L IDENTITÀ E LO SVILUPPO DIGITALE NELLA PUBBLICA AMMINISTRAZIONE DEL III MILLENNIO di Marco Della Femina immagine iconografica rappresentativa della digitalizzazione 58 INFORMAZIONI DELLA DIFESA 2/ 2013
La Pubblica Amministrazione, per trasformare le potenzialità dell innovazione tecnologica in maggiore efficienza, efficacia e soddisfazione dei cittadini e delle imprese, ha avviato un processo di ammodernamento che ha il suo punto di riferimento normativo nel Codice dell Amministrazione Digitale, Decreto Legislativo del 7 marzo 2005, n. 82 recentemente modificato dal Decreto Legislativo del 30 dicembre 2010, n. 235. Il CAD ha costituito il secondo pilastro su cui si è fondato il processo di rinnovamento della Pubblica Amministrazione, insieme al Decreto Legislativo n. 150 del 2009 che ha disciplinato i principi di meritocrazia, premialità, trasparenza e responsabilizzazione dei dirigenti. Il leit motiv del corpo normativo si fonda su due temi: garantire l effettività della riforma; incentivare all innovazione la Pubblica Amministrazione. Il Codice, per quanto sopra, introduce un insieme di riforme normative che vanno a toccare concretamente i modus operandi e le prassi delle amministrazioni ed incide sulla qualità dei servizi resi. Il rinnovamento rende, così, effettivi i diritti per cittadini e imprese, cogenti gli obblighi per la Pubblica Amministrazione, garantendo la sicurezza agli operatori circa la validità, anche giuridica, dell amministrazione digitale. L obiettivo è avere una Pubblica Amministrazione finalmente moderna, digitale e non burocratizzata 1. L IDENTITÀ DIGITALE NEL CODICE DELL AMMINISTRAZIONE DIGITALE La dilagante diffusione di servizi basati su operazioni effettuate in rete, erogati sia dalla Pubblica Amministrazione che dai privati, rende centrale il tema della gestione delle identità digitali. Da un punto di vista strettamente dogmatico, non esiste una definizione sufficientemen te completa di identità digitale. Abelson e Lessig, docenti del MIT (Massachusetts Institute of Technology), nel documento Digital identity in cyber- Rappresentazione grafica del bit 1 Michele Iaselli, Compendio di Informatica Giuridica, edizioni Simone, 2012. TECNOLOGIA 59
space definiscono l identità digitale come L insieme delle caratteristiche essenziali e uniche in grado di identificare un soggetto 2. Analizzando questa definizione si pongono in evidenza difficoltà concettuali legate alle caratteristiche essenziali che compongono il costrutto dell identità, per cui è necessario procedere in primo luogo ad una sua generica concettualizzazione. Un primo insieme di caratteri definitori sono sicuramente quelli fisici del soggetto, rinvenibili in un qualsiasi documento di identità. Sono, questi, i tratti che in maniera immanente concepiamo in relazione alla definizione ideale e tipica di un individuo. Tuttavia esistono altri insiemi di caratteri in grado di identificare una persona: sono le capacità, le estrinsecazione del saper fare. Infine, vi sono le caratteristiche soggettive, ovverosia le qualità, astrattamente e direttamente derivanti dalla proiezione di un soggetto terzo su di una persona (in termini, cioè, di paragone). Un altra definizione di identità digitale è posta da Norlin e Durand del PingID Network Inc. nel loro articolo Federated Identity Management 3 dove viene delineato che L identità digitale è la rappresentazione virtuale dell identità reale che può essere usata durante interazioni elettroniche con persone o macchine. Questa definizione è di immediato impatto. Nel loro articolo anche Norlin e Durand sottolineano come l identità digitale sia strutturata da diversi componenti: credenziali, attributi e reputazione. Da una summa delle due costruzioni è possibile quindi cercare di sostenere che l identità digitale è la rappresentazione di una persona quando intrattiene relazioni con altre persone o entità attraverso una rete digitale. Il Codice dell Amministrazione Digitale, sancisce che l identificazione informatica di un soggetto consiste nella validazione dell insieme di dati attribuiti in modo esclusivo ed univoco ad esso, consentendone l identificazione nei sistemi informativi. L identificazione deve avvenire con l utilizzo di strumenti tecnologici finalizzati a garantire la sicurezza dell accesso. Ai sensi dell articolo 64 del CAD, le amministrazioni possono consentire l accesso ai servizi on-line che richiedono l identificazione informatica, oltre che mediante la carta di identità elettronica (CIE) e la carta nazionale dei servizi (CNS), anche utilizzando strumenti diversi di identificazione certa del soggetto richiedente 4. Pertanto, nulla vieta che le amministrazioni pubbliche rendano disponibili sistemi di identificazione informatica alternativi, purché consentano l accesso ai servizi anche con carta di identità elettronica e carta nazionale dei servizi. 2 Hal Abelson e Lawrence Lessig, Digital identity in cyberspace, White Paper Submitted for 6.805/Law of Cyberspace: Social Protocols, 1998. 3 Eric Norlin e Andre Durand, Federated Identity Management, Whitepaper on towards federated identity management, 2002. 4 Michele Iaselli, Compendio di Informatica Giuridica, edizioni Simone, 2012. 60 INFORMAZIONI DELLA DIFESA 2/ 2013
Particolare rilievo hanno assunto i progetti relativi alle carte multi servizi della Difesa (CMD) e dell Arma dei Carabinieri (CMC) che prevedono l utilizzo dei dati biometrici del titolare, registrati nella carta, per il controllo degli accessi fisici e logici. UN ESPERIENZA CONCRETA: LA CARTA MULTISERVIZI DELLA DIFESA La necessità di una carta elettronica nella quale fossero registrati i dati anagrafici e sanitari del personale era stata avvertita da parte delle Forze Armate, durante le operazioni nei Balcani. In tale contesto furono avviate le iniziative necessarie per realizzare il software per la gestione delle informazioni di carattere personale e sanitario attraverso l utilizzo di una smart card capace di memorizzare i suddetti dati. Nel contempo il Ministro per l innovazione e le tecnologie, nel delineare la politica dell e-government per il triennio 2003-2005, allo scopo di dare un nuovo impulso alla digitalizzazione della Pubblica Amministrazione, aveva incluso tra gli obiettivi strategici l erogazione on-line dei principali servizi al cittadino, prevedendo l introduzione della Carta d Identità Elettronica (CIE), della Carta Nazionale dei Servizi (CNS) e la diffusione della firma digitale, stabilendo gli standard e i criteri organizzativi da seguire. Il Ministero della Difesa, allo scopo di dare una corretta e sinergica collocazione alle diverse attività in atto, ha elaborato un progetto unitario per la realizzazione della Carta Multiservizi della Difesa (CMD), interoperabile con le predette Carte nazionali d Identità Elettronica e dei Servizi e da distribuire a tutto il proprio personale (sia militari che civili) a similitudine di quanto avveniva con la tessera Mod. AT. All interno della CMD vengono memorizzati i seguenti principali gruppi di informazione: dati anagrafici; dati militari; certificati digitali di autenticazione/attestazione, cifra e di firma digitale; dati sanitari compatibili con il protocollo di standardizzazione adottato a livello internazionale (NetLink); dati biometrici costituiti da due impronte digitali. La CMD è il cardine univoco per l adozione di numerose procedure informatiche atte ad automatizzare procedimenti funzionali omologhi (come ad esempio la gestione del personale, il controllo degli accessi fisici e logici, la gestione della logistica, ecc.). In tale contesto l uniformità del contenitore dei dati, sia in termini di formato che di supporto fisico, consente una facile applicazione di procedure elettroniche sviluppate in ambito Difesa a livello generalizzato, con conseguente risparmio in termini di investimento. In particolare nell ambito del controllo accessi la CMD si inserisce quale unico strumento di identificazione riconosciuto in quanto essa si presenta quale implementazione di un riconoscimento forte, basato sull impiego TECNOLOGIA 61
Rappresentazione grafica del fotone congiunto del certificato di autenticazione e dell identificatore biometrico, entrambi presenti nella carta 5. IL COMPLESSO RAPPORTO TRA L IDENTITÀ DIGITALE E IL RISPETTO DELLA PRIVACY La rilevanza della protezione dei dati nei processi che si sviluppano attorno alle fondamenta dell identità digitale è tale che nel corso degli anni sono intervenuti sulla materia diversi organismi che con indagini conoscitive o atti normativi e regolamentari di varia natura hanno affrontato il rapporto tra le elaborazioni biometriche e la privacy degli individui. L utilizzo di caratteristiche biometriche, divenuto lo strumento per consentire la corretta identificazione digitale di un soggetto, va accuratamente disciplinato e ricondotto anche alle previsioni del Codice in materia di protezione dei dati personali. 5 CNIPA, Linee guida per l impiego delle tecnologie biometriche nelle Pubbliche Amministrazioni,n. 17, 2005. 62 INFORMAZIONI DELLA DIFESA 2/ 2013
Il Codice in materia di protezione dei dati personali (D.Lgs. n. 196 del 2003) disciplina il trattamento di dati biometrici assoggettandolo, in generale, a un regime di maggiore severità rispetto ai trattamenti di meri dati personali. I trattamenti di dati biometrici devono rispettare, oltre che i principi generali di liceità dei trattamenti precedentemente introdotti anche delle disposizioni specifiche. Nel caso in cui il dato biometrico che si intende trattare non abbia carattere di dato sensibile, trova infatti applicazione l art. 17 del Codice relativo ai trattamenti che presentano rischi specifici per i diritti e le libertà fondamentali e per la dignità dell interessato. In questi casi occorre rispettare le misure e gli accorgimenti prescritti dal Garante nell ambito di una verifica preliminare all inizio del trattamento, che può svolgersi a seguito di interpello del titolare. Nel caso poi di trattamenti biometrici da parte di forze di polizia trova applicazione l art. 55 del Codice relativo ai trattamenti mediante particolari tecnologie, che prevede il rispetto delle misure e degli accorgimenti prescritte ai sensi dell art. 17 e che il trattamento avvenga sulla base di una preventiva comunicazione ai sensi dell art. 39, in tema di obblighi di comunicazione 6. Il trattamento di dati biometrici rientra nei casi in cui è richiesta la notificazione al Garante per la privacy: il primo comma lettera a) dell art. 37 prevede un obbligo di notifica al Garante qualora il trattamento che si intende iniziare abbia per oggetto, tra gli altri, dei dati biometrici, senza riferimento alcuno a specifiche modalità o finalità di trattamento. Da ciò si deduce un obbligo generale di notificazione per chiunque intenda iniziare un trattamento di dati biometrici in qualità di titolare. La notifica è una dichiarazione con la quale un soggetto pubblico o privato rende noto al Garante per la protezione dei dati personali, l esistenza di un attività di raccolta e di utilizzazione di dati personali, svolta quale autonomo Titolare del trattamento. La notifica deve essere trasmessa per via telematica all Autorità Garante, tramite il sito www.garanteprivacy.it, utilizzando la procedura indicata. Tutte le notifiche sono inserite in un registro pubblico consultabile gratuitamente. Gli interessati dunque possono così acquisire notizie ed utilizzarle per le finalità di applicazione della disciplina in materia di protezione dei dati personali 7. 6 CNIPA, Linee guida per l impiego delle tecnologie biometriche nelle Pubbliche Amministrazioni, n. 9, 2004. 7 Michele Iaselli Il Codice della Privacy: una lettura ragionata, edizioni Simone, 2011. TECNOLOGIA 63
PROSPETTIVE DE IURE CONDENDO: IL D.L. 179 DEL 2012 Sulle linee guida sinora tracciate in tema di sviluppo digitale dell Amministrazione Pubblica, si innesta il dettato normativo del recente Decreto Legge n. 179 del 2012, convertito con modificazioni dalla L. n. 221 del 2012. L agenda digitale è un modo per trasformare il Paese, è la base per recuperare il gap tecnologico. Tutti ciò che va verso il digitale può far superare antichi squilibri territoriali. Con queste parole il Presidente del Consiglio, Senatore Mario Monti, ha annunciato l approvazione da parte del Consiglio dei Ministri del decreto per la crescita che contiene, in particolare, misure innovative sull agenda digitale e le start-up. Le nuove norme puntano, in modo ambizioso, a fare del nostro Paese un luogo dove l innovazione rappresenti un fattore strutturale di crescita sostenibile e di rafforzamento della competitività: esse infatti, danno seguito a quanto indicato nel Programma Nazionale di Riforma e rispondono a raccomandazioni specifiche dell Unione Europea che individuano nelle start-up (le nuove imprese) una leva di crescita e di creazione di occupazione per l Italia. In particolare, le innovazioni di maggior rilievo riguardano: Agenda Digitale Italiana. Vengono recepiti nel nostro ordinamento i principi dell Agenda Digitale Europea. L agenda digitale presentata dalla Commissione europea è una delle sette iniziative faro della strategia Europa 2020, che fissa obiettivi per la crescita nell Unione europea da raggiungere entro quella data. Questa agenda digitale propone di sfruttare al meglio il potenziale delle tecnologie dell informazione e della comunicazione (TIC) per favorire l innovazione, la crescita economica e il progresso. L Italia si dota in questo modo di uno strumento normativo che costituirà una efficace leva per la crescita occupazionale, di maggiore produttività e competitività, ma anche di risparmio e coesione sociale, spinta strutturale per la realizzazione delle strategie, delle politiche e dei servizi infrastrutturali e di innovazione tecnologica dell intero Paese. Documento digitale unificato. L art. 1 sancisce l abbandono della distinzione tra la carta di identità e la tessera sanitaria. Al loro posto, i cittadini possono dotarsi gratuitamente di un unico documento elettronico, che consentirà di accedere più facilmente a tutti i servizi online della Pubblica Amministrazione. Il documento, che sostituirà progressivamente quelli attualmente circolanti, costituirà il punto di riferimento unitario attraverso cui il cittadino viene registrato e riconosciuto dalle amministrazioni dello Stato. Anagrafe unificata. Gli articoli 2 e 3 dispongono il censimento annuale della popolazione e Archivio delle strade. Per accelerare il processo di informatizzazione della Pubblica Amministrazione e la raccolta delle informazioni e dei servizi riguardanti i cittadini, viene istituita l Anagrafe Nazionale della Popolazione Residente (ANPR), un centro unico di gestione dati che subentrerà all Indice Nazionale delle Anagrafi (INA) e all Anagrafe 64 INFORMAZIONI DELLA DIFESA 2/ 2013
Rappresentazione di rete neurale della popolazione italiana residente all estero (AIRE). Grazie a queste nuove procedure digitali, l ISTAT inoltre potrà effettuare con cadenza annuale il censimento generale della popolazione e delle abitazioni. Domicilio digitale del cittadino e obbligo di Posta Elettronica Certificata per le imprese. La posta certificata è un servizio di comunicazione elettronica tra cittadino e Pubblica Amministrazione. Attraverso questo strumento ogni cittadino può dialogare in modalità sicura e certificata con la Pubblica Amministrazione comodamente da casa o con qualsiasi dispositivo in grado di connettersi ad internet senza recarsi presso gli uffici pubblici. Gli articoli 4 e 5 dispongono che, dal 1 gennaio 2013, ogni cittadino potrà scegliere di comunicare con la pubblica amministrazione esclusivamente tramite un indirizzo di posta elettronica certificata (PEC). Tale indirizzo costituirà il domicilio digitale del cittadino e sarà in seguito inserito nell Anagrafe nazionale della popolazione residente, in modo che possa essere utilizzabile da tutte le amministrazioni pubbliche. Sullo stesso fronte, le imprese individuali che si iscrivono al Registro delle imprese o all Albo delle imprese artigiane avranno l obbligo di indicare un proprio indirizzo PEC, così da semplificare e ridurre notevolmente tempi e oneri per gli adempimenti burocratici. TECNOLOGIA 65
Rappresentazione grafica del fotone Documenti informatici, dati di tipo aperto e inclusione digitale. L articolo 9 introduce diverse novità al Codice dell amministrazione digitale volte ad integrare la disciplina concernente il documento informatico sottoscritto con firma elettronica, l accesso telematico e la riutilizzazione di dati e documenti delle pubbliche amministrazioni nonché gli obiettivi delle politiche di valorizzazione del patrimonio informativo pubblico curate dall Agenzia per l Italia Digitale, l acquisizione di programmi informatici a seguito di una valutazione comparativa di tipo tecnico ed economico e l accessibilità, anche da parte dei soggetti disabili, agli strumenti informatici. Viene inequivocabilmente chiarito che l utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi ne dia prova contraria. Gli atti per i quali la legge prevede il requisito della forma scritta, ai sensi dell art. 1350, primo comma, n. 13, c.c. soddisfano comunque tale requisito se sottoscritti con firma elettronica avanzata, qualificata o digitale. Acquisizione di software da parte della pubblica amministrazione. L articolo 9- bis pone innovazioni per l acquisizione di programmi informatici da parte della pubblica amministrazione. In particolare, il comma 1 dell art. 68 66 INFORMAZIONI DELLA DIFESA 2/ 2013
viene riscritto inserendo il richiamo ai principi di economicità e di efficienza, tutela degli investimenti, riuso e neutralità tecnologica. Tali criteri devono ispirare la valutazione comparativa di tipo tecnico ed economico volta all acquisto di programmi informatici o parti di essi da parte delle amministrazioni pubbliche. Tra le soluzioni disponibili sul mercato, vengono indicati i software fruibili in modalità cloud computing e i software di tipo proprietario mediante ricorso a licenza d uso. Il comma 1-bis prevede che le pubbliche amministrazioni prima di procedere all acquisto, secondo le procedure di cui al Codice dei contratti pubblici, effettuino una specifica valutazione comparativa delle diverse soluzioni disponibili sulla base dei seguenti criteri: a) costo complessivo del programma o soluzione quale costo di acquisto, di implementazione, di mantenimento e supporto; b) livello di utilizzo di formati di dati e di interfacce di tipo aperto nonché di standard in grado di assicurare l interoperabilità e la cooperazione applicativa tra i diversi sistemi informatici della pubblica amministrazione; c) garanzie del fornitore in materia di livelli di sicurezza, conformità alla normativa in materia di protezione dati personali, livelli di servizio tenuto conto della tipologia di software acquisito. Il comma 1-ter stabilisce che ove dalla valutazione comparativa di tipo tecnico ed economico di cui sopra, risulti motivatamente l impossibilità di accedere a soluzioni già disponibili all interno della pubblica amministrazione, o a software liberi o a codici sorgente aperto è consentita l acquisizione di programmi informatici di tipo proprietario mediante ricorso a licenza d uso. La valutazione di cui al presente comma è effettuata secondo le modalità e i criteri definiti dall Agenzia per l Italia digitale 8. Pagamenti elettronici alle pubbliche amministrazioni. L articolo 15, estende la possibilità di effettuare pagamenti verso le amministrazioni e le imprese pubbliche con modalità informatiche quali bonifici bancari e postali, carte di debito, di credito e prepagate e altri strumenti di pagamento elettronico disponibili. Per la pubblicazione dell indicatore di tempestività dei pagamenti le amministrazioni statali sono abilitate all utilizzo del sistema informativo SICOGE (il sistema informativo di contabilità integrato organicamente con il sistema informativo della Ragioneria Generale dello Stato). Affinché sia assicurata la possibilità di effettuazione dei pagamenti, le amministrazioni sono altresì tenute alla pubblicazione nei propri siti istituzionali e sulle richieste di pagamento, dei codici identificativi dell utenza bancaria sulla quale i privati possono effettuare i pagamenti mediante bonifico ed alla specificazione di dati e di codici da indicare obbligatoriamente nella causale di versamento. 8 Dossier Servizio Studi del Senato n. 397/II ottobre 2012. TECNOLOGIA 67