Diritto & Internet

Il decreto del fare e l'identità digitale

L’identità digitale è tema affrontato dal “decreto del fare” in due disposizioni apparentemente scorrelate.

Una è quella sulla cosiddetta liberalizzazione del wi-fi, che ha conquistato molti titoli di giornali. Si conferma il quadro normativo in vigore già dopo l’abrogazione del decreto Pisanu.

Fugando ogni dubbio, si chiarisce che ”l’offerta di accesso alla rete internet al pubblico tramite tecnologia wi-fi non richiede l’identificazione personale degli utilizzatori”. Oltre a ciò, si chiarisce che “quando l’offerta di accesso non costituisce l’attività commerciale prevalente del gestore del servizio, non trovano applicazione l’articolo 25 del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1o agosto 2003, n. 259, e successive modificazioni, e l’articolo 7 del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, e successive modificazioni”, cioè gli obblighi di richiesta di autorizzazione al Ministero delle comunicazioni e di licenza al questore.

Scomparso nella versione definitiva del decreto l’obbligo del gestore di garantire la tracciabilità del collegamento (MAC address) e scomparsa la problematica previsione che la registrazione della traccia delle sessioni, ove non associata all’identità dell’utilizzatore, non costituisce trattamento di dati personali e non richiede adempimenti giuridici.

In questo modo, come già segnalato, l’Italia si allinea agli altri Paesi occidentali.

Tuttavia, lo stesso decreto del fare prevede all’art. 17-ter, con una modifica al Codice dell’amministrazione digitale, l’istituzione del Sistema pubblico per la gestione dell’identità digitale (SPID) di cittadini e imprese.

Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia digitale, secondo modalità definite con il decreto di cui al comma 2-sexies, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni, direttamente su richiesta dei soggetti interessati.

Si prevede che con l’istituzione del sistema SPID, le pubbliche amministrazioni possano consentire l’accesso in rete ai propri servizi mediante la carta d’identità elettronica, la carta nazionale dei servizi o mediante strumenti gestiti dal sistema stesso.

Rimane comunque fermo quanto disposto dal primo periodo del comma 2 dell’art. 64: le pubbliche amministrazioni possono consentire l’accesso ai servizi in rete che richiedono l’identificazione informatica anche se questa è effettuata con strumenti diversi dalla carta d’identità elettronica e dalla carta nazionale dei servizi, purché tali strumenti consentano l’individuazione del soggetto che richiede il servizio.

Dunque la scelta sulle modalità di identificazione rimane in capo alle pubbliche amministrazioni.

Il decreto ulteriormente precisa che ai fini dell’erogazione dei propri servizi in rete, è altresì riconosciuta alle imprese, secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà di avvalersi del sistema SPID per la gestione dell’identità digitale dei propri utenti.

In modo ambiguo e pleonastico l’articolo conclude che l’adesione al sistema SPID per l’accesso ai propri servizi esonera l’impresa da un obbligo generale di sorveglianza delle attività sui propri siti, ai sensi dell’articolo 17 del decreto legislativo 9 aprile 2003, n. 70.

Ma l’esonero dall’obbligo di sorveglianza vi è comunque, con o senza l’adesione al sistema SPID, conformemente alla direttiva europea sul commercio elettronico. Dunque qual è lo scopo di questa precisazione? Forzare all’utilizzo dello SPID creando ambiguità? Di poca chiarezza normativa certo non c’è bisogno.

Giusella Finocchiaro

4 commenti

  • Gentile avv. Finocchiaro,
    leggendo il suo articolo, rilevo una inesattezza: lei afferma che il primo paragrafo del secondo comma dell’art. 64 rimane valido ossia che “le pubbliche amministrazioni possono consentire l’accesso ai servizi in rete che richiedono l’identificazione informatica anche se questa è effettuata con strumenti diversi dalla carta d’identità elettronica e dalla carta nazionale dei servizi, purché tali strumenti consentano l’individuazione del soggetto che richiede il servizio.”
    In realtà la parte aggiunta dal decreto del Fare dice esattamente il contrario e che “Con l’istituzione del sistema SPID, le pubbliche amministrazioni possono consentire l’accesso in rete ai propri servizi solo mediante gli strumenti di cui al comma 1, ovvero mediante servizi offerti dal medesimo sistema SPID. ”
    Ora gli strumenti del comma 1 sono solo CIE e CNS a cui si deve aggiungere lo SPID. Non sono cioè più ammesse autenticazioni degli utenti tramite password, a meno che ciò non sia previsto tra i sistemi di autenticazione dello SPID (ma non credo).
    cordiali saluti
    G.C

  • Gentile Sig. Capparini,
    La ringrazio a nome dello Staff del Blog dello Studio Legale Finocchiaro per l’attenzione accordataci. Il Suo commento denota attenzione e ci ripaga del lavoro di divulgazione scientifica che il nostro blog si prefigge.
    L’inesattezza che Lei rileva, tuttavia, non sussiste. La prima parte dell’art. 64, comma 2°del CAD è tuttora in vigore e come tale “valida”. Se le parole del legislatore hanno un senso, allora il disposto dell’art. 17 ter del d.l. 21 giugno 2013, n. 69, secondo cui: “al comma 2 dell’articolo 64 del CAD (….) dopo il primo periodo è inserito il seguente: Con l’istituzione del sistema SPID, le pubbliche amministrazioni possono consentire l’accesso in rete ai propri servizi solo mediante gli strumenti di cui al comma 1, ovvero mediante servizi offerti dal medesimo sistema SPID” non può essere interpretato in altro modo. L’espressione utilizzata è “dopo il primo periodo è inserito il seguente” e non “il primo periodo è sostituito dal seguente”.
    Ciò detto, diverso dal dato letterale della norma, è la tematica della sua interpretazione e di un’eventuale mancanza di coerenza tra due periodi di uno stesso articolo di legge.
    Non ci resta quindi che attendere, l’implementazione del sistema SPID ed eventualmente interventi a supporto di una lettura univoca della norma.
    Cordiali saluti
    Annarita Ricci

  • Gent.ma avv. Finocchiaro, ho letto con attenzione il suo blog. Sul tema, in molti articoli, anche scritti da avvocati, si legge che il gestore della location che offre il servizio risulta responsabile in sede civile di tutte le attività messe in pratica tramite la connessione. Ma se, come Lei afferma, non c’è alcun obbligo di sorveglianza, nè obbligo di identificare gli utenti nè di conservare i dati relativi alle operazioni effettuate dagli utenti, come può sussistere la responsabilità del gestore? La ringrazio in anticipo. Cordiali saluti.

  • Gentile Signora Bianci,
    In relazione al quesito posto, occorre muovere dal dato normativo costituito principalmente dal d.l. 21 giugno 2013, n. 69, convertito dalla legge 9 agosto 2013, n. 98.
    Dato normativo che risulta chiaro, tale da non poter sollevare dubbi interpretativi: l’art. 10, comma 1°, del citato decreto prevede testualmente che “l’offerta di accesso alla rete internet al pubblico tramite tecnologia WIFI non richiede l’identificazione personale degli utilizzatori (…)”.
    La previsione, inoltre, è coerente con quella dell’art. 17 del d.lgs. 9 aprile 2003, n. 70, “Attuazione della Direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico”. Secondo questa norma, infatti, il prestatore di servizi nella società dell’informazione non è assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite.
    Tuttavia, a seconda dei servizi forniti, gli art. 14, 15, e 16 del citato d.lgs. 70 del 2003, prospettano profili di responsabilità qualora non vengano rispettate determinate condizioni e modalità operative. Ad esempio, secondo l’art. 14, nel caso di fornitura di accesso alla rete di comunicazione, “il prestatore non è responsabile delle informazioni trasmesse a condizione che: a) non dia origine alla trasmissione; b) non selezioni il destinatario della trasmissione; c) non selezioni né modifichi le informazioni trasmesse”.
    Grazie a nome dello Staff del Blog dello Studio Legale Finocchiaro per il quesito posto che denota attenzione per la nostra attività di divulgazione scientifica.

Direttore Scientifico
Prof. Avv. Giusella Finocchiaro
Curatrice Editoriale
Dott. Giulia Giapponesi