Le osservazioni del Garante Europeo sulla proposta di Regolamento
Le novità della proposta di Regolamento
Il Garante europeo della protezione dei dati ha formulato un parere sulla proposta di Regolamento della Commissione europea in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.
Tale proposta di regolamento ha lo scopo di contribuire all’eliminazione delle barriere che ostacolano il funzionamento del mercato interno, per consentire nell’Unione europea delle transazioni – che includano identificazione, autenticazione e sottoscrizione dei documenti (eIAS) – sicure, affidabili e omogenee.
Attualmente, infatti, la mancanza di una normativa comune che obblighi ogni Stato membro a riconoscere i mezzi di identificazione elettronica rilasciati in altri Stati membri per accedere a servizi online, insieme con l’inadeguatezza dell’interoperabilità transfrontaliera delle identificazioni elettroniche nazionali, costituiscono dei limiti alla possibilità di trarre pieno vantaggio dal “mercato unico digitale”.
Nel dettaglio, la proposta di Regolamento prescrive i requisiti per la creazione, la verifica, la convalida, la gestione e la conservazione di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, documenti elettronici, servizi elettronici di recapito, autenticazione di siti web e certificati elettronici.
I benefici potenziali sono evidenti: ad esempio, il commercio online potrebbe diventare più affidabile; un’impresa potrebbe partecipare elettronicamente a un appalto pubblico indetto da uno Stato membro o firmare contratti elettronicamente con soggetti situati in altri Stati membri.
La proposta di Regolamento introduce alcune importanti novità: il regime di notifica alla Commissione, propedeutico al riconoscimento e all’accettazione reciproca dei mezzi di identificazione elettronica; la garanzia che devono fornire gli Stati membri sull’esistenza di una connessione univoca fra i dati di identificazione elettronica e la persona a cui si riferiscono; la disponibilità di ogni Stato membro a rendere fruibili ai terzi sistemi gratuiti per garantire una corretta autenticazione, la suddivisione tra prestatori di servizi fiduciari qualificati e non qualificati; l’obbligo per tutti i prestatori di servizi fiduciari di realizzare misure tecniche e organizzative appropriate per la sicurezza ICT; il riconoscimento e l’accettazione dei servizi fiduciari qualificati offerti da un prestatore stabilito in un Paese terzo; l’istituzione o potenziamento di organismi di vigilanza e di un meccanismo di mutua assistenza fra organismi di vigilanza negli Stati membri per facilitare il controllo transfrontaliero dei prestatori di servizi fiduciari.
Il parere del Garante Europeo
Il Garante europeo ha posto in evidenza che un livello elevato di protezione dei dati è essenziale in questo settore e che è necessario un trattamento adeguato dei dati personali da parte dei prestatori di servizi fiduciari e dei soggetti che rilasciano le identità elettroniche.
Il Garante suggerisce: di imporre sia ai prestatori di servizi fiduciari elettronici, sia ai soggetti che rilasciano l’identificazione elettronica l’obbligo di fornire agli utilizzatori dei loro servizi informazioni adeguate sulla raccolta, la comunicazione e la conservazione dei dati, nonché un mezzo per controllare i propri dati personali ed esercitare i diritti alla loro protezione; che la proposta di Regolamento della Commissione specifichi quali categorie di dati personali saranno trattati per l’identificazione transfrontaliera degli individui, avendo riguardo anche al principio di proporzionalità; che il regolamento includa adeguate misure al fine di evitare sovrapposizioni tra le competenze degli organismi di vigilanza per i servizi fiduciari elettronici e quelle delle autorità garanti per la protezione dei dati; che gli obblighi imposti ai prestatori di servizi fiduciari elettronici in materia di violazioni dei dati e di incidenti di sicurezza siano coerenti con i requisiti stabiliti nella direttiva riveduta sulla e-privacy e nella proposta di regolamento sulla protezione dei dati.
Oltre a ciò, il Garante europeo auspica maggiore chiarezza sulla definizione degli organismi pubblici o privati che possono agire come terzi incaricati ad effettuare le verifiche o abilitati a certificare i dispositivi elettronici per la creazione di una firma elettronica, nonché riguardo ai criteri in base ai quali sarà valutata l’indipendenza di tali organismi e segnala la necessità di precisare espressamente un limite di tempo per la conservazione dei dati relativi ai certificati qualificati.
A cura di ANORC
>> Vedi tutti i contributi della Rubrica DigitalDOC
