiti da cloud pubblici; “community cloud” (o “cloud di comunità”), in cui l‟infrastruttura informatica è condivisa da diverse organizzazioni a beneficio di una specifica comunità di utenti225. Altra tappa fondamentale a livello internazionale, nello specifico europeo, è rappresentata dalla Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato Economico e Sociale Europeo e al Comitato delle Regioni dal titolo “Sfruttare il potenziale del cloud computing in Europa”, COM(2012)529, del 27 settembre 2012226. Partendo dal presupposto che il cloud computing, da un lato, è in grado di ridurre drasticamente le spese delle tecnologie dell‟informazione, soprattutto per le imprese e le Pubbliche Amministrazioni, permettendo quindi lo sviluppo di nuovi servizi all‟utentecliente-cittadino, sempre più attraenti e efficienti, per altro verso, il cloud computing, a differenza del Web, è ancora in una fase relativamente precoce, e l‟Europa ha la possibilità di intervenire per garantire di essere in prima linea per un suo ulteriore sviluppo227. Ciò comporta l‟intenzione della Commissione di avviare una precisa strategia volta a consentire e facilitare una più rapida adozione del cloud computing in tutti i settori dell‟economia, adozione che può ridurre i costi I.C.T. e, in combinazione con le nuove pratiche di business digitale, può aumentare la produttività, la crescita e l‟occupazione. Gli obiettivi principali della strategia sono quattro: 225 Più specifiche indicazioni in ordine alle tipologie di cloud computing sono contenute nelle citate “Raccomandazioni e proposte sull‟utilizzo del cloud computing nella Pubblica Amministrazione” del 28 giugno 2012, pubblicate dal Digit.P.A. il 10 luglio 2012, pp. 8-11. 226 Occorre, inoltre, ricordare anche la Risoluzione sul cloud computing adottata il 26 ottobre 2012 dalla 34ma Conferenza Internazionale su “Data Protection and Privacy”, svoltasi a Punta del Este – Canoles (Uruguay). La Risoluzione si conclude con delle precise raccomandazioni: il cloud computing non dovrebbe portare ad un abbassamento della tutela nel trattamento dei dati personali; i responsabili del trattamento devono sempre effettuare una valutazione dei rischi (se necessario, mediante il ricorso a terzi di fiducia) prima di imbarcarsi in progetti di cloud; i fornitori di servizi cloud devono garantire un‟adeguata trasparenza, sicurezza e responsabilità nelle soluzioni di cloud, in particolare per quanto riguarda le informazioni sulle violazioni dei dati e le clausole contrattuali che riguardano la portabilità e il controllo dei dati da parte degli utenti; i fornitori di servizi cloud, quando operano in qualità di titolari del trattamento, devono mettere a disposizione degli utenti, se del caso, le informazioni sui potenziali impatti sulla privacy e sui rischi connessi all‟uso di loro servizi; ulteriori sforzi in ricerca, certificazione da parte di soggetti terzi, standardizzazione e sviluppo delle tecnologie devono essere realizzati al fine di sviluppare un adeguato livello di fiducia nel cloud; il Legislatore deve valutare l‟adeguatezza e l‟interoperabilità dei quadri giuridici esistenti per facilitare il trasferimento transfrontaliero dei dati e salvaguardare al meglio la vita privata nell‟era del cloud; tutte le parti interessate (operatori e clienti del cloud computing, così come le autorità di regolamentazione) dovrebbero cooperare al fine di garantire un elevato livello di protezione della privacy e dei dati. 227 European Commission (COM(2012)529/2), Communication From The Commission To the European Parliament, The Council, The European Economic And Social Committee And The Committee Of The Regions, Unleashing the Potential of Cloud Computing in Europe, 2012, visionabile all‟U.R.L.: http://www.ec.europa.eu, p. 2, consultato nel mese di giugno 2013. 175 garantire che gli utenti possano spostare i dati da una “nuvola” all‟altra, o ritirarli del tutto; introdurre una certificazione a livello U.E. per i fornitori dei servizi; definire dei modelli di contratto che stipulino chiaramente gli obblighi legali; instaurare una "partnership per la nuvola europea" tra il settore pubblico e l‟industria per stabilire quali sono le esigenze e far sì che l‟industria europea delle tecnologie dell‟informazione sia in grado di soddisfarle. Le imprese europee potranno così tener testa più efficacemente alla concorrenza, specie a quella statunitense. In Italia, ulteriore intervento in materia si è avuto con il Garante per la protezione dei dati personali che nel 2012 ha pubblicato, dapprima, il documento “Cloud Computing: indicazioni per l‟uso consapevole dei servizi”228 e, poi, il Vademecum rivolto alle imprese e alla Pubblica Amministrazione “Cloud computing: proteggere i dati per non cadere dalle nuvole”229. Nel nostro Paese, importanti disposizioni in tema di cloud sono giunte nel 2013 anche con le nuove “Linee Guida per il disaster recovery delle Pubbliche Amministrazioni” dell'A.G.Id., volte a sostituire quelle del 2011230, nonché col documento “Caratterizzazione dei sistemiCloud per la Pubblica Amministrazione”, contenente una spiccata attenzione ai sistemi cloud all‟interno del Sistema Pubblico di Connettività (S.P.C.)231. 3.2.1. I profili giuridici 228 Il documento è visionabile all‟U.R.L.: http://www.garanteprivacy.it/documents/10160/10704/1819933, ultima consultazione novembre 2014. 229 Il documento è visionabile all‟U.R.L.: http://www.garanteprivacy.it/web/guest/home/docweb/-/docwebdisplay/docweb/1894499, ultima consultazione novembre 2014. 230 In data 24 maggio 2013 l‟Agenzia per l‟Italia Digitale (Ag.I.D.) ha avviato una consultazione pubblica in ordine alla bozza di Linee Guida di indirizzo per lo sviluppo di soluzioni cloud per la Pubblica Amministrazione, dal titolo “Caratterizzazione dei sistemi cloud per la Pubblica Amministrazione”. Le bozze di Linee Guida sono disponibili all‟U.R.L.: http://www.agid.gov.it/sites/default/files/linee_guida/sistemi_cloud_pa.pdf, consultato nel mese di novembre 2014, mentre il testo definitivo all'U.R.L.: http://www.agid.gov.it/sites/default/files/linee_guida/linee-guida-dr.pdf 231 Il documento dell‟Ag.I.D. chiarisce la sua portata sin dalla sua “Prefazione”, nella quale si legge: “Il presente documento ha lo scopo di orientare le soluzioni di sistemi di cloud computing in ambito S.P.C. ed è pertanto diretto ai datacenter delle Amministrazioni che vorranno seguire una logica di razionalizzazione e integrazione, al mercato interessato alle prossime gare S.P.C. […], ai privati interessati a qualificare la propria offerta secondo i bisogni della Pubblica Amministrazione e le linee di indirizzo dell‟Agenzia, ai nuovi datacenter che verranno realizzati. Il documento intende inoltre essere una prima linea di indirizzo per la certificazione delle soluzioni cloud per la Pubblica Amministrazione, in attuazione delle regole tecniche per la qualificazione dei fornitori S.P.C. e della certificazione dei servizi in corso di emanazione”. I problemi essenziali connessi al cloud sono ben delineati nel documento: “Le barriere più critiche per l‟adozione di soluzioni cloud risultano essere quelle determinate dall‟interoperabilità, dalla sicurezza e dalla privacy. Per quanto concerne l‟interoperabilità delle soluzioni, intesa come comparabilità e flessibilità di passaggio tra diverse soluzioni, il presente documento intende fornire, allo stato attuale della tecnologia, dei ragionevoli indirizzi. Per la parte di sicurezza e privacy l‟adozione dello scenario S.P.C., la sottomissione alle regole e alle procedure di sicurezza rappresentano una garanzia per le Pubblica Amministrazione”. 176 Prima di approfondire il problema, squisitamente giuridico, dell‟inquadramento contrattuale del cloud computing, si rende necessario richiamare l‟inquadramento dei tipi di servizio di cloud computing tipici che si possono attivare. I tipi di servizio cloud possono essere: “Infrastructure As a Service” (I.A.A.S.): questo modello prevede che il servizio offerto consista in un‟infrastruttura con capacità computazionale, di memorizzazione, e di Rete, sulla quale l‟utente possa installare ed eseguire il software a lui necessario, dal sistema operativo alle applicazioni; “Platform As a Service” (P.A.A.S.): questo modello prevede che il fornitore del servizio metta a disposizione dell‟utente un‟interfaccia di programmazione (A.P.I.) con la quale l‟utente può scrivere applicazioni che interagiscono con il servizio; “Software As A Service” (S.A.A.S.): questo modello prevede che il servizio offerto sia un‟applicazione software che può essere utilizzata su richiesta; in questo caso, il fornitore del servizio installa l‟applicazione nei propri datacenter, e fornisce agli utenti un‟interfaccia per utilizzarla, come ad esempio un‟interfaccia Web. Da un punto di vista giuridico, ad oggi non esiste una precisa disciplina, nazionale o europea. La materia, soprattutto sotto il profilo tecnologico, è magmatica e al momento il Legislatore non ha dimostrato adeguata capacità evolutiva. L‟incertezza nell‟inquadramento giuridico del contratto di cloud ha ovviamente risvolti importanti nel settore che ci interessa, l‟informatica giuridica, in quanto diviene arduo individuare le giuste tecniche per garantire la sicurezza dell‟elaborazione, conservazione, estrazione, condivisione, circolazione dell‟informazione dotata di valore giuridico (come gli atti di un‟Amministrazione). Diviene altrettanto arduo comprendere e normare la gestione dei flussi informativi, l‟elaborazione e comunicazione della conoscenza internamente alle Pubbliche amministrazioni e tra queste e il cittadino/utente232. Il problema essenziale connesso all‟inquadramento giuridico del contratto di cloud computing è il dubbio inerente alla sua riconduzione alla categoria dei contratti di servizi233 o, invece, a quella dei contratti atipici234. 232 Gli strumenti contrattuali normalmente proposti dai cloud provider appartengono prevalentemente alla categoria dei contratti “per adesione” nei quali, sostanzialmente, le clausole non sono negoziabili e sovente non definiscono aspetti assai delicati (ad esempio, responsabilità, livelli di servizio, legge applicabile ed altri ancora) rischiando quindi di non garantire la necessaria coerenza alla disposizioni che disciplinano in Italia gli appalti pubblici. Cfr Digit.P.A., Raccomandazioni e proposte sull’utilizzo del cloud computing nella Pubblica Amministrazione, cit., pag. 19. 233 177 Altra parte di dottrina sostiene invece la riconducibilità dei contratti cloud S.A.A.S. al novero dei “contratti atipici”. Il giudizio si fonda sulla considerazione in base alla quale i servizi non vengono realizzati di volta in volta per i singoli utenti, ma questi ultimi si limitano ad utilizzare servizi già precedentemente realizzati. La circostanza ora detta non consentirebbe di far rientrare il contratto cloud tra quelli di appalto di servizi. A tali argomentazioni se ne aggiungerebbero altre, sempre da parte di chi propende per una riconducibilità alla categoria dei contratti atipici. Un altro interessante approfondimento trattato all‟interno delle Raccomandazioni del Digit.P.A. riguarda il rapporto tra il contratto di cloud e la normativa sugli appalti pubblici: il primo, infatti, non può prescindere dal secondo poiché “l‟utilizzazione di un sistema basato su cloud computing prevede l‟affidamento a terzi di una o più attività che hanno ad oggetto determinati servizi e prestazioni informatiche e di connettività erogati da soggetti privati” 235. 3.2.2. La sicurezza dei sistemi e la tutela dei dati personali Il cloud computing, rappresentando una nuvola virtuale che contiene dati, informazioni e/o software, è una tecnologia che si espone, proprio per il suo stesso concetto di base, a molti rischi legati alla Rete. Una nuvola, può essere ad esempio attaccata da atti di hackeraggio, e quindi, se essa contiene dei dati sensibili, questi potrebbero essere prelevati con molta più semplicità rispetto al passato. S. Bendandi, Software as a Service (S.A.A.S.): aspetti giuridici e negoziali, “Altalex”, 18 dicembre 2008, visionabile all‟U.R.L.: http://www.altalex.com/index.php?idnot=44076, consultato nel mese di giugno 2013. Bendandi ritiene che “la prevalenza di una prestazione di fare, avente ad oggetto la fornitura di uno o più servizi software o di altra natura, unitamente alla presenza di una organizzazione dotata di mezzi e gestione propri ed al pagamento di un corrispettivo sono tutti elementi che fanno propendere per la configurabilità di un appalto di servizi, sia pure avente ad oggetto prestazioni continuative o periodiche. La prima diretta conseguenza di tale inquadramento è che l‟obbligazione dell‟appaltatore costituisce una obbligazione di risultato, anche se nella pratica non mancano casi di soggetti interessati a far figurare nel contratto i propri obblighi come di mezzi”. 234 E.Belisario, Cloud computing, eBook Altalex, 2011, p. 12, disponibile all‟U.R.L.: http://www.altalex.com/index.php?idnot=14413. Sulle medesime posizioni Belisario, secondo il quale, tranne casi particolari, il contratto di fornitura di servizi cloud rientra nella categoria dell‟appalto di servizi disciplinato dagli artt. 1655 e seguenti del Codice Civile 235 Digit.P.A., Raccomandazioni e proposte sull’utilizzo del cloud computing nella Pubblica Amministrazione, cit., pag. 21. Una Pubblica Amministrazione che intenda acquisire prodotti e servizi cloud deve sottoscrivere con il fornitore, pertanto, un contratto pubblico ai sensi del Codice dei contratti pubblici e del relativo regolamento di esecuzione approvato con D.P.R. n. 207/2010. In particolare, il Digit.P.A., per ciò che attiene le modalità di scelta del software per il servizio di cloud (modello S.A.A.S.) e, quindi, del fornitore, indica una via logica e conforme a legge, cioè una via caratterizzata da un‟analisi comparativa delle soluzioni, prevista dall‟art. 68 C.A.D., e da uno studio di fattibilità. Lo studio di fattibilità è possibile in base all‟art. 13, comma 1, del D.Lgs. n. 39/1993, il quale “dispone che la stipulazione da parte delle Amministrazioni di contratti per la progettazione, realizzazione, manutenzione, gestione e conduzione operativa di sistemi informativi automatizzati, determinati come contratti di grande rilievo ai sensi dell‟art. 9 e dell‟art. 17 [del medesimo Decreto], è preceduta dall‟esecuzione di studi di fattibilità volti alla definizione degli obiettivi organizzativi e funzionali dell‟Amministrazione interessata. Qualora lo studio di fattibilità sia affidato ad impresa specializzata, questa non ha facoltà di partecipare alle procedure per l‟aggiudicazione dei contratti sopra menzionati” 178 Considerata la delicatezza del ruolo del fornitore, è ovvio che l‟Amministrazione o l'impresa che fruisce del servizio debba valutare attentamente il rapporto tra rischi e benefici derivante dall‟utilizzo del cloud, minimizzando i primi attraverso un‟attenta verifica dell‟affidabilità del fornitore, e, dal canto suo, quest‟ultimo, in base alla tipologia dei servizi offerti, si deve assumere contrattualmente la responsabilità di preservare la riservatezza, l‟integrità o la disponibilità dei dati. Occorre, infatti, valutare attentamente quale tipologia di dati gestire in cloud, soprattutto in base all‟affidabilità del fornitore, optando, se necessario, alla gestione in remoto solo di alcune attività (ad esempio, applicativi per ufficio) e non destinando al cloud altre attività e categorie di dati. Il rapporto Amministrazione o impresa (buyer) e fornitore cloud (provider) genera, pertanto, taluni dubbi in ordine alla configurabilità di quest‟ultimo come “contitolare del trattamento”236 o, in alternativa, come “responsabile del trattamento”237. In base all‟art. 29 del D.Lgs. n. 196/2003 il Responsabile deve essere individuato tra soggetti dotati di solida esperienza nel campo del trattamento dei dati personali, ivi compreso il profilo della sicurezza. 3.2.3. Il trasferimento dei dati all’estero Una problematica di particolare interesse, è quella attinente al trasferimento dei dati fuori dell‟Unione Europea in caso di servizi cloud così impostati. Una pratica questa che genera seri problemi in termini di sicurezza nel trattamento e, inoltre, in termini di potere negoziale tra Amministrazione/utente e azienda/provider. In base all‟art. 45 del Codice per la protezione dei dati personali è vietato, in linea di principio, il trasferimento “anche temporaneo” di dati personali verso uno Stato esterno all‟U.E. e allo Spazio Economico Europeo (S.E.E.), rappresentato da Norvegia, Liechtenstein e Islanda, nel caso in cui l‟ordinamento del Paese di destinazione o di transito 236 L‟art. 4, comma 1, lett. f), del D.Lgs. n. 196/2003 definisce il “titolare del trattamento” come “la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro Ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”. 237 L‟art. 4, comma 1, lett. g), del D.Lgs. n. 196/2003 definisce il “responsabile del trattamento” come “la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro Ente, associazione od organismo preposti dal titolare al trattamento di dati personali”. 179 dei dati non assicuri un livello di tutela da ritenersi “adeguato” in rapporto a quello vigente in ambito europeo. La valutazione in ordine al livello di adeguatezza del livello di tutela è svolta dalla Commissione Europea, coadiuvata dalle verifiche effettuate dal Gruppo di Lavoro “Art. 29” per la protezione dei dati dell‟Unione Europea. Ad oggi sono stati ritenuti adeguati i livelli di tutela predisposti dai seguenti Paesi: Andorra, Argentina, Australia, Canada, Guernsey, Isola di Man, Isole Faroe, Israele, Jersey, Nuova Zelanda, Principato di Monaco, Svizzera, Uruguay. Per quanto riguarda gli Stati Uniti d‟America, si pone una questione di particolare rilevanza, in quanto sono uno dei paesi, al di fuori della Unione europea, verso il quale si spostano una grandissima quantità di dati. Proprio per tale motivo, la Commissione Europea, con la decisione 520 del 26 luglio 2000, c.d. Safe Harbor238, ha riconosciuto che, per tutte le attività che rientrano nel campo di applicazione della direttiva CE 95/46, si considera che i "Principi di approdo sicuro in materia di riservatezza" nella stessa decisione richiamati, garantiscano un livello adeguato di protezione dei dati personali trasferiti dalla Comunità ad organizzazioni aventi sede negli Stati Uniti239. Senonchè, in maniera quasi del tutto inaspettata, con la sentenza del 06 ottobre 2015240, la Corte di Giustizia UE ha dichiarato che gli Usa, anche a seguito delle note vicende relative 238 Anche detto “approdo sicuro”, reperibile all‟indirizzo internet http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32000D0520:it:HTML, consultato ottobre 2015 239 Il trasferimento può avvenire sulla base della seguente documentazione pubblicata dal Dipartimento del commercio degli Stati Uniti: a) riepilogo delle modalità di esecuzione dei principi di approdo sicuro, di cui all'allegato III; b) memorandum sui danni per violazioni della riservatezza ed autorizzazioni esplicite previste dalle leggi degli Stati Uniti, di cui all'allegato IV della decisione 520/00; c) lettera della Commissione federale per il commercio (FTC), di cui all'allegato V della decisione 520/00; d) lettera del Dipartimento dei trasporti degli Stati Uniti, di cui all'allegato VI, della decisione 520/00. Inoltre, la decisione 520/00, prescrive che devono sussistere le seguenti condizioni in relazione a ogni singolo trasferimento di dati: a) l'organizzazione che riceve i dati si è chiaramente e pubblicamente impegnata a conformarsi ai principi applicati in conformità alle FAQ, e b) detta organizzazione è sottoposta all'autorità prevista per legge di un ente governativo degli Stati Uniti, compreso nell'elenco di cui all'allegato VII, competente ad esaminare denunce e a imporre la cessazione di prassi sleali e fraudolente nonché a disporre il risarcimento di qualunque soggetto, a prescindere dal paese di residenza o dalla nazionalità, danneggiato a seguito del mancato rispetto dei principi applicati in conformità alle FAQ. Ogni organizzazione deve autocertificare la sua adesione ai principi applicati in conformità alle FAQ.. 240 Nella causa C-362/14, di rinvio preliminare ai sensi dell‟art. 267 TFEU, richiesta dalla High Court d‟Irlandanel procedimento promosso da Maximillian Schrems (studente austriaco) nei confronti del Data Protection Commissioner (Autorità Garante per la protezione dei dati personali in Irlanda), relativamente alla richiesta di accesso ai propri dati personali trattati dal social network Facebook; il testo integrale in inglese della sentenza è reperibile all‟indirizzo internet http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30dd760ae098594f45dea7bbe360674d3298.e34KaxiLc3qMb4 0Rch0SaxuRbxn0?text=&docid=169195&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=491666, mentre il 180 al caso Snowden, non garantiscono quel livello adeguato di protezione dei dati personali, indispensabile per il trasferimento dei dati all‟estero, in conformità alla direttiva 95/46, ed ha dichiarato invalida la decisione 520/00. La suddetta sentenza ha creato non poco scompiglio nell‟ambito dei rapporti tra USA e UE, soprattutto per i potenziali risvolti negativi nelle transazioni commerciali. Per risolvere tale situazione, la U.E. E gli U.S.A. Hanno negoziato un nuovo accordo, denominato “Privacy Shield” e che ha preso il posto del Safe Harbour. Il suddetto accordo è stato adottato con decisione della Commissione Europea del 12 luglio 2016241ed il Garante Italiano ha emanato la relativa Autorizzazione con Provvedimento n. 436 del 27 ottobre 2016242. In base al Privacy Shield, le organizzazioni che intendono trasferire dati personali tra gli Usa e la Ue sono tenute ad autocertificare il rispetto dei c.d. Principi, tra i quali i più significativi sono quello dell'informativa, della integrità dei dati, della limitazione delle finalità e quello della sicurezza. Infine, le organizzazioni coinvolte dovranno rispettare il principio di ricorso, controllo e responsabilità, ossia mettere a disposizione meccanismi solidi volti a garantire il rispetto dei principi e la possibilità di ricorso per l'interessato dell'UE i cui dati personali sono stati trattati in modo non conforme, compresi mezzi di ricorso efficaci. L'autocertificazione da parte delle organizzazioni avviene su base volontaria, ma successivamente esse sono obbligate a rispettarne effettivamente i principi; per poter continuare a fruire dello “scudo” per ricevere i dati personali dall'Unione, l'organizzazione deve ricertificare ogni anno l'adesione al regime. Ad ogni modo, occorre tenere presente che il Safe Harbor ed il Privacy Shield non sono il solo strumento legale per traferire dati personali all‟estero, in quanto tale traferimento è sempre possibile sulla base del consenso dell‟interessato, oppure sulla base delle B.C.R. (Binding Corporate Rules)243 o delle clausole contrattuali standard c.d. Model Contracts244. comunicato stampa in italiano al seguente indirizzo internet http://curia.europa.eu/jcms/upload/docs/application/pdf/201510/cp150117it.pdf, entrambi consultati nel mese di ottobre 2015. 241 Reperibile all'indirizzo internet http://eur-lex.europa.eu/legalcontent/IT/TXT/PDF/?uri=CELEX:32016D1250&from=IT, consultato dicembre 2016. 242 L‟Autorizzazione è disponibile all‟URL: http://www.garanteprivacy.it/web/guest/home/docweb/-/docwebdisplay/docweb/5652873, consultato nel mese di dicembre 2016. 243 Le BCR sono regole interne di grandi multinazionali che definiscono la policy globale in riferimento ai trasferimneti internazionali di dati personali all‟iinterno delle società appartenenti allo stesso gruppo e localizzate in paesi differenti che non garantiscono adedguati livelli di protezione; per maggiorni informazioni si può consultare il link in inglese http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/index_en.htm oppure la pagina dedicata del 181 Ad ogni modo, il rispetto delle misure minime di sicurezza previste dagli artt. 31-34 e dall‟Allegato B al D.Lgs. n. 196/03, ancor più che nel caso di provider nazionali, diviene oltremodo necessario. 3.2.4. La titolarità dei dati pubblici In ambito pubblico, sussiste il problema della titolarità del dato in caso di utilizzo di servizi cloud. La norma di riferimento è da considerarsi l‟art. 50, comma 3bis, C.A.D.: “Il trasferimento di un dato da un sistema informativo ad un altro non modifica la titolarità del dato”. Da ciò consegue che la responsabilità del dato, anche in termini di sua sicurezza, esattezza e veridicità, rimane sempre in capo ad una Pubblica Amministrazione che ha formato o raccolto il dato. Come si è già avuto modo di vedere, le Pubbliche Amministrazioni hanno l'obbligo giuridico di organizzarsi in modo da tendere alla completa digitalizzazione nello svolgimento delle funzioni istituzionali. Affinchè ciò sia possibile, le stesse P.A. devono dotarsi di appositi programmi informatici. Il C.A.D. dedica un intero Capo, il VI, allo Sviluppo, acquisizione e riuso di sistemi informatici nelle pubbliche amministrazioni. Il Capo si apre con l'art. 67, il quale, tra le modalità di sviluppo ed acquisizione, prevede che le pubbliche amministrazioni centrali, per i progetti finalizzati ad appalti di lavori e servizi ad alto contenuto di innovazione tecnologica, possono selezionare uno o più proposte utilizzando il concorso di idee di cui all'articolo 57 del decreto del Presidente della Repubblica 21 dicembre 1999, n. 554245 e che possono porre a base delle gare aventi ad oggetto la progettazione, o l'esecuzione, o entrambe, degli appalti, le proposte ideative acquisite, previo parere tecnico di congruità del DigitPA (ora AgID). Ben più importante, anche perchè oggetto di recente aggiornamento, è l'art. 68, rubricato sito del Garante privacy italiano http://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-eintenazionale/trasferimento-dei-dati-verso-paesi-terzi 244 Reperibili all‟indirizzo internet http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm, o sul sito del Garante privacy italiano http://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativacomunitaria-e-intenazionale/trasferimento-dei-dati-verso-paesi-terzi, consultato nel mese di ottobre 2015. 245 Si segnala che il DPR cit. è stato, successivamente, abrogato dal D.P.R. 5.10.2010, N. 207. 182 “Analisi comparativa delle soluzioni”, stabilisce che le pubbliche amministrazioni (tutte le PP.AA.) acquisiscono programmi informatici o parti di essi nel rispetto dei principi di economicita e di efficienza, tutela degli investimenti, riuso e neutralita tecnologica, a seguito di una valutazione comparativa di tipo tecnico ed economico; al contempo, concede loro la possibilità di scegliere alle seguenti soluzioni disponibili sul mercato246: a) software sviluppato per conto della pubblica amministrazione; b) riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione; c) software libero o a codice sorgente aperto; d) software fruibile in modalità cloud computing; e) software di tipo proprietario mediante ricorso a licenza d'uso; f) software combinazione delle precedenti soluzioni. A tal fine, le pubbliche amministrazioni prima di procedere all'acquisto, secondo le procedure di cui al codice di cui al Codice degli Appalti247, effettuano una valutazione comparativa delle diverse soluzioni disponibili sulla base dei seguenti criteri: a) costo complessivo del programma o soluzione quale costo di acquisto, di implementazione, di mantenimento e supporto; b) livello di utilizzo di formati di dati e di interfacce di tipo aperto nonche di standard in grado di assicurare l'interoperabilita e la cooperazione applicativa tra i diversi sistemi informatici della pubblica amministrazione; c) garanzie del fornitore in materia di livelli di sicurezza,conformita alla normativa in materia di protezione dei dati personali, livelli di servizio tenuto conto della tipologia di software acquisito. Nel caso in cui dalla suddetta valutazione comparativa di tipo tecnico ed economico, risulti motivatamente l'impossibilita di accedere a soluzioni già disponibili all'interno della pubblica amministrazione, o a software liberi o a codici sorgente aperto, adeguati alle esigenze da soddisfare, è consentita l'acquisizione di programmi informatici di tipo proprietario mediante ricorso a licenza d'uso. La valutazione di cui sopra è effettuata secondo le modalita e i criteri definiti dall'Agenzia 246 Al riguardo, si veda la Circolare AgID del 6 dicembre 2013 n.63 Linee guida per la valutazione comparativa prevista dall‟art. 68 del D.Lgs. 7 marzo 2005, n. 82 “Codice dell‟Amministrazione digitale”, reperibile all'indirizzo internet http://www.agid.gov.it/sites/default/files/linee_guida/circolare_agid_63-2013_linee_guida_art_68_del_cad_ver_13_b.pdf 247 Decreto legislativo 12 aprile 2006 n. 163 183 per l'Italia digitale, che, a richiesta di soggetti interessati, esprime altresi parere circa il loro rispetto. Il comma 2 impone alle pubbliche amministrazioni nella predisposizione o nell'acquisizione dei programmi informatici, l'adozione di soluzioni informatiche, quando possibile modulari, che assicurino l'interoperabilità e la cooperazione applicativa e consentano la rappresentazione dei dati e documenti in più formati, di cui almeno uno di tipo aperto, salvo che ricorrano motivate ed eccezionali esigenze. Una delle modalità più appetibili è disciplinata dall'art. 69, rubricato “Riuso dei programmi informatici”; in base a tale articolo, le pubbliche amministrazioni titolari di programmi informatici realizzati su specifiche indicazioni del committente pubblico, hanno obbligo di darli in formato sorgente, completi della documentazione disponibile, in uso gratuito ad altre pubbliche amministrazioni che li richiedono e che intendano adattarli alle proprie esigenze, salvo motivate ragioni. Secondo la definizione reperibile sul sito dell'AgID248, per "riuso di programmi informatici o parti di essi" si intende la possibilità per una pubblica amministrazione di riutilizzare gratuitamente programmi informatici o parti di essi, sviluppati per conto e a spese di un‟altra amministrazione adattandoli alle proprie esigenze. Al fine di favorire il riuso dei programmi informatici di proprieta delle pubbliche amministrazioni, nei capitolati o nelle specifiche di progetto è previsto ove possibile, che i programmi appositamente sviluppati per conto e a spese dell'amministrazione siano facilmente portabili su altre piattaforme e conformi alla definizione e regolamentazione effettuata da DigitPA (ora AgID). Le pubbliche amministrazioni inseriscono, poi, nei contratti per l'acquisizione di programmi informatici o di singoli moduli, clausole che garantiscano il diritto di disporre dei programmi ai fini del riuso da parte della medesima o di altre amministrazioni. Nei contratti di acquisizione di programmi informatici sviluppati per conto e a spese delle amministrazioni, invece, le stesse possono includere clausole, concordate con il fornitore, che tengano conto delle caratteristiche economiche ed organizzative di quest'ultimo, volte a vincolarlo, per un determinato lasso di tempo, a fornire, su richiesta di altre amministrazioni, servizi che consentono il riuso dei programmi o dei singoli moduli. Le 248 http://www.agid.gov.it/glossario/riuso 184 clausole suddette definiscono le condizioni da osservare per la prestazione dei servizi indicati. L'art. 70 C.A.D. prevede l'istituzione di uno strumento di raccolta e messa a disposizione, attraverso una apposita banca dati, dei programmi informatici riutilizzabili. Le pubbliche amministrazioni centrali che intendono acquisire programmi applicativi valutano preventivamente la possibilita di riuso delle applicazioni analoghe rese note dal DigitPA (oggi AgID), motivandone l'eventuale mancata adozione. Il catalogo nazionale dei programmi informatici riutilizzabili è reperibile sul sito web dell'AgID249. Ovviamente, perchè l'alimentazione e la consultazione della suddetta banca dati siano efficaci e spingano le amministrazioni ad attingere dalla stessa per le loro esigenze, è fondamentale il ruolo dell'organo tecnico. Con le linee guida per l'Inserimento ed il riuso di programmi informatici o parti di essi pubblicati nella “banca dati dei programmi informatici riutilizzabili” del DigitPA (oggi AgID)250, quindi, si è fornito alle PP.AA. uno strumento molto utile per incentivare la pratica del riuso e favorire la riduzione dei costi di acquisto di prodotti e servizi in ambito ICT nella pubblica amministrazione e la disponibilita di software di qualita. Le linee guida contengono una Check List destinata a valutare l‟idoneità al riuso degli oggetti e la determinazione dell‟Indice di riusabilità, forniscono modelli di accordi per l'uso e la cessione dei programmi da una P.A. ad un'altra, i passi da seguire per inserire nella banca dati i software da condividere e per ottenere il riuso dei programmi ivi inseriti. Esse chiariscono che il riuso di un programma informatico o parte di esso (anche definito “Oggetto”) di un‟amministrazione cedente e il ri-utilizzo del medesimo in un contesto diverso da quello per il quale e stato originariamente realizzato, al fine di soddisfare esigenze simili o anche solo parzialmente simili a quelle che portarono al suo primo sviluppo. Lo scenario sopra rappresentato, non indicando vincoli alle modalita di riuso, ovvero alle modalita di utilizzo dell‟Oggetto all‟interno del contesto dell‟utilizzatore, consente di identificare diverse modalita di riuso: 249 250 http://www.agid.gov.it/catalogo-nazionale-programmi-riusabili http://www.agid.gov.it/sites/default/files/linee_guida/linee-guida-riuso-12-04-2012-rev_23-07-2012.pdf 185 - Riuso in cessione semplice: semplice cessione di un applicativo da un‟amministrazione ad un‟altra; - Riuso con gestione a carico del cedente: oltre a cedere l‟applicativo, l‟amministrazione proprietaria del software si fa carico della manutenzione dello stesso; - Riuso in facility management: oltre che della manutenzione del software, l‟amministrazione cedente si fa carico della predisposizione e gestione dell‟ambiente di esercizio per l‟amministrazione che effettua il riuso; - Riuso in ASP: è una variante del caso precedente in cui un soggetto terzo, (amministrazione cedente o utilizzatrice o fornitore selezionato nel rispetto delle norme vigenti) si fa carico della manutenzione e dell‟esercizio del software per più amministrazioni, che riconoscono il corrispettivo in relazione al servizio ricevuto attraverso un accordo/contratto quadro all‟uopo predisposto. Altrettanto importante, anche in considerazione degli aggiornamenti allo stato dell'arte, è la già citata Circolare AgID n. 68 del 6.12.2013, la quale ha lo scopo di illustrare, attraverso l‟esposizione di un percorso metodologico e di una serie di esempi, le modalità e i criteri per l‟effettuazione della valutazione comparativa delle soluzioni prevista dal Codice per l‟Amministrazione Digitale all‟art. 68. La circolare, sotto forma di Linee guida, è strutturata in capitoli; dopo una Premessa, comprendente un resoconto delle attività svolte dal Tavolo di lavoro incaricato della composizione delle Linee guida, viene descritto il Contesto di riferimento, riportante l‟ambito di applicazione delle Linee guida e un quadro generale della metodologia proposta, vengono quindi elencate le varie fasi della metodologia, ove si descrivono in dettaglio i passi da seguire per la valutazione comparativa. Un apposito capitolo tratta gli Aspetti giuridici, ove si forniscono informazioni su alcune tipologie di licenze d‟uso ed elementi per la redazione degli atti del procedimento di acquisizione, mentre l'Appendice, comprendente la bibliografia, il glossario e i principali riferimenti normativi. 3.3. Diritto d’autore e ICT. 186 3.3. Diritto d’autore e ICT. Le leggi a tutela del diritto d‟autore trovano origine nel sistema britannico del 1500 quando, a seguito dell‟invenzione della stampa si avvertì il bisogno di tutela dell‟editoria in primis e, poi, anche degli autori dei testi, al fine di regolamentare la diffusione della cultura. Il primo statuto inglese a tutela del copyright, ovvero lo Statuto Di Anna risale, tuttavia, al 1710, e si applicava inizialmente solo alle copia di libri; successivamente è stato esteso ad altri usi, come traduzioni e lavori derivati, spettacoli, dipinti, fotografie, registrazioni sonore, film e programmi informatici. Il diritto d‟autore e i diritti a esso connessi sono, allo stato, disciplinati nel nostro ordinamento da due fonti primarie, ovvero il codice civile (negli artt. 2575-2583) e la Legge n. 633/1941, la c.d. Legge sul diritto d‟Autore (LDA), di recente riformata251; ad esse si associano poi altre norme a carattere nazionale, come per esempio la Legge n. 248/2000252 o alcune disposizioni sanzionatorie contenute nel codice penale. Pur non essendo presente nella nostra Carta costituzionale un esplicito riferimento al diritto d‟autore, esso può, però, essere ricompreso in svariate previsioni, tra cui l‟art. 21 Cost. ove si riconosce la libertà di manifestazione del pensiero “con la parola, lo scritto e ogni altro mezzo di diffusione”, o l‟art. 33 Cost., secondo cui “l’arte e la scienza sono libere”. Inoltre, una forte azione propulsiva di rinnovamento è stata avviata dapprima a livello internazionale, mediante la sottoscrizione di trattati e l‟adesione a Convenzioni, e poi a livello comunitario, con l‟emanazione di Direttive253 tese a disciplinare singoli aspetti specifici ed innovativi della legge sul diritto d‟autore, al fine di adeguare la normazione interna all‟evoluzione tecnologica. Infine, un ruolo di controllo, garanzia e contenimento, sia a livello normativo che applicativo, è svolto dall‟Autorità garante per le comunicazioni (Agcom) che ha il compito Il legislatore è intervenuto con dei correttivi nel 2014, nel 2015 e nel 2016. In dettaglio, con la più recente riforma del 2016 è stata depenalizzata l‟ipotesi di cui all‟art. 171 quater, il quale prevede oggi una sanzione di tipo amministrativo per chiunque “abusivamente ed a fini di lucro: a) concede in noleggio o comunque concede in uso a qualunque titolo, originali, copie o supporti lecitamente ottenuti di opere tutelate dal diritto di autore; b) esegue la fissazione su supporto audio, video o audio video delle prestazioni artistiche di cui all'art. 80”. 252 Trattasi di una disciplina speciale, rubricata “Nuove norme di tutela del diritto d’autore”, che ha profondamente innovato la LDA del 1941. 253 Si suole in genere far riferimento a: Direttiva 91/250/CEE relativa alla tutela giuridica di programmi per elaboratore; Direttiva 96/9/CE relativa alle banche dati; Direttiva 2001/29/CE sull‟armonizzazione di taluni aspetti del diritto d‟autore e dei diritti connessi nella società dell‟informazione; Direttiva 2004/48/CE sul rispetto dei diritti di proprietà intellettuale; Direttiva 2006/116/ CE sulla durata di protezione del diritto d‟autore e di alcuni diritti connessi; Direttiva 2014/26/UE sulla gestione collettiva dei diritti d‟autore e dei diritti connessi e sulla concessione di licenze multiterritoriali per i diritti su opere musicali per l‟uso online nel mercato interno. 251 187 di vigilare e intervenire nei settori delle telecomunicazioni, dell‟audiovisivo, dell‟editoria e delle comunicazioni postali. Il diritto d‟autore rientra nella più ampia categoria dei diritti di proprietà intellettuale e ha lo scopo di garantire all‟autore il godimento esclusivo e lo sfruttamento dei benefici derivanti da una creazione dell‟ingegno, dotata del requisito dell‟originalità. In particolare, il diritto d‟autore consta di due elementi essenziali254: il diritto al riconoscimento dell‟esclusiva paternità dell‟opera, definito “diritto morale d’autore”255 e il diritto a godere e sfruttare economicamente la creazione, il c.d. “diritto di sfruttamento economico”256. La differenza fondamentale tra le due suddette componenti si rinviene nella differente disponibilità cui le stesse sono soggette: mentre il diritto morale d‟autore, per sua stessa natura, è inalienabile, irrinunciabile e imprescrittibile, in quanto strettamente dipendente dall‟autore, il diritto di sfruttamento economico, di natura patrimoniale, è cedibile dall‟autore a terzi, con scopo di lucro o gratuitamente, senza che questo comprometta l‟integrità dell‟opera. Alle due precisate componenti si aggiunge poi la terza categoria dei c.d. “diritti connessi o affini”, i quali non riguardano direttamente l‟espressione creativa, quanto piuttosto l‟utilizzo dell‟opera; nello specifico, tali diritti saranno vantati da artisti interpreti ed esecutori, produttori di dischi fonografici o supporti analoghi, produttori di opere cinematografiche o audiovisive, emittenti radiofoniche e televisive257. Ai sensi dell‟art. 1 della LDA e dell‟art. 2575 cc l‟oggetto del diritto d‟autore è costituito da “le opere di ingegno di carattere creativo che appartengono alle scienze, alla letteratura, alla musica, alle arti figurative, all’architettura, al teatro, alla cinematografia, qualunque ne sia il modo o la forma di espressione”, a cui sono stati aggiunti, successivamente, i programmi per elaboratore e le banche dati. Giova precisare che il diritto in questione sorge automaticamente con la creazione originale di un‟opera d‟ingegno; ciò vuol dire che il nostro ordinamento non prevede particolari I due elementi del diritto d‟autore hanno altresì la funzione di distinguere lo stesso dal copyright, istituto tipico dei sistemi di common law, in cui non è dato rinvenire alcun riferimento alla componente del diritto morale d‟autore. Al riguardo v. A. Clerici, Manuale di informatica giuridica, Egea, Milano, p. 190. 255 Diritto di rivendicare la paternità dell‟opera e di opporsi a qualsiasi deformazione, mutilazione o altra modificazione ad ogni atto a danno dell‟opera stessa che possano essere di pregiudizio al suo onore o alla sua reputazione. 256 Diritto di riprodurla, di eseguirla, di rappresentarla, di trascriverla, di diffonderla, etc. 257 Sul punto v. S. Spagnuolo, Diritto d’autore on line tra libertà e controllo, in Supplemento Altalex Quotidiano, Novembre 2014. 254 188 formalità di valutazione, richiedendo solo che si tratti di un‟attività “creativa”258, ovvero originale e innovativa. Con riferimento poi alla fascia temporale di esercizio del diritto, è l‟art. 25 della LDA che, per come revisionato, fissa un limite massimo pari all‟intera durata della vita dell‟autore, maggiorato di 70 anni dopo la sua morte. Allo scadere del settantesimo anno solare successivo alla morte dell‟autore, le opere diventano liberamente fruibili da chiunque, senza che sia necessaria una previa autorizzazione da parte degli eredi. È evidente, dunque, che un‟opera può essere liberamente utilizzata da soggetti diversi dal suo autore in due casi: in primis quando sono scaduti i limiti temporali massimi previsti dalla legge a tutela del diritto e l‟opera diventa, quindi, di pubblico dominio; il secondo caso, invece, si ha quando vi è un‟espressa autorizzazione o licenza concessa dall‟autore. È questo il caso dei Creative Commons, licenze con cui il titolare del diritto d‟autore autorizza la diffusione della propria opera, con contestuale rinuncia ad alcuni diritti, così consentendo la libera circolazione della cultura e dell‟arte come veicolo di conoscenza e creatività. Le nuove sfide dell‟economia digitale richiedono, tuttavia, una costante opera di monitoraggio e aggiornamento della materia del diritto d‟autore, soprattutto in considerazione della velocità con cui mutano e progrediscono le conoscenze informatiche. Invero, l‟avanzamento del progresso tecnologico e l‟utilizzo capillare delle Tecnologie dell‟Informazione e della Comunicazione (ICT) sono strettamente connessi alla materia della tutela della creatività umana: l‟elaborazione, la fruizione e la diffusione delle opere d‟ingegno viaggia sempre più spesso attraverso la Rete, necessitando perciò di specifica tutela e di nuovi strumenti. La tensione continua tra libertà dei saperi e diffusione controllata degli stessi non sempre riesce a trovare il proprio punto di equilibrio nella tutela del diritto d‟autore on line. È questo il nuovo obiettivo richiesto al legislatore in materia. Internet favorisce la creazione di un mercato globale dei contenuti digitali, ma un‟espansione di tal genere richiede, al contempo, strumenti che si dimostrino in grado di gestire e sanzionare l‟uso illecito di creazioni protette259. Sul punto è interessante il dictum di una sentenza della Suprema Corte, secondo la quale: “Il diritto d’autore, a differenza del diritto delle invenzioni, caratterizza in senso marcatamente soggettivo la creatività, la quale, nell’ambito di tali opere dell’ingegno, non è costituita dall’idea di per sé, ma dalla forma della sua espressione, ovvero dalla sua soggettività, di modo che la stessa idea può essere alla base di diverse opere d’autore, come è ovvio nelle opere degli artisti, le quali tuttavia sono o possono essere diverse per la creatività soggettiva che ciascuno degli autori spende, e che in quanto tale rileva per l’ottenimento della protezione”; cfr. Cass. civ., sez. I , 11 agosto 2004, n. 15496. 259 Al riguardo, v. A. Clerici, Manuale di informatica giuridica, cit., p. 210. 258 189 Al riguardo, nell‟art. 2 della LDA si legge: “sono protetti i programmi per elaboratore, in qualsiasi forma espressi purché originali quale risultato di creazione intellettuale dell’autore. Restano esclusi le idee e i principi che stanno alla base di qualsiasi elemento di un programma, compresi quelli alla base delle sue interfacce. Il termine programma comprende anche il materiale preparatorio per la progettazione del programma stesso”. Per quanto attiene alla tutela dei software, poi, la LDA all‟art. 64-bis sancisce il diritto esclusivo dell‟autore di effettuare o autorizzare: a) la riproduzione, permanente o temporanea, totale o parziale, del programma per elaboratore con qualsiasi mezzo o in qualsiasi forma. Nella misura in cui operazioni quali il caricamento, la visualizzazione, l‟esecuzione, la trasmissione o la memorizzazione del programma per elaboratore richiedano una riproduzione, anche tali operazioni sono soggette all‟autorizzazione del titolare dei diritti; b) la traduzione, l‟adattamento, la trasformazione e ogni altra modificazione del programma per elaboratore, nonché la riproduzione dell‟opera che ne risulti, senza pregiudizio dei diritti di chi modifica il programma; c) qualsiasi forma di distribuzione al pubblico, compresa la locazione, del programma per elaboratore originale o di copie dello stesso. È bene precisare, tuttavia, che la normativa succitata si applica solo se, e in quanto, il software utilizzato o riprodotto sia munito di licenza di originalità, non essendo possibile tutelare in alcun modo le copie non autorizzate. Discorso diverso vale per le banche dati, per le quali è previsto (dall‟art. 64-quinquies) che l‟autore ha il diritto esclusivo di eseguire o autorizzare: a) la riproduzione permanente o temporanea, totale o parziale, con qualsiasi mezzo e in qualsiasi forma; b) la traduzione, l‟adattamento, una diversa disposizione e ogni altra modifica; c) qualsiasi forma di distribuzione al pubblico dell‟originale o di copie della banca dati; d) qualsiasi presentazione, dimostrazione o comunicazione in pubblico, ivi compresa la trasmissione effettuata con qualsiasi mezzo e in qualsiasi forma; e) qualsiasi riproduzione, distribuzione, comunicazione, presentazione o dimostrazione in pubblico dei risultati delle operazioni di cui alla lettera b). In considerazione dell‟ingente lavoro necessario per costituire una buona banca dati, il Legislatore ha, poi, riconosciuto al costitutore di essa un diritto sui generis: 190 indipendentemente dalla tutelabilità della banca dati a norma del diritto d‟autore o di altri diritti, e senza pregiudizio dei diritti sul contenuto o parti di esso, il costitutore di una banca dati ha il diritto, per 15 anni dal completamento dell‟opera, di vietare le operazioni di estrazione ovvero reimpiego della totalità o di una parte sostanziale della stessa. Tra gli elementi degni di tutela, in quanto opera d‟ingegno, meritano di essere ricompresi anche i siti web, rispettando essi le caratteristiche richieste dalla legge, ovvero la creatività, l‟originalità e la novità. In particolare saranno garantiti non solo i siti in sé, ma anche tutte le componenti grafiche, testuali o ipertestuali in essi contenute, sempre purché originali. Più in generale, l‟obiettivo che si auspica di raggiungere è il giusto bilanciamento tra la legittima tutela dell‟autore dell‟opera e l‟esigenza, altrettanto legittima, di stimolare la diffusione della cultura e dell‟informazione. I problemi che possono sorgere dall‟applicazione della normativa classica alle pubblicazioni di natura telematica sono di svariato tipo e legate sia a problemi tecnici che a problemi giuridici. Una delle caratteristiche dei contenuti delle opere d’ingegno “digitali” è che esse sono per lo più interattive e multimediali, assemblando in un unico prodotto svariate opere, spesso di diversa natura, già singolarmente protette; con ciò si pone il problema di capire a chi sia, pertanto, attribuibile la paternità dell‟opera finale. Inoltre non pochi problemi sorgono riguardo alla riproduzione e alla trasmissione delle opere multimediali, per le quali l‟assenza di un supporto fisico rende più facile la duplicazione, anche non autorizzata, e la circolazione in Rete non protetta. In generale, non essendoci una normativa organica che regoli le suddette situazioni, si tende ad attribuire la paternità dell‟opera all‟autore che ha prodotto il risultato finale, considerato che anche l‟attività di accorpamento ed elaborazione ha in sé il requisito della creatività ed originalità se il prodotto finale è un‟opera innovativa. Si applicheranno, quindi, i principi generali in materia di diritto d‟autore, e gli ideatori dei singoli contributi assemblati non potranno vantare alcun diritto sull‟opera derivata, pur conservando il diritto d‟autore sulle singole parti originarie. 191 Si deve al regolamento Agcom, entrato in vigore nel 2014260, la prima definizione espressa di “opera digitale”, ove all‟art. 1 si legge: “opera, o parti di essa, di carattere sonoro, audiovisivo, fotografico, videoludico, editoriale e letterario, inclusi i programmi applicativi e i sistemi operativi per elaboratore, tutelata dalla Legge sul diritto d’autore e diffusa su reti di comunicazione elettronica”. La caratteristica principale dell‟opera digitale, idonea a distinguerla dalla mera opera d‟ingegno, è, dunque, la diffusione della stessa su internet. La digitalizzazione delle opere d‟ingegno, e la consequenziale commercializzazione online, è un fenomeno in costante aumento, in considerazione dei vantaggi che esso comporta, come per esempio la facilità di condivisione, l‟immediatezza del mezzo e la limitazione dei costi. Ai rilevanti vantaggi individuati si affiancano, però, anche molteplici rischi, legati al controllo e alla gestione dei diritti di proprietà intellettuale sulle opere così realizzate e distribuite, soprattutto se immesse in Rete attraverso le innumerevoli piattaforme digitali o siti di eCommerce. La pirateria informatica, ovvero l‟appropriazione di file e contenuti altrui, tutelati dal diritto d‟autore, è una realtà ormai diffusa e non sempre le norme vigenti risultano adeguate a contrastare il fenomeno. Tuttavia, è evidente che non ogni fruizione delle opere immesse in rete è sfornita di autorizzazione. Per ciò che concerne, ad esempio, la condivisione di materiale online, è opportuno specificare che se normalmente gli utenti utilizzano applicazioni per accedere a contenuti audio, video o testuali, scaricando direttamente dalla fonte primaria un file, associato a formati diversi in base all‟uso desiderato, con il download di un file da youtube non si acquisteranno i diritti di proprietà dell‟opera, ma si effettuerà una sorta di “noleggio” finalizzato alla fruizione personale del contenuto. Il mancato trasferimento della proprietà fa sì che il diritto di sfruttamento economico rimanga in capo al legittimo ideatore o titolare del servizio, il quale continuerà a condividere lo stesso materiale con innumerevoli altri utenti. Cfr. Allegato A alla Delibera n. 680/13/CONS del 12 dicembre 2013 dell‟AGCOM, visionabile all‟URL: https://www.agcom.it/documents/10179/0/Documento/b0410f3a-0586-449a-aa99-09ac8824c945, consultata nel mese di novembre 2016. 260 192 Ecco perché i programmi di file-sharing261 consentono una condivisione di dati o file digitali in rete, secondo il sistema peer-to-peer 262 , a determinate condizioni e purché non si effettui una riproduzione o un uso non autorizzato. Invero, come noto, in Italia chiunque esegua il download di un‟opera protetta dal diritto d‟autore e la metta in condivisione, per trarne profitto, commette un illecito penale, ai sensi degli artt. 171, 171-bis e 171-ter della LDA263. Alla tutela di stampo prettamente penalistico si somma, altresì, quella civilistica prevista dalla LDA, la quale fornisce alla vittima delle violazioni strumenti di inibizione e reazione, come la richiesta di rilascio di un provvedimento giudiziario di cessazione dell‟illecito utilizzo, l‟azione di distruzione e rimozione del prodotto illecito e l‟azione di risarcimento del danno. Inoltre, nel campo digitale, venendo meno la differenza tra file originale e copia, una delle tecniche più utilizzate dai detentori dei diritti di proprietà intellettuale per cercare di limitare la condivisione non autorizzata del proprio materiale, consiste nell‟applicare al file digitale delle misure di protezione tecnologiche, chiamate Digital Right Management (o DRM), le quali possono, a seconda dei casi limitare o impedire la circolazione dell‟opera oppure evitare che la stessa possa essere alterata o modificata. Un passo in avanti in materia è stato compiuto, altresì, con l‟adozione del Regolamento Agcom264, entrato in vigore il 31 marzo 2014, con il quale è stato introdotto un nuovo sistema che punisce la violazione del diritto d‟autore on line e prevede, come sanzione, la disabilitazione dell‟accesso ai siti “colpevoli”, mediante blocco del DNS, e, nei casi più gravi, la disconnessione dei cittadini dalla rete. È evidente, quindi, che il diritto di sfruttamento degli utenti incontra forti limitazioni: l‟uso del materiale condiviso dovrà essere sempre strettamente personale265, e giammai per fini Letteralmente “condivisione di un file” all‟interno di una Rete. Queste reti permettono di ricercare un file in particolare per mezzo di un URI (Universal Resource Identifier), di individuare più copie dello stesso file nella rete per mezzo di hash crittografici, di eseguire lo scaricamento da più fonti contemporaneamente e direttamente dai dispositivi di altre persone connesse ad Internet. 262 Lo scambio avviene tra utenti posti sullo stesso livello, “da pari a pari”, senza che sia necessaria l‟intermediazione di un server centrale. 263 Recita l‟art. 171-bis al comma 1 “chiunque abusivamente duplica, per trarne profitto, programmi per elaboratore o ai medesimi fini importa, distribuisce, vende, detiene a scopo commerciale o imprenditoriale o concede in locazione programmi contenuti in supporti non contrassegnati dalla Società italiana degli autori ed editori (SIAE), è soggetto alla pena della reclusione da sei mesi a tre anni e della multa da lire cinque milioni a lire trenta milioni. La stessa pena si applica se il fatto concerne qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale di dispositivi applicati a protezione di un programma per elaboratori. La pena non è inferiore nel minimo a due anni di reclusione e la multa a lire trenta milioni se il fatto è di rilevante gravità”. 264 Cfr. Allegato A alla Delibera n. 680/13/CONS del 12 dicembre 2013 dell‟AGCOM, visionabile all‟URL: https://www.agcom.it/documents/10179/0/Documento/b0410f3a-0586-449a-aa99-09ac8824c945, consultata nel mese di novembre 2016. 265 Cfr. art. 171-ter della LDA. 261 193 commerciali; ed ancora, attraverso sistemi di protezione, il proprietario legittimo del contenuto potrebbe circoscriverne il godimento al solo dispositivo su cui viene scaricata l‟opera d‟ingegno. La digitalizzazione delle suddette opere d‟ingegno ha, senza alcun dubbio, contribuito all‟evoluzione degli schemi classici dell‟editoria sotto molteplici punti di vista. Di recente diffusione sono, ad esempio, i c.d. contratti di ePublishing, contratti atipici nei quali viene disciplinata, in virtù del principio di autonomia privata delle parti, di cui all‟art. 1322 comma 2 cc, la mera pubblicazione digitale dell‟opera. Tale tipologia contrattuale ha la finalità di ricondurre allo schema del classico contratto di edizione, reso tipico ex art. 122 L. n. 633/1941, una nuova e differente modalità di pubblicazione e di distribuzione dell‟opera dell‟ingegno, superando delle indicazioni normative imposte dalla LDA, per il modello tipico, a pena di nullità266. Con il citato strumento negoziale, generalmente, vengono ceduti i diritti d‟autore per un lasso temporale medio che va dai cinque ai sette anni, a differenza di quanto avviene per l‟editoria cartacea che prevede cessioni decennali (anche sino a venti anni). La caratteristica principale che rende gli e-book lo strumento editoriale del futuro è rappresentata dall‟ottimizzazione di tempi, costi e risultato: ad essere rivoluzionati e ridotti sono i passaggi di realizzazione, promozione, stampa e distribuzione della filiera cartacea, con drastico abbassamento dei costi. Inoltre, anche il rapporto tra autore ed editore ne trae giovamento, in termini temporali e utilitaristici, data la consegna e pubblicazione del prodotto digitale mediante l‟esclusivo utilizzo della Rete. In tempi ridotti, dunque, l‟opera digitale sarà acquistabile sulle piattaforme di distribuzione on-line e sui siti web. Rientra nelle recenti esperienze di editoria digitale anche l‟innovativo progetto “ Google Books”, pensato con l‟obiettivo di digitalizzare tutti i libri stampati per renderli accessibili agli utenti della Rete nel mondo. Nonostante le critiche e le class action intentate dall‟editoria americana e internazionale, il progetto di Google di creare una libreria digitalizzata è ancora attivo e operativo. In particolare, Google Books viene considerato un tipico esempio di fair use, ovvero un principio legislativo dell‟ordinamento giuridico degli Stati Uniti d‟America in base al quale si stabilisce, ad alcune condizioni, la liceità della citazione non autorizzata, o l‟incorporazione 266 Sul punto cfr. M. Giacomello, Introduzione ai contratti di ePublishing, ebook, Apogeo, 2013. 194 non autorizzata, di materiale protetto da copyright nell‟opera di un altro autore. Tale principio, riconosciuto in parte anche nel nostro sistema, è soggetto a quattro condizioni di liceità: 1) natura non commerciale e didattica dell‟uso; 2) natura dell‟opera utilizzata e protetta da copyright; 3) quantità e importanza della porzione utilizzata e 4) conseguenze dell‟iniziativa sul valore di mercato dell‟opera usata. Pertanto, nella fruizione di opere digitali risulta essere di fondamentale importanza un‟attenta lettura dei termini del servizio, la cui accettazione costituisce attività prodromica alla fruizione dei contenuti. 3.4. Digital crimes 3.4. Digital crimes Con lo sviluppo delle tecnologie informatiche e l‟evoluzione della comunicazione digitale, la gran parte delle attività sociali, lavorative e di svago si svolgono oggi attraverso reti telematiche. Ne consegue, dunque, che se ogni attività lecita trova collocazione su Internet, anche le attività illecite useranno gli stessi mezzi, seguendo un percorso parallelo e talvolta comune. Invero, l‟attività criminale ha registrato una forte inversione di tendenza, diretta a sfruttare i vantaggi che offre il mondo virtuale, asservendo le dinamiche del web alla finalità delinquenziale. I c.d. computer crimes sono, infatti, quelle fattispecie delittuose che comportano un coinvolgimento dei computer e del network; gli strumenti informatici possono costituire l‟oggetto di nuove e complesse ipotesi di reato oppure possono rappresentare un‟evoluta modalità di perpetrazione di fattispecie già precedentemente disciplinate. Di fronte alla velocità con cui si sviluppa l‟universo digitale, spetta al Legislatore il compito di definire i caratteri principali dei nuovi delitti, utilizzando espressioni e concetti quanto più elastici possibili, che possano contemplare in sé anche le innovazioni tecnologiche future. 195 Secondo accreditata dottrina, si potrebbero distinguere due tipologie di computer crimes: i reati “necessariamente informatici”, detti anche reati informatici “propri” e i reati “eventualmente informatici”, c.d. “impropri”267. La differenza pare essere sostanziale, e legata al bene giuridico protetto: mentre nei primi Internet è elemento prodromico per la commissione del reato, nei secondi il computer costituisce lo strumento attraverso il quale si commette il reato. Al primo tipo appartengono la maggior parte dei reati introdotti ex novo nel nostro ordinamento con la L. 547/93, recante modificazioni ed integrazioni alle norme del codice penale in tema di criminalità informatica. Si fa riferimento, per esempio, all‟accesso abusivo ad un sistema informatico, al phishing, allo spamming, al danneggiamento di sistemi informatici o telematici, etc. Per il secondo tipo, per contro, si è proceduto a un adeguamento della precedente normativa, contemplando tra le modalità di commissione anche quella telematica. È il caso, cioè, della diffamazione online, della pedopornografia online, e altri reati previsti dal codice penale o da leggi speciali, accomunati dall‟essere commessi in Rete. Più in generale, il bene protetto dal Legislatore è il c.d. “bene giuridico informatico”, da identificare con la capacità di veicolare informazioni, elaborare dati o generare file, che, tuttavia, possono essere indebitamente sottratti, maneggiati o modificati. In considerazione del dilagare del suddetto fenomeno, diventa perciò necessario sviluppare idonee contromisure atte a contrastare, o quantomeno a limitare, il progredire di queste forme di crimine. Anche il catalogo dei cyber crimini, invero, segue l‟evoluzione della storia e dei fenomeni sociali, tanto che l‟attenzione verso le nuove forme di criminalità informatica ha consentito di individuare una stretta connessione tra uso della rete e reati di terrorismo: sempre più spesso, infatti, i gruppi terroristici utilizzano i siti internet per reclutare seguaci, propagandare le convinzioni di matrice sovversiva, reperire fondi e finanziamenti. Proprio in virtù del forte nesso appurato, la recente L. n. 43 del 17 aprile 2015 ha introdotto una serie di ipotesi aggravate dei reati di istigazione e di pubblica istigazione a delitti di terrorismo, allorché il fatto sia commesso mediante l‟uso di strumenti informatici 267 Sul punto cfr. A. Clerici, Manuale di informatica giuridica, cit., p. 341. 196 o telematici, considerata la maggiore capacità incisiva e diffusiva dello scritto propagandistico pubblicato in rete e fruibile da un numero indeterminato di utenti. L‟uso del web e di strumenti informatici per perpetrare reati di stampo terroristico (arruolamento di foreign fighters, propaganda, etc.) diventa, perciò, una circostanza aggravante che comporta l‟obbligo di arresto in flagranza; sul piano inibitorio, poi, con le novità normative citate, si consente oggi all‟autorità giudiziaria di ordinare agli internet provider di inibire l‟accesso ai siti utilizzati per commettere reati con finalità di terrorismo ed, in caso di inosservanza, di disporre direttamente l‟interdizione dell‟accesso ai relativi domini internet. Anche i gestori dei social network hanno di recente intrapreso una campagna di prevenzione e repressione delle comunicazioni di matrice terroristica, adottando una politica di oscuramento delle pagine ritenute simpatizzanti con le associazioni eversive. Il vero ostacolo da superare, in materia, è il giusto contemperamento tra valori e diritti in gioco, in primis la libertà di espressione e la libertà di professare il proprio credo religioso, unitamente alle esigenze di sicurezza e tutela della vita e della libertà personale. È evidente come, nell‟ambito di un‟azione di contenimento e controllo dei recenti fenomeni criminosi, al dato normativo sostanziale, occorre associare un costante aggiornamento anche del sistema processuale, uniformando la disciplina in materia d‟indagini informatiche e stabilendo regole certe per l‟acquisizione della prova digitale. Numerose sono, prescindendo dalle singole ipotesi specifiche, le problematiche legate alla perseguibilità dei digital crimes, prima tra tutte l‟indeterminatezza del locus commissi delicti. Infatti, una delle caratteristiche che accomuna tutte le ipotesi delittuose in questione è la c.d. a-territorialità, ovvero la mancanza di un contesto fisico di riferimento; i reati sono commessi in uno spazio virtuale, tra utenti residenti talvolta in Stati diversi. È evidente, dunque, che diventa difficile individuare anche solo l‟autorità giudiziaria competente, per non parlare poi della difficoltà di individuare l‟autore di un reato, molto spesso reso anonimo dall‟utilizzo di tecniche idonee ad eludere i sistemi di registrazione. In particolare, la modalità con cui spesso agisce il criminale internauta consiste nel celare il proprio indirizzo identificativo, il c.d. ip address, assegnato automaticamente e obbligatoriamente dall‟Internet Service Provider, appoggiandosi su server, definiti proxy, che fungono da intermediari e che, di fatto, non consentono di risalire alla fonte diretta. 197 Ad ogni modo, ciò che agevola l‟aumento delle tipologie di reati informatici è la facilità con cui è possibile reperire in rete informazioni, dati (talvolta anche sensibili), foto; tutto questo materiale è spesso immesso, in buona fede, dall‟utente inconsapevole e inesperto, che non avverte, per tempo, la potenzialità lesiva del mezzo telematico. A ciò si aggiunga un dato oggettivo, ovvero la mancanza di una normativa uniforme in materia a livello internazionale; tale circostanza non è di poco conto se si considera che la condotta che in Italia integra un reato può non avere la stessa valenza in un altro Stato estero, precludendone così la perseguibilità. Per tentare di ovviare a tali problematiche, il nostro Legislatore ha introdotto dei principi specifici, come, per esempio, la “teoria dell‟ubiquità” contenuta nell‟art 6 c.p., in base alle quale un reato si considera commesso in territorio italiano non solo se in esso si verifica l‟evento, ma anche se in Italia è stata originata la condotta che ha portato poi al verificarsi dell‟evento. Ma la vera pietra miliare è costituita dalla L. 48/2008, con la quale è stata ratificata in Italia la Convenzione di Budapest in tema di criminalità informatica. Aderendo alla suddetta Convenzione, il nostro Paese ha accettato di uniformare la propria normativa in materia con quella degli altri Stati membri, creando così una disciplina omogenea e maggiormente efficace nella repressione di queste particolari forme criminose. Con la Convenzione di Budapest sono state gettate, per la prima volta, le basi per una vera cooperazione transnazionale contro il cyber crimine. In estrema sintesi, la L. 48/2008 ha introdotto le seguenti rilevanti novità: ● sanzioni più pesanti per i reati informatici; ● norme di contrasto più efficaci per la pedo-pornografia in rete; ● sanzioni anche a carico delle società; ● possibilità per le forze dell‟ordine di chiedere al provider il congelamento dei dati telematici per 6 mesi; ● maggiori tutele per i dati personali. Pare opportuno, a questo punto, procedere con l‟analisi di alcuni tra i più diffusi e importanti digital crimes. Frodi informatiche 198 In tale area rientrano alcune tra le fattispecie più comuni di illeciti commessi mediante l‟utilizzo di strumenti informatici, tra cui il c.d. phishing. La norma di riferimento è indubbiamente l‟art. 640-ter c.p. che recita “chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032”. La struttura del reato ricalca essenzialmente la simile ipotesi di truffa (di cui all‟art. 640 c.p), con la fondamentale differenza che nel caso di frode informatica l‟attività fraudolenta non è rivolta ad una persona fisica, quanto piuttosto ad un sistema informatico. Inoltre, nell‟art. 640-ter c.p. manca un altro elemento primario della più generica truffa, ovvero l‟induzione in errore della vittima tramite artifici o raggiri: al cospetto di un‟ipotesi di frode informatica, infatti, saranno punite delle semplici azioni meccaniche mirate ad alterare sistemi, dati o programmi elettronici. Le condotte tipiche del delitto di cui all‟art. 640-ter c.p. sono di due tipologie: • alterazione del funzionamento di un sistema informatico; • manipolazione senza diritto di dati, informazioni o programmi. Lo scopo della norma è di tutelare il patrimonio delle potenziali vittime, oltre alla sicurezza e al regolare funzionamento di un sistema telematico. Un particolare tipo di frode online è rappresentato, come già anticipato, dal phishing (termine di matrice inglese che letteralmente vuol dire “pescare”), un sistema ideato per sottrarre fraudolentemente, con la collaborazione di un ignaro utente, codici di accesso di home banking, password o altre credenziali di accesso dell‟account. Si tratta di una di una delle svariate forme di furto d’identità, che in modo sofisticato sfrutta sia tecniche di ingegneria informatica, sia l‟ignoranza in materia dell‟utente medio. Tutte le aggressioni ai dati sensibili o personali dell‟internauta hanno una finalità in comune; invero, la raccolta di informazioni, credenziali e codici personali è attività prodromica alla successiva attività illecita, consistente nella sostituzione del cyber criminale all‟ignaro utente per commettere reati in Rete, celando la propria vera identità. Al furto d‟identità digitale corrisponde nella maggior parte dei casi un danno patrimoniale per la vittima di tali condotte, che può consistere in prelievi online o in pagamenti di merce non autorizzati. Ma di non poco conto sono anche gli ulteriori risvolti penali che possono 199 seguire ad una sostituzione di persona, nel caso in cui il pirata informatico compia più attività delittuose con la falsa identità altrui, commettendo, ad esempio, reati di riciclaggio o simili. Tecnicamente il phishing consiste nell‟invio, a un utente o a un gruppo di utenti, di messaggi di posta elettronica ingannevoli, contenenti l‟invito al soggetto a fornire volontariamente proprie informazioni personali, generalmente collegate al sistema di accesso bancario online. Il phisher, dunque, piuttosto che attaccare direttamente il sistema informatico di un istituto di credito, generalmente dotato di complessi sistemi di protezione e sicurezza, gioca sull‟inconsapevolezza e buona fede del singolo individuo che, ricevendo una mail apparentemente dal proprio istituto bancario, segue le indicazioni contenute nel messaggio, spesso cliccando su di un link, fornendo così inconsciamente in modo volontario i propri codici identificativi. In Italia il fenomeno si è presentato per la prima volta nel 2005, quando migliaia di utenti ricevettero, sul loro indirizzo di posta elettronica, una mail civetta che sembrava a tutti gli effetti provenire da Poste Italiane. Negli anni anche l‟attività criminale si è evoluta e sono stati sviluppati nuovi sistemi di attacco e nuove tipologie di phishing; tuttavia, la più diffusa è quella del “phishing ingannevole” che utilizza la tecnica dello spamming268 per inviare massivamente e casualmente e-mail riportanti malfunzionamenti e problemi di accesso ai portali di home banking. È opportuno precisare che nel nostro ordinamento non esiste una norma penale che sanzioni specificamente il phishing, essendoci piuttosto diverse fattispecie incriminatrici in cui esso può essere sussunto, in relazione alle modalità con cui si realizza; tuttavia, con il D.L. n. 43 del 14 agosto 2013 è stato introdotto, in aggiunta alle norme già esistenti, il reato di “frode informatica commessa con sostituzione di identità digitale”. Pertanto, a seconda della tipologia di phishing perpetrato, si potrà fare ricorso alla disposizione che meglio contiene in sé gli elementi della condotta delittuosa dell‟autore. 268 Lo spamming (o spam) è l'uso di sistemi di messaggistica elettronica (tra questi, la maggior parte dei mezzi di trasmissione elettronica e i sistemi di distribuzione digitale) per inviare indiscriminatamente messaggi, a carattere commerciale, non richiesti Lo spam viene inviato senza il permesso del destinatario ed è un comportamento ampiamente considerato inaccettabile dagli Internet Service Provider (ISP) e dalla maggior parte degli utenti di Internet. Mentre questi ultimi trovano lo spam fastidioso e con contenuti spesso offensivi, gli ISP vi si oppongono anche per i costi del traffico generato dall'invio indiscriminato. 200 Inoltre, per quanto concerne la tutela del correntista bancario che ha subito un furto di identità, la giurisprudenza nel tempo si è evoluta, con inversione dell‟onere probatorio a carico dell‟istituto di credito. Invero, la tendenza iniziale mirava a tenere indenne da responsabilità l‟istituto bancario, stante la difficoltà di dimostrare le modalità di sottrazione delle credenziali di accesso al servizio di home banking; oggi, invece, considerando il correntista in qualità di parte debole del rapporto contrattuale, e quindi un consumatore, al contrario dell‟istituto di credito che opera quale professionista, la banca non potrà andare sempre e comunque esente da responsabilità, essendole richiesto di dimostrare di aver tenuto un livello di diligenza molto elevato. È di pochi mesi fa la pronuncia del Tribunale di Roma269 con la quale un istituto bancario è stato condannato a pagare 130.000 € alla vittima di frode informatica (collegata al sistema di home banking), quale risarcimento per non aver dimostrato in giudizio di aver correttamente adempiuto le proprie obbligazioni, attenendosi ai più alti standard del settore bancario. Nell‟ambito del furto di identità, sono emersi, poi, negli ultimi anni, fenomeni altrettanto dilaganti e preoccupanti, considerati delle evoluzioni tecniche e specifiche del phishing; con ciò si vuol far riferimento allo “spear phishing”, che si realizza quando il criminale si spaccia per il collega di lavoro della vittima tentando di acquisire dati personali sempre più mirati; allo “smishing”, frode effettuata tramite l‟invio di sms contenenti link che, se cliccati, comportano l‟acquisizione di dati personali e il “vishing”, truffa che sfrutta strumenti quali voip, contact center o skype per ingenerare fiducia nell‟interlocutore e carpire informazioni e dati personali. Un ruolo fondamentale, nella repressione di questa forma di criminalità informatica, è svolto, oltre che dalla legge, dalla costante e aggiornata opera di informazione dell‟utenza, al fine di rendere l‟internauta consapevole dei rischi insiti nell‟inserimento non sicuro dei propri dati online. Truffe on line legate all’eCommerce 269 Crf . Trib. civ. Roma, 31 agosto 2016, n. 16221. 201 Il fenomeno delle truffe in Rete assume connotati sempre più rilevanti, in considerazione della transnazionale diffusione di siti di eCommerce, ovvero dello sviluppo di vendite online di merci di svariato tipo. Infatti, se corrisponde ad un dato fattuale che il consumatore, con maggiore frequenza, si rivolge al mercato virtuale per effettuare i suoi acquisti, è altrettanto vero che negli ultimi anni sono aumentati i casi di truffe telematiche. Il più comune caso vede l‟invio di denaro come forma di pagamento per un oggetto mai giunto al destinatario. Comprare sul web è facile e immediato, ma all‟efficacia del mezzo non corrisponde sempre una sufficiente garanzia della veridicità dell‟annuncio immesso o della corrispondenza effettiva della merce posta in vendita con quella spedita. Ma le frodi informatiche possono essere anche di diverso tipo, avendo ad oggetto servizi pubblicizzati come gratuiti e poi in realtà a pagamento, prezzi di merci difettose gonfiati, offerte di lavoro a casa con previo acquisto di materiale necessario per lo svolgimento dell‟attività lavorativa in realtà inesistente, false promesse di concessione di credito o di servizi a tassi ridotti. Uno strumento efficace e responsabile, per limitare danni e rischi, consiste nel valutare attentamente il profilo del venditore, mediante lo strumento dei feedback (se presenti), confrontare le merci con altre dello stesso tipo reperibili in Rete, leggere attentamente la politica di recesso e reso, utilizzare metodi di pagamento tracciabili. Resta inteso che tutte queste ipotesi delittuose, se non appositamente punite ai sensi di una norma speciale, vengono comunque previste e sanzionate nel nostro codice attraverso il ricorso alla norma generale di cui all‟art 640 c.p. (reato di truffa). Il dato da registrare è tuttavia relativo alla difficoltà, in molti casi, di individuare la reale identità del venditore-truffatore, il quale si serve spesso di recapiti e documenti falsi per svolgere la propria attività criminale. Accesso abusivo ad un sistema informatico Tale fattispecie di reato, introdotta dalla L. 547/93, è prevista e punita dall‟art. 615-ter c.p. ai sensi del quale “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione sino a tre anni. La pena è della reclusione da uno a cinque anni: 1) se il fatto è 202 commesso da un pubblico ufficiale o da un incaricato di pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti”. L‟oggetto diretto di tutela è in questo caso la protezione del sistema informatico da attacchi diretti a minarne la sicurezza. È stato introdotto, al riguardo, il concetto di “domicilio informatico” con esso dovendosi intendere lo spazio ideale (ma anche fisico) nel quale sono contenuti i dati informatici di pertinenza della persona, a cui viene estesa la tutela della riservatezza della sfera individuale, quale bene costituzionalmente protetto270. Ad essere punita è, pertanto, la mera introduzione non autorizzata in un sistema informatico, indipendentemente dalla commissione di ulteriori reati, come ad esempio il furto di dati personali o la manipolazione di informazioni. Elemento costitutivo del fatto tipico è che il sistema sia protetto da misure di sicurezza che vengano, in qualsiasi modo, disattivate dal cyber criminale; il legislatore non specifica di che misure si debba trattare, essendo sufficiente che le stesse costituiscano una barriera all‟accesso da parte di soggetti non legittimati. In caso di assenza di una pur minima forma di inibizione all‟accesso, come, ad esempio, il semplice uso di nick-name e password, chiunque si introduca nel sistema non sarà assolutamente punibile. Tale illecito penale è stato oggetto di numerose pronunce le quali, tra le altre questioni, hanno affrontato il problema dell‟esatta individuazione del locus commissi delicti in una siffatta ipotesi; ebbene, le Sezioni Unite della Suprema Corte di Cassazione271 hanno al riguardo definitivamente statuito che “il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all'art. 615-ter cod. pen., è quello nel quale si trova il soggetto che effettua l'introduzione abusiva o vi si mantiene abusivamente”. 270 271 Sul punto si è espressa anche la Suprema Corte;.cfr. Cass. pen., sez. V, 26.10.2012, n. 42021. Cfr. Cass. pen., Sez. Un., 26 marzo 2015, n. 17325. 203 È interessante segnalare, inoltre, un recente approdo della giurisprudenza, in relazione al reato in questione, il quale ha portato a ritenere che integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l‟accesso. Il che vuol dire che costituisce reato anche la condotta di chi, seppur autorizzato ad accedere a un sistema informatico, ne faccia un uso che travalichi le condizioni per le quali l‟autorizzazione era stata rilasciata. È evidente, dunque, che questa nuova interpretazione estende l‟ambito di applicazione della norma, con un aumento dei casi di punibilità. Ipotesi delittuosa connessa è quella della detenzione e diffusione non autorizzata dei codici di accesso al sistema informatico, punita dall‟art. 615-quater c.p. A differenza della precedente fattispecie, l‟art. 615‐quater allude al possesso indebito e all‟eventuale diffusione di codici di accesso e non al loro utilizzo ai fini di un accesso abusivo. Pare opportuno specificare che per codici di accesso si intendono non solo le password ma anche PIN, smart card criptate o eventuali sistemi biometrici, come le impronte digitali ed il riconoscimento vocale. Perché la condotta sia punibile è altresì necessario che la detenzione o la diffusione dei codici abbiano come finalità quella di procurare a sé o a altri un profitto o arrecare ad altri un danno. Cyber stalking Questa fattispecie rientra certamente all‟interno della categoria dei reati eventualmente informatici o impropri, poiché frutto di un adeguamento della normativa già esistente alle recenti forme di criminalità digitale. La condotta sanzionata è da ricomprendere nel reato di stalking, previsto dall‟art. 612-bis c.p., perpetrato con modalità informatiche, servendosi quindi di un computer e della Rete. Invero, l‟atteggiamento persecutorio che crea nel destinatario un perdurante stato d‟ansia, seguito dalla modifica delle abitudini di vita e di relazione, può essere realizzato non solo 204 tramite l‟invio di telefonate, lettere o mediante pedinamenti, così come classicamente ritenuto. Esistono oggi nuove modalità di persecuzione che sfruttano le potenzialità della Rete per giungere in modo immediato e diretto alla vittima, agevolando, in alcuni casi, la protrazione delle condotte. Si fa riferimento all‟uso dei social network in primis, i quali consentono di dialogare costantemente con l‟utente perseguitato, riducendo tempi e costi, e con maggiore impatto pubblico, per non tacere poi la possibilità di creare falsi profili celando la propria identità. Di recente anche la Corte di Cassazione272 ha riconosciuto che i messaggi inviati tramite Facebook possono integrare il reato di stalking. Tuttavia, lo stalker può far pervenire i sui messaggi anche tramite mail o sistema di messaggistica istantanea su internet, in chat e in altri luoghi virtuali del medesimo genere. Preoccupante è, altresì, la diffusione di un ulteriore tipologia di cyber stalking, ovvero quella perpetrata ai danni di un soggetto conosciuto solo virtualmente. La diffusione della suddetta nuova realtà criminale è influenzata, come per altre fattispecie, dalla crescita esponenziale dell‟uso degli strumenti informatici e dalla sempre crescente condivisione di informazioni personali in Rete. Il persecutore riesce a seguire gli spostamenti della vittima in tempo reale, anche grazie alla collaborazione della stessa, la quale condividendo con il mondo social informazioni personali e stati d‟animo fornisce indirettamente dati utili anche per lo stalker. La sicurezza sul web dipende, quindi, anche e soprattutto da chi lo utilizza: le persecuzioni telematiche si possono prevenire attraverso l‟uso di semplici accorgimenti tecnici e di comportamento che devono ispirare la navigazione nel mondo di internet. Diffamazione on line Particolarmente attuale e interessante è lo studio circa le relazioni esistenti tra i delitti contro l‟onore ed i nuovi mezzi di diffusione delle notizie, con specifico riferimento al reato di diffamazione. 272 Cfr, Cass. pen., sez. V, 24.06.2011, n. 25488. 205 Invero, dottrina e giurisprudenza si sono spesso interrogate sulla possibilità che il suddetto illecito penale possa essere perpetrato mediante l‟utilizzo di Internet e, in particolare sui social network, quali, ad esempio, Facebook o Twitter. Il reato di diffamazione è previsto e punito nel nostro ordinamento dall‟art. 595 c.p. il quale stabilisce che “1. Chiunque, fuori dei casi indicati nell'articolo precedente, comunicando con più persone, offende l'altrui reputazione, è punito con la reclusione fino a un anno o con la multa fino a euro 1.032. 2. Se l’offesa consiste nell’attribuzione di un fatto determinato, la pena è della reclusione fino a due anni, ovvero della multa fino a euro 2.065. 3. Se l’offesa è recata col mezzo della stampa o con qualsiasi altro mezzo di pubblicità, ovvero in atto pubblico, la pena è della reclusione da sei mesi a tre anni o della multa non inferiore a euro 516”. Per un consolidato orientamento, la condotta diffamatoria realizzata attraverso il mezzo telematico rientrerebbe nell‟ipotesi di diffamazione aggravata ex art 595 comma 3 c.p. in quanto diffamazione commessa “con ogni altro mezzo di pubblicità”. Alla medesima conclusione sono giunte la giurisprudenza di merito273 e la Corte di Cassazione la quale ha affermato che: “il delitto di diffamazione è configurabile anche quando la condotta dell’agente consista nella immissione di scritti o immagini lesivi dell’altrui reputazione nel sistema internet, sussistendo, anzi, in tal caso, anche la circostanza aggravante di cui all’art 595 comma 3 c.p.”274. Il bene giuridico tutelato dalla norma è rappresentato dalla reputazione, qualunque sia la modalità di comunicazione prescelta dal reo. Perché possa ritenersi integrato il reato di diffamazione, online e non, occorre che ricorrano tre requisiti fondamentali: 1. assenza dell‟offeso, con ciò dovendosi escludere che la persona fisica possa percepire direttamente l‟offesa, con consequenziale impossibilità di difendersi personalmente e immediatamente; 2. offesa alla reputazione, intesa come possibilità di lesione dell‟altrui onore; 3. comunicazione con più persone, essendo necessaria la percezione dell‟offesa da parte di almeno due persone. 273 Trib. Bari, Sez. Dist. Molfetta, 20 maggio 2003, 1806, GM, 2003, 1806: 6.3 274 Cass. Pen., Sez. V, 17 novembre 2000, 877, in senso conforme, Cass. Pen., 26 gennaio 2011 n°2739, 1233, e ancora, Cass. Pen., 15 marzo 2011 n°16307, in Riv. Giur. Inf. Giur. e Dir. dell’Informatica., dove si ribadisce che l’immissione di scritti lesivi dell’altrui reputazione nel sistema internet integra il reato di diffamazione aggravata ex comma 3 dell’art 595 c.p.. 206 Per quanto concerne la diffamazione online, vige una presunzione assoluta del terzo requisito integrante il reato in questione, ovvero la “comunicazione con più persone”, considerato che il sito Internet è, per sua natura, destinato ad essere visualizzato da un numero indeterminato di utenti in tempi estremamente ridotti. Inoltre è proprio la comunicazione dell‟offesa a più persone a rappresentare il momento consumativo del reato. Se l‟accertamento del predetto momento è facilmente perimetrabile in caso di comunicazioni tra presenti, discorso assai diverso vale per la diffamazione perpetrata a mezzo internet, considerato che in tal caso non risulta di agevole individuazione. Proprio per gli esposti motivi, la giurisprudenza ha ritenuto che il delitto di diffamazione telematica, quale reato di evento, si consumi nel momento in cui i terzi percepiscono l‟espressione offensiva; inoltre, secondo i giudici di legittimità, nel caso di siti che per loro natura sono destinati all‟immediata fruizione da parte degli utenti del web, il momento consumativo del reato retroagisce al momento dell‟immissione dei dati in Rete, atteso che in quel frangente, presuntivamente, avviene la conoscenza della notizia diffamatoria. È evidente come la veicolazione delle informazioni e delle comunicazioni in rete, se non regolata, può nuocere gravemente alla reputazione e all‟onore dei soggetti destinatari di un commento. Uno dei problemi maggiormente riscontrati è dato dall‟impossibilità di un controllo preventivo della provenienza e autorevolezza di una notizia o di una informazione, le quali, considerata la rapidità di diffusione in rete, seppur errate o diffamatorie, non potranno essere rimosse prima che le stesse siano percepite da soggetti terzi. Invero, a differenza di quanto avviene per i media tradizionali, le notizie ed i commenti che circolano nel web non sono, di norma, frutto dell‟attività di professionisti e, pertanto, non sono soggette ad alcun controllo preventivo. Proprio per questo motivo, più volte pronunciandosi sul punto, la giurisprudenza ha escluso che possa configurarsi una responsabilità colposa in capo al c.d. blogger, all‟Internet Provider o al gestore di un Internet point, essendo impossibile richiedere agli stessi un controllo sul contenuto di ogni scritto immesso in rete ed essendo impossibile individuare una norma all‟interno dell‟ordinamento giuridico italiano che consenta di 207 estendere in via analogica, o interpretativa, alle pubblicazioni internet la disciplina prevista per la stampa275. Se da un lato la configurazione della diffamazione online è ormai pacifica, dall‟altro la giurisprudenza di merito ha per lungo tempo escluso la rilevanza penale del delitto de quo con riferimento alle condotte offensive realizzate attraverso i social network., luoghi virtuali ove vengono commessi moltissimi reati contro l‟onore. Prendendo in considerazione il canale Facebook, in particolare, ci si è posto il problema se le comunicazioni tra gli utenti possano o meno integrare i requisiti richiesti dall‟art. 595 c.p. A sostegno dell‟integrazione del reato in questione, in caso di esternazioni offensive dell‟altrui reputazione, milita la considerazione che Facebook consente ai propri utenti di condividere il proprio pensiero con un numero indeterminato di partecipanti mediante lo strumento della pubblicazione di un messaggio sulla bacheca del proprio profilo social. Per contro, i negazionisti tendono a leggere le conversazioni tra utenti come scambio di comunicazioni private, data la preventiva selezione ed autorizzazione degli interlocutori, effettuata mediante le richieste di amicizia accettate o negate. In tal modo, quindi, difetterebbe il requisito della comunicazione pubblica e diffusa276. Risulta essere maggiormente condivisibile l‟orientamento giurisprudenziale che ammette la configurazione del delitto di diffamazione aggravata sui social network, anche tenendo conto della rilevanza della c.d. timeline pubblica, ossia la possibilità offerta agli utilizzatori di essere periodicamente aggiornati sulle attività degli “amici”. 3.5.1. eCommerce e sue tipologie Il termine “eCommerce”, tradotto in italiano come “commercio elettronico”, deriva dalla contrazione inglese di “electronic commerce” e con esso si intende la vendita o l‟acquisto di prodotti e servizi tramite Internet, indipendentemente dal fatto che il pagamento 275 Il riferimento è all‟art. 57 cp. il quale prevede “Salva la responsabilità dell'autore della pubblicazione e fuori dei casi di concorso, il direttore o il vicedirettore responsabile , il quale omette di esercitare sul contenuto del periodico da lui diretto il controllo necessario ad impedire che col mezzo della pubblicazione siano commessi reati [528, 565, 596bis, 683, 684, 685], è punito, a titolo di colpa, se un reato è commesso, con la pena stabilita per tale reato, diminuita in misura non eccedente un terzo”. 276 In tal senso, Trib. di Livorno, 31 dicembre 2012, sent. n°38912, contra, Trib. Gela, 23 novembre 2011, sent. n°510, in www.studiolegale.leggiditalia.it, consultato nel mese di novembre 2016. 208 avvenga online o offline. Pertanto, un privato che vende un oggetto ad un‟altra persona tramite la piattaforma di eBay pratica l‟eCommerce in quanto effettua una transazione online, ossia un‟operazione commerciale, un affare; o ancora un hotel che permetta la semplice prenotazione delle camere attraverso il proprio sito web, esegue un‟operazione di eCommerce277. Fra le più complete definizioni di commercio elettronico, è utile citare quella contenuta nella Comunicazione della Commissione Europea COM (97) 157 del 15 aprile 1997, che con esso intende “lo svolgimento di attività commerciali e di transazioni per via elettronica e comprende attività diverse, quali la commercializzazione di beni e servizi, la distribuzione di contenuti digitali, l’effettuazione di operazioni finanziarie e di borse, gli appalti pubblici, altre procedure di tipo transattivo delle Pubbliche Amministrazioni”. Con il tempo, il termine “eCommerce” è diventato sinonimo di altre parole, anche se con lievi ma differenti accezioni, come ad esempio eBusiness, eShop, eStore ecc. Grazie alla crescita esponenziale del Web ed all‟essenza stessa della Rete, spazio virtuale in cui si possono instaurare rapporti interattivi fra gli individui e le loro realtà produttive, Internet diviene anche “sede” di un “mercato” particolare, nel quale vengono svolte attività di eCommerce278. Se pensiamo che il fenomeno Internet nasce verso la fine degli anni ‟60 e registra la sua crescita più eclatante con la creazione del World Wide Web - nell‟ultimo decennio dello scorso secolo - possiamo affermare che attualmente il web raggiunge la sua fase più evoluta e complessa nella quale stimola la creazione e lo sviluppo di nuove realtà ed iniziative imprenditoriali, dando vita al fenomeno denominato e-business. Questo singolare “mercato” rappresentato dall‟eCommerce colpisce per le sue dimensioni: oggi, tale fenomeno coinvolge un numero illimitato di individui, non soltanto aziende ma anche istituzioni pubbliche e finanziarie ed infine i consumatori. Ogni potenziale utente della rete, mediante il suo PC, può interagire con le più svariate fonti di informazione, con servizi commerciali o pubblici tutti messi a disposizione da reti informatiche fra loro indipendenti; per avere un‟idea della potenza del Web, basti pensare che gli utenti della rete oggi raggiungono circa un miliardo, a fronte di circa 200 milioni di utenti Internet registrati nel secolo scorso. 277 278 Cfr. D.Rutigliano, E-commerce vincente. Strategie e idee per fare business online, Milano, Hoepli, 2013. G.Fioriglio, Temi di informatica giuridica, Roma, Aracne, 2004, p.197. 209 La tecnologia multimediale, in effetti, grazie all‟assenza di barriere geografiche, favorisce la crescita di transazioni commerciali su scala mondiale; solo in Italia gli acquisti via web sono cresciuti nel 2013 del 18%, dando vita ad un fatturato complessivo di 11, 3 miliardi di euro. In base ad alcuni recenti studi condotti dall‟Osservatorio eCommerce B2C NetcommSchool of Management del Politecnico di Milano, risulta che la fonte di maggior guadagno nel settore e-commerce deriva dagli acquisti tramite smartphone e dall‟uso consistente delle app sempre più mirate alla soddisfazione del cliente (es. Groupon). L‟ambito degli acquisti on line è perlopiù rappresentato dal settore dell‟abbigliamento, dell‟informatica, dell‟editoria e della musica. Nel campo dei servizi offerti on line, l‟Osservatorio che ha condotto la ricerca stima crescite importanti nei settori del turismo e delle assicurazioni. Ma l‟aspetto davvero innovativo del settore eCommerce è rappresentato dalla multicanalità, attraverso la quale il commercio elettronico non si consuma esclusivamente “con” e “in” un unico sito web ma anche nel negozio fisico, in mobilità grazie agli smartphone e sui social network, in un processo di acquisto multicanale. Grazie alla multicanalità, i consumatori, da meri soggetti passivi, si sono evoluti sino a diventare dei consum-attori e partecipare consapevolmente al mondo del consumo e della produzione in veste di coproduttori279. Arrivando ora ad esaminare le diverse forme del commercio elettronico, si osserva che la generica definizione di commercio elettronico è suddivisibile in sottocategorie, la cui classificazione si può basare su criteri differenti. Tra le varie distinzioni, rientrano quelle incentrate sulla tipologia di soggetti coinvolti nel rapporto commerciale e sulle modalità di consegna del bene oggetto della transazione. Con riguardo ai diversi attori del rapporto commerciale e all‟ambiente in cui si svolge la trattativa, possono individuarsi quattro categorie di eCommerce e precisamente: - B2B - business to business: noto anche come business “interaziendale”, è il commercio elettronico nel quale il cliente è un‟azienda – o un professionista munito di partita IVA – che acquista per scopi professionali. L‟azienda può produrre direttamente i beni e/o servizi oppure limitarsi a fare da intermediaria. Il B2B non è altro che il 279 Cfr. D.Rutigliano, E-commerce vincente. Strategie e idee per fare business online, cit. 210 commercio all‟ingrosso, un esempio può essere il rapporto commerciale tra un grossista ed un negozio; - IB – intrabusiness: si svolge sempre nell‟ambito di rapporti fra imprese e, solitamente, la trattativa si sviluppa all‟interno della stessa azienda o dello stesso gruppo di aziende; - B2C – business to consumer: è il commercio elettronico nel quale il cliente è un consumatore finale che acquista un determinato prodotto o servizio per scopi personali. L‟azienda può produrre direttamente i beni o i servizi oppure limitarsi a fare da intermediaria, il B2C non è altro che il commercio al dettaglio (in inglese retail marketing). Dal punto di vista quantitativo, tale forma di mercato rappresenta potenzialmente il maggior ambito di interesse per le attività di commercio elettronico; si pensi, ad esempio, ai servizi bancari offerti on line oppure alle possibilità di compiere investimenti o disinvestimenti mediante il pc; - C2C – consumer to consumer: le transazioni avvengono fra privati, consumatori finali. Rientrano in tale categoria, ad esempio, le aste on-line in cui i consumatori propongono offerte e cercano prodotti. Sulla base delle modalità di consegna del bene oggetto della transazione, invece, si suole distinguere fra commercio elettronico diretto ed indiretto. Per commercio elettronico diretto si intendono tutte le transazioni che si svolgono interamente per via telematica nel senso che sia la fase della cessione del bene sia quella successiva della consegna dello stesso avvengono in rete. Le transazioni oggetto di eCommerce diretto possono riguardare indifferentemente cessioni di beni o prestazioni di servizi: nel primo caso, l‟attività commerciale avrà ad oggetto beni immateriali e/o digitalizzati, “smerciabili” soltanto via internet, come ad esempio i software, i file musicali, le foto mentre fra le prestazioni di servizi offerte in rete sono incluse, ad esempio, le consulenze professionali, la possibilità di effettuare prenotazioni, ai servizi bancari, ecc. L‟ eCommerce indiretto, invece, si riferisce alle transazioni commerciali nelle quali avviene per via telematica soltanto la cessione del bene, mentre la consegna dello stesso segue i canali tradizionali. In concreto, si effettua un ordine on line di beni tangibili che saranno successivamente consegnati fisicamente attraverso canali tradizionali, come ad esempio tramite corrieri commerciali oppure servizio postale. Per tale tipo di mercato, considerato 211 che la consegna del bene non avviene on line, il web si pone come uno strumento in più per contattare il cliente, un canale prezioso per pubblicizzare e diffondere il singolo bene. Tale forma di eCommerce presenta molte caratteristiche simili alla vendita per corrispondenza: i clienti, infatti, possono ordinare comodamente on line e acquistare i prodotti, così come farebbero per una normale vendita per corrispondenza. Dopo aver delineato un quadro generale sul significato di eCommerce e sulle diverse forme che lo stesso assume, è opportuno soffermarsi brevemente sugli innumerevoli vantaggi che tale modalità di commercio offre ai soggetti coinvolti. Anzitutto, per gli imprenditori ed i professionisti desiderosi di promuovere e pubblicizzare i propri prodotti o servizi, la rete diventa lo strumento ideale per raggiungere sempre maggiore clientela e fornire informazioni dettagliate sui prodotti o servizi richiesti in brevissimo tempo. Per tale ragione, la rete è spesso associata al più prezioso mezzo pubblicitario o di marketing. Ma non solo. Grazie all‟utilizzo del Web, per l‟imprenditore è molto più economico avvalersi di un servizio di vendita on line rispetto all‟apertura di un nuovo punto vendita: si abbattono i costi legati sia al locale sia al personale, non essendo più necessario un contatto diretto con il pubblico280. Oltre a ciò, l‟imprenditore si avvantaggia della riduzione dei tempi per il ciclo di vendita/consegna, conquistando maggiore competitività sul mercato ed è agevolato nel promuovere offerte rivolte a particolari settori. D‟altra parte, il consumatore finale (che può essere anche un altro soggetto imprenditore o professionista) gode dell‟impagabile vantaggio di ricercare on line ciò che in passato era frutto di minuziose ricerche o di acquisti presso i singoli punti vendita, non avendo altre possibilità se non quella di recarsi fisicamente presso il negozio prescelto. Fra l‟altro, l‟utente finale non deve più preoccuparsi di rispettare gli orari prestabiliti dai punti vendita né di recarsi materialmente presso questi ultimi per assicurarsi di selezionare i prezzi più convenienti. Da non tralasciare, infine, la recente diffusione di applicazioni di infocommerce, legate alla posizione fisica del potenziale acquirente (es. Groupon) in grado di garantire offerte sempre più personalizzate per la soddisfazione del consumatore. 3.5.2. Disciplina normativa 280 G.Fioriglio, Temi di informatica giuridica, cit., p.197. 212 Prima di esaminare nel dettaglio la disciplina sul commercio elettronico, merita anzitutto chiarire un aspetto: il contratto che si conclude nel cyberspace, così come avviene nel “mondo reale”, è preceduto dalla fase delle trattative per poi giungere ad una fase intermedia e di conclusione dell‟accordo telematico. Tale tipologia di accordo, molto simile all‟unilateral contract del modello anglosassone, si perfeziona con l‟accettazione/prestazione di uno dei contraenti, mentre l‟altro dovrà ancora adempiere. D‟altronde, è indubbio che la facoltà del singolo di autoregolamentare i propri interessi, meglio conosciuta come autonomia negoziale, si possa esprimere anche mediante il linguaggio dei bit che abitano la rete telematica. Fra le principali particolarità dell‟eContract risalta senz‟altro la totale assenza di fisicità e simultaneità: le parti contrattuali non sono fisicamente l‟uno di fronte all‟altro e solitamente manifestano la volontà contrattuale in sequenza asincrona (es. contrattazione via e-mail)281. La disciplina sul commercio elettronico rientra a pieno titolo nel più ampio settore della tutela del consumatore, cui la nostra Costituzione non fa alcun riferimento282. La nozione di consumatore viene introdotta nel nostro ordinamento con il D.P.R. 224/1988 e con la L.52/1996, ossia le c.d. leggi di recepimento delle direttive comunitarie nn. 85/374/Cee - sulla responsabilità per danno da prodotti difettosi - e 93/13/Cee riguardante le clausole abusive - . Successivamente, con il D.Lgs. 206/2005 “Codice del Consumo” viene compiuta una prima riorganizzazione sistematica delle numerose leggi a tutela del consumatore, susseguitesi per oltre un ventennio. Recentemente, ad opera del D.Lgs. 21 febbraio 2014, n. 21 è stata recepita in Italia la direttiva europea sui diritti dei consumatori 2011/83/Ue. Tale direttiva, anch‟essa animata dall‟esigenza di semplificare le norme sulla tutela del consumatore, abroga le direttive precedenti 85/577/Cee (tutela dei consumatori in caso di contratti negoziati fuori dei locali commerciali) e 97/7/Cee (protezione dei consumatori in materia di contratti a distanza) e contempla la necessità di fornire informazioni precontrattuali più dettagliate per tutti i tipi di contratto di consumo. Inoltre, al fine di rafforzare la fiducia dei consumatori nel commercio transfrontaliero, la direttiva in commento apporta alcuni fondamentali cambiamenti a tutela dei diritti dei consumatori sugli acquisti on line, fra i quali rientrano: - il divieto di spese e costi nascosti; 281 282 M.Farina, Fondamenti di diritto dell’informatica, Forlì, Experta, 2012, p.87. B. Santacroce, S. Ficola, Il commercio elettronico. Aspetti giuridici e regime fiscale, Santarcangelo di Romagna, Maggioli, 2014, p 30. 213 - la trasparenza dei prezzi; - l‟eliminazione delle caselle preselezionate sui siti web; - il nuovo diritto di recesso; - nuove regole sul diritto di rimborso; - l‟introduzione di norme uniformi in tutta l‟Unione Europea283. Tali ambiziosi obiettivi rappresentano, in effetti, il necessario presupposto per promuovere un mercato interno dei consumatori reale ed effettivo, capace di assicurare un elevato livello di tutela dei consumatori garantendo, al tempo stesso, maggiori sicurezze nelle procedure di acquisto on line. Le innovazioni più importanti introdotte dalla legge di recepimento della direttiva comunitaria possono così essere riassunte: - un più ampio lasso di tempo per esercitare il diritto di recesso. Attualmente, infatti, il consumatore ha 14 giorni di tempo (non più 10) per recedere da un contratto a distanza o negoziato fuori dai locali commerciali, senza alcun obbligo di fornire motivazione. Il periodo entro il quale può essere esercitato il diritto di recesso termina dopo 1 anno e 14 giorni dalla conclusione del contratto o dalla consegna del bene nell‟ipotesi in cui vi sia omessa comunicazione al consumatore dell‟informazione sull‟esistenza del diritto in questione. Tale termine si allunga notevolmente rispetto ai precedenti 60 giorni (per i contratti negoziati fuori dai locali commerciali) e 90 giorni(per i contratti a distanza). Inoltre, il diritto di recesso sarà esercitabile in maniera più snella mediante un modello - tipo armonizzato; - la possibilità concessa al consumatore, in caso di ripensamento, di restituire il bene anche se si presenta parzialmente deteriorato. Questi, infatti, sarà responsabile solamente della diminuzione del valore del bene derivante da un uso dello stesso diverso da quello necessario per stabilire la natura, le caratteristiche ed il funzionamento del bene stesso, e dunque effettuato senza la dovuta diligenza; - novità in materia di consegna dei beni e di passaggio del rischio nel caso di spedizione dei beni, che trovano attuazione per i contratti di vendita ed i contratti di servizio. Competente per la tutela amministrativa è l‟Autorità garante della concorrenza e del mercato. 283 In sostanza, con il decreto di recepimento della direttiva (D.Lgs. 21 febbraio 2014, n. 21) può ritenersi compiuta l‟armonizzazione delle informazioni e della disciplina del diritto di recesso nei contratti a distanza e nei contratti realizzati fuori dai locali commerciali (c.d. vendite dirette). 214 In ambito europeo, l‟eCommerce trova la sua specifica disciplina nella direttiva del Parlamento europeo e del Consiglio 8 giugno 2000, n. 2000/31, recepita nel nostro ordinamento con il D.Lgs. 9 aprile 2003, n.70. Tale direttiva, meglio nota come “direttiva sul commercio elettronico”, è considerata una delle assi portanti del piano d‟azione della Commissione e mira al buon funzionamento del mercato interno, garantendo la libera circolazione dei servizi della società dell‟informazione tra gli Stati Membri. Essa trova applicazione esclusivamente ai fornitori di servizi che abbiano sede nel territorio dell‟Unione Europea e coinvolge differenti settori e attività fra cui giornali, banche dati, servizi professionali e finanziari, servizi ricreativi (ad esempio video su richiesta), commercializzazione e pubblicità dirette e servizi d‟accesso ad Internet. Inoltre, la direttiva in commento chiarisce che, in tema di eCommerce, si applica la regola c.d. del “paese di origine”, in base alla quale i prestatori di servizi della società dell‟informazione (per esempio, gli operatori dei siti) sono obbligati a rispettare le norme nazionali in vigore nello Stato membro in cui sono stabiliti. Per luogo di stabilimento del prestatore, la direttiva intende il luogo in cui un operatore esercita effettivamente e a tempo indeterminato un‟attività economica mediante una installazione stabile. Il decreto di recepimento della direttiva (D.Lgs.9 aprile 2003, n. 70)si rivolge sia alle attività di scambio tipiche del B2C che a quelle di B2B, con particolar interesse per le piccole imprese che effettuano i loro approvvigionamenti su Internet. Nel dettaglio, il decreto si rivolge: - al prestatore, ossia al soggetto che svolge on line un‟attività di scambio di beni o servizi; - al provider, il soggetto che offre un servizio di accesso e connessione alla rete; - al consumatore, il soggetto che accede alla rete per acquistare beni o servizi o che riceve dal web informazioni di tipo commerciale. Infine, è utile ricordare che il decreto in esame non assoggetta ad alcun vincolo particolare l‟attività di eCommerce, potendosi considerare libera e dunque non soggetta ad alcuna autorizzazione preventiva. Soltanto l‟autorità giudiziaria od amministrativa di vigilanza può limitare la libera circolazione di un servizio della società dell‟informazione, nel caso ricorrano motivi di ordine e sicurezza pubblica, difesa nazionale, tutela della salute pubblica e tutela dei consumatori e degli investitori. 215 3.5.3. Online Dispute Resolution Con riferimento alle ultime novità intervenute in materia, la Commissione Europea ha messo a disposizione di tutti i cittadini europei una piattaforma per la risoluzione delle controversie tra consumatori e commercianti (Online Dispute Resolution - ODR) riguardanti contratti di acquisto o di fornitura di servizi effettuati online. La disciplina ODR è regolata dalla Direttiva 2013/11/UE (c.d. Direttiva sull‟ADR per i consumatori) e dal Regolamento 524/2013/UE (Regolamento sulla risoluzione delle controversie online dei consumatori): si tratta di due strumenti legislativi complementari ed interconnessi che forniscono le linee guida per la mediazione civile e commerciale e le altre forme di soluzione alternativa delle controversie (ADR), mettendo in primo piano la centralità della volontà delle parti, la procedura, i compensi per i mediatori e gli arbitri, la tutela della privacy, il segreto d‟ufficio ed il conflitto d‟interessi. La normativa in oggetto rientra nell‟attuazione di uno dei pilastri dell‟UE, ossia la creazione di un Mercato unico (Conclusioni del Consiglio del 24, 25 marzo e 23 ottobre 2011, Agenda digitale UE) ed il potenziamento della fiducia dei consumatori. Quanto al suo funzionamento, la piattaforma ODR consentirà di risolvere le controversie online (anche quelle transfrontaliere) in un click, senza dover ricorrere a lunghe e impegnative procedure giudiziarie. Consumatori e professionisti potranno presentare un reclamo online, e gli organismi ADR faranno da arbitri tra le parti per risolvere la controversia. I siti di commercio elettronico dovranno indicare obbligatoriamente il link alla procedura, che è gratuita e non impedisce l‟applicazione delle norme interne sulla mediazione. La Commissione UE si occupa di vigilare e di coordinare il corretto funzionamento del sistema e dell‟esecuzione delle procedure di reclamo, ad esempio, fornendo assistenza (ogni Stato designa un proprio centro di contatto), un servizio di traduzione, di consultazione delle banche dati. L‟intento è di effettuare un primo tentativo di risoluzione delle controversie online attraverso una mediazione informale, che nel caso fallisca può sfociare in altre metodologie risolutive, come ad esempio le vie legali. Questo strumento inoltre, diventa un garante a tutela dei diritti del consumatore perché fornisce ulteriori tutele riguardo l‟esistenza degli ecommerce, poiché quelli fittizi non possono iscriversi. 216 La nascita di questa piattaforma è dovuta in particolare all‟art 4 del Regolamento 524/2013/EU, che evidenzia la necessità di trovare “mezzi facili, efficaci, rapidi e a basso costo per risolvere le controversie derivanti dalla vendita di beni o dalla fornitura di servizi in tutta l’Unione” essendo necessario accrescere la fiducia dei consumatori e dei professionisti negli acquisti e nelle vendite a livello transfrontaliero. 217 PARTE SPECIALE PILLOLE DIGITALI HARDWARE E SOFTWARE Tutti i dispositivi informatici sono costituiti da diverse componenti, tanto fisiche quanto logiche, immateriali. Le due grandi categorie nelle quali si dividono dette componenti sono la parte Hardware e quella Software; l'Hardware rappresenta l'insieme delle componenti materiali ed elettroniche di cui un dispositivo informatico è composto. In genere, sono componenti minime essenziali il processore, la memoria logica e la memoria di massa; a completamento, ci sono poi gli strumenti di input (tastiera, mouse o altro dispositivo di inserimento), gli strumenti di output (come lo schermo o la stampante) e quelli di trasmissione/ricezione dati (modem o scheda wifi). La veloce evoluzione dei dispositivi informatici ha fatto in modo che essi, nel corso degli anni, hanno subito trasformazioni sempre più radicali riguardanti sia la velocità e la potenza di calcolo e funzionamento sia le dimensioni, sempre più ridotte e comode da trasportare. Accanto alla componente Hardware, riveste fondamentale importanza quella Software, ossia l'insieme dei comandi che consentono ad un dispositivo informatico di eseguire le istruzioni impartite e di funzionare nel modo in cui si è abituati a vederlo funzionare normalmente, attraverso i programmi dotati di una interfaccia utente che rende immediatamente accessibile e comprensibile il suo utilizzo. Nell'ambito Software, una categoria a parte è rappresentata dai Sistemi Operativi, veri e propri software di base che consentono di far funzionare e coordinare le varie parti del dispositivo informatico e di accedere alle sue risorse. Tali software possono essere di diversi tipi, i più diffusi sono il sistema Windows della Microsoft, il sistema Mac della Apple ed il sistema Linux, un Sistema Operativo open source, che viene distribuito in varie versioni. Con la pervasiva diffusione di dispositivi portatili, poi, è sorta l'esigenza di realizzare appositi sistemi operativi per il loro funzionamento; tra di essi i più diffusi sono iOS di Apple, Android di Google e Windows Phone di Microsoft. 218 Accanto ai S. O. esistono tutti gli altri tipi di software che consento di sfruttare a pieno la potenza raggiunta dai dispositivi informatici attraverso numerosissimi programmi (sia gratuiti che a pagamento) e permettono di soddisfare ogni tipo di esigenza, da quella lavorativa a quella meramente ludica, di apprendimento o di comunicazione interpersonale. 219 GOVERNANCE DI INTERNET Internet è la più grande rete di telecomunicazioni al mondo, in grado di collegare miliardi di computer tra di loro e, conseguentemente, miliardi di utenti umani, che vi possono accedere da ogni parte del globo ed anche in movimento. Internet è nata come un progetto militare statunitense sul finire degli anni 60 e si è progressivamente evoluto sino a raggiungere la fisionomia odierna. Tuttavia, dietro quella che apparentemente è una interfaccia semplice e di immediato utilizzo, si nasconde un complesso sistema informatico e telematico di collegamenti e protocolli di comunicazione che consentono alle macchine connesse di parlare tra loro un linguaggio comune e comprensibile. E così, perchè tutto funzioni in maniera efficiente a livello globale, esiste una organizzazione, che oggi ha il nome di ICANN (Internet Corporation for Assigned Names and Numbers284) che sovrintende alle assegnazioni degli indirizzi I.P. (Internet Protocol), alla gestione dei DNS (Domain Name System) e dei nomi a dominio. Un importante dipartimento dell'Icann è lo IANA (Internet Assigned Numbers Authority), responsabile per il coordinamento di alcuni elementi chiave che consentono ad Internet di funzionare regolarmente. Per quanto l'Icann sia un'organizzazione mondiale non profit, svolge le sue funzioni sotto la supervisione del Dipartimento del Commercio degli Stati Uniti d'America, in forza di un accordo contrattuale, peraltro prossimo alla scadenza. Infatti, si è da più parti cercato di sganciare il controllo delle funzioni dell'Icann dalla supervisione governativa statunitense, attraverso la creazione di un organismo sovranazionale sotto la responsabilità delle Nazioni Unite, su iniziativa dell'ITU (International Telecommunication Union). Ma al momento ancora nulla è cambiato. Nell'ottobre 2016 il contratto tra N.T.I.A.285 e l'Icann è scaduto, il che comporta che le funzioni IANA dovrebbero passare sotto il controllo di un organismo internazionale multistakeholder, in modo da garantire la maggiore partecipazione possibile a livello planetario della governance di Internet. 284 285 https://www.icann.org/en/system/files/files/participating-08nov13-en.pdf National Telecommunication & Information Administration è un'Agenzia tecnica operativa del Dipartimento del Commercio degli U.S.A., www.ntia.doc.gov 220 A.G.I.D. (A.I.P.A., C.N.I.P.A., DIGIT.PA) L'Agenzia per l'Italia Digitale (AgID) coordina le azioni in materia di innovazione per promuovere le tecnologie ICT a supporto della pubblica amministrazione, garantendo la realizzazione degli obiettivi dell‟Agenda digitale italiana in coerenza con l‟Agenda digitale europea286. L'ente è stato istituito con D. L. n. 83, convertito nella L. n. 134/2012 ed attualmente è disciplinato dall'art. 14Bis del C.A.D.287. Eredita le competenze del Dipartimento per la 286 287 http://www.agid.gov.it/agenzia Inserito dal D. L.vo 179/16: Art. 14bis Agenzia per l'Italia digitale). 1. L'Agenzia per l'Italia Digitale (AgID) e' preposta alla realizzazione degli obiettivi dell'Agenda Digitale Italiana, in coerenza con gli indirizzi dettati dal Presidente del Consiglio dei ministri o dal Ministro delegato, e con l'Agenda digitale europea. AgID, in particolare, promuove l'innovazione digitale nel Paese e l'utilizzo delle tecnologie digitali nell'organizzazione della pubblica amministrazione e nel rapporto tra questa, i cittadini e le imprese, nel rispetto dei principi di legalita', imparzialita' e trasparenza e secondo criteri di efficienza, economicita' ed efficacia. Essa presta la propria collaborazione alle istituzioni dell'Unione europea e svolge i compiti necessari per l'adempimento degli obblighi internazionali assunti dallo Stato nelle materie di competenza. 2. AgID svolge le funzioni di: a) emanazione di regole, standard e guide tecniche, nonche' di vigilanza e controllo sul rispetto delle norme di cui al presente Codice, anche attraverso l'adozione di atti amministrativi generali, in materia di agenda digitale, digitalizzazione della pubblica amministrazione, sicurezza informatica, interoperabilita' e cooperazione applicativa tra sistemi informatici pubblici e quelli dell'Unione europea; b) programmazione e coordinamento delle attivita' delle amministrazioni per l'uso delle tecnologie dell'informazione e della comunicazione, mediante la redazione e la successiva verifica dell'attuazione del Piano triennale per l'informatica nella pubblica amministrazione contenente la fissazione degli obiettivi e l'individuazione dei principali interventi di sviluppo e gestione dei sistemi informativi delle amministrazioni pubbliche. Il predetto Piano e' elaborato dall'AgID, anche sulla base dei dati e delle informazioni acquisiti dalle pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo n. 165 del 2001, ed e' approvato dal Presidente del Consiglio dei ministri o dal Ministro delegato entro il 30 settembre di ogni anno; c) monitoraggio delle attivita' svolte dalle amministrazioni in relazione alla loro coerenza con il Piano triennale di cui alla lettera b) e verifica dei risultati conseguiti dalle singole amministrazioni con particolare riferimento ai costi e benefici dei sistemi informatici secondo le modalita' fissate dalla stessa Agenzia; d) predisposizione, realizzazione e gestione di interventi e progetti di innovazione, anche realizzando e gestendo direttamente o avvalendosi di soggetti terzi, specifici progetti in tema di innovazione ad essa assegnati nonche' svolgendo attivita' di progettazione e coordinamento delle iniziative strategiche e di preminente interesse nazionale, anche a carattere intersettoriale; e) promozione della cultura digitale e della ricerca anche tramite comunita' digitali regionali; f) rilascio di pareri tecnici, obbligatori e non vincolanti, sugli schemi di contratti e accordi quadro da parte delle pubbliche amministrazioni centrali concernenti l'acquisizione di beni e servizi relativi a sistemi informativi automatizzati per quanto riguarda la congruita' tecnico-economica, qualora il valore lordo di detti contratti sia superiore a euro 1.000.000,00 nel caso di procedura negoziata e a euro 2.000.000,00 nel caso di procedura ristretta o di procedura aperta. Il parere e' reso tenendo conto dei principi di efficacia, economicita', ottimizzazione della spesa delle pubbliche amministrazioni e favorendo l'adozione di infrastrutture condivise e standard che riducano i costi sostenuti dalle singole amministrazioni e il miglioramento dei servizi erogati, nonche' in coerenza con i principi, i criteri e le indicazioni contenuti nei piani triennali approvati. Il parere e' reso entro il termine di quarantacinque giorni dal ricevimento della relativa richiesta. Si applicano gli articoli 16 e 17bis della legge 7 agosto 1990, n. 241, e successive modificazioni. Copia dei pareri tecnici attinenti a questioni di competenza dell'Autorita' nazionale anticorruzione e' trasmessa dall'AgID a detta Autorita'; g) rilascio di pareri tecnici, obbligatori e non vincolanti, sugli elementi essenziali delle procedure di gara bandite, ai sensi dell'articolo 1, comma 512 della legge 28 dicembre 2015, n. 208, da Consip e dai soggetti aggregatori di cui all'articolo 9 del decretolegge 24 aprile 2014, n. 66, concernenti l'acquisizione di beni e servizi relativi a sistemi informativi automatizzati e definiti di carattere strategico nel piano triennale. Ai fini della presente lettera per elementi essenziali si intendono l'oggetto della fornitura o del servizio, il valore economico del contratto, la tipologia di procedura che si intende adottare, il criterio di aggiudicazione e relativa ponderazione, le principali clausole che caratterizzano le prestazioni contrattuali. Si applica quanto previsto nei periodi da 2 a 5 della lettera f); h) definizione di criteri e modalita' per il monitoraggio sull'esecuzione dei contratti da parte dell'amministrazione interessata ovvero, su sua richiesta, da parte della stessa AgID; i) vigilanza sui servizi fiduciari ai sensi dell'articolo 17 del regolamento UE 910/2014 in qualita' di organismo a tal fine designato, sui gestori di posta elettronica certificata, sui soggetti di cui all'articolo 44bis, nonche' sui soggetti, pubblici e privati, che partecipano a SPID di cui all'articolo 64; nell'esercizio di tale funzione l'Agenzia puo' irrogare per le violazioni accertate a carico dei 221 Digitalizzazione e l‟Innovazione della Presidenza del Consiglio, dell'Agenzia per la diffusione delle tecnologie per l'innovazione, di DigitPA e dell'Istituto superiore delle comunicazioni e delle tecnologie dell‟informazione per le competenze sulla sicurezza delle reti. Prima dell'Ag.I.D., le stesse funzioni erano svolte dal DigitPa, il quale, ai sensi del d.lgs. 1.12.2009, n. 177 "Riorganizzazione del Centro nazionale per l'informatica nella pubblica amministrazione, a norma dell'articolo 24 della legge 18 giugno 2009, n. 69" ha assunto le funzioni svolte dal C.N.I.P.A. (ossia Centro Nazionale per l'Informatica nella P.A. Istituito con il d.lgs n. 196/03). Risalendo indietro nella successione, il primo organismo ad occuparsi di Informatica nella P.A. è stata l'Autorità per l'informatica nella pubblica amministrazione (AIPA), istituito con il d. lgs n. 39 del 12.02.1993, la quale aveva il compito di promuovere, coordinare, pianificare e controllare lo sviluppo di sistemi informativi automatizzati delle amministrazioni pubbliche, secondo criteri di standardizzazione, interconnessione ed integrazione dei sistemi stessi. A tali organismi, sono dovute le norme specifiche e tecniche nelle materie di pertinenza (ad esempio, circolari e direttive sulle firme elettroniche, sul documento informatico, sul riuso del software ecc.). BIG DATA Si deve intendere per “big data” una raccolta di dati particolarmente estesa in termini di volume, velocità e varietà, tale da richiedere tecnologie e metodi analitici specifici per estrapolare, gestire e processare informazioni entro un tempo ragionevole. I Big data possono potenzialmente provenire anche da fonti eterogenee, quindi non soltanto i dati strutturati, come i database, ma anche non strutturati, come immagini, email, dati GPS, informazioni prese dai social network. soggetti vigilati le sanzioni amministrative di cui all'articolo 32bis in relazione alla gravita' della violazione accertata e all'entita' del danno provocato all'utenza; l) ogni altra funzione attribuitale da specifiche disposizioni di legge e dallo Statuto. 3. Fermo restando quanto previsto al comma 2, AgID svolge ogni altra funzione prevista da leggi e regolamenti gia' attribuita a DigitPA, all'Agenzia per la diffusione delle tecnologie per l'innovazione nonche' al Dipartimento per l'innovazione tecnologica della Presidenza del Consiglio dei ministri.)) 222 Con i big data la mole dei dati è dell'ordine dei Zettabyte, ovvero miliardi di Terabyte . Quindi si richiede una potenza di calcolo con strumenti dedicati, anche eseguiti su migliaia di server. L'analista Doug Laney nel 2001 aveva definito il modello di crescita dei big data come tridimensionale, anche detto “modello delle 3V": con il passare del tempo aumentano volume (dei dati), velocità e varietà (dei dati). In molti casi questo modello è ancora valido, nonostante nel 2012 il modello sia stato esteso ad una quarta variabile, la veridicità, ossia la qualità dei dati intesa come il valore informativo che si riesce ad estrarre. Ad oggi l‟estensione del modello è giunta a ricomprendere in esso anche la variabilità (caratteristica che si riferisce alla possibilità di inconsistenza dei dati) e la complessità (maggiore è la dimensione del dataset, maggiore è la complessità dei dati da gestire e il collegamento delle informazioni per ottenerne di interessanti). MONETA E PAGAMENTI ELETTRONICI Un più efficiente sistema di incassi e pagamenti del settore pubblico è fondamentale per l‟economia della nazione se si pensa che nel nostro Paese una rilevante parte dei consumi è attribuibile alla Pubblica Amministrazione. La scelta del legislatore di definire un quadro normativo unitario - all‟interno del quale si inseriscono le regole, gli standard e le infrastrutture per la gestione dei pagamenti alle PA e per la Fatturazione elettronica - risponde appieno all‟esigenza di semplificazione e razionalizzazione del settore pubblico. In questo ambito nasce il progetto dei Pagamenti a favore delle PA che costituisce un ulteriore tassello della digitalizzazione dei pagamenti, completando quanto già realizzato per le amministrazioni centrali con il Sistema informatizzato dei pagamenti della PA (SIPA) e dall‟Ordinativo Informatico Locale (OIL) per i ciò che riguarda i pagamenti degli enti locali e delle istituzioni scolastiche. Il Sistema informatizzato dei pagamenti della PA è un‟iniziativa del 2001, nata dalla sottoscrizione di un Protocollo d‟intesa quadro tra la Ragioneria Generale dello Stato, la Corte dei Conti, la Banca d‟Italia e AIPA (oggi AgID). L‟Ordinativo Informatico Locale (OIL) è una procedura utilizzata per sviluppare i rapporti 223 telematici tra i soggetti che erogano servizi di tesoreria e/o cassa, le cosiddette “banche tesoriere”, e le amministrazioni pubbliche loro clienti allo scopo di gestire e trasmettere mandati di pagamento e reversali d‟incasso. L‟adozione dell‟OIL è il presupposto essenziale per l‟attuazione del Sistema Informativo delle Operazioni degli Enti Pubblici (SIOPE), l‟archivio telematico - gestito dalla Banca d‟Italia ed alimentato dalle “banche tesoriere”- che raccoglie gli incassi e i pagamenti giornalieri delle amministrazioni pubbliche. Con l‟introduzione del SIOPE l‟ente è infatti obbligato a fornire le informazioni di ogni titolo di incasso (reversale) e pagamento (mandato) ed i relativi codici gestionali, consentendo una classificazione uniforme su tutto il territorio nazionale. L‟OIL è stato recentemente introdotto anche nelle amministrazioni scolastiche grazie ad una collaborazione avviata dal MIUR e AgID con il sistema bancario. Gli ultimi aggiornamenti riguardano l‟adeguamento delle regole tecniche dell‟OIL agli standard europei della Single Euro Payment Area (SEPA), alla riforma degli ordinamenti contabili pubblici ARCONET e l‟estensione al giornale di cassa delle tecniche di scambio informatico OIL. Tali aggiornamenti sono indicati nella Circolare AgID n.64 /2014 che ribadisce, per gli enti interessati, l‟obbligo di utilizzo dell‟Ordinativo informatico nel colloquio con le proprie “banche tesoriere”; in parallelo, l‟Associazione Bancaria Italiana ha pubblicato l‟analoga Circolare ABI serie Tecnica n. 36 del 30 dicembre 2013 indirizzata alle proprie associate. L'iniziativa “PagoPA”288, invece, nasce per dare la possibilità a cittadini ed imprese di effettuare pagamenti in modalità elettronica a favore della PA e dei gestori di pubblici servizi. Il progetto si inquadra nella più ampia regolamentazione europea in materia di servizi di pagamento introdotta con la Single Euro Payment Area (SEPA) e con la Payment Services Directive (PSD, 2007/64/EC). PagoPA è un ecosistema di regole, standard e strumenti definiti dall'Agenzia per l'Italia Digitale e accettati dalla Pubblica Amministrazione, dalle Banche, Poste ed altri istituti di pagamento (Prestatori di servizi di pagamento - PSP) aderenti all'iniziativa. 288 Al 30 giugno 2016 risultano aderenti al sistema dei pagamenti elettronici a favore della Pubblica Amministrazione il 60,87% degli Enti censiti sull‟IPA per un totale di 14.038 amministrazioni, con alcuni dati numerici rilevanti: 8.692 Istituti Scolastici e Università (91,95% del totale); 4.799 Comuni e loro Associazioni (55,52% del totale); tutte le 22 Regioni e Province Autonome; 84 Strutture sanitarie (27,10% del totale); 11 Ministeri; tutte le Camere di Commercio.Nel secondo trimestre 2016 sono transitate su pagoPA 139.791 operazioni di pagamento. Fonte Agid. 224 PagoPA garantisce vantaggi sia a privati e aziende che alle PP.AA.; ai primi: - sicurezza e affidabilità nei pagamenti; - semplicità e flessibilità nella scelta delle modalità di pagamento; - trasparenza nei costi di commissione; alle pubbliche amministrazioni offre: - certezza e automazione nella riscossione degli incassi; - riduzione dei costi e standardizzazione dei processi interni; - semplificazione e digitalizzazione dei servizi. PagoPA è stato realizzato da AgID in attuazione dell'art. 5289 del Codice dell‟Amministrazione Digitale e dal D.L. 179/2012. Per ciò che attiene il contesto nazionale il Codice dell‟Amministrazione Digitale affida ad AgID il compito di definire, sentita la Banca d‟Italia, le regole e le modalità di effettuazione dei pagamenti elettronici attraverso l‟emanazione di apposite Linee guida290. Queste sono il risultato di un percorso partecipato e condiviso con tutti gli attori coinvolti nel gruppo di lavoro costituito da amministrazioni centrali e locali e al quale hanno contributo anche i prestatori di servizi di pagamento. L‟Agenzia per l‟Italia Digitale ha inoltre il compito di gestire, in base all‟articolo 81 dello stesso CAD, l‟infrastruttura di interconnessione tra pubblica amministrazione e prestatori di servizi di pagamento per consentire i pagamenti elettronici. Tale infrastruttura, denominata Nodo dei Pagamenti-SPC, è già operativa e funzionante dal giugno 2012. Secondo la normativa vigente le pubbliche amministrazioni (centrali e locali) hanno l'obbligo di collegarsi al Nodo dei Pagamenti-SPC come disposto dall‟articolo 15, comma 5-bis del DL 179/2012, mentre i gestori di servizi di pubblica utilità e i prestatori di servizi di pagamento possono aderire sottoscrivendo appositi accordi. Il Sistema è infatti aperto a tutti gli operatori privati interessati (banche e istituti di pagamento e moneta elettronica) 289 Art. 5 Effettuazione di pagamenti con modalità informatiche 1. I soggetti di cui all'articolo 2, comma 2, sono obbligati ad accettare, tramite la piattaforma di cui al comma 2, i pagamenti spettanti a qualsiasi titolo attraverso sistemi di pagamento elettronico, ivi inclusi, per i micro-pagamenti, quelli basati sull'uso del credito telefonico. Resta ferma la possibilità di accettare anche altre forme di pagamento elettronico, senza discriminazione in relazione allo schema di pagamento abilitato per ciascuna tipologia di strumento di pagamento elettronico come definita ai sensi dell'articolo 2, punti 33), 34) e 35) del regolamento UE 2015/751 del Parlamento europeo e del Consiglio del 29 aprile 2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta. 2. Al fine di dare attuazione al comma 1, l'AgID mette a disposizione, attraverso il Sistema pubblico di connettività, una piattaforma tecnologica per l'interconnessione e l'interoperabilità tra le pubbliche amministrazioni e i prestatori di servizi di pagamento abilitati, al fine di assicurare, attraverso gli strumenti di cui all'articolo 64, l'autenticazione dei soggetti interessati all'operazione in tutta la gestione del processo di pagamento. 290 LINEE GUIDA PER L'EFFETTUAZIONE DEI PAGAMENTI ELETTRONICI A FAVORE DELLE PUBBLICHE AMMINISTRAZIONI E DEI GESTORI DI PUBBLICI SERVIZI, Versione 1.1 – gennaio 2014, reperibile all'indirizzo internet http://www.agid.gov.it/sites/default/files/linee_guida/lineeguidapagamenti_v_1_1_0_0.pdf consultato nel mese di novembre 2016. 225 che possono così operare in condizioni paritetiche e senza necessità di attivare accordi bilaterali con le Pubbliche Amministrazioni. Completano il quadro regolatorio due documenti tecnici allegati alle Linee guida che precisano rispettivamente le modalità con cui devono essere definiti i codici necessari per la riconciliazione del pagamento (Specifiche attuative dei codici identificativi di versamento, riversamento e rendicontazione) e le regole attraverso le quali le PA ed i gestori di pubblici servizi scambiano informazioni con i prestatori di servizi di pagamento (Specifiche Attuative del Nodo dei Pagamenti-SPC). Le modalità operative prevedono che le pubbliche amministrazioni o i gestori di pubblici servizi aderiscano all‟iniziativa attraverso l‟invio all‟AgID di una lettera di adesione; i prestatori di servizi di pagamento possono partecipare attraverso la sottoscrizione di un accordo di servizio. Il dettaglio per le adesioni è contenuto nelle Specifiche Attuative del Nodo dei Pagamenti SPC. L‟AgID inoltre mette gratuitamente a disposizione delle pubbliche amministrazioni, centrali e locali, i codici Global Location Number (GLN) per il biennio 2015/2016, grazie ad un apposito accordo stipulato con l‟associazione Indicod-Ecr. Tali codici, definiti secondo lo standard GS1, identificano univocamente ogni amministrazione a livello sia nazionale che internazionale permettendo la corretta composizione della codifica a barre da apporre su ogni documento, compresi gli avvisi da emettere nell‟ambito dei sistemi di pagamento telematici. BITCOIN Bitcoin è una moneta digitale, inventata nel 2009 da tal Satoshi Nakamoto, che usa la tecnologia peer-to-peer per non operare con alcuna autorità centrale o con le banche. La gestione delle transazioni e l'emissione di bitcoin viene effettuata collettivamente dalla rete, attraverso un libro mastro pubblico chiamato “block chain”291. Questo libro mastro contiene tutte le transazioni che sono state elaborate, permettendo al computer degli utenti di verificare la validità di ogni transazione. 291 Una blockchain (in italiano letteralmente: catena di blocchi) è una base di dati distribuita, introdotta dalla valuta Bitcoin che mantiene in modo continuo una lista crescente di record, i quali fanno riferimento a record precedenti presenti nella lista stessa ed è resistente a manomissioni (tratto da Wikipedia). 226 L'autenticità di ogni transazione è protetta da firme digitali che corrispondono all'indirizzo del mittente, permettendo a tutti gli utenti di avere pieno controllo sui bitcoin inviati dai loro indirizzi Bitcoin personali. Chiunque può processare transazioni usando la potenza computazionale dell'hardware specializzato ed ottenere un premio in bitcoin per questo servizio, spesso chiamato "mining". Bitcoin è open-source e la sua progettazione è pubblica, nessuno possiede o controlla Bitcoin e tutti possono prendere parte al progetto. LICENZE CC E IODL Il tema del diritto d'autore nell'ambito della P.A. si è sempre posto in termini di titolarità del dato in capo all'amministrazione che lo formava o lo deteneva per averlo raccolto o conservato. In seguito all'introduzione del principio di apertura dei dati (open data) si è iniziato ad introdurre l'utilizzo di licenze Creative Commons292, ossia di un tipo di licenza che riserva al titolare solo alcuni diritti (alcuni diritti riservati, come la citazione della fonte, la diffusione allo stesso modo ecc.) o, addirittura, nessun diritto (diffusione in pubblico dominio). Al riguardo il Formez293 ha creato una specifica licenza, denominata IODL (Italian Open Data License)294, che ha lo scopo di consentire agli utenti di condividere, modificare, usare e riusare liberamente la banca di dati, i dati e le informazioni con essa rilasciati, garantendo al contempo la stessa libertà per altri. La licenza mira a facilitare il riutilizzo delle informazioni pubbliche nel contesto dello sviluppo della società dell'informazione. L'art. 52 del C.A.D., poi, prevede espressamente che i dati e i documenti che le amministrazioni titolari pubblicano, con qualsiasi modalita, senza l'espressa adozione di una licenza di cui all'articolo 2, comma 1, lettera h), del decreto legislativo 24 gennaio 2006, n. 36295, si intendono rilasciati come dati di tipo aperto ai sensi all'articolo 68, comma 3, del presente Codice e che l'eventuale adozione di una licenza di cui al citato articolo 2, comma 1, lettera h), è motivata ai sensi delle linee guida nazionali. 292 293 294 295 http://www.creativecommons.it/ Centro servizi, assistenza, studi e formazione per l'ammodernamento delle P.A. www.formez.it http://www.formez.it/iodl/ Decreto recante l'Attuazione della direttiva 2003/98/CE relativa al riutilizzo di documenti nel settore pubblico 227 Il successivo art. 68 co. 3, inoltre, definisce: a) formato dei dati di tipo aperto, un formato di dati reso pubblico, documentato esaustivamente e neutro rispetto agli strumenti tecnologici necessari per la fruizione dei dati stessi; b) dati di tipo aperto, i dati che presentano le seguenti caratteristiche: 1) sono disponibili secondo i termini di una licenza che ne permetta l'utilizzo da parte di chiunque, anche per finalità commerciali, in formato disaggregato; 2) sono accessibili attraverso le tecnologie dell'informazione e della comunicazione, ivi comprese le reti telematiche pubbliche e private, in formati aperti ai sensi della lettera a), sono adatti all'utilizzo automatico da parte di programmi per elaboratori e sono provvisti dei relativi metadati; 3) sono resi disponibili gratuitamente attraverso le tecnologie dell'informazione e della comunicazione, ivi comprese le reti telematiche pubbliche e private, oppure sono resi disponibili ai costi marginali sostenuti per la loro riproduzione e divulgazione. ETICA HACKER Per introdurre il concetto di etica hacker, occorre prima identificare chi sono gli hackers, ossia una categoria di persone che si impegna nell'affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che le vengono imposte, non limitatamente ai suoi ambiti d'interesse (che di solito comprendono l'informatica o l'ingegneria elettronica), ma in tutti gli aspetti della vita. Spesso, ma impropriamente, il termine hacker viene associato ai criminali informatici, che, invece, vengono definiti “cracker” e hanno finalità meramente tendenti al profitto o al danneggiamento o alla violazione dei sistemi informatici, senza alcuno scrupolo. Con l'espressione etica hacker, quindi, si fa riferimento all'etica emersa e applicata, dalle comunità virtuali e che affonda le radici negli anni cinquanta e sessanta, muovendo i primi passi al Massachusetts Institute of Technology (MIT) di Boston. Il termine "etica hacker" è tradizionalmente attribuito allo scrittore Steven Levy, che lo descrive nel libro del 1984 “Hackers. Gli eroi della rivoluzione informatica”. Uno dei suoi grandi mentori è il finlandese Pekka Himanen, autore di “L'etica hacker e lo 228 spirito dell'eta dell'informazione”. Nel linguaggio comune degli studenti del MIT, con "hack" si intendeva un progetto in fase di sviluppo o un prodotto realizzato con scopi costruttivi, con riferimento ad un forte piacere dato dal coinvolgimento nel progetto. Il termine venne adottato estrapolandolo dal comune linguaggio gergale universitario, in cui, col termine "hack", si indicavano gli scherzi goliardici architettati dagli studenti. L'etica hacker fu descritta come un "nuovo stile di vita, con una filosofia, un'etica, ed un sogno". Nei primi anni ottanta alcuni sostenitori dell'etica hacker diedero vita al movimento per il software libero. Il fondatore di questo movimento, Richard Stallman, è considerato, da Steven Levy, come "l'ultimo vero hacker". Da tale ambito, poi, il concetto di hackerare è stato esteso anche ad altri ambiti sociali e politici, per cui è invalso anche l'espressione di hackerare le PP.AA. Nel senso di migliorare il funzionamento delle stesse da parte dei cittadini attraverso strumenti (ora consacrati nel c.d. Diritto di accesso civico ex D. L.Vo 33/2013) che consento il controllo dell'attività amministrativa e la partecipazione ai processi decisionali, soprattutto di interesse collettivo. INTERNET DELLE COSE Il concetto di Internet delle cose (Internet of Thing, nella versione internazionale, IoT), si riferisce ad una infrastruttura nella quale miliardi di sensori sono collegati tra di loro, e dispositivi di uso comune, appunto “cose” in quanto tali, o collegate ad altri oggetti o ad individui, sono progettate per registrare, processare, conservare e trasferire dati e, dal momento che sono identificate in modo univoco, ad interagire con altri dispositivi o sistemi, utilizzando le risorse dei networks. Quindi, l'Internet delle cose si basa sul principio dell'uso esteso del trattamento dei dati atraverso tali sensori, che sono progettati per comunicare in maniera opportuna e scambiare dati senza soluzione di continuità, ed è strettamente collegato alle nozioni di pervasività ed ubiquità dell'informatica. Alcuni esempi di IoT sono il wearable computing (ossia dispositivi indossabili quali ad es. 229 bracciali, occhiali, spille, ciondoli, ecc.)296 o la home automation (c.d. domotica); tutti, comunque, pongono, anche sotto peculiari profili, pericoli per la gestione del trattamento dei dati personali che acquisiscono nel loro funzionamento e di sicurezza informatica del sistema all'interno del quale operano, specie in relazione allo sfruttamento della connessione Internet e del relativo protocollo IP per la comunicazione diretta tra i dispositivi collegati. In particolare il wearable computing sta riscontrando un successo sempre più importante, grazie ai numerosi utilizzi che se ne possono fare ma soprattutto allo sviluppo di numerose app che consentono di svolgere le funzioni più disparate, soprattutto per quel che riguarda l'ambito benessere e sanità. Ed è in tale ambito, infatti, che l'utilizzo di dispositivi indossabili sta dando vita ad un mercato sempre più fiorente e dinamico, ma che riesce fondamentalmente a soddisfare bisogni di tutela del benessere e della salute personale, prima impensabili. Ovviamente, uno degli aspetti più critici del wearable computing è quello relativo al corretto trattamento dei dati personali dei soggetti coinvolti (sia in quanto utenti del servizio, sia in quanto soggetti loro malgrado coinvolti), i quali devono necessariamente essere consapevoli di quali loro dati si fa uso e soprattutto da parte di chi e per quali finalità, senza trascurare che spesso la conservazione dei dati avviene attraverso il cloud e, quindi, difficilmente si può conoscere con esattezza la effettiva localizzazione dei dati. SMART CITIES (Comunità intelligenti) Una Smart City è un luogo dove le reti ed i servizi tradizionali sono resi più efficienti attraverso l'uso delle tecnologie digitali e delle telecomunicazioni a beneficio dei propri abitanti e per lo sviluppo dell'economia. Il concetto di Smart City, comunque, va oltre il semplice uso delle ICT per un migliore uso delle risorse e la riduzione delle emissioni. Significa reti di trasporti urbani più intelligenti, forniture di acqua ammodernate e riduzione 296 Ossia dispositivi miniaturizzati “indossabili” che si integrano con il corpo del fruitore, concepiti per interagire costantemente con chi li indossa, agevolare l'utente nelle sue azioni e consentirgli di accedere alle informazioni raccolte in qualsiasi momento. V. Germani E., Ferola L. “Il Wearable Computing e gli orizzonti futuri della privacy”, in Diritto dell'Informazione e dell'Informatica (Il), fasc.1, 2014, pag. 75 230 delle perdite e modi più efficienti di illuminare e riscaldare gli edifici. La smart city può anche dare vita ad una amministrazione più interattiva e reattiva ed a spazi pubblici più sicuri anche per incontrare le esigenze di una popolazione che avanza negli anni. DATI TERRITORIALI L'art. 59 del C.A.D. definiva297 i Dati territoriali come qualunque informazione geograficamente localizzata; essi costituiscono l‟elemento conoscitivo di base per tutte le politiche connesse alla gestione del territorio, siano esse relative alla sicurezza, alla imposizione fiscale, alla prevenzione di fenomeni di degenerazione sociale ecc.. Per agevolare la pubblicità dei dati di interesse generale, disponibili presso le pubbliche amministrazioni a livello nazionale, regionale e locale, presso il DigitPA (ora AGID) è istituito il Repertorio nazionale dei dati territoriali ed è prevista la costituzione di un Comitato per le regole tecniche sui dati territoriali delle P.A. Nell'ambito dei dati territoriali di interesse nazionale rientra la base dei dati catastali gestita dall'Agenzia del territorio. Nel contesto europeo è stata emanata la direttiva Direttiva 2007/2/CE del 14 marzo 2007 che istituisce un'Infrastruttura per l'informazione territoriale nella Comunità europea (Inspire), recepita nell'ordinamento italiano con il D. L.vo 27 gennaio 2010 n. 32. All‟indirizzo web http://www.rndt.gov.it/RNDT/home/ è reperibile il sito dedicato. SICUREZZA NAZIONALE DELLO SPAZIO CIBERNETICO Con il D.P.C.M. 24 gennaio 2013, recante “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”, l‟Italia ha delineato la sua strategia nel 297 Nella versione precedente alle modifiche introdotte con il D. L.vo 179/16. 231 campo della “cyber security, sul presupposto che la minaccia cibernetica costituisce un rischio per la sicurezza nazionale. Con questo decreto il nostro paese si pone ai primi posti nella lotta alle minacce cibernetiche e nella protezione del spazio cibernetico o “cyber space”, approcciandosi al problema con un respiro nazionale, strategico e centralizzato, e ponendo le basi per una cooperazione nazionale su piu livelli, che coinvolga tutti gli attori pubblici nonche gli operatori privati interessati, ed internazionale sia in ambito bilaterale e multilaterale, sia con l'UE che con la NATO. Tra le varie definizione, di maggiore importanza si segnalano lo “spazio cibernetico”, la “minaccia cibernetica” e la “sicurezza cibernetica”. La nuova strategia nazionale dovrà persegeuire tre obiettivi principali: individuare le minacce, prevenire i rischi e coordinare una risposta in situazioni di crisi, ed è articolata su tre livelli d‟intervento: - il primo di indirizzo politico e di coordinamento strategico affidato al “Comitato interministeriale per la sicurezza della Repubblica (CISR)”; - il secondo di supporto operativo ed amministrativo a carattere permanente affidato al “Nucleo per la Sicurezza Cibernetica” presieduto dal Consigliere Militare del Presidente del Consiglio, con funzioni di raccordo nei confronti di tutte le amministrazioni ed enti competenti per l‟attuazione degli obiettivi e delle linee di azione indicate dalla pianificazione nazionale e che provvedera a programmare l‟attivita operativa a livello interministeriale e ad attivare le procedure di allertamento in caso di crisi; - il terzo livello, di gestione delle crisi affidato al “Tavolo Interministeriale di Crisi Cibernetica”, con il compito di curare e coordinare le attivita di risposta e di ripristino della funzionalità dei sistemi, avvalendosi di tutte le componenti interessate. Sul piano pratico, la Direttiva prevede anche l‟istituzione di un Computer Emergency Response Team nazionale, accanto al gia istituito CERT della Pubblica Amministrazione. Il 27 gennaio 2014, poi, con Decreto del Presidente del Consiglio dei Ministri, è stato approvato il “Piano per la protezione cibernetica e la sicurezza informatica”. Il Piano individua undici indirizzi operativi e i relativi obiettivi specifici da conseguire e le relative linee d‟azione da porre in essere per dare concreta attuazione al Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico, in linea con quanto previsto dal 232 Decreto del Presidente del Consiglio dei Ministri del 24 gennaio 2013. Da segnalare, infine, la recentissima Direttiva n. 1148 del Parlamento Europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione, che intende assicurare l'affidabilità e la sicurezza delle reti, dei sistemi e servizi informativi per le attività economiche e sociali, vitali nella società, in particolare ai fini del funzionamento del mercato interno, la quale afferma che le reti e i sistemi e servizi informativi svolgono un ruolo vitale nella società, tanto da rendere essenziale la loro affidabilità e sicurezza per le attività economiche e sociali, in particolare ai fini del funzionamento del mercato interno298. RFID, NFC, QR CODE La sempre crescente esigenza di mobilità e digitalizzazione delle attività ha reso ormai di utlizzo comune alcune tecnologie wireless che consentono di processare le diverse informazioni per finalità identificative, di pagamenti, di tracciamento o di sicurezza in generale. Tra tali tecnologie si collocano la Radio Frequency Identification, la Near Field Communication ed il Quick Response Code. La prima è una tecnologia che consente di identificare oggetti e persone attraverso dei microchip che memorizzano informazioni trasmettendole ad un sistema centralizzato, con radiofrequenza; nella pratica si tratta di un dispositivo hardware e software costituito da una memoria ovvero un chip, e da un'antenna i quali possono essere riconosciuti ed analizzati da un apposito lettore RFID299. Il sistema RFID, quindi, è composto da un'etichetta trasnponder (transmitter-responder) contenente un identificativo univoco, da un lettore apposito in grado di interrogare il transponder dell'etichetta e da un sistema di gestione connesso in rete con i lettori. Dalla tecnologia Rfid si è evoluta quella di NFC, attraverso una combinazione d'identificazione senza contatto e altre tecnologie di connettività; la NFC permette una comunicazione bidirezionale: quando due apparecchi NFC (lo initiator e il target) vengono 298 Reperibile all'indirizzo internet http://eur-lex.europa.eu/legalcontent/IT/TXT/PDF/?uri=CELEX:32016L1148&from=IT, consultato nel mese di dicembre 2016. 299 V. MANCARELLA M. “E-Health e diritti. L'approccio dell'informatica giuridica”, Roma 2013, pagg. 183 e ss. 233 accostati entro un raggio di pochi cm, viene creata una rete peer-to-peer tra i due ed entrambi possono inviare e ricevere informazioni. Tra le varie applicazioni pratiche si segnalano: Scaricamento e pagamento su dispositivi portatili NFC, attraverso computer o chioschi elettronici abilitati, di giochi, file audio digitali, video, software; trasferimento e visualizzazione di fotografie da una macchina fotografica o telefono cellulare NFC a un chiosco elettronico, televisione, computer per la visione o la stampa; trasferimento facilitato di file o messa in rete fra sistemi wireless; uso della tecnologia NFC per i sistemi di pagamenti elettronici. Il QRCode, infine, è una tecnologia basata su un codice a barre bidimensionale (o codice 2D), ossia a matrice, composto da moduli neri disposti all'interno di uno schema di forma quadrata che consente di ottenere informazioni di vario tipo, soprattutto di indirizzi internet. Viene impiegato per memorizzare informazioni generalmente destinate a essere lette tramite un telefono cellulare o uno smartphone dotati di fotocamera, tramite apposite app; nel caso di indirizzi internet, poi, attraverso il browser dello smartphone si verrà direttamente reindirizzati su pagine web dedicate. DIRITTO ALL‟IMMAGINE E WEB Il diritto all‟immagine è un diritto della personalità che, sebbene non espressamente previsto in una specifica norma costituzionale, si è soliti ricondurre nell‟alveo dei diritti inviolabili dell‟uomo - ai sensi dell‟art. 2 della Costituzione. - riconosciuti e come singolo e nelle formazioni sociali ove si svolge la sua personalità. Tale diritto trova ulteriore riconoscimento nell‟art.10 del Codice Civile, che disciplina l‟abuso dell‟immagine altrui e negli articoli 96 e 97 della L. 22 aprile 1941, n. 633 sulla protezione del diritto d‟autore. L‟immagine è considerata sia come rappresentazione visiva delle sembianze della persona o riproduzione grafica delle sue fattezze sia come dato personale e per diritto all‟immagine si intende la tutela degli aspetti dell‟immagine legati alla riconoscibilità o identificabilità 234 dell‟individuo300. L‟articolo 10 del Codice Civile non fornisce una definizione del diritto all‟immagine ma si limita a disciplinare l‟ipotesi dell‟abuso dell‟immagine altrui da parte di terzi; tale norma obbliga, inoltre, al risarcimento dei danni e alla cessazione dell‟abuso colui che espone o pubblica l‟immagine, fuori dei casi consentiti dalla legge o con pregiudizio al decoro e alla reputazione della persona stessa o dei congiunti. L‟articolo 96 della legge sulla protezione del diritto di autore individua nel consenso dell‟interessato, l‟elemento che esime dalla responsabilità civile il soggetto che espone, riproduce o mette in commercio l‟immagine altrui. Ovviamente, il consenso alla pubblicazione della propria immagine costituisce un negozio giuridico avente ad oggetto non il diritto stesso all‟immagine (il quale resta personalissimo ed inalienabile) ma soltanto il suo esercizio. L‟immagine di una persona può essere esposta o pubblicata soltanto con il suo consenso, salvi i casi in cui l‟esposizione o la pubblicazione sia consentita dalla legge (ad esempio, quando la riproduzione dell‟immagine è giustificata dalla notorietà della persona, dall‟ufficio pubblico ricoperto, da necessità di giustizia o di polizia, da scopi scientifici, didattici o culturali, o quando la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico) e purché l‟esposizione non rechi pregiudizio all‟onore, alla reputazione od anche al decoro della persona. In caso di lesione del diritto all‟immagine di una persona, del coniuge, dei suoi genitori o dei suoi figli, l‟interessato può chiedere all‟autorità giudiziaria che disponga la cessazione dell‟abuso, salvo il risarcimento di ogni pregiudizio patito. C‟è da aggiungere che, oggigiorno, nell‟epoca del Web 2.0, il rischio di “esposizione mediatica” minaccia un po‟ tutti, pur non essendone sempre consapevoli, e riguarda perlopiù l‟indebito utilizzo di immagini personali nei Social Network. Ma vi sono ulteriori strumenti che presentano le stesse problematiche, fra i quali rientra sicuramente Google Street View, un servizio che fornisce immagini delle strade di numerose città che ha sollevato non pochi problemi di corretto trattamento dei dati personali in seguito alla pubblicazione di immagini che ritraevano privati cittadini che per puro caso si trovavano nella zona oggetto delle rilevazioni di Google301. 300 p. 109. 301 M.IASELLI, Diritto e nuove tecnologie. Prontuario giuridico-informatico, Montecatini Terme (PT), Altalex Editore, 2011, M.IASELLI, Diritto e nuove tecnologie. Prontuario giuridico-informatico, cit., p.110 235 CONDIZIONI DI ADESIONE AI SOCIAL NETWORK La vendita di spazi pubblicitari in rete, ovvero di informazioni sugli utilizzatori della stessa, rappresenta la principale fonte di reddito per le moderne piattaforme di scambio. Invero, l'apparente gratuità dell‟iscrizione e fruizione di pagine web ha un costo sommerso in termini di trattamento dei dati personali degli utenti. Il margine di profitto maggiore proviene, infatti, dall'enorme mole di dati personali che tramite post, link o iscrizioni i fruitori immettono nella piattaforma stessa. I vari social network richiedono all'utente, ai fini dell'adesione ed utilizzazione della piattaforma, l'accettazione di condizioni generali di contratto alquanto stringenti che prevedono, in sostanza, la concessione di una licenza onnicomprensiva per il riutilizzo di qualsiasi contenuto pubblicato. Inoltre, come se ciò non bastasse, la stessa licenza deve considerarsi “non esclusiva”, nel senso che essa risulta trasferibile, cedibile (a titolo gratuito o oneroso) a soggetti terzi che dei succitati dati continueranno a fare uso/consumo/abuso. Ciò considerato, si può asserire che la sottoscrizione “digitale” del contratto di adesione, effettuata mediante la prestazione del consenso su formulari on line, unilateralmente compilati dalle società che gestiscono i numerosi social network, presenta una serie di problematiche non immediatamente percepibili dall'utente inesperto, che possono così essere elencate: ● concessione alla società del diritto di utilizzare i dati privati dell'utente per scopi pubblicitari, per fini statistici, per indagini di mercato, etc. Tutte attività che porteranno benefici in termini economici all'azienda; ● consenso a che i dati personali siano ceduti a soggetti terzi (pur nel rispetto della normativa in materia di privacy) e senza confini territoriali. Nella maggior parte dei casi si tratta, infatti, di licenze mondiali che permettono al servizio di social network di rendere disponibili tali contenuti ad altre società, organizzazioni o soggetti partner affinché li possano a loro volta condividere, trasmettere, distribuire o pubblicare su supporti e servizi di diverso genere; 236 ● consenso a rendere pubblici determinati contenuti. Ne è un tipico esempio la pubblicazione su Facebook di foto, dati e informazioni simili effettuata scegliendo l'impostazione “pubblica”: in tal modo anche i soggetti non iscritti al social network possono astrattamente fruire dei suddetti contenuti, in maniera gratuita e libera; ● la compravendita dei database viene utilizzata per mettere in atto campagne pubblicitarie e di marketing, mirate ad influenzare le abitudini dei consumatori; grazie ai social media un‟azienda avrà la possibilità di controllare la percezione da parte dei consumatori dei prodotti e servizi erogati; ● mancanza di piena trasparenza circa le opzioni, in materia di privacy, impostate di default al momento dell‟iscrizione; ● impossibilità di avere il pieno ed effettivo controllo delle informazioni immesse in rete: la cancellazione di un dato precedentemente inserito non comporta automaticamente la cancellazione definitiva dello stesso, considerato che molto spesso i contenuti rimossi vengono conservati come copie di backup per un determinato periodo. Tra l'altro, alcuni social prevedono espressamente, nelle condizioni di adesione, l'acquisto da parte della società del diritto di utilizzare e conservare i dati immessi dall'utente per un preciso lasso temporale, senza che il legittimo proprietario possa con le sue azioni condizionarne la fruizione (problematiche inerenti al diritto all‟oblio); ● predisposizione di procedure di recesso dal servizio particolarmente complesse che rendono talvolta difficile la cancellazione definitiva di un profilo precedentemente creato, con tutti i dati ad esso collegati; ● la proprietà dell'informazione, del documento o dell'immagine, pur restando formalmente nella sfera giuridica dell'utente, viene di fatto trasferita alla piattaforma on line, che continuerà a utilizzare i dati concessi su licenza anche nel caso in cui l'utente smetta di fruire del servizio sottoscritto; ● la condivisione di informazioni strettamente personali, unitamente alla cedibilità delle stesse in sub-licenza, aumenta il rischio di furti d'identità digitali e accessi abusivi, con elusione del sistema di sicurezza predisposto dalla piattaforma; ● predisposizione di clausole vessatorie in materia di competenza a giudicare eventuali e future controversie tra utente e social network, sottoscrivibili con un semplice “click di consenso”: in particolare, inserimento di clausole che spostano ogni controversa 237 giudiziaria negli Stati Uniti, derogando alla normativa europea di riferimento, favorevole all‟utente, che prevede, al contrario, la stretta correlazione tra luogo di residenza del consumatore e giudice competente. La giurisprudenza ha ritenuto che tali clausole, per essere lecite ed efficaci, richiedano quantomeno la sottoscrizione con apposizione di firma digitale da parte dell‟utente, non essendo sufficiente il mero consenso prestato mediante spunta della relativa casella; ● inserimento, illecito ed abusivo, tra le condizioni generali di contratto, di “disclaimer”, ovvero di esoneri da responsabilità a favore del gestore della piattaforma, e di arbitrati obbligatori. Ecco, dunque, perché i veri clienti dei social network non sono più gli utenti quanto piuttosto le società a cui la piattaforma deciderà di rivendere il pacchetto di dati dei medesimi utenti, trasformando gli stessi in un valore economicamente quantificabile. ACCESSIBILITÀ AI FILE DI LOG Nel linguaggio informatico, il termine “log” generalmente indica la registrazione cronologica delle operazioni man mano che vengono eseguite ed il file sul quale tali registrazioni sono memorizzate. Si osserva che il semplice accesso ad un sito web produce automaticamente l‟acquisizione, nel corso del normale esercizio dei sistemi informatici, di alcuni dati personali; tali informazioni non sono raccolte per soddisfare precisi interessi del titolare del sistema informatico, esse, al contrario, permettono l‟elaborazione e l‟associazione con ulteriori dati detenuti da terzi. In questo modo, diventa possibile identificare gli utenti che accedono ai siti web. Solitamente, l‟accesso al web avviene tramite la propria postazione internet, tramite il proprio PC o notebook e fra i dati automaticamente recuperabili dai sistemi informatici rientrano, ad esempio, gli indirizzi IP, i nomi a dominio del computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in dotazione URI (Uniform Resource Identifier), l‟orario della richiesta, la dimensione del file ottenuto in risposta, ecc. Tali dati, associati a quelli detenuti da terzi, permettono di elaborare e ricavare informazioni a fini statistici. La questione della liceità o meno della raccolta ed esame dei file di log, oltre ad essere di estrema attualità, rappresenta una delle tematiche più controverse legate 238 all‟applicazione del D.Lgs. 196/2003, in materia di protezione dei dati personali. Nel campo del diritto del lavoro, con sentenza n. 18302 del 19 settembre 2016, la Corte di Cassazione ritorna su un argomento già affrontato diverse volte e cioè la legittimità dei controlli effettuati dal datore di lavoro nei confronti dei propri dipendenti, alla luce di quanto previsto dall‟art. 4 dello Statuto de lavoratori. Il contenzioso vede contrapposti l‟Istituto Poligrafico e Zecca dello Stato S.p.a ed il Garante per la protezione dei dati personali in quanto quest‟ultimo aveva emesso nei confronti dell‟Istituto un provvedimento con il quale vietava l'ulteriore trattamento, nelle forme della conservazione e della categorizzazione, dei dati personali dei dipendenti, relativi alla navigazione Internet, all'utilizzo della posta elettronica ed alle utenze telefoniche chiamate dai lavoratori, con contestuale imposizione dell'obbligo di informare gli utenti del trattamento dei dati personali. La Cassazione stabilisce che i controlli cd. difensivi diretti ad accertare comportamenti illeciti dei lavoratori, quando comportino la possibilità del controllo a distanza della prestazione lavorativa dei dipendenti, sono soggetti alla disciplina di cui all'art. 4, comma 2, dello Statuto dei lavoratori in quanto la possibilità di effettuare tali controlli incontra un limite nel diritto alla riservatezza del dipendente, tanto che anche l'esigenza di evitare condotte illecite dei dipendenti non può assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore302. Anche le ultime novità in tema di Codice degli Appalti (D.Lgs. n. 50/2016) riguardano le finalità di maggiore sicurezza e trasparenza che devono animare le stazioni appaltanti nello svolgimento delle comunicazioni e degli scambi di informazioni necessari da attuare mediante mezzi di comunicazione elettronici. Le piattaforme elettroniche di acquisto e negoziazione dovranno essere predisposte in modo da assicurare la conservazione digitale dei file di log delle transazioni elettroniche effettuate dalle parti, nonché l'integrità, la sicurezza e la riservatezza delle comunicazioni tra le piattaforme elettroniche di acquisto e negoziazione e tra queste e gli altri sistemi e piattaforme della pubblica amministrazione. Tuttavia, il legislatore affronta anche i “timori” legati ai rischi che le comunicazioni digitali possono comportare. L‟articolo 52 del nuovo Codice degli Appalti, alla lettera e) del 302 M.Iaselli, Posta elettronica in azienda: illegittimo il controllo indiscriminato del datore , 18 ottobre 2016, disponibile al seguente URL: http://www.altalex.com/documents/news/2016/09/22/lavoratore-email consultato nel mese di dicembre 2016. 239 comma 1, enuncia infatti che le stazioni appaltanti non sono obbligate all'uso di mezzi di comunicazione elettronica quando è presente una violazione della sicurezza dei mezzi di comunicazione ovvero occorre proteggere informazioni di natura particolarmente sensibile che richiedono un livello talmente elevato di protezione da non poter essere adeguatamente garantito mediante l'uso degli strumenti e dispositivi elettronici che sono generalmente a disposizione degli operatori economici303. AUTORITÀ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Il Garante per la protezione dei dati personali è un'autorità amministrativa indipendente istituita dalla legge sulla privacy (Legge n. 675 del 31 dicembre 1996), oggi confluita nel Codice per la protezione dei dati personali. L‟istituzione di tale autorità, così come disposto dall‟art.8 della Carta dei diritti fondamentali dell'Unione europea, è prevista in tutti i Paesi membri dell'Unione Europea. Nel nostro Paese, tale figura ha sede a Roma, in Piazza di Monte Citorio e si compone di quattro membri eletti dal Parlamento; inoltre, ha alle sue dipendenze un Ufficio con un organico di 125 unità. Quanto ai compiti spettanti al Garante della privacy, essi sono disciplinati dal Codice della privacy (decreto legislativo 30 giugno 2003, n. 196) e da altre fonti normative nazionali e comunitarie. L‟Authority ha essenzialmente il compito di assicurare la tutela dei diritti e delle libertà fondamentali nel trattamento dei dati personali ed il rispetto della dignità della persona. Nel dettaglio, spetta al Garante: a) controllare che i trattamenti di dati personali siano conformi a leggi e regolamenti e, eventualmente, prescrivere ai titolari o ai responsabili dei trattamenti le misure da adottare per svolgere correttamente il trattamento; b) esaminare reclami e segnalazioni nonché decidere i ricorsi presentati ai sensi dell'articolo 145 del Codice in materia di protezione dei dati personali; 303 G.Troiano, Le novità del Codice Appalti per garantire sicurezza e affidabilità delle comunicazioni, 1 dicembre 2016 disponibile al seguente URL: http://www.forumpa.it/pa-digitale/appalti-cosa-prevede-la-legge-per-garantire-la-sicurezza-nelle-comunicazioni-tra-enti-e-fornitori, consultato nel mese di dicembre 2016 240 c) vietare in tutto od in parte, ovvero disporre il blocco del trattamento di dati personali che per la loro natura, per le modalità o per gli effetti del loro trattamento possano rappresentare un rilevante pregiudizio per l'interessato; d) adottare i provvedimenti previsti dalla normativa in materia di dati personali, tra cui, in particolare, le autorizzazioni generali per il trattamento dei dati sensibili; e) promuovere la sottoscrizione dei codici di deontologia e di buona condotta in vari ambiti (credito al consumo, attività giornalistica, ecc.); f) segnalare, quando ritenuto opportuno, al Governo la necessità di adottare provvedimenti normativi specifici in ambito economico e sociale; g) partecipare alla discussione su iniziative normative con audizioni presso il Parlamento; h) formulare i pareri richiesti dal Presidente del Consiglio o da ciascun ministro in ordine a regolamenti ed atti amministrativi suscettibili di incidere sulle materie disciplinate dal Codice; i) predisporre una relazione annuale sull'attività svolta e sullo stato di attuazione della normativa sulla privacy da trasmettere al Parlamento e al Governo; j) partecipare alle attività comunitarie ed internazionali di settore, anche quale componente del Gruppo Articolo 29 e delle Autorità comuni di controllo previste da convenzioni internazionali (Europol, Schengen, Sistema informativo doganale); k) curare la tenuta del registro dei trattamenti formato sulla base delle notificazioni di cui all'articolo 37 del Codice in materia di protezione dei dati personali; l) curare l'informazione e la sensibilizzazione dei cittadini in materia di trattamento dei dati personali, nonché sulle misure di sicurezza dei dati; m) coinvolgere i cittadini e tutti i soggetti interessati con consultazioni pubbliche dei cui risultati si tiene conto per la predisposizione di provvedimenti a carattere generale304. BANDA LARGA ED ULTRALARGA 304 Per maggiori informazioni si rinvia al sito http://www.garanteprivacy.it/web/guest/home/autorita/compiti, consultato nel mese di dicembre 2016 241 web istituzionale: Nella legislazione italiana ed europea non esiste ancora una definizione di banda larga; generalmente, il termine viene associato ai servizi di telecomunicazione ad elevata velocità, che consentono la trasmissione di dati, voce e video fruibili simultaneamente da parte di diversi utenti305. La più tipica banda larga, nel linguaggio comune, sembra essere quella assicurata dalla connessione tramite fibre ottiche; tuttavia, la locuzione banda larga può intendere anche la banda dei sistemi mobili di telecomunicazioni (es. cellulari e smartphone) di terza generazione (3G) con accesso alla rete Internet rispetto a quelli di seconda generazione (2G) (wireless broadband o banda larga radiomobile), i quali presentano comunque un'ampiezza di banda inferiore rispetto alle reti cablate in fibra ottica, specialmente in contesti di banda totale condivisa tra molti utenti. In tal senso, l'evoluzione dei sistemi cablati viaggia ora verso la banda ultralarga (ultrabroadband) grazie all'avvento della Next Generation Network o “rete di prossima generazione”. Il servizio di connettività a banda larga è considerato un fattore di crescita economica e occupazionale di un Paese: l‟aumento della velocità dei servizi di banda larga così come lo sviluppo di nuovi servizi e contenuti online, in effetti, costituiscono condizioni che abilitano i cittadini, le imprese e le pubbliche amministrazioni all‟ accesso alla Società dell‟Informazione. Il notevole impegno della Commissione Europea sul tema della banda larga e ultralarga, in effetti, è sintomatico dell‟interesse del fenomeno per l‟intera società economica; tale rilievo è strettamente legato alla diffusione di servizi “evoluti” (ad esempio, di telemedicina oppure in materia di eGovernement, di telelavoro) capaci di apportare notevoli benefici alla collettività, in termini di qualità della vita, qualità ambientale e competitività delle imprese306. Si pensi, ad esempio, agli enormi vantaggi prodotti nel campo della telemedicina da servizi innovativi come la telediagnosi, la teleassistenza, la prenotazione online o ancora i referti online: oltre a ridurre la spesa sanitaria, tali innovazioni migliorano significativamente l‟offerta di servizi assistenziali, specialmente nelle zone non coperte da strutture sanitarie. Dal punto di vista tecnico, le tecnologie per la connettività a banda larga possono essere distinte in due tipologie: le reti di accesso e le reti di trasporto. Le reti di accesso, 305 306 L. De Pietro (a cura di ), Dieci lezioni per capire e attuare l’eGovernement, Venezia, Marsilio, 2011, p.138 Ivi, pp.141-143. 242 solitamente sviluppate a livello locale, garantiscono il collegamento di una moltitudine di utenti contemporaneamente ed in condizioni diverse in termini di disponibilità di banda. Le reti di trasporto, invece, rappresentano l‟infrastruttura “a monte” delle reti di accesso: sono le reti portanti mediante le quali si costruisce il network delle telecomunicazioni a livello nazionale ed internazionale. Esse controllano la trasmissione di grandi quantità di dati tra aree geografiche differenti. VIDEOSORVEGLIANZA In materia di videosorveglianza, oltre ai principi generali fissati dal Codice in materia di protezione dei dati personali307, occorre far riferimento a due importanti provvedimenti generali emanati dal Garante della privacy: il provvedimento del 29 aprile 2004 che fissa le regole principali in materia ed il provvedimento dell‟ 8 aprile 2010 che sostituisce il precedente ed apporta alcune interessanti novità. In merito ai possibili contrasti fra la disciplina sulla videosorveglianza ed il rispetto della tutela dei dati personali di ciascun individuo - in conformità alle norme sancite dal Codice della privacy (D.lgs 193/2003) - il legislatore ha voluto correttamente bilanciare due interessi, entrambi meritevoli di tutela: da un lato, la necessità per le amministrazioni pubbliche ed i soggetti privati di monitorare ambienti potenzialmente a rischio di sicurezza, permettendo loro di adottare misure efficaci per garantire la sicurezza e dall‟altro, il diritto del cittadino a tutelare la propria privacy. Il provvedimento del Garante privacy, oltre a disciplinare l‟utilizzo dei sistemi di videosorveglianza in alcune specifiche ipotesi (come ad esempio nei rapporti di lavoro, negli ospedali e nei luoghi di cura o ancora, negli istituti scolastici o durante il trasporto pubblico), stabilisce alcuni principi generali ai quali sia i soggetti pubblici sia quelli privati sono tenuti a conformarsi nell‟uso di tali sistemi. Di seguito le prescrizioni fondamentali: 307 L‟art.134 del Codice Privacy 196/2003 prevede che “il Garante promuove, ai sensi dell'articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato con strumenti elettronici di rilevamento di immagini, prevedendo specifiche modalità di trattamento e forme semplificate di informativa all'interessato per garantire la liceità e la correttezza anche in riferimento a quanto previsto dall'articolo 11”. 243 - i sistemi di videosorveglianza installati da soggetti pubblici e privati (esercizi commerciali, banche, aziende ecc.) collegati alle forze di polizia richiedono uno specifico cartello informativo, sulla base del modello elaborato dal Garante; - le telecamere istallate a fini di tutela dell‟ordine e della sicurezza pubblica non devono essere segnalate, ma il Garante auspica l‟utilizzo di cartelli che informino i cittadini - le immagini registrate possono essere conservate per periodo limitato e fino ad un massimo di 24 ore, fatte salve speciali esigenze di ulteriore conservazione in relazione a indagini di polizia e giudiziarie; - per attività particolarmente rischiose (es. banche) è ammesso un tempo più ampio, che non può superare comunque la settimana; - eventuali esigenze di allungamento della conservazione devono essere sottoposte a verifica preliminare del Garante; - sicurezza urbana: i Comuni che installano telecamere per fini di sicurezza urbana hanno l‟obbligo di mettere cartelli che ne segnalino la presenza, salvo che le attività di videosorveglianza siano riconducibili a tutela della sicurezza pubblica, prevenzione, accertamento o repressione dei reati. La conservazione dei dati non può superare i 7 giorni, fatte salve speciali esigenze; - sistemi integrati: per i sistemi che collegano telecamere tra soggetti diversi, sia pubblici che privati, o che consentono la fornitura di servizi di videosorveglianza “in remoto” da parte di società specializzate (es. società di vigilanza, Internet providers) mediante collegamento telematico ad un unico centro, sono obbligatorie specifiche misure di sicurezza (es. contro accessi abusivi alle immagini). Per alcuni sistemi è comunque necessaria la verifica preliminare del Garante; - sistemi intelligenti: per i sistemi dotati di software che permettono l‟associazione di immagini a dati biometrici (es. “riconoscimento facciale”) o in grado, ad esempio, di riprendere e registrare automaticamente comportamenti o eventi anomali e segnalarli (es. motion detection) è obbligatoria la verifica preliminare del Garante; - violazioni al codice della strada: obbligatori i cartelli che segnalano sistemi elettronici di rilevamento delle infrazioni. Le telecamere devono riprendere solo la targa del veicolo (non quindi conducente, passeggeri, eventuali pedoni). Le fotografie o i video che attestano l‟infrazione non devono essere inviati al domicilio dell‟intestatario del veicolo; 244 - deposito rifiuti: lecito l‟utilizzo di telecamere per controllare discariche di sostanze pericolose ed “eco piazzole”, per monitorare modalità del loro uso, tipologia dei rifiuti scaricati e orario di deposito; - luoghi di lavoro: le telecamere possono essere installate solo nel rispetto delle norme in materia di lavoro. Vietato comunque il controllo a distanza dei lavoratori, sia all‟interno degli edifici, sia in altri luoghi di prestazione del lavoro (es. cantieri, veicoli); - ospedali e luoghi di cura: no alla diffusione di immagini di persone malate mediante monitor quando questi sono collocati in locali accessibili al pubblico. E‟ ammesso, nei casi indispensabili, il monitoraggio da parte del personale sanitario dei pazienti ricoverati in particolari reparti (es. rianimazione), ma l‟accesso alle immagini deve essere consentito solo al personale autorizzato e ai familiari dei ricoverati; - istituti scolastici: ammessa l‟installazione di sistemi di videosorveglianza per la tutela contro gli atti vandalici, con riprese delimitate alle sole aree interessate e solo negli orari di chiusura308; - taxi: le telecamere non devono riprendere in modo stabile la postazione di guida e la loro presenza deve essere segnalata con appositi contrassegni; - trasporto pubblico: lecita l‟installazione su mezzi di trasporto pubblico e presso le fermate, ma rispettando limiti precisi (es. angolo visuale circoscritto, riprese senza l‟uso di zoom); - web cam a scopo turistico: la ripresa delle immagini deve avvenire con modalità che non rendano identificabili le persone; - tutela delle persone e della proprietà: contro possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro ecc., si possono installare telecamere senza il consenso dei soggetti ripresi, ma sempre sulla base delle prescrizioni indicate dal Garante. CITTADINANZA DIGITALE EUROPEA Il diritto di cittadinanza è affermato tanto dalla democrazia degli antichi quanto dalla democrazia dei moderni, ma secondo due diverse concezioni dei diritti e della libertà 308 Si veda da ultimo la Guida del Garante “La scuola a prova di privacy”, 7 novembre 2016, p. 27, visionabile all‟URL: http://194.242.234.211/documents/10160/0/Vademecum+%22La+scuola+a+prova+di+privacy%22+pagina+doppia+(anno+2016).p df, consultato nel mese di dicembre 2016. 245 del cittadino che sono rispettivamente alla base della dottrina democratica e della dottrina liberale moderne: come «diritti positivi» e «libertà positiva», nella prima forma, e come «diritti negativi» e «libertà negativa», nella seconda forma. I diritti positivi o politici tendono a tutelare la libertà del cittadino di partecipare alla politica (diritto di voto, di associarsi e organizzarsi, di essere adeguatamente informato); i diritti negativi o civili sono quelli che proteggono la libertà (di coscienza, di opinione, di stampa, di associazione) del cittadino. La libertà positiva, intesa come autonomia del cittadino, tende ad allargare la sfera dell'autodeterminazione collettiva, restringendo quanto più è possibile la sfera del potere individuale; la libertà negativa, intesa come non-impedimento, tende ad allargare la sfera dell'autodeterminazione individuale, restringendo quanto più è possibile quella del potere collettivo. Su queste basi, la dottrina democratica assegna il primato della libertà e dei diritti positivi al cittadino in quanto membro di una determinata società e la dottrina liberale assegna il primato della libertà e dei diritti negativi al cittadino in quanto individuo. Si tratta del vecchio rapporto tra liberalismo e democrazia: da un lato, si trovano i fautori del liberalismo, come Benjamin Constant, che hanno pensato di poter separare le libertà liberali da quelle democratiche, ritenendo le prime superiori alle seconde e che potessero attuarsi indipendentemente; da un altro lato, si trovano i fautori della democrazia, come JeanJacques Rousseau, che hanno invece esaltato le libertà positive, basate sul principio secondo cui la libertà è intesa come autonomia o capacità di dare leggi a se stessi e come mezzo per l'affermazione della volontà generale. Oggi la nozione di «cittadinanza» si è dilatata: non indica soltanto il rapporto tra una persona ed un territorio, ma definisce ormai le modalità di inclusione del cittadino nel processo democratico di cui la rete elettronica, con il flusso continuo di informazioni, costituisce il mezzo che accresce la possibilità di partecipazione dei cittadini. Ciò, ovviamente, non significa meccanicamente essere considerati «cittadini digitali», ma solo essere cittadini che si rapportano al digitale, nelle sue varie forme, con una modalità proattiva: «Oggi gli strumenti digitali non si limitano più ad espletare la funzione di terminali. Essi favoriscono e stimolano le relazioni con un mondo immateriale che sta diventando sempre più importante da tutti i punti di vista. Essere digitali, dunque, è una consapevolezza del tutto nuova dove nuovi diritti, ma anche nuovi doveri, si presentano come opportunità, oserei dire storiche» (3). Si giunge, in tale maniera, ad una concreta definizione di «cittadino elettronico»: «Il cittadino elettronico deve poter interagire con la 246 pubblica amministrazione come soggetto attivo all‟interno di un meccanismo che si trasforma da mera gestione burocratica dei servizi pubblici a identità virtuale di un individuo portatore di diritti e doveri» (4). Il primo dei diritti oggi esistenti in Italia e attribuibili al «cittadino digitale» è di certo quello esplicitato nell‟art. 3 del Codice dell‟Amministrazione Digitale – D.Lgs. n. 82/2005. Questa norma attribuisce ai cittadini (e alle imprese) il diritto a richiedere ed ottenere l'uso delle tecnologie telematiche nelle comunicazioni con le pubbliche amministrazioni. La certezza del configurarsi di un diritto soggettivo, e non di un mero principio, deriva dall‟art. 133, comma 1, lett. d) del Codice del Processo Amministrativo – D.Lgs. n. 104/2010, ove il diritto di cui si discute è fatto rientrare espressamente tra i casi di giurisdizione esclusiva del Giudice Amministrativo. MEDIA CIVICI Il medium civico è lo strumento attraverso il quale possono espletarsi tutte le pratiche di eParticipation. Non il solo strumento naturalmente. Le pratiche di partecipazione elettronica del cittadino alla vita democratica, eParticipation appunto, in realtà nascono in maniera anche del tutto informale usando canali diversi dalle piattaforme civiche, vale a dire, ad esempio, le piattaforme social, i blog o persino le aree destinate ai commenti dei lettori sui siti web di informazione e news. Facebook in primis ha dimostrato come un social media possa essere uno strumento utile per connettere fra di loro persone, utenti distanti geograficamente, che non si sono mai incontrati tra di loro, ma che condividono uno stesso interesse o si battono per una stessa causa. Secondo Henry Jenkins del MIT Center for Civic Media, i Media Civici possono essere definiti come “ogni uso di ogni media che promuove o amplifica l‟impegno civico”. La parola “media” deriva dal latino “medium”, un termine che possiede il doppio significato di "mezzo" (come strumento) e "qualcosa che sta a metà tra due poli" (cioè tra l'emittente di un messaggio e il destinatario). I Media Civici hanno dunque come obiettivo la produzione di informazioni, documenti e attività rilevanti per la comunità a cui fanno riferimento. Storicamente, i Media Civici non sono legati alle tecnologie digitali, ma possono assumere diverse forme tecnologiche. 247 Il classico esempio a cui si fa riferimento e che concerne l‟esperienza italiana è quello di “Se non ora quando?”, un movimento spontaneo nato su Facebook nel 2011 e che attraverso questo social medium è riuscito a connettere milioni di utenti tutti coinvolti nella questione del rispetto della figura della donna nelle istituzioni. Ad oggi il Parlamento italiano ha iniziato a interessarsi della tematica309. OPEN INNOVATION Secondo la definizione coniata dall'economista e docente del'Università di Berkeley Henry Chesbrough, “L'open innovation è un paradigma che afferma che le imprese possono e debbono fare ricorso ad idee esterne, così come a quelle interne, ed accedere con percorsi interni ed esterni ai mercati se vogliono progredire nelle loro competenze tecnologiche”. Da allora, anno 2003, l'Open innovation, in antitesi alla closed innovation, si è sempre più diffusa ed è uscita dall'ambito prettamente aziendale al quale sembrava confinata, per entrare anche nel mondo accademico e della pubblica amministrazione, tanto da arrivare ad essere considerata un nuovo modello di gestione della conoscenza che descrive processi di innovazione caratterizzati dall'apertura verso l‟esterno, facilitati anche e soprattutto dall'utilizzo delle tecnologie della comunicazione e della informazione. Tuttavia, l‟Open Innovation non si realizza solo attraverso la rete internet, trovando la sua espressione più efficace proprio nel caso in cui realizza uno scambio di conoscenze tra aziende, enti, centri di ricerca e start-up. Una delle possibili forme di Open Innovation è quindi quella che porta alla costituzione di reti collaborative prevalentemente non gerarchiche tra partner e attori diversi, basate essenzialmente sulla valorizzazione delle relazioni, spesso effettuate attraverso, ma non esclusivamente, strumenti telematici. Nell'ultimo periodo si è arrivati a parlare di Open innovation 2.0, ossia un nuovo paradigma basato su una quadrupla elica in cui il governo, industria, mondo accademico ed i partecipanti civili lavorano insieme per co-creare il futuro e guidare i cambiamenti strutturali ben oltre la portata di ciò che qualsiasi persona fisica o giuridica potrebbe fare da solo. Ci sono 5 elementi chiave del nuovo processo di innovazione aperto310: 309 Si veda il Rapporto della Fondazione AHREF commissionato dal http://www.senato.it/service/PDF/PDFServer/BGT/00739736.pdf, consultato nel mese di dicembre 2014. 248 Senato italiano: - Networking; - Collaborazione: coinvolgere i partner, concorrenti, università e utenti; - Imprenditorialità societaria: migliorare la corporate venturing, start-up e spin-off; - Gestione proattiva della proprietà intellettuale: la creazione di nuovi mercati per la tecnologia; - Ricerca e sviluppo (R & S): ottenere vantaggi competitivi nel mercato. Su un diverso piano istituzionale, la regione Lombardia ha dimostrato di essere molto attenta all'Open Innovation, creando un apposito portale311 e arrivando ad approvare, nel novembre 2016, la legge “Lombardia è Ricerca e Innovazione”, con la quale intende valorizzare, in modo sussidiario, un patrimonio che genera 7 miliardi l‟anno di investimenti pubblici e privati in Ricerca e Innovazione. Nella sola Lombardia, infatti, sono nate 1.369 Start Up Innovative, pari a 1/5 del totale nazionale, e sono stati registrati, nell‟ultimo decennio, 191.000 brevetti. Un patrimonio di conoscenza che la regione vuole non solo tutelare ma anche promuovere al fine di realizzare uno sviluppo economico e lavorativo sempre più strutturato. DRONI L‟articolo 743 del Codice della Navigazione, dal titolo “Nozione di aeromobile”, prevede, nella definizione di aeromobile, i mezzi aerei a pilotaggio remoto: “Per aeromobile si intende ogni macchina destinata al trasporto per aria di persone o cose. Sono altresì considerati aeromobili i mezzi aerei a pilotaggio remoto, definiti come tali dalle leggi speciali, dai regolamenti dell’ENAC [Ente Nazionale per l‟Aviazione Civile] e, per quelli militari, dai decreti del Ministero della Difesa. Le distinzioni degli aeromobili, secondo le loro caratteristiche tecniche e secondo il loro impiego, sono stabilite dall'ENAC con propri regolamenti e, comunque, dalla normativa speciale in materia”. 310 311 https://ec.europa.eu/digital-single-market/en/open-innovation-20, consultato nel mese di novembre 2016. http://www.openinnovation.regione.lombardia.it/it/home-page, consultato nel mese di novembre 2016. 249 Il Regolamento dell‟ENAC da titolo “Mezzi aerei a pilotaggio remoto” del 16 dicembre 2013, come modificato il 16 luglio 2015 a seguito della Disposizione n. 32/DG312, in attuazione dell‟art. 743 del Codice della Navigazione distingue, ai fini dell‟applicazione delle disposizioni del Codice, i mezzi aerei a pilotaggio remoto in: - Sistemi Aeromobili a Pilotaggio Remoto (SAPR): sono i mezzi aerei a pilotaggio remoto impiegati o destinati all‟impiego in operazioni specializzate o in attività scientifiche, sperimentazione e ricerca, e ad essi si applicano le previsioni del Codice della Navigazione secondo quanto previsto dal Regolamento ENAC 2013 citato; - Aeromodelli: non sono considerati aeromobili ai fini del loro assoggettamento alle previsioni del Codice della Navigazione e possono essere utilizzati esclusivamente per impiego ricreazionale e sportivo; tuttavia, il Regolamento ENAC 2013 contiene specifiche disposizioni e limitazioni applicabili all‟impiego degli aeromodelli, per l‟uso dello spazio aereo e a garanzia della sicurezza di cose e persone al suolo e degli altri mezzi aerei. In conclusione, i SAPR sono ciò che comunemente viene definito “droni” e il loro utilizzo è assoggettato al Regolamento dell’ENAC da titolo “Mezzi aerei a pilotaggio remoto” del 16 dicembre 2013, come modificato il 16 luglio 2015, nei limiti di quanto in esso statuito. Il Regolamento è entrato in vigore a decorrere dal sessantesimo giorno successivo alla data di pubblicazione nel sito internet dell'ENAC, avvenuta il 17 luglio 2015. Al fine di determinare i requisiti da soddisfare per operare e le diverse modalità di accesso allo spazio aereo, il Regolamento suddivide i SAPR in due categorie di peso: ● inferiore a 25 kg.: per questi, se utilizzati in operazioni di volo non critiche, è stato introdotto il concetto di "autocertificazione", quindi la responsabilità è lasciata all'operatore che valuta la criticità e l'idoneità del sistema; le operazioni critiche, invece, sono autorizzate dall'ENAC, sulla base di accertamenti, che tengono conto della complessità del sistema e della criticità degli scenari operativi313; 312 Per una lettura del Regolamento ENAC in tema di “Mezzi aerei a pilotaggio remoto” si rinvia all‟URL: https://www.enac.gov.it/repository/ContentManagement/information/N122671512/Regolamento_APR_Ed_2_del_16072015.pdf, consultato nel mese di settembre 2015. 313 Le operazioni di volo non critiche sono tipicamente quelle condotte in uno scenario operativo nel quale, in caso di malfunzionamenti, non si prevedono ragionevolmente danni a terzi. Il sorvolo di aree congestionate o di infrastrutture industriali costituiscono, invece, operazioni critiche. 250 ● uguale o maggiore a 25 kg.: per questi è sempre prevista una certificazione del mezzo aereo e una autorizzazione all'operatore aereo, indipendentemente dalla criticità delle operazioni di volo; per tali mezzi, infatti, si mantiene la stessa tipologia di regolamentazione in uso per gli aeromobili tradizionali, certificazioni di aeronavigabilità e autorizzazione all'impiego. Particolarmente interessante, sotto il profilo informatico-giuridico, è il contenuto dell‟art. 28 del Regolamento ENAC, dal titolo “Protezione dei dati e privacy”. In base a tale disposizione “laddove le operazioni svolte attraverso un SAPR possano comportare un trattamento di dati personali, tale circostanza deve essere menzionata nella documentazione sottoposta ai fini del rilascio della pertinente autorizzazione. Il trattamento dei dati personali deve essere effettuato in ogni caso nel rispetto del decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni (Codice in materia di protezione dei dati personali), con particolare riguardo all‟utilizzo di modalità che permettano di identificare l‟interessato solo in caso di necessità ai sensi dell‟art. 3 del Codice, nonché delle misure e degli accorgimenti a garanzia dell‟interessato prescritti dal Garante per la protezione dei dati personali”. Altri materiali interessanti sulla materia sono l‟opinione 01/2015 adottata il 16 giugno 2015 dal Working Party art. 29, proprio sulla Privacy e questioni di protezione dei dati personali in relazione all‟utilizzo di droni314 e la c.d. Dichiarazione di Riga315 sul futuro dell‟aviazione europea. Sotto il profilo, invece, dei titoli autorizzatori all‟uso dei droni, sempre in base al Regolamento ENAC, le scuole di volo e le organizzazioni riconosciute dovranno essere in grado di rilasciare al pilota sia l'attestato (o licenza per mezzi > 25 Kg.) di competenza teorica che di quella pratica seguendo un syllabus ENAC che sarà uguale per tutti e più centrato sui SAPR. Per favorire le sanzioni in caso di uso illegittimo dei droni, il Ministero dell‟Interno ha provveduto all‟invio agli organi di Polizia nel 2015 di un preciso Vademecum, riassuntivo di tutta la normativa sanzionatoria di settore316. Il Vademecum certifica con particolare 314 Reperibile, solo nel testo inglese, al seguente indirizzo internet http://ec.europa.eu/justice/data-protection/article29/documentation/opinion-recommendation/files/2015/wp231_en.pdf, consultato ottobre 2015. 315 Reperibile, solo nel testo inglese, al seguente indirizzo internet http://ec.europa.eu/transport/modes/air/news/doc/201503-06-drones/2015-03-06-riga-declaration-drones.pdf, consultato nell‟ottobre 2015. 316 Il Vademecum è consultabile all‟URL: http://www.assorpas.it/wp-content/uploads/2015/05/Aeromobili-a-PilotaggioRemoto-Vademecum-e-Prontuario-per-le-infrazioni-1.pdf, consultato nel mese di settembre 2015. 251 precisione tutte le fattispecie di reato previste dal Regolamento ENAC: ad es. la mancanza di copia della polizza assicurativa può costare fino a 15 mila euro di multa, mentre il volo senza autorizzazione, in caso di operazioni critiche, può portare a un anno di carcere. COOKIES I cookies sono stringhe di testo di piccole dimensioni che i siti visitati dall‟utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione sul sito, l‟utente puo ricevere sul suo terminale anche cookies che vengono inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che si sta visitando. I cookies, solitamente presenti nei browser degli utenti in numero molto elevato e a volte anche con caratteristiche di ampia persistenza temporale, sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc. In genere, si individuano due macro-categorie: cookies “tecnici” e cookies “di profilazione”. I cookies tecnici sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell‟informazione esplicitamente richiesto dall‟abbonato o dall‟utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice). Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web. A loro volta, possono essere suddivisi in: – cookies di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); – cookies analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; 252 – cookies di funzionalità, che permettono all‟utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l‟acquisto) al fine di migliorare il servizio reso allo stesso. Per l‟installazione di tali cookies non è richiesto il preventivo consenso degli utenti, ma deve essere resa l'informativa estesa. I cookies di profilazione, invece, sono volti a creare profili relativi all‟utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell‟ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell‟ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l‟utente debba essere adeguatamente informato sull‟uso degli stessi ed esprimere cosi il proprio valido consenso. L'impianto normativo si fonda sulla c.d. Direttiva europea e-privacy, la 58/2002, modificata dalla direttiva 136/2009, attuate in Italia con la modifica all'art. 122 del codice privacy317. Sulla base di ciò, è stato emanato il provvedimento dell'8 maggio 2014318 del Garante Privacy (ed entrato in vigore il 2 giugno 2015), con il quale sono state dettate ulteriori disposizioni applicative. A tale provvedimento ha fatto seguito tutta una serie di interventi e di dibattiti in rete e non, che hanno portato il Garante a fornire ulteriori chiarimenti sul provvedimento319. CROWDFUNDING Il termine crowdfunding deriva dall'unione di due parole crowd o “folla” e funding, e sta ad indicare il processo con cui più persone elargiscono denaro, anche con somme di piccolo importo, per supportare un progetto imprenditoriale o iniziative di diverso genere utilizzando siti internet (“piattaforme” o “portali”) e ricevendo talvolta in cambio una ricompensa. 317 318 319 Attraverso il d. l.vo 69/2012. http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884 http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878 253 Si definisce “equity-based crowdfunding” l‟investimento on-line con il quale si acquista un vero e proprio titolo di partecipazione in una società: ossia un complesso di diritti patrimoniali e amministrativi che derivano dalla partecipazione nell‟impresa. È possibile distinguere altri modelli di crowdfunding a seconda del tipo di rapporto che si instaura tra il soggetto che finanzia e quello che ha richiesto il finanziamento. Vi sono anzitutto piattaforme in cui è possibile fare donazioni per sostenere una determinata causa o iniziativa senza ricevere nulla in cambio (è il c.d. modello "donation based"): ad esempio, si sostiene la campagna elettorale di un candidato con lo scopo di favorirne l‟elezione. È poi possibile partecipare al finanziamento di un progetto ricevendo in cambio un premio o una specifica ricompensa non in denaro (è il c.d. modello "reward based"): ad esempio, si finanzia uno spettacolo teatrale e in cambio si ottiene il biglietto per assistere alla sua rappresentazione. Questo è il modello di crowdfunding ad oggi più diffuso. Con il crowdfunding inoltre è possibile realizzare prestiti tra privati, ricompensati con il pagamento di interessi ed effettuati per il tramite di piattaforme on-line (c.d. modello di "social lending" o "peer to peer lending"). Quelli ora descritti peraltro sono modelli esemplificativi e non esauriscono l‟insieme delle forme di crowdfunding esistenti a livello globale (si sta ad esempio diffondendo il nuovo modello "royalty based" nel quale si finanzia una determinata iniziativa ricevendo in cambio una parte dei profitti). Nella maggior parte dei Paesi in cui operano portali di crowdfunding il fenomeno non è soggetto a regolamentazione ed è fatto pertanto rientrare nell‟ambito di applicazione di discipline già esistenti (appello al pubblico risparmio, servizi di pagamento, etc.). L‟Italia è invece il primo Paese in Europa ad essersi dotato di una normativa specifica e organica relativa al solo equity crowdfunding. Alcune norme sono state introdotte dal decreto legge n. 179/2012 (convertito nella legge 17 dicembre 2012, n. 221) recante “Ulteriori misure urgenti per la crescita del Paese” (noto anche come “Decreto crescita bis”). L‟equity crowdfunding è visto come uno strumento che può favorire lo sviluppo delle start-up innovative attraverso regole e modalità di finanziamento in grado di sfruttare le potenzialità di internet. 254 La normativa ha conferito alla Consob (Commissione Nazionale per le Società e la Borsa) il compito di disciplinare alcuni specifici aspetti del fenomeno. La Consob ha adottato il nuovo regolamento il 26 giugno 2013, con Delibera n. 18592320. Per ulteriori informazioni al riguardo, si rimanda proprio al sito della Consob321. APP Le App, abbreviazione di Application, sono dei software sviluppati appositamente per funzionare su dispositivi mobili, come ad esempio smartphone e tablet, che sono diventati ormai parte integrante e quasi insostituibile della nostra vita. Le APP consentono di svolgere moltissime attività: conoscere gli orari dei mezzi di trasporto, verificare disponibilità di alberghi, chattare con gli amici, utilizzare servizi bancari, consultare la nostra agenda, tenere sotto controllo il nostro stato di salute, conoscere la nostra posizione geografica, consultare mappe ma anche tanto altro ancora, visto che ormai ne esistono milioni per ogni esigenza. Le App vengono normalmente distribuite sugli store dei grandi player che producono sistemi operativi come iOs, Android, Blackberry e Windows, ma sono disponibili anche su altri canali di distribuzione (in genere i produttori di smartphone) o direttamente dagli sviluppatori, ossia coloro che le progettano e le realizzano. Per quanto riguarda la loro qualificazione giuridica esse, come abbiamo detto, sono dei veri e propri software, e quindi godono della relativa tutela da parte dell'ordinamento giuridico; inoltre le App rientrano nella definizione di “servizi della società dell‟informazione” ovvero qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi (come previsto dalla Direttiva UE 2000/31/CE, recepita in Italia dal D.l.vo 70/2003). Le App vengono distinte in App native, ossia direttamente sviluppare per funzionare su dispositivi mobili (normalmente funzionano solo per il S.O. per il quale sono state sviluppate) e web App che, invece, nascono come applicazioni fruibili su un sito internet e che poi, in genere grazie alla funzionalità c.d. responsive, vengono adattate all'uso che se ne 320 321 http://www.consob.it/main/documenti/bollettino2013/d18592.htm http://www.consob.it/main/trasversale/risparmiatori/investor/crowdfunding/index.html#c2 255 può fare attraverso un dispositivo dallo schermo con dimensioni ridotte e che possono funzionare anche su dispositivi con diversi S.O. Esiste poi un'altra categoria di App, c.d. Ibride che coniugano le caratteristiche delle altre due; infatti, una App ibrida è tipicamente una App nativa che ha comunque una parte web e che si adatta facilmente alle diverse piattaforme e diversi dispositivi mobili. Le App, in base al loro funzionamento, hanno la possibilità di accedere ad alcune funzionalità dei nostri dispositivi mobili e ciò attraverso le A.P.I., ossia le Application Programming Interface. Questa caratteristica peculiare pone problemi di privacy e trattamento di dati personali che spesso vengono sottovalutati o addirittura del tutto ignorati. Invece, costituiscono uno dei veri nodi giuridici sottesi al funzionamento stesso delle App e molto recentemente sono state oggetto di un'apposita indagine da parte del Garante Privacy, specie quelle App che coinvolgono i minorenni322. DOMINIO.GOV La procedura che le pubbliche amministrazioni devono seguire per la registrazione del dominio consiste nella compilazione di tre moduli: 1. La lettera di richiesta di registrazione e di assunzione di responsabilità (LAR) 2. Il modulo di richiesta di registrazione 3. Questionario B.1 (http://www.digitpa.gov.it/sites/default/files/allegati_tec/ dicembre_2011_guida_rapida_gestione_dominio_gov_it.pdf). La procedura di registrazione può essere effettuata online, compilando l‟apposito form all‟indirizzo http://domini.digitpa.gov.it/request/new-domain e inviando a DigitPA (entro 30 giorni dalla compilazione della domanda) la LAR e il questionario B1 appositamente compilati. 322 Al riguardo si vedano i risultati del c.d. Sweep day 2015, effettuato in collaborazione con altri 28 Autorità appartennti al GPEN (Global Privacy Enforcement Network), consultando l‟indirizzo intenert http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4231738, ultima consultazione effettuata ottobre 2015. 256 Affinché la registrazione vada a buon fine, è necessario che l‟Amministrazione disponga del codice presente nell‟Indice delle Pubbliche Amministrazioni (codice IPA), reperibile a questo indirizzo: http://www.indicepa.gov.it/documentale/ricerca.php. Qualora l‟Amministrazione non sia ancora accreditata presso l‟Indice delle Pubbliche Amministrazioni, potrà farlo all‟indirizzo http://www.indicepa.gov.it/documentale/amministrazioni.php. Comunicazioni tra Pubbliche Amministrazioni Affrontando primariamente il caso delle comunicazioni elettroniche tra Amministrazioni, l‟art. 47 del D.Lgs. n. 82/2005 dispone che le stesse debbano avvenire in modalità esclusivamente telematica a partire dal 1 gennaio 2013. In particolare, l‟art. 47 dispone che: “le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l'utilizzo della posta elettronica o in cooperazione applicativa. Esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza”. Citando solo il concetto di “posta elettronica” il Codice dell‟Amministrazione Digitale prevede, dunque, che lo strumento ordinario per la trasmissione di atti e documenti tra Amministrazioni debba essere la PEO (Posta Elettronica Ordinaria). E‟ sempre possibile, poi, utilizzare al posto della PEO la PEC (Posta Elettronica Ceritifcata). Al di là del possibile utilizzo da parte delle Amministrazioni, in definitiva, di qualsiasi forma oggi esistente di posta elettronica, le Amministrazioni devono comunque procedere sempre alla verifica della provenienza di tale posta, al fine di una sua validità. In base all'art. 47 CAD, tali comunicazione sono valide e da intendersi verificate nella provenienza se: a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata; b) ovvero sono dotate di segnatura di protocollo (ex art. 55 DPR 445/2000); c) ovvero se è comunque possibile accertarne la provenienza in base alla normativa vigente e relative regole tecniche d) ovvero se trasmesse attraverso sistemi di posta elettronica certificata. 257 Il comma 1-bis dell‟art. 47 specifica poi che l‟eventuale mancata verifica della provenienza della posta elettronica comporta responsabilità dirigenziale e disciplinare, fermo restando sempre quella eventuale per danno erariale. È sempre vietata in base alla norma in esame la comunicazione via fax tra Amministrazioni. Abbandonando il caso delle comunicazioni elettroniche tra Amministrazioni e analizzando invece quelle tra Amministrazioni e privati, occorre dire, innanzitutto, che le comunicazioni dei privati ricevute dall‟Amministrazione non devono essere stampate per essere protocollate ma devono essere gestite direttamente nella versione digitale attraverso singole registrazioni generate dal sistema di protocollo informatico, così come disposto dal DPCM 3 dicembre 2013. In base al Codice dell‟Amministrazione Digitale le Amministrazioni sono tenute a comunicare in via telematica con il privato laddove a conoscenza di un recapito elettronico (ad es. PEC del destinatario). L‟ordinamento giuridico configura quello alle comunicazioni telematiche come un vero e proprio diritto dell‟utente (artt. 3, 3-bis e 6 CAD) e prevede che lo stesso possa eleggere un domicilio telematico cui le Amministrazioni hanno l‟obbligo di scrivere. L‟art. 3-bis comma espone che “ogni altra forma di comunicazione non può produrre effetti pregiudizievoli per il destinatario. L'utilizzo di differenti modalità di comunicazione rientra tra i parametri di valutazione della performance dirigenziale ai sensi dell'articolo 11, comma 9, del decreto legislativo 27 ottobre 2009, n. 150”. In altre parole, l‟Amministrazione può anche individuare forme alternative di comunicazione con il privato, ma ciò non deve in alcun modo avere effetti negativi su quest‟ultimo e, in ogni, caso, il tutto è valutabile ai fini delle performance dirigenziale. Marca temporale Il Codice dell‟Amministrazione Digitale definisce e disciplina la validazione temporale come il risultato della procedura informatica con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi. Nello specifico, la marca temporale ………………… Va rilevato, però, che le relative disposizioni non sono dettate con esclusivo riferimento all‟attività amministrativa ma anche ai rapporti tra privati. In particolare si ritiene che l‟utilizzo della marca temporale in ambito amministrativo sia necessaria soltanto ai fini della 258 conservazione sostitutiva come previsto dal DPCM 3 dicembre 2013. In tutti gli altri casi, non essendovi regole tecniche che la rendano obbligatoria, la marca temporale non si deve ritenere necessaria nell‟attività amministrativa. Infatti, la funzione della marca temporale è quella di dare certezza alla data della sottoscrizione elettronica; tuttavia, nel caso di atti provenienti da pubblico ufficiale, si fa presente che quanto in essi attestato (ivi compresa la data della sottoscrizione) fa piena prova fino a querela di falso, anche senza necessità di marca temporale. Albo pretorio La pubblicità degli atti delle Pubbliche Amministrazioni è volta a garantire la conoscenza legale nei confronti della generalità dei cittadini, in virtù dei principi di imparzialità e buon andamento della Pubblica Amministrazione (art. 97, comma 1, Cost.) nonché del principio di trasparenza fissato dalla L. 241/1990. Con l‟entrata in vigore dell‟art. 32 della Legge 18 giugno 2009, n. 69 (“Disposizioni per lo sviluppo economico, la semplificazione, la competitività nonché in materia di processo civile”) che reca disposizioni finalizzate all'eliminazione degli sprechi relativi al mantenimento di documenti in forma cartacea, a partire dal 1° gennaio 2011 le pubblicazioni effettuate su carta non hanno più valore legale. In conseguenza di ciò, tutte le amministrazioni pubbliche statali e non statali sono state obbligate a pubblicare sul proprio sito informatico, anche mediante l‟utilizzo di siti informatici di altre amministrazioni ed enti pubblici obbligati, gli atti e i provvedimenti amministrativi che necessitano di pubblicità legale. In particolare per quanto riguarda i bandi di gara (procedure a evidenza pubblica) e i bilanci, il passaggio completo al digitale è stato invece effettuato al 1° gennaio 2013. Aspetto importante è quello connesso alla tipologia di firma da apporre agli atti in pubblicazione. gli atti pubblicati sull‟Albo Pretorio online devono essere sottoscritti mediante firma digitale. Nonostante non ci siano esplicite disposizioni normative che prevedano tale adempimento, sia il Vademecum di DigitPA “Modalità di pubblicazione dei documenti nell‟Albo online” del 2011 che le “Linee guida per il trattamento di dati personali effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web” del 2 marzo 2011 redatte dal Garante per la protezione dei dai personali, contemplano che gli atti debbano essere sottoscritti digitalmente. Infatti, la sottoscrizione del documento 259 pubblicato sul sito web con firma digitale o altro accorgimento equivalente, consente di garantirne l‟autenticità e l‟integrità. Un secondo aspetto di riflessione, dopo la tipologia di firma elettronica da apporre, è quello in tema di obbligo di pubblicazione, o meno, degli allegati all‟atto. La mancata pubblicazione degli allegati lederebbe il diritto dei cittadini ad avere una piena contezza del provvedimento, venendo estromessi dalla facoltà di avanzare eventuali opposizioni. Pertanto, nonostante l‟assenza di specifici obblighi imposti dalla normativa vigente, sarà sempre necessario procedere alla pubblicazione degli allegati ai documenti amministrativi. Soltanto in casi eccezionali, laddove espressamente previsto dalle norme o quando sia necessario al fine di assicurare il rispetto della normativa sulla protezione dei dati personali (D.Lgs. n. 196/2003), gli allegati potranno non essere pubblicati. Infine, con riferimento alla pubblicità legale on line, è di fondamentale importanza contemperare la funzione di pubblicità legale svolta dalla pubblicazione all‟albo online, con la necessità di tutelare la riservatezza dei soggetti una volta che il termine per l‟affissione sia scaduto. A tal proposito sono essenziali le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” del 15 maggio 2014, redatte dal Garante Privacy. In base ad esse, il rispetto dei principi di esattezza, necessità, pertinenza e non eccedenza, permanenza on line limitata nel tempo dei dati personali, vale anche per la pubblicazione di atti per finalità diverse dalla trasparenza, come nel caso dell‟Albo pretorio online. Al fine di ridurre i rischi di decontestualizzazione del dato personale e la riorganizzazione delle informazioni secondo parametri non conosciuti dall'utente, è inoltre necessario prevedere l'inserimento all'interno del documento di “dati di contesto” (ad es. data di aggiornamento, periodo di validità, amministrazione, numero di protocollo) ed evitare l'indicizzazione tramite motori di ricerca generalisti, privilegiando funzionalità di ricerca interne ai siti web delle Amministrazioni. eVoting 260 Il voto rappresenta il momento supremo in una società democratica, poiché mediante la sua espressione si sancisce il trasferimento della sovranità dal popolo a coloro che da esso saranno designati come suoi rappresentanti. È facilmente comprensibile, dunque, che tale processo necessiti di garanzie e attenzioni, stante la sua rilevanza. Nel momento in cui l‟esigenza democratica di voto si coniuga con le nuove tecnologie si giunge al concetto di eVoting, ovvero di voto elettronico. A livello europeo, il primo importante intervento di settore volto a sancire dei principi standard sul piano internazionale è dato dal “Rapporto sulla compatibilità del voto a distanza e del voto elettronico con gli standard del Consiglio d‟Europa”, approvato dalla Commissione di Venezia, su mandato del Consiglio d‟Europa, in data 12-13 marzo 2004. Tali principi sono poi confluiti nelle Linee Guida sul voto elettronico del Consiglio d‟Europa nel 2004 [“Legal, Operational and Technical Standards for E-Voting. Recommendation Rec (2004) 11 and Explanatory Memorandum”]. In base a tale documento, l‟eVoting è compatibile con i principi democratici a condizione che le procedure rispettino alcune misure. Qualsiasi tipo di elezione democratica, indipendentemente dalle modalità di voto prescelte, deve garantire il rispetto dei diritti civili e politici, in particolare la libertà di espressione, e a tal fine deve: prevenire la manipolazione dei dati; proteggere l‟anonimato dell‟elettore, garantire il sistema di corretto conteggio dei dati. A Strasburgo nel novembre del 2010, nell‟ambito della terza riunione finalizzata all‟analisi degli sviluppi nel campo del voto elettronico successivi al 2004, il Consiglio d‟Europa approva il Manuale “E-voting Handbook, key steps in the implementation of e-enabled elections”, scritto per i Governi e le organizzazioni che intendono avviare progetti pilota di voto elettronico e introdurre tali innovazioni nei rispettivi sistemi elettorali. Il Manuale esamina delle questioni importanti, come la costruzione e la salvaguardia della fiducia nel sistema e il valore del software open-source. Il Manuale, dopo aver individuato i diversi strumenti elettronici che possono essere utilizzati con finalità di voto (“Different types of electronic tool”), procede affrontando quattro macro-aree: i punti essenziali di riflessione per chi voglia dare vita a politiche di voto elettronico (“Points to consider before introducing evoting”), le varie attività preparatorie (“Pre-electoral period”), le operazioni della fase elettorale (“Electoral period”) e le strategie ad essa successive (“Post-electoral period”). 261 Successivamente al Manuale, il Consiglio d‟Europa – Direttorato generale sulla democrazia e gli affari politici, ha predisposto il 16 febbraio 2011 il documento “Certification of evoting systems. Guidelines for developing processes that confirm compliance with prescribed requirements and standards” e le “Guidelines on transparency of e-enabled elections” (versione finale)38. Tale ultimo documento rappresenta uno strumento pratico per facilitare l‟attuazione delle citate Linee Guida sul voto elettronico del Consiglio d‟Europa del 2004, in particolare le raccomandazioni nn. 20-23 in esse contenute, che invitano gli Stati membri a garantire la trasparenza del loro sistema di voto favorendo in tal modo gli elettori e la fiducia nel sistema. Le raccomandazioni propongono requisiti minimi per la trasparenza delle elezioni politiche e referendum, effettate in modalità elettronica a tutti i livelli di governo. Non intendono prescrivere un particolare sistema o imporre specifici processi in un Paese, ma offrono strumenti oggettivi e forniscono agli Stati una guida utile a ottimizzare la trasparenza, contribuendo così a migliorare i processi in corso e ad avviarne altri di scambio di best practise. In base alle Linee Guida sul voto elettronico del Consiglio d‟Europa del 2004, Rec (2004) 1144, per “eVoting” occorre intendere: “Il ricorso a mezzi elettronici, almeno al momento dell‟operazione di voto propriamente detta, nell‟ambito di un‟elezione o di un referendum”. Per “remote eVoting”, anche detto “voto a distanza”, invece: “Il voto elettronico in cui l‟operazione di voto propriamente detta è realizzata tramite un dispositivo non controllato da un funzionario elettorale”45. Dal contenuto delle Linee Guida emerge una certezza, importante nel districarsi nelle molteplici forme di voto elettronico: ogni sistema informatico e telematico di voto rientra nell‟eVoting, con previsione poi di un sotto-insieme rappresentato dal “remote eVoting”. Da ciò consegue che, in linea generale, ogni tipologia di voto elettronico che nel prosieguo esamineremo, rientra sempre nella definizione di “eVoting”, poi specificandosi ulteriormente in base a una serie di elementi distintivi. Le classificazioni essenziali tra le varie forme di voto elettronico non possono, dunque, che partire da queste prime due definizioni. Chiarita la distinzione di fondo tra i due insiemi (il macro-insieme “eVoting” e il sotto-insieme “remote eVoting”), si rende ora necessario approfondire le varie ulteriori declinazioni possibili dell‟eVoting. Occorre subito precisare che quando si parla delle nuove frontiere della democrazia elettronica, e nello specifico dell‟eVoting, si tende a confondere quattro diversi livelli, caratterizzati dall‟utilizzo di sistemi di registrazione/invio del voto differenti: 262 a) il “voto elettronico semplice”, vale a dire quello espresso tramite un computer che, però, viene installato in un seggio e non è connesso alla Rete Internet (anche detto voto “in loco”); b) il “voto online” vero e proprio, che si esprime usando la Rete Internet (Internet Voting – iVoting), a prescindere dal luogo da cui ci si collega; c) il “voto tramite dispositivi mobili” (mobile Voting – mVoting), ovvero la frontiera più avanzata del voto elettronico, in quanto è possibile utilizzare il telefono cellulare; d) il “voto tramite il telecomando” di una televisione interattiva o digitale. L‟iVoting, l‟mVoting e il voto tramite televisione rappresentano tendenzialmente forme di voto “non presidiato”, poiché la preferenza è espressa a distanza in assenza di un pubblico ufficiale/funzionario elettorale. Ma questa non è una regola assoluta. Si consideri, ad esempio, la possibilità che l‟iVoting sia utilizzato in un seggio presidiato: il votante, pertanto, esercita il suo diritto tramite terminale alla presenza del funzionario pubblico e il voto viaggia immediatamente in Rete per essere registrato su un server in remoto. Normalmente l‟iVoting viene anche definito “home voting”, in quanto associato alla possibilità di esercitare il diritto di voto anche dalla propria dimora: ma una tale definizione, sebbene ricorrente, a parere di chi scrive è fuorviante, in quanto anche l‟mVoting e il voto tramite televisione potrebbero essere definiti, a ragione, modalità di “home voting”. Nelle varie esperienze internazionali, il voto elettronico semplice rappresenta il modello prevalente. In tale modello il concetto di eVoting si sostanzia nella sostituzione di una tecnologia con un‟altra nel medesimo procedimento. In altre parole, quanto in precedenza veniva espresso con la matita e la carta, ora può essere espresso con il dito di una mano e con un touch screen o con un “Direct recording electronic system” (Sistema elettronico di registrazione diretta - DRE). eJustice La digitalizzazione della giustizia si presenta come una delle misure di maggiore rilevanza dell'Agenda Digitale Europea, i cui criteri direttivi sono stati recepiti nel nostro paese dal Decreto-legge 18 ottobre 2012, n. 179 convertito dalla legge 17 dicembre 2012, n. 221. La finalità è quella di potere contare su di uno strumento normativo che possa costituire un efficace volano per la crescita economica ed occupazionale. Il processo telematico nasce 263 proprio dall‟esigenza di combinare le nuove tecnologie dell‟informazione e della comunicazione con l‟organizzazione giudiziaria e la norma processuale. In ambito civile si fonda su due importanti provvedimenti: il D.M. n. 44 del 22 febbraio 2011 che detta le nuove regole tecniche del processo telematico ed il provvedimento della Direzione generale per i sistemi informativi automatizzati datato 16 aprile 2014 che disciplina le specifiche tecniche per l'adozione nel processo Civile e nel processo penale delle tecnologie dell'informazione e della comunicazione previste dall‟art. 34 del citato decreto (sostituendo il precedente del 18 luglio 2011). Il settore della giustizia sta vivendo a fatica questa profonda fase di trasformazione e, se in ambito civile il percorso di attuazione appare facilitato grazie anche ai numerosissimi interventi formativi e chiarificatori degli ultimi tempi, negli altri settori la situazione si presenta ancora allo stadio embrionale. Con riguardo all‟ambito penale, ad esempio, non si registra, allo stato attuale, l‟attuazione di un vero e proprio processo penale telematico; sono attivi alcuni servizi telematici, riconosciuti sotto il profilo legale dal Ministero della Giustizia, che consentono al penalista di svolgere adempimenti senza doversi recare personalmente nell‟ufficio giudiziario. Con il D.P.C.M. del 16 Febbraio 2016 n. 40, invece, sono state introdotte le regole e le specifiche tecniche per l‟attuazione del processo amministrativo telematico. L‟entrata in vigore del D.P.C.M. è avvenuta il 5 Aprile 2016 ma, lo stesso articolo 21 al primo comma aveva stabilito che la maggior parte delle disposizioni in esso contenute dovevano essere applicate dal 1 Luglio 2016. Successivamente il Decreto Legge n. 117 del 30 giugno ha fatto slittare tutto al 1 gennaio 2017. Il processo tributario telematico, infine, è divenuto operativo dopo la pubblicazione in Gazzetta ufficiale del 10 agosto 2015 del decreto del Direttore Generale delle Finanze, 4 agosto 2015, contenente le regole tecniche per l‟avvio323. eHealth E‟ sorta, prima in ambito europeo e negli ultimi anni anche in Italia, l‟esigenza di una definizione di politiche e normative nel settore “eHealth”, intendendosi con tale termine “la 323 M.Iaselli, Giustizia Digitale, a che punto sono i quattro processi telematici 26 settembre 2016, disponibile al seguente URL: http://www.forumpa.it/pa-digitale/giustizia-a-che-punto-sono-i-quattro-processi-telematici consultato nel mese di ottobre 2016. In materia anche M. Mancarella, eJustice amministrativa in Europa, Tangram Edizioni Scientifiche, Trento, 2010. 264 condivisione della comunicazione di dati e informazioni sanitarie, in particolare di dati personali, attraverso le Reti di generazione Internet, ovvero ad «alta comunicazione», in ambito aziendale, sistemico e ambientale (con e tra i cittadini)”324. La definizione riportata, che comprenderemo meglio nel corso del lavoro, a parere di chi scrive è quella che meglio è in grado di descrivere, oggi e in futuro, l‟eHealth, poiché più attenta rispetto ad altre al ruolo essenziale che oramai occorre riconoscere ad Internet ai fini sanitari, sulla scia di alcune vincenti sperimentazioni regionali di settore. Una Sanità senza la Rete non è più pensabile, motivo per il quale le locuzioni “Sanità elettronica” e “Sanità digitale” perdono oramai la loro portata valoriale poiché affermatesi in un periodo informatico pre-Internet e, come tali, non in grado di rappresentare l‟evoluzione telematica in Sanità325. L‟eHealth così inteso è un processo destinato a non rimanere limitato in precisi ambiti territoriali. Ad esempio, Europa e U.S.A. stanno oramai procedendo, congiunte, lungo la progressiva attuazione di piani comuni di eHealth e programmi di scambio di conoscenza, come sancito con il “Memorandum di intesa” sottoscritto il 17 dicembre 2010 tra la Commissione Europea e il Dipartimento per i servizi sanitari e alla persona degli U.S.A., dal titolo “Cooperation surrounding health related information and communication technologies”326. Il Legislatore italiano, invece, continua ad oscillare tra due estremi: appare consapevole della necessità di realizzare su scala nazionale l‟innovazione tecnologica essenziale nel settore eHealth (ovvero il Fascicolo Sanitario Elettronico - F.S.E. entro il 2015, in base al comma 15-quinquies, art. 12, del D.L. n. 179/2012, convertito nella Legge n. 221/2012, e introdotto dal D.L. n. 69/2013, convertito nella Legge n. 98/2013), ma nel contempo continua a costruire un impianto normativo definito, anacronisticamente, di “Sanità digitale” (si veda la Sezione IV, artt. 12-13-bis, del citato D.L. n. 179/2012, intitolata “Sanità digitale”), quindi, speriamo solo terminologicamente, lontano dall‟eHealth. Al di là delle inesattezze terminologiche, comunque il Legislatore italiano si è dimostrato negli ultimi anni ben consapevole di un dato essenziale: non si possono realizzare adeguate politiche di eHealth se non si perfeziona il processo di innovazione del settore pubblico, 324 M. Moruzzi, Il Fascicolo Sanitario Elettronico in Italia. La sanità ad alta comunicazione, Milano, Il sole 24 Ore, 2011, nota 2, p. 1. 325 Ibidem. 326 Il documento è reperibile all‟U.R.L.: http://www.google.it/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=3&ved=0CEMQFjAC&url=http%3A%2F%2Fec.europa .eu%2Finformation_society%2Fnewsroom%2Fcf%2Fdae%2Fdocument.cfm%3Fdoc_id%3D1784&ei=0oNWUsKGLoblswawwoH4Ag &usg=AFQjCNExFoAlb_Hk-OqwMAbDeYpIQ8V0-Q&bvm=bv.53899372,d.Yms, consultato nel mese di giugno 2013. 265 quindi non si raggiungono adeguati livelli di eGovernment (inteso come l‟uso delle tecnologie informatiche negli apparati pubblici327, quindi come “Amministrazione digitale”) e non si giunge ad un‟effettiva attuazione di quanto disposto dal Codice dell‟Amministrazione Digitale (D.Lgs. n. 82/2005), un testo normativo, unico nel suo genere anche sul piano internazionale, rimasto però “inascoltato” per molti anni. Sulla base di tali convinzioni, il Ministero per la Pubblica Amministrazione e l‟Innovazione ha predisposto nel 2008 il “Piano eGovernment 2012”, volto a tracciare le linee di sviluppo del settore. Nel Piano è dedicato alla “Salute” l‟Obiettivo n. 4. In esso viene indicata la road map per la realizzazione, entro il 2012, di strumenti essenziali di eHealth, tra i quali il F.S.E., la digitalizzazione del ciclo prescrittivo e dell‟attività dei Centri Unici di Prenotazione (C.U.P), l‟immissione in Rete dei medici di base, la creazione di piattaforme per la didattica a distanza destinate ai piccoli pazienti lungodegenti e, forse progetto più importante, l‟innovazione digitale dell‟organizzazione interna delle aziende sanitarie. A livello comunitario fa eco il “Piano d‟azione europeo per l‟eGovernment 2011-2015”, di cui alla Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato Economico e Sociale Europeo e al Comitato delle Regioni, del 15 dicembre 2010328. Il Piano è rivolto al miglioramento dei servizi pubblici erogati a mezzo di strumenti digitali, anche nel settore sanitario, a conferma di come l‟eGovernment debba essere oggi considerato un profilo essenziale dell‟eHealth. In base a tali Piani, i flussi comunicativi dell‟eGovernment diventano basilari nell‟interazione “nel” e “con” il sistema di assistenza sanitaria329. Lo Stato, in definitiva, con l‟avvento dell‟eGovernment, tende a divenire uno “Stato virtuale” (Virtual State), ovvero un governo organizzato in modo crescente in termini di agenzie virtuali e network pubblico-privati, la cui struttura e capacità dipendono da Internet330 e nel 327 Cfr. G. Sartor, Corso d’Informatica giuridica. Volume I: L’informatica giuridica e le tecnologie dell’informazione, Torino, Giappichelli, 2008, p. 19. Volendo fornire una definizione più estesa di “eGovernment”, con tale termine si può intendere “l‟ottimizzazione continua nell‟erogazione dei servizi, nella partecipazione dei cittadini, nella governance, attraverso la trasformazione delle relazioni interne ed esterne per mezzo delle tecnologie, di Internet e dei nuovi mezzi di comunicazione di massa, combinati con i cambiamenti organizzativi e le nuove professionalità richieste per migliorare i servizi pubblici e i processi democratici, il tutto finalizzato a supportare le politiche pubbliche” (A. Romano, L. Marasso, M. Marinazzo, Italia chiama eGovernment, Milano, Guerini e Associati, 2008, p. 26). 328 Il Piano d‟azione è disponibile all‟U.R.L.: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0743:FIN:IT:PDF, consultato nel mese di giugno 2013. 329 Cfr. M. Moruzzi, e-Care, sanità, cittadini e tecnologia al tempo della comunicazione elettronica, Milano, Franco Angeli, 2003, pp. 76-77. 330 Cfr. J. Fountain, Building the Virtual State: Information Technology and Institutional Change, Harward, Brookings Institution, 2001. 266 quale i confini delle Amministrazioni perdono gran parte del loro tradizionale carattere territoriale, generando il fenomeno della “virtualizzazione delle comunità di riferimento”331. Ma a tale virtualizzazione delle comunità di riferimento non fa eco un‟adeguata capacità, soprattutto dei sistemi sanitari, a gestire il rapporto comunicativo tra Sanità organizzata e ambiente nel quale opera, costituito da cittadini-utenti. La formazione e il mantenimento di un sistema sociale organizzato, come quello sanitario, avviene attraverso un processo di “riduzione di complessità dell‟ambiente mondo”, di per sé caotico, generando chiusure operative che innalzano confini, sbarramenti a tutela del sistema stesso. L‟autotutela, o meglio autoreferenzialità, del sistema sanitario lo protegge, ma al contempo genera barriere comunicative a danno dei cittadini-utenti, associate a disfunzioni burocratiche. L‟organizzazione sanitaria, da una parte, e i cittadini, dall‟altra, vivono con tempi tra loro molto diversi e tendono a parlarsi con “linguaggi cifrati”, con “rumori di sottofondo” 332. La soluzione diviene una nuova forma di Sanità (intesa sia come sistema organizzato che come insieme dei servizi di assistenza sanitaria erogati), nella quale deve affermarsi un nuovo mondo culturale: la pHealth (personal Health), nella quale i ruoli tra cittadino e medico si invertono. Il cittadino diventa un pò medico di sé stesso e degli altri cittadini nella prospettiva collaborativa del Web 2.0, e il medico diventa un pò più cittadino, poiché viene messo nelle condizioni di comunicare intensamente con altri medici (si vedano i social network professionali), ma anche con gli assistiti333. Il nuovo mondo culturale pHealth fornisce una risposta alla crescente tendenza da parte dei cittadini nel ricercare un ruolo pro-attivo nel proprio processo di cura, quindi il potenziamento del ruolo di partecipazione, valutazione e decisione della comunità nella gestione della Sanità (empowerment del cittadino). La “liberta dell‟informatica”, da intendersi come libertà dell‟individuo di servirsi nel modo che ritiene più opportuno dell‟informatica, prende progressivamente il sopravvento in Sanità sulla “libertà dall‟informatica”, ovvero dalla limitazione o negazione della libertà di usare gli strumenti informatici per il solo timore di ledere la riservatezza altrui. La sfera personale altrui, ovviamente, dovrà essere sempre tutelata, ma solo entro i confini dettati dalla normativa europea e nazionale di settore, senza estensioni applicative. La pHealth necessita, dunque, di “libertà dell‟informatica”, diversamente non potrebbe in alcun modo concretizzarsi nel vivere quotidiano, nelle sue 331 332 333 L. Buccoliero, Il governo elettronico, Milano, Tecniche Nuove, 2009, p. 10. Cfr. N. Luhmann, Organizzazione e decisione, Milano, Bruno Mondadori, 2005. M. Moruzzi, Il Fascicolo Sanitario Elettronico in Italia. La sanità ad alta comunicazione, cit., p. 33. 267 evolute forme interrelazionali e di accrescimento semplificato della conoscenza del paziente per via telematica. Nel mondo pHealth, l‟eGovernment, che esprime in sé l‟attività di Governo del digitale da parte dello Stato o di un‟entità legittimata da esso (ad esempio, Azienda Ospedaliera o enti privati accreditati), lascia progressivamente sempre più spazio all‟eGovernance, ovvero ad un‟attività di Governo del digitale attuata con il concorso delle iniziative e delle attività messe in campo da tutte le componenti sociali che caratterizzano l‟organizzazione sanitaria, quindi non solo statali o legittimate dallo Stato. Digital Tourism Turismatica è un neologismo di genesi recente, utilizzato per indicare un importante trend d‟innovazione, vale a dire gli strumenti e le metodologie dell‟informatica e della telematica al servizio dell‟organizzazione e promozione turistica, il tutto nell‟ottica, sempre, di una valorizzazione (sostenibile) del patrimonio culturale e ambientale territoriale. Detto in altre parole, la “Turismatica” si presenta come la perfetta sintesi tra società dell‟informazione, nuovi diritti e contesti innovativi di turismo sostenibile. Infatti, la comunicazione tecnologica, propria delle ICT, e le potenzialità offerte dalla Rete Internet, consentono agli Enti e alle imprese operanti nel settore turistico di offrire un‟immagine innovativa del valore culturale/ambientale, delle peculiarità turistiche del luogo e della varietà professionale dei servizi ad esso connessi. Le opportunità offerte dalle nuove tecnologie alla tutela e valorizzazione del patrimonio culturale e ambientale di un territorio, e quindi alla capacità dello stesso di affermarsi nel mercato turistico globale, sono oramai infinite. La stessa Carta di Lanzarote del 1995, adottata nell‟ambito della Conferenza Mondiale sul Turismo Sostenibile, promossa congiuntamente da WTO, UNEP, UNESCO, UE, sottolinea chiaramente lo stretto rapporto che deve intercorrere tra politiche di sviluppo sostenibile territoriale e nuove tecnologie. La Carta, infatti, dopo aver esplicitato al Principio n. 1 che si deve parlare di “turismo sostenibile” solo nel caso in cui esso sia “ecologicamente sostenibile nel lungo periodo, economicamente conveniente, eticamente e socialmente equo nei riguardi delle comunità locali”, al Principio n. 5 attribuisce ai piani di intervento territoriali, finalizzati alla valorizzazione e tutela delle risorse naturali e culturali, il compito di attuare 268 forme di “turismo sostenibile”, fornendo soprattutto agli attori coinvolti gli strumenti, innanzitutto ICT, per una cooperazione e gestione integrate di tali risorse. SMART WORKING Nel disegno di legge collegato alla legge di Stabilità 2016, il Governo ha introdotto e disciplinato lo smart working, una forma di lavoro agile e moderna che tende ad offrire una maggiore libertà nella gestione dei tempi di vita del lavoratore oltreché una più snella organizzazione aziendale legata ad una maggiore produttività dell‟impresa. Quando si parla di smart working si fa riferimento ad una attività lavorativa diversa dal telelavoro. Il telelavoro, infatti, rappresenta un primo tentativo messo in atto dal legislatore di armonizzare le esigenze di produttività dell‟azienda con il desiderio del lavoratore di conciliare i tempi lavorativi con quelli di vita. Tuttavia, tale modalità di lavoro prevede pur sempre che ci sia una strumentazione, un orario e uno spazio fisso dove svolgere l‟attività lavorativa; inoltre, le regole aziendali si trasferiscono quasi automaticamente a casa del lavoratore, come se il rapporto tra il dipendente e il datore di lavoro non fosse differente da un luogo ad un altro nello svolgimento della prestazione lavorativa. Lo smart working, invece, diventa un‟alternativa al telelavoro, con caratteristiche di maggiore flessibilità e minore rigidità normativa. Al datore di lavoro, infatti, consente una facilitazione sia dal punto di vista organizzativo che produttivo, riducendo altresì i costi; al lavoratore, invece, assicura la possibilità di conciliare i tempi di vita con quelli di lavoro, sulla scia di un formato organizzativo che si basa sulla meritocrazia e sul raggiungimento degli obiettivi prefissati. Ci si trova di fronte ad una cornice flessibile, non derivata da una concessione aziendale, ma da una nuova scelta di un modo di lavorare, che, secondo gli studiosi del lavoro, dovrebbe comportare benefici interessanti sia per le imprese e che per i lavoratori334. Nello specifico, l‟art. 1 del disegno di legge governativo pone lo smart working nell‟alveo del lavoro subordinato, trattandosi di una prestazione di lavoro subordinato che si realizza soddisfacendo le seguenti modalità: 334 M.Magri, Legge di stabilità 2016, smart working e sicurezza sul lavoro nel DDL collegato, 27 novembre 2015, disponibile al seguente URL: http://www.ipsoa.it/documents/lavoro-e-previdenza/sicurezza-del-lavoro/quotidiano/2015/11/27/legge-di-stabilita-2016-smartworking-e-sicurezza-sul-lavoro-nel-ddl-collegato consultato nel mese di novembre 2016 269 1) prestazione lavorativa svolta solo in parte all’interno dei locali aziendali e con i soli vincoli di orario massimo desunti dalla legge e dalla contrattazione collettiva; 2) possibilità di utilizzare strumenti tecnologici per svolgere l‟attività di lavoro; 3) assenza di una postazione fissa durante i periodi di lavoro svolti al di fuori dei locali aziendali. INTELLIGENZA ARTIFICIALE E ROBOTICA Dotare i computer di intelligenza umana, è stato un sogno degli esperti di computer fin dagli albori del calcolo elettronico. Anche se il termine “Intelligenza Artificiale” (I.A.) non è stato coniato prima del 1956, le sue origini risalgono almeno al 1940, quando l'idea di I.A. è stata cristallizzata nel famoso saggio del 1950 di Alan Turing, “Computing Machinery and Intelligence”, nel quale Turing ha posto la domanda: “le macchine possono pensare?” L'attuale ondata di progresso e di entusiasmo per l'I.A. è iniziata attorno al 2010, guidata da tre fattori, tra di loro strettamente collegati: la disponibilità di grandi quantità di dati provenienti da numerose fonti, tra cui l'e-commerce, le imprese, i social media, la scienza, nonchè da parte degli enti pubblici, i quali, a loro volta, hanno fornito materia prima per migliorare notevolmente gli approcci di apprendimento automatico (Machine Learning) e gli algoritmi, il tutto unito alla possibilità di fare affidamento sulle capacità di potenti computers. Ad ogni modo, non esiste un'unica definizione di intelligenza artificiale che sia universalmente accettata. Alcuni definiscono l'I.A. come un sistema computerizzato che tiene un comportamento che viene comunemente pensato come farebbe intelligenza umana. Altri definiscono l'I.A. come un sistema in grado di risolvere razionalmente problemi complessi o intraprendere azioni appropriate per raggiungere i suoi obiettivi in qualsiasi circostanza del mondo reale che incontra. Gli esperti offrono tassonomie differenti di problemi e soluzioni di intelligenza artificiale: (1) i sistemi che pensano come gli esseri umani (per esempio, le architetture cognitive e reti neurali); 270 (2) sistemi che agiscono come gli esseri umani (per esempio, superare il test di Turing attraverso l'elaborazione del linguaggio naturale, la rappresentazione della conoscenza, ragionamento automatico, e l'apprendimento); (3) sistemi che pensano razionalmente (risolutori logici, inferenza e ottimizzazione); (4) sistemi che agiscono razionalmente (ad esempio, agenti intelligenti software e robot che consentano di raggiungere gli obiettivi attraverso la percezione, la pianificazione, ragionamento, apprendimento, comunicazione, decisionali e recitazione). Anche per quanto riguarda i Robot335, ossia macchine appositamente progettate e programmate per l'espletamento di compiti specifici, che sempre di più si sono evolute nel corso degli anni, fino a raggiungere livelli di autonomia decisamente elevati, specie grazie all'uso pervasivo dell'ICT. Ciò ha ri-acceso il dibattito su diverse questioni, tra le quali, principalmente, quella della sicurezza, sottesa al loro utilizzo nelle applicazioni della realtà quotidiana e nella imminente diffusione, su larga scala, di prodotti dotati di notevole capacita decisionale autonoma per lo svolgimento del loro compito. Tali macchine, che spaziano dalle vetture a guida autonoma ai robot per l‟assistenza alla persone, in fin dei conti, altro non sono che prodotti tecnologici, per quanto avanzati, per i quali deve essere assicurato un elevato grado di sicurezza, anche giuridica, data da un set di norme che disciplinino in maniera adeguata le responsabilità e che abbia la lungimiranza, auspicabilmente, di farsi carico anche delle ripercussioni sociali e lavorative. Di fronte a questa evoluzione scientifica ed industriale sta emergendo, quindi, la necessità di dare uno status giuridico ai Robot (dall‟esemplare più elementare a quello più evoluto) per avere normative chiare e condivise, idonee ad evitare le pericolose lacune normative che si formano in quanto il diritto e la legislazione fanno fatica a tenere il passo e a coprire fattispecie prima inimmaginabili. Su tale ambito si riscontrano, positivamente, diverse iniziative, lasciate, però, alla sensibilità individuale, quanto pioneristica, di diversi legislatori sparsi per il globo, anche se magari a livello aggregato, ma insufficiente, come quello europeo336. In ragione della potenziale 335 Vocabolo la cui origine semantica viene attribuita allo scrittore Ceco Ĉapek, che utilizzò per la prima volta in uno scritto degli anni '20 del XIX secolo, l'espressione “Robota”, con il significato di “lavoro duro, lavoro forzato”. 336 V. PROGETTO DI RELAZIONE del Parlamento Europeo del 31 maggio 2016, recante raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica, reperibile all'indirizzo internet http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+COMPARL+PE582.443+01+DOC+PDF+V0//IT&language=IT, consultato nel mese di novembre 2016. 271 universalità del fenomeno, infatti, sarebbe più che necessaria un‟azione globale che coinvolga a livello planetario, quanti più portatori di interesse possibili. DIGITAL FORENSICS Per Digital Forensics si intende l‟applicazione di un metodo investigativo scientifico al mondo digitale per ricavare elementi e informazioni validi e spendibili in sede processuale, non solo penale, dove il suo utilizzo è ampiamente diffuso da tempo, ma anche civile. Un investigatore, infatti, deve essere in grado di avvicinarsi a un sistema informativo per determinare se esso sia stato utilizzato in attività illecite o non autorizzate, avendo cura di non alterare le possibili prove che confermino o meno la commissione di un reato normalmente informatico o con mezzo informatico. La c.d. “scena del crimine” può essere un computer, un supporto removibile, una rete o qualsiasi altro medium digitale, server virtuali e architetture cloud incluse. Ovviamente le indagini possono riguardare anche smartphone, tablet e dispositivi mobili in generale; in questi casi si parla di mobile forensics. Nell'ambito della digital forensics esistono diverse tecniche cui fare riferimento per ottenere risultati non contestabili in sede processuale, e variano in base al tipo di dispositivo sul quale si va ad intervenire ed al tipo di prova che si intende acquisire. La normativa introdotta nel nostro ordinamento con la L. n. 48 del 2008337, e che ha modificato diversi articoli del codice di procedura penale, non predilige una tecnica rispetta ad un'altra, ma genericamente impone di “adottare misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione”. Inoltre, quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformità della copia all'originale e la sua immodificabilità. Tra le best practices più diffuse ed usate a livello internazionale vanno menzionate quelle del SWGDE (Scientific Working Group on Digital Evidence). SCUOLA DIGITALE 337 Con la quale è stata ratificata ed eseguita (nonché adeguata all'ordinamento interno) la Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001. 272 Dal 2008 ad oggi il passaggio dall‟”analogico” (carta) al “digitale” (bit) ha interessato l‟intera Amministrazione italiana, ivi compreso il comparto Scuola. Il passaggio, però, é stato ed é ancora ricco di insidie, connesse alla “debolezza” strutturale ed economica di molte Amministrazioni, tra le quali quelle scolastiche, associata alla non piena conoscenza delle norme precettive del Codice dell‟Amministrazione Digitale – CAD e delle restanti normative di settore. Al riguardo, il Decreto MIUR n. 435 del 2015 destina specifiche risorse alle attività di diffusione e di organizzazione territoriale della formazione rivolta al personale docente, in particolare “finalizzate a individuare e a formare in ciascuna istituzione scolastica un animatore digitale che possa favorire il processo di digitalizzazione delle scuole nonché diffondere le politiche legate all'innovazione didattica attraverso azioni di accompagnamento e di sostegno sul territorio del Piano nazionale Scuola digitale”. L‟animatore digitale avrà, dunque, un ruolo strategico nella diffusione dell‟innovazione digitale a scuola, disciplinato da ultimo con Decreto Direttore Generale DGEFID del MIUR n. 50 del 25 novembre 2015. Procedendo in ordine cronologico, di poco successiva al Decreto MIUR n. 435/2015 é la Legge n. 107 del 13 luglio 2015 dal titolo “Riforma del sistema nazionale di istruzione e formazione e delega per il riordino delle disposizioni legislative vigenti”, vigente al 16 luglio 2015. Il Legislatore é chiaro nel rimettere alle Scuole il compito del raggiungimento di alti fini socio-educativi anche attraverso un‟organizzazione orientata alle tecnologie innovative. I settori coinvolti nell‟innovazione sono diversi: - studenti: attività svolte allo sviluppo di competenze digitali; - docenti e personale ATA (ovvero assistenti amministrativi, assistenti tecnici e direttori dei servizi generali amministrativi): formazione per l‟innovazione didattica e per lo sviluppo della cultura digitale; - organizzazione scolastica: strumenti organizzativi e tecnologici per favorire la governance, la trasparenza, la condivisione di dati, lo scambio di info, nonché strumenti didattici e laboratoriali per migliorare formazione e innovazione; - infrastrutture: potenziamento delle infrastrutture di Rete. Volendo schematizzare, più nel dettaglio, le norme a “contenuto digitale” della Legge: 273 - le istituzioni scolastiche promuovono, all‟interno dei piani triennali dell‟offerta formativa e in collaborazione con MIUR, azioni coerenti con le finalità, i princìpi e gli strumenti previsti nel Piano nazionale per la scuola digitale (PNSD); - il curriculum dello studente sarà digitale e raccoglierà tutti i dati utili anche ai fini dell‟orientamento e dell‟accesso al mondo del lavoro: le competenze, gli insegnamenti opzionali, le esperienze acquisite; - la creazione di un Portale unico dei dati della scuola con la pubblicazione di tutte le informazioni relative al sistema di istruzione; - arriva la Carta elettronica per l‟aggiornamento e la formazione dei docenti, ovvero un voucher di 500 euro all‟anno da utilizzare per l‟aggiornamento professionale; - previsione di un bando (300 i milioni a disposizione nel triennio 2015-2017) per la costruzione di scuole altamente innovative dal punto di vista architettonico, impiantistico, tecnologico, ovvero scuole „green‟ e caratterizzate da nuovi ambienti di apprendimento digitali. Di poco successiva alla Legge n. 107/2015 é la Legge n. 124 del 7 agosto 2015, nella quale il settore scolastico é il primo ad essere considerato dal Legislatore nel momento in cui si occupa di banda ultralarga. Apice del percorso normativo del Governo Renzi in tema di Scuola é divenuto, poi, il Piano Nazionale Scuola Digitale, pubblicato con DM n. 851 del 27 ottobre 2015, attuativo della citata Legge n. 107/2015. Esso é il documento di indirizzo del MIUR per il lancio di una strategia complessiva di innovazione della scuola italiana e per un nuovo posizionamento del suo sistema educativo nell‟era digitale. É un pilastro fondamentale de “La Buona Scuola” (Legge n. 107/2015), una visione operativa che rispecchia la posizione del Governo rispetto alle più importanti sfide di innovazione del sistema pubblico: al centro di questa visione, vi sono l‟innovazione del sistema scolastico e le opportunità dell‟educazione digitale. Il Piano fonda i suoi contenuti su alcuni dati. Sono 326.000 le aule degli oltre 33.000 plessi scolastici “attivi”: il 70% sono connesse in Rete in modalità cablata o wireless (ma generalmente con una connessione inadatta alla didattica digitale), il 41,9% sono dotate di LIM e il 6,1% di proiettore interattivo. Sono in totale 65.650 i laboratori delle scuole, per una media di 7,8 per istituto. Di questi, l‟82,5% é connesso in Rete in modalità cablata o wireless, il 43,6% é dotato di LIM e il 16,9% di 274 proiettore interattivo. Una stima generale, sommando le dotazioni di aule, laboratori e biblioteche scolastiche, indica in circa 1.300.000 unità le dotazioni tecnologiche a disposizione delle scuole (605.000 nei laboratori, 650.000 nelle classi e la cifra restante nelle biblioteche). Un sintetico dato del rapporto tecnologie/alunni ha registrato nell‟ultimo anno un passaggio da una media nazionale di 1 device ogni 8,9 alunni ad una di 7,9: seppure il dato non consenta interpretazioni qualitative, si tratta di una dimostrazione che la penetrazione della scuola digitale é fatto concreto. Sono questi i dati contenuti nell‟Osservatorio tecnologico gestito dal MIUR e riferiti alle rilevazioni dell‟anno scolastico 2014-2015. Nel complesso, i dati della rilevazione 2014-2015 contenuti nell‟Osservatorio Tecnologico mostrano un discreto avanzamento della dematerializzazione e digitalizzazione dei servizi delle istituzioni scolastiche. Il 99,3% delle istituzioni scolastiche ha un proprio sito web, il 58,3% utilizza forme di comunicazione scuola-famiglia online, il 69,2% utilizza una tipologia di registro elettronico di classe (non é attualmente disponibile un dato accurato di diffusione “per classe”), il 73,6% utilizza il registro elettronico del docente e infine il 16,5% utilizza forme di gestione centralizzata LMS (Learning Management Systems quali ad es. Moodle) per la didattica e i suoi contenuti. La digitalizzazione amministrativa delle scuole é invece un processo più difficoltoso: un recente studio condotto dal MIUR mostra un livello di saturazione degli archivi cartacei delle scuole già all‟80%; inoltre, il 68% non risulta avere un sistema informatico di gestione documentale, e almeno l‟80% non possiede quello per la conservazione sostitutiva a norma di legge. Considerati tali dati, il PNSD non può che strutturarsi come vera e propria azione culturale, che parte da un‟idea rinnovata di scuola, intesa come spazio aperto per l‟apprendimento e non unicamente luogo fisico, e come piattaforma che metta gli studenti nelle condizioni di sviluppare le competenze per la vita. In questo paradigma, le tecnologie diventano abilitanti, quotidiane, ordinarie, al servizio dell‟attività scolastica, in primis le attività orientate alla formazione e all‟apprendimento, ma anche l‟amministrazione, contaminando e di fatto ricongiungendoli - tutti gli ambienti della scuola: classi, ambienti comuni, spazi laboratoriali, spazi individuali e spazi informali. Con ricadute estese al territorio. EREDITA’ DIGITALE 275 In conseguenza della morte fisica di un individuo, si producono in diritto diversi effetti per il solo fatto stesso del suo verificarsi, quali l‟estinzione di ogni reato commesso dalla persona in vita e la perdita della capacità di agire, ovvero sia il soggetto diventa inidoneo ad essere titolare di diritti e di doveri (che vengono direttamente trasferiti agli eredi – salve le dinamiche successorie). Diversamente però non viene stabilito nulla circa gli effetti postumi nel mondo digitale. Che fine fanno tutti gli account, i blog, le email appartenenti al soggetto defunto? Al riguardo, va chiarito come in Italia non esista una normativa specifica, in materia successoria, per ciò che riguarda account, email, social, etc. Tale situazione è ancor più complicata se si considera che molti degli account social ed email sono ospitati su server non italiani, per cui, nel caso di morte fisica di un soggetto, si porrebbe il serio problema per i parenti di dover recuperare password e credenziali di accesso contenute su server non presenti sul territorio italiano e, quindi, soggetti a normativa differente. Il Consiglio del Notariato da tempo ha iniziato ad interessarsi alla questione sotto il profilo dell‟eredità digitale ma tale indagine lambisce soltanto una faccia della medaglia. Invero, proprio in una nota sull‟eredità digitale del Consiglio Nazionale del Notariato viene consigliata la disposizione di specifiche istruzioni al riguardo, mediante la figura giuridica nota al nostro ordinamento del mandato post mortem. Tale nota prende spunto da una valutazione dovuta alle recenti pronunce giurisprudenziali d‟oltre oceano, nelle quali è stato previsto che in caso di morte del soggetto, i suoi dati anziché essere distrutti debbano essere consegnati agli eredi. La soluzione proposta dal Consiglio del Notariato prevede la redazione di un vero e proprio atto, da depositare presso il proprio professionista di fiducia, con il quale si affidino ad una persona di fiducia le credenziali di accesso, con istruzioni specifiche su cosa fare in caso di decesso del mandante. É innegabile, infatti, che a prescindere dalla possibilità per un erede di poter controllare gli account del defunto ciò che stupisce è che nessuna normativa in Italia preveda che alla morte di un soggetto possa determinarsi la giusta e conseguente morte digitale con cancellazione immediata di tutti i suoi profili facebook, twitter e email. Ad ogni modo, pare che un‟apertura sul punto l‟abbia fornita la sentenza Google sul diritto all‟oblio che se deve essere garantito ad un soggetto vivente, che per sua scelta decida di 276 non essere presente digitalmente, ancor di più deve potersi garantire a chi nella realtà non esiste, dovendosi considerare l‟area digitale come parallela e speculare a quella reale, e non come mezzo per superare i limiti fisici imposti alla consistenza della persona. Ad oggi, ad ogni modo, nel vuoto legislativo, quello che si può notare è come le più quotate società dell‟era digitale non siano rimaste indifferenti al problema e si stiano attrezzando per gestire la vicenda con metodi pratici che, comunque, non consentono una risoluzione chiara del problema. Da una parte, Facebook ha avviato l‟uso di account commemorativi, mentre google, pinterest e twitter stanno attuando, dal canto loro, politiche di controllo e gestione degli account inattivi da tempo, in attesa di soluzioni legislative unitarie che, però, non sembrano all‟orizzonte. D'altra parte si assiste alla nascita di diverse società che prevedono come servizio quello di recapitare, in caso di morte, le credenziali d'accesso del de cuius ai soggetti indicati (fra le tante vengono segnalate nella nota del Consiglio del Notariato precedentemente richiamata “Deathswitch” o “My Last Email”). Tale problematica diventa ancora di maggior rilievo se si considera che un‟eredità digitale può anche avere un‟ingente valore economico (basti pensare ai brani acquistati su itunes, ebook, ecc.). E tanto, a fronte dell‟assenza di una normativa unitaria, è rimesso unicamente alle condizioni contrattuali sottoscritte con il singolo servizio, le quali spesso non rispecchiano le reali contingenze fattuali nonchè le dinamiche successorie del nostro ordinamento. Nell‟ordinamento giuridico nordamericano, invece, esiste un apposito atto normativo338 che disciplina specificamente l‟accesso fiduciario, in caso di morte del titolare, ai suoi account e asset digitali. ATTO PUBBLICO INFORMATICO Da sempre i notai risultano attivamente interessati all‟informatizzazione delle procedure[1] che riguardano gli atti pubblici: - alla fine degli anni 90 è stato attivato il sistema delle visure on-line presso la Conservatoria e il Registro Imprese; 338 http://legis.delaware.gov/LIS/LIS147.nsf/vwLegislation/HB+345?Opendocument 277 - nel 2001 è stato presentato il modello unico Informatico che ha permesso a tutti i notai di registrare i propri atti per via telematica; - nel 2012 con la trascrizione digitale dell‟atto notarile nell‟Agenzia del Territorio si assiste alla informatizzazione completa dell‟attività del notaio, tale da comportare per l‟Italia un salto nella classifica mondiale sulla competitività del Doing Business nel settore Registering Property (trasferimento della proprietà), portando il nostro paese a vantare condizioni migliori di Spagna, Regno Unito, Giappone, Germania e Francia; - il tassello più importante si registra nel 2013, con l‟introduzione dell‟atto pubblico informatico che consente, già oggi, di stipulare un atto totalmente informatico, sottoscritto con firma digitale dalle parti e dal notaio. L‟atto viene poi conservato a norma presso il Consiglio Nazionale del Notariato mantenendo tutte le prerogative di certezza e durabilità dell‟atto notarile. Nell‟immaginario collettivo, l‟atto notarile si considera completato dall‟apposizione della firma delle parti, seguita da quella del notaio e dall‟apposizione del Sigillo di stato. Dal 2013, invece, è possibile che l‟atto pubblico notarile venga formato anche in modo interamente informatico anticipando l‟Agenda digitale del Governo. Dal punto di vista normativo, l‟atto pubblico informatico è disciplinato dall‟art. 11, comma 13, del D.lgs. n. 163/2006 (il Codice dei Contratti), dapprima modificato dall'art. 6, comma 5, del DL n. 179/2012 e poi da ultimo dal DL n. 145/2013[2]. Il testo attuale dispone che: “Il contratto è stipulato, a pena di nullità, con atto pubblico notarile informatico, ovvero, in modalità elettronica secondo le norme vigenti per ciascuna stazione appaltante, in forma pubblica amministrativa a cura dell'Ufficiale rogante dell'amministrazione aggiudicatrice o mediante scrittura privata”. In sostanza, con la prima modifica si stabiliva che dal 1° gennaio 2013 il contratto è stipulato, a pena di nullità, con atto pubblico notarile informatico, ovvero, in modalità elettronica secondo le norme vigenti per ciascuna stazione appaltante, in forma pubblica amministrativa (atto pubblico e scrittura privata autenticata) a cura dell'Ufficiale rogante dell'Amministrazione aggiudicatrice o mediante scrittura privata. Con la seconda modifica, invece, si è adottata una formulazione più puntuale circa le tipologie di contratto e si è spostata in avanti la decorrenza della stipula in forma elettronica dei contratti, esattamente a fare data dal 30 giugno 2014 per i contratti stipulati in forma 278 pubblica amministrativa (atto pubblico e scrittura privata autenticata) e a far data dal 1° gennaio 2015 per i contratti stipulati mediante scrittura privata. La modifica del Codice dei Contratti fa riferimento alle disposizioni contenute nel D.Lgs. n. 110/2010, che ha introdotto la disciplina dell'atto pubblico informatico nella legge notarile (L. n. 89/2013). L‟atto pubblico informatico[3] è oggi obbligatorio esclusivamente per la stipula dei contratti di appalto di lavori, servizi e forniture con la Pubblica Amministrazione, ma, per chi lo richiede, è possibile stipulare qualsiasi atto. In concreto, le parti invece di sottoscrivere un documento cartaceo firmeranno con la propria firma (qualificata) digitale il documento informatico contenente l‟atto stesso e i suoi eventuali allegati, seguiti dall‟apposizione della firma (qualificata) digitale del notaio (che contiene firma e sigillo del notaio). La firma (qualificata) digitale sostituisce la normale firma apposta dalle parti (e dal notaio) ad un documento. Nei prossimi mesi sarà possibile servirsi, anche negli studi notarili, della firma di tipo grafometrico, ovvero apposta con una penna digitale su un tablet o altro tipo di strumento elettronico, senza doversi dotare di un‟apposita firma digitale. Va precisato, tuttavia, che la sola apposizione di una firma digitale non garantisce di per sè la provenienza da parte del legittimo titolare ed è per tale ragione che l‟intervento del notaio è comunque necessario per assicurare anche la corrispondenza tra firma digitale ed il soggetto che materialmente la usa. Una volta firmato, l‟atto pubblico informatico verrà successivamente conservato attraverso uno specifico sistema informatizzato di Conservazione a Norma tenuto a cura del Consiglio Nazionale del Notariato su strutture di proprietà di tale ultimo organismo e amministrate dalla propria società, Notartel S.p.A. La trasmissione in formato digitale oggi si estende anche al rilascio delle eventuali copie autentiche informatiche. In effetti, la copia autentica informatica, firmata digitalmente dal notaio, ha la stessa validità di una copia conforme cartacea, con il vantaggio di non occupare alcuno spazio fisico, ma pochi bit. In tal modo, se si necessita di una copia autentica di un atto notarile, non sarà più necessario presentarsi fisicamente presso lo studio del notaio ma il documento potrà circolare istantaneamente on line. 279 Da una breve panoramica, è facilmente intuibile come l‟attività degli studi notarili ruoti oramai attorno al concetto di paperless, mirando all‟obiettivo di ridurre tempi e costi di gestione delle pratiche. Concretamente, il cittadino riceve tutti i servizi necessari da un unico professionista, il notaio, realizzando in tal modo lo studio notarile il concetto di one stop shop. Di seguito i principali casi di utilizzo notarile di atti pubblici informatici: per una compravendita, le visure ipotecarie e catastali vengono effettuate on-line tramite collegamento all‟Agenzia del Territorio; l‟atto notarile stesso può essere rogato in modo informatico e l‟adempimento viene inviato per la registrazione, trascrizione e voltura in via informatica anche in un giorno solo; per la costituzione di una società: una volta firmato l‟atto costitutivo, l‟invio alla Camera di Commercio avviene in modo digitale e, a partire da settembre 2014, l‟iscrizione dell‟atto avviene immediatamente, riducendo da giorni ad ore il tempo necessario per l‟avvio dell‟attività dell‟impresa; in quei comuni italiani con cui i Consigli Notarili hanno stipulato apposite convenzioni, inoltre, gli studi notarili possono richiedere certificati anagrafici direttamente dallo studio notarile. Numerosi e di non poco impatto sono i vantaggi che susseguono alla scelta dell‟atto pubblico informatico. In primis, la possibilità per le parti che risiedono in luoghi diversi di recarsi ognuna dal proprio notaio e stipulare l‟atto consentendo lo scambio tra i due notai del documento formato digitalmente nel giro di pochi istanti. Inoltre, non va sottovalutato che la conservazione tramite i più avanzati sistemi di disaster recovery aumenta la possibilità di proteggere da eventuali rischi di danni il documento originale conservato in modo analogico. In aggiunta, l‟atto pubblico informatico risponde ad esigenze specifiche di soggetti che interagiscono anche tramite sintetizzatori vocali con il mondo esterno, sia per fornire, sia per acquisire informazioni. A partire dal 2013 il Notariato ha lanciato la Rete Aste Notarili, grazie alla quale gestisce in modo totalmente digitale anche le dismissioni degli immobili degli enti pubblici. La RAN permette ai cittadini di acquistare un immobile anche semplicemente recandosi presso uno qualunque dei notai abilitati su tutto il territorio nazionale, essendo venuto meno l‟obbligo di recarsi nel luogo presso cui si tiene l‟asta. 280 In ultimo va segnalato come nel gennaio 2016 è stato rilasciato da parte di Aruba, in collaborazione con la Notartel s.p.a., società creata dal Consiglio Nazionale del Notariato e dalla Cassa Nazionale del Notariato, al fine specifico di curare l'implementazione dei servizi telematici ed informatici per i notai, il software iStrumentum proprio al fine di semplificare la sottoscrizione dell'atto digitale da parte dei cittadini. Tale software dispone di una firma grafometrica notarile evoluta che rileva una serie di dati biometrici della sottoscrizione (velocità, pressione, inclinazione, posizione della mano) nel rispetto della normativa prevista per la protezione dei dati personali, i quali consentono, da un lato di legare indissolubilmente la firma all'atto, dall'altro, ne rendono pressochè impossibile la sua falsificazione. Il Notariato, inoltre, è al lavoro con tutti gli operatori coinvolti, per il manifesto per l‟eredità e identità digitale, due campi in cui sta mettendo tutta la propria esperienza al servizio dei cittadini per garantire loro, anche nel mondo digitale, il giusto rapporto tra semplicità e certezza dei dati. [1] Per maggiori informazioni si rinvia al http://www.notariato.it/it/linformatizzazione-del-notariato sito web (ultima istituzionale: consultazione settembre 2015) [2] Per maggiori informazioni si rinvia al sito web istituzionale: http://www.agendadigitale.eu/fatturazione-elettronica/digitalizzazione-del-ciclo-dellordine-lo-stato-dei-contratti-digitali_1484.htm (ultima consultazione settembre 2015) [3] Per maggiori informazioni si rinvia al sito web istituzionale: http://www.notariato.it/it/atto-pubblico-informatico (ultima consultazione settembre 2015) DEMATERIALIZZAZIONE Il concetto della dematerializzazione indica l‟obiettivo perseguibile, e talvolta perseguito, di sostituire all‟interno delle organizzazioni pubbliche e private la documentazione cartacea con il documento informatico elettronico, che ne conservi identica validità ai fini di legge. 281 Tale esigenza si pone da tempo come punto nodale per aumentare l‟efficienza e ridurre i costi della pubblica amministrazione nell‟ampia ottica di riforma che ha interessato il settore negli ultimi anni, il quale è al centro di un piano di ristrutturazione che ne prevede, tramite l‟informatizzazione sotto diversi aspetti (la cosiddetta agenda digitale), una futura semplificazione e maggiore interattività nei confronti dei cittadini e delle imprese. Il concetto di dematerializzazione viene introdotto nel CAD del 2005 dove è espressamente previsto che la pubblica amministrazione debba valutare la possibilità di sostituire i propri archivi cartacei con gli archivi digitali. Tale operazione di digitalizzazione si sostanzia nell‟informatizzazione completa delle fasi del protocollo, della classificazione e della conservazione dei documenti. Affinché, infatti, il processo di dematerializzazione abbia una reale efficacia, occorre che tutte le suddette fasi consentano una garanzia di certezza e valore di legge del documento informatico, pari a quella cartacea, dalla sua acquisizione al protocollo sino alla conservazione negli archivi. Il suddetto sistema è assicurato da specifici processi tecnici che consentono di poter assicurare l‟efficacia legale richiesta per il documento informatico, la cui acquisizione e gestione sono specificatamente disciplinati dalla legge (si pensi alla normativa sul rilascio delle copie del documento informatico). Nello specifico, nel Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa vengono individuati dei requisiti minimi di gestione dei protocolli operativi, nonché stabilite le regole organizzative minime di funzionamento dei sistemi pubblici, al fine di garantire, nelle suddette procedure, il rispetto dei canoni di sicurezza ed integrità dei dati stabiliti dall‟attuale normativa sulla privacy. PROVE INFORMATICHE IN GIUDIZIO Allorquando si discuta di prove informatiche in un giudizio occorre distinguere se la sede sia quella penale o civile, essendo l‟acquisizione e valutazione probatoria soggetta a norme differenti (seppur ancorata ai medesimi principi). Per ciò che concerne il processo civile, ai sensi dell‟art. 2712 c.c., per come modificato dal 282 D.Lgs. n. 82/2005, “le riproduzioni fotografiche, informatiche [..] e, in genere, ogni altra rappresentazione meccanica di fatti e di cose formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono state prodotte non ne disconosce la conformità ai fatti o alle cose medesime”. Da quanto emerge testualmente, è evidente come anche per le prove informatiche il Legislatore abbia riconosciuto la piena validità di legge, alle medesime condizioni delle altre prove acquisite mediante riproduzioni meccaniche. Ad ogni modo, non si deve confondere come tale valore sia da attribuire unicamente alle prove informatiche consistenti in riproduzioni e rappresentazioni meccaniche di fatti, non potendo rientrare in questa categoria i documenti informatici sic et simpliciter. Per tale tipologia di documenti il legislatore ha invece riconosciuto una valenza diversa e ulteriore, che per molti aspetti coincide con quella riconosciuta ai pari documenti cartacei ma paga, purtroppo, lo scotto tecnologico degli operatori del diritto. Si è ritenuto che soltanto il documento informatico sottoscritto “con firma elettronica avanzata, qualificata o digitale”, fermo un rigido controllo sul “rispetto delle regole tecniche di cui all'articolo 20, comma 3, che garantiscano l’identificabilità dell'autore, l'integrità e l’immodificabilità del documento” possa avere l‟efficacia probatoria prevista dall‟articolo 2702 c.c. per il gemello cartaceo, restando il documento informatico semplice, sottoscritto con firma elettronica, “liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità”. In ultimo, sempre con riferimento ai procedimenti civili non possono non segnalarsi le importanti novità portate dal D.L. n. 179/2012 convertito con legge n. 212/2012 con il quale sono state riformate le comunicazioni nei procedimenti in materiale concorsuale, che ad oggi, a tutti gli effetti, vengono rese telematicamente ed hanno piena efficacia giuridica, nonché la possibilità di notifica ad ogni effetto di legge mediante PEC di atti in formato digitale nativo ed il loro relativo deposito nel processo civile telematico. Tale orientamento del legislatore, quanto meno nell'ambito del diritto civile, dimostra una netta volontà all'informatizzazione di tutto ciò che riguarda il contendere, tanto con riferimento alle prove, quanto con riferimento agli atti ed alle comunicazioni processuali. Diverso e più complesso appare il discorso con riferimento al processo penale. Da un lato, infatti, vi è un codice di procedura penale che non affronta specificatamente il tema delle prove informatiche ma si rimette a modifiche legislative attuate nel tempo, e quali pagano lo scotto di una mancata visione d‟insieme; dall‟altro lato vi è una netta 283 diffidenza da parte degli attori nazionali del processo penale a voler aprire un vero dialogo sull‟argomento. L‟unica significativa apertura al tema è venuta, infatti, da oltre frontiera, nello specifico dalla convenzione di Budapest in tema di criminalità informatica (intendendosi compresi tanto i reati informatici quanto i reati commessi mediante strumenti informatici), con la quale sono state apportate (le poche) modifiche al codice di procedura penale (sul tema) soprattutto con riferimento alle perquisizioni, ispezioni e sequestro di prove informatiche, nel difficile compito di equilibrare la genuinità, integrità e conservazione della prova e le esigenze di riservatezza e rispetto della privacy; anche se, va detto, la giurisprudenza dominante è sempre parsa incline a voler considerare come prioritaria l‟esigenza di assicurare le prove informatiche anche se acquisite con forzature dell‟attuale sistema. Pertanto, a oggi, non può che prendersi atto del vuoto legislativo che vi è nel settore penale e concordare con gli operatori del settore che hanno definito quanto meno auspicabile l‟esigenza di un protocollo condiviso, al fine di poter garantire la corretta assunzione anche delle prove informatiche. PEDOPORNOGRAFIA ONLINE La pedopornografia online, negli ultimi anni, ha catalizzato sempre di più l‟attenzione del nostro legislatore, con l‟intento di arginare tale pericoloso fenomeno. Nello specifico, la problematica è stata oggetto di un corposo intervento normativo (legge n. 38/2006), con il quale è stata introdotta un‟apposita fattispecie di reato, all‟art. 600-ter del codice penale; si è proceduto, così, a instaurare una serie di misure per contrastare la consumazione dell‟ipotesi di reato suddetta, con diversi oneri posti anche a carico di soggetti terzi coinvolti nel processo evolutivo del delitto. È previsto, al comma 3 dell‟articolo succitato del codice penale, come “Chiunque, al di fuori delle ipotesi di cui al primo e al secondo comma (referenti condotte partecipative alla realizzazione del materiale, nds), con qualsiasi mezzo, anche per via telematica, distribuisce, divulga, diffonde o pubblicizza il materiale pornografico di cui al primo comma, ovvero distribuisce o divulga notizie o informazioni finalizzate all'adescamento o allo sfruttamento sessuale di minori degli anni diciotto, è punito con la reclusione da uno a cinque anni e con la multa da euro 2.582 a euro 51.645.” 284 Dall‟entità della sanzione prevista, si comprende già come il legislatore abbia voluto gravemente punire anche la sola diffusione telematica del materiale pedopornografico, con la previsione di una pena edittale che giustifichi una serie di misure gravemente privative della libertà personale, anche in sede cautelare. Con legge n. 172 del 2012, inoltre, al fine di chiarire in cosa consista realmente il contenuto dell‟espressione “pedopornografia”, il legislatore si è preoccupato di aggiungere un ulteriore comma di chiusura, ove ha statuito che “ai fini di cui al presente articolo per pornografia minorile si intende ogni rappresentazione, con qualunque mezzo, di un minore degli anni diciotto coinvolto in attività sessuali esplicite, reali o simulate, o qualunque rappresentazione degli organi sessuali di un minore di anni diciotto per scopi sessuali”. Tale previsione pone chiaramente il margine di punibilità delle condotte in uno specchio veramente ampio, dovendosi considerare punibili ex lege, senza margine di apprezzamento, tutte le condotte aventi come protagonisti individui minori di anni 18, senza esclusioni di sorta. Accanto alle previsioni penali, il Legislatore si è preoccupato di attivare degli strumenti di prevenzione della diffusione del fenomeno della pedopornografia virtuale, “chiedendo” la collaborazione anche a terzi come banche, poste italiane spa e fornitori dei servizi della società d‟informazione, ponendo a carico di tutti un generale obbligo di conservare e trasmettere, per la segnalazione al Centro nazionale per il contrasto della pedopornografia sulla rete Internet (istituito con medesima legge del 2006), tutti i dati in loro possesso utili a contrastare il fenomeno. L‟inadempimento a tale obbligo è pesantemente punito con sanzioni amministrative di un certo rilievo. Accanto a tali misure è stato previsto, inoltre, che anche i fornitori di connessione internet debbano coadiuvare l‟operato del nuove centro di contrasto alla pedopornografia, avendo loro appositamente richiesto di istituire un sistema di filtraggio e protezione, per impedire l‟accesso ai siti segnalati come contenenti materiale pedopornografico. L‟attenzione del Legislatore sul fenomeno, come si intuisce, resta altissima attesa anche la diffusione sempre maggiore dell‟uso di Internet fra giovani e giovanissimi, i quali devono essere protetti da tali fenomeni. CYBERBULLISMO 285 Ad oggi manca nel nostro codice penale la previsione di un reato specifico di cyberbullismo. Le condotte rientranti in tale fattispecie vengono punite mediante la sussunzione della fattispecie concreta in quelle rispettivamente di atti persecutori, molestie, minacce, diffamazione e, a volte, anche violenza privata. Mancando una definizione teorica unitaria, quando si parla di cyberbullismo si fa riferimento a delle condotte oppressive e moleste, reiterate nel tempo, nei confronti di un soggetto, mediante l'utilizzo dei mezzi informatici quali social network (ma non solo) ovvero piattaforme telematiche (dovendosi intendere ivi compresa anche la messaggistica istantanea). Tale definizione è frutto di una creazione giurisprudenziale giustificata anche dalla mancanza di una specifica normativa che consenta di punire e definire autonomamente le condotte di cyberbullismo. Ad ogni modo, l‟invocata proposta normativa è già in Parlamento ed è stata approvata dalla Camera in data 20 settembre 2016, per cui la relativa legge non dovrebbe tardare ad essere promulgata. Dal disegno di legge, ove la norma venisse approvata senza ulteriori modifiche, emergerebbe una definizione del cyberbullismo quale condotta consistente nell‟“aggressione o la molestia reiterate, da parte di una singola persona o di un gruppo di persone, a danno di una o più vittime, anche al fine di provocare in esse sentimenti di ansia, di timore, di isolamento o di emarginazione, attraverso atti o comportamenti vessatori, pressioni e violenze fisiche o psicologiche, istigazione al suicidio o all'autolesionismo, minacce o ricatti, furti o danneggiamenti, offese o derisioni, anche aventi per oggetto la razza, la lingua, la religione, l'orientamento sessuale, l'opinione politica, l'aspetto fisico o le condizioni personali e sociali della vittima” effettuata “attraverso l'utilizzo della rete telefonica, della rete internet, della messaggistica istantanea, di social network o altre piattaforme telematiche. Per cyberbullismo si intendono, inoltre, la realizzazione, la pubblicazione e la diffusione on line attraverso la rete internet, chatroom, blog o forum, di immagini, registrazioni audio o video o altri contenuti multimediali, effettuate allo scopo di offendere l'onore, il decoro e la reputazione di una o più vittime, nonché il furto di identità e la sostituzione di persona operati mediante mezzi informatici e la rete telematica al fine di acquisire e manipolare dati personali, ovvero di pubblicare informazioni lesive dell'onore, del decoro e della reputazione della vittima”. 286 All'interno delle disposizioni richiamate è, altresì, prevista una speciale procedura di tutela della persona offesa anche mediante intervento del Garante per la protezione dei dati personali per l'oscuramento e la rimozione dei contenuti lesivi della sua immagine e personalità. L'attenzione sul punto sembra focale, attesochè ciò che ad oggi rende veramente difficoltosa la tutela dei soggetti vittime del reato in questione è la presenza di procedure celeri ed efficaci di oscuramento dei dati diffamatori, dovendosi, nella migliore delle ipotesi, attendere mesi per ottenere un provvedimento giudiziale di oscuramento dei dati, la cui esecuzione, resta senza dubbio quantomeno difficoltosa attesa la localizzazione dei server dei gestori in altri paesi. Inoltre, per quei comportamenti perpetrati negli istituti scolastici è anche previsto che vi sia una tutela rafforzata da parte dell'istituto per mezzo del suo corpo docente. Al riguardo è del mese di novembre del 2016 la notizia che il Garante della privacy ha elaborato un vademecum di 40 pagine da diffondere nelle scuole per sensibilizzare alunni e corpo docenti al contrasto dei fenomeni persecutori commessi in rete, anche alla luce dei recenti fatti di cronaca. Il vademecum richiama l‟attenzione degli Istituti scolastici nel disciplinare l'uso dei telefonini durante le lezioni, avendo anche facoltà di vietarli, e pone l'accento sulla necessità di chiedere sempre l'autorizzazione alla pubblicazione su Internet di immagini o video che riguardano terzi. Nelle linee guida del Garante ci sono, altresì, richiami ai nuovi sistemi di messaggistica istantantea perché si presti “attenzione in caso si notino comportamenti anomali e fastidiosi” e si ribadisce che “il diritto–dovere di informare le famiglie sull‟attività e sugli avvenimenti della vita scolastica deve essere sempre bilanciato con l‟esigenza di tutelare la personalità dei minori”. Il suddetto vademecum sarà diffuso in rete per via telematica, oltre che pubblicato sui siti delle scuole e sulle pagine social, ma potrà anche essere scaricato e portato fisicamente nelle aule. Obiettivo primario è l‟invito ad un uso consapevole e maturo nell‟utilizzo delle tecnologie e degli strumenti informatici, che avvicini studenti e insegnanti alla rete senza che questa debba costituire per ciò solo una trappola. L‟informazione deve dunque essere al passo con l‟educazione. 287 Non può negarsi come l'emergenza del cyberbullismo abbia suscitato l'attenzione del nostro legislatore, il quale, al pari di come fu per il reato di stalking (del quale il cyberbullismo, nella proposta di legge approvata, sembra richiamare molti aspetti), sembra intenzionato a delimitarne specificatamente confini e definizioni, al fine di poter garantire alle vittime una tutela piena ed efficace. 288