2. Il quadro normativo dell’Ue

Next Article

Indice degli Autori

Il sistema di identiicazione elettronica è stato oggetto di normazione con la direttiva del 1999/93/CE e, poi abrogata dal regolamento eIDAS. Il regolamento eIDAS pone come obiettivo dirimente l’eliminazione delle barriere transfrontaliere dei mezzi di identiicazione elettronica utilizzata negli Stati almeno per l’autenticazione dei servizi pubblici. È emerso che per raggiungere tale obiettivo, la nuova disciplina è incentrata sulla necessità di garantire effettivamente la sicurezza della trasmissione e condivisione dei dati, nonché una maggiore fruibilità per i soggetti di diritto, tanto persone isiche, tanto persone giuridiche, dei servizi pubblici online che ogni Stato offre all’interno del proprio spazio nazionale, ma che aspira a realizzare un mercato unico digitale in un'ottica transfrontaliera1 . All’art. 8, par. 7, si delega alla Commissione europea il compito di emanare linee guida che determino i tre livelli di sicurezza che devono essere garantiti nell’interoperabilità dei servizi di identiicazione elettronica tra Stati membri, quali il livello basso, signiicativo ed elevato, prevedendo una gradazione crescente dei controlli tecnici per ridurre il rischio di uso abusivo o alterazione dell’identità. In particolare, la Commissione ha emanato la decisione del 24 febbraio 2015 al ine di garantire procedure sempliicate di “revisione inter pares” tra gli Stati membri che intendono accedere a questo sistema di cooperazione ed interoperabilità unionale dei regimi di sicurezza di identiicazione elettronica2 (si ricordi, il riconoscimento reciproco degli strumenti di identiicazione online è obbligatorio per il settore pubblico, mentre è concepito come una facoltà per il settore privato) e, successivamente, la decisione n. 1502 dell’8 settembre 2015, con la quale la Commissione ha stabilito le speciiche tecniche dei livelli

1 Cfr. G. Finocchiaro, Una prima lettura del reg. UE n. 910/2014 (c.d. eIDAS): identiicazione online, irme elettroniche e servizi iduciari, in Nuove Leggi Civ. Comm., 2015, 3, 419 ss.

2 DECISIONE DI ESECUZIONE (UE) 2015/296 DELLA COMMISSIONE del 24 febbraio 2015 che stabilisce modalità procedurali per la cooperazione tra Stati membri in materia di identiicazione elettronica a norma dell’articolo 12, paragrafo 7, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identiicazione elettronica e servizi iduciari per le transazioni elettroniche nel mercato interno di sicurezza garantiti ponendo come vademecum iniziale il ISO/IEC 29115, quale principale norma internazionale disponibile in materia di livelli di garanzia per i mezzi di identiicazione elettronica3 . Quel che preme sottolineare è che l’interesse dimostrato dall’UE per un sistema unionale di identiicazione elettronica si erge su due pilastri fondamentali, la garanzia della sicurezza del sistema e l’eficentamento dei servizi pubblici online, nel pieno rispetto della direttiva 95/46/CE sul trattamento dei dati personali che rimarrà in vigore ino al maggio 20184. Per raggiungere questo obiettivo si è strutturato un sistema in progress che sarà oggetto di veriiche da parte delle autorità di vigilanza nazionali ed europee, al ine di presentare al Parlamento europeo e al Consiglio i risultati raggiunti entro il 2020, che sarà utile per testare l’impatto dei sistemi di identiicazione elettronica sulla tutela della identità personale e l’eficentamento dei servizi pubblici in rete, anche in relazione alla nuova disciplina eurounitaria sul trattamento dei dati personali, soprattutto perché all’art. 1, comma 1 bis, del nuovo CAD si dispone che le deinizioni nella materia in oggetto rinviano espressamente a quelle previste nell’art. 3 del regolamento eIDAS.

3. Il quadro normativo italiano

Il sistema SPID è stato introdotto nell’ordinamento italiano dall’art. 64 del CAD, già nel 2005, da ultimo modiicato dal d.lgs. n. 179 del 2016. In particolare, dall’articolo 64, comma 2-ter, si ricava una de- inizione in nuce di cosa si debba intendere per SPID, ovvero esso «è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’AgID, secondo modalità deinite con il decreto di cui al comma 2-sexies, identiicano gli utenti per consentire loro l’accesso ai servizi in rete». Di conseguenza, il sistema SPID è sia un sistema di identiicazione, sia un sistema di accesso ai servizi in rete, evidenziando una doppia natura e funzionalità.

3 Considerando 3, REGOLAMENTO DI ESECUZIONE (UE) 2015/1502 DELLA COMMISSIONE dell’8 settembre 2015 relativo alla deinizione delle speciiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identiicazione elettronica ai sensi dell’articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identiicazione elettronica e servizi iduciari per le transazioni elettroniche nel mercato interno.

4 Il nuovo regolamento UE 2016 (679) del Parlamento e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone isiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), entrato in vigore nel maggio 2016, ma applicabile a partire dal maggio 2018 secondo il disposto dell’art. 99, comma 2.

È innanzitutto un sistema di identiicazione a cui si suole aggiungere l’aggettivo “digitale”, cogliendo l’evoluzione dei tempi che registrano la creazione di una vita “digitale” dei soggetti giuridici accanto alla vita “reale”. Così insieme all'identità personale siamo destinati ad avere una identità digitale senza che ino ad oggi si fosse in grado di comprendere cosa si dovesse intendere per identità digitale, evocando spesso scenari negativi di controllo da parte dei poteri forti sulle identità dei soggetti secondo la classica visione orwelliana. Il d.lgs. n. 179 del 2016 in realtà fa un passo in avanti in questo senso fornendo agli operatori del diritto, riprendendo in parte quanto già espresso nell’art. 1, lett o) del d.p.c.m del 24 ottobre 2014, una deinizione di identità digitale. Si legge all’art. 1, lett. u-quater, che l’identità digitale altro non è che «la rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identiicativi, veriicata attraverso l’insieme dei dati raccolti e registrati in forma digitale secondo le modalità issate nel decreto attuativo dell’articolo 64».

La regolamentazione dello SPID è reperibile nel d.p.c.m. del 24 ottobre 2014, dal quale si ergono le norme, ancora vigenti, che stabiliscono i livelli di autenticazione informatica progressivamente crescenti in termini di sicurezza, stabiliti all’art. 6 del decreto ministeriale, per il quale: a) nel primo livello, corrispondente al Level of Assurance LoA2 dello standard ISO/IEC DIS 29115, il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a un fattore, quale la password, secondo quanto previsto dal presente decreto e dai regolamenti di cui all’art. 4; b) nel secondo livello, corrispondente al Level of Assurance LoA3 dello standard ISO/IEC DIS 29115, il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a due fattori, non basati necessariamente su certiicati digitali, le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui all’Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo, secondo quanto previsto dal presente decreto e dai regolamenti di cui all’art. 4; c) nel terzo livello, corrispondente al Level of Assurance LoA4 dello standard ISO/IEC DIS 29115, il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a due fattori basati su certiicati digitali, le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui all’Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo, secondo quanto previsto dal presente decreto e dai regolamenti di cui all’art. 4.

L’art. 5 del decreto ministeriale ha delegato all’AgId il compito di emanare regolamenti attuativi per determinare i livelli di sicurezza da garantire agli utenti del sistema, nonché le regole tecniche a cui si sono dovuti adeguare i gestori delle identità digitali e i fornitori di servizi in rete sia pubblici, che privati. L’AgId ha approvato quattro regolamenti attuativi con determinazione n. 44 del 28 luglio 2015, da cui emerge un dato trasversale ovvero la necessità di garantire la sicurezza del sistema di identiicazione e l’utilizzo minimale dei dati personali e dati identiicativi, come espresso nell’art. 3 del terzo regolamento attuativo. Il regolamento più signiicativo ai nostri ini è il terzo, intitolato Recante le modalità attuative per la realizzazione dello SPID, ove sono stabiliti in modo dettagliato i requisiti dei tre livelli di sicurezza di identità digitale che i gestori devono garantire. In particolare nella tabella allegata al regolamento si associa ad ogni livello di sicurezza in proporzione crescente lo standard di danno causabile (basso, moderato, alto), qualora si veriichi una falla nel sistema sia per errore, sia per manomissione, prevendendo voci di danno “potenziale”: danno di reputazione, danni inanziari dell’utente o dell’erogatore del servizio, danno per il rilascio di informazioni sensibili dell’utente, danno per violazione di carattere civile, danno a programmi di interesse pubblico, impatto potenziale per la sicurezza dell’utente o dell’erogatore del servizio. Dal Livello 1 al livello 3 cambia il diverso grado di afidabilità del sistema di sicurezza adottato per cui i dati più importanti, come quelli sensibili che potrebbero subire un danno maggiore, sono inseriti via via nel livello di sicurezza superiore, posto che la raccolta e la gestione dei dati personali da parte dei gestori e degli erogatori dei servizi in rete è soggetta all’art. 3 e agli artt. 33 e ss. del d.lgs. n. 196 del 2003.

Il regolamento non si limita a prevedere regole tecniche dei livelli di autenticazione informatica, ma impone norme stringenti sulla procedura di rilascio della identità digitale al ine di evitare abusi o alterazioni delle identità personali “reali”, imponendo ai gestori di veriicare al momento della richiesta da parte del singolo utente l’identità dello stesso. Al riguardo si prevedono tre diverse modalità alternative di controllo della identità reale del richiedente: si prevede all’art. 7 la modalità di identiicazione a vista del soggetto richiedente, all’art. 8 l’identiicazione a vista da remoto tramite registrazione audio-visive, all’art. 9 l’identiicazione informatica tramite documenti digitali d’identità, all’art. 10 l’identiicazione informatica tramite altre identità SPID, posto che all’art. 2 si prevede la possibilità per ogni soggetto di diritto di richiedere più identità SPID, e all’art. 11 l’identiicazione informatica tramite irma elettronica qualiicata o irma digitale.

4. L’impatto del sistema SPID sull’identità personale

Effettuata una prima analisi della recentissima normativa sul sistema SPID, pare opportuno veriicare quale sia l’impatto che il nuovo sistema di identità digitale può scaturire sulla tutela della identità personale “reale”5. Importante ai nostri ini è deinire cosa si debba intendere per identità6. Al riguardo la dottrina e la giurisprudenza di legittimità ritengono che l’identità sia un bene giuridico che trova tutela costituzionale nell’art. 2 Cost., quale clausola aperta che tutela la libera estrinsecazione e lo sviluppo della personalità dell’individuo. L’identità come bene giuridico è concepibile come un centro da cui irradiano i c.d. diritti della personalità’ essi non sono che forme diverse ed autonome di tutela dello stesso bene giuridico ovvero l’identità del singolo, semplicemente il mondo virtuale ha incremen- tato le forme di manifestazione della medesima. Da ciò è possibile comprendere come l’identità digitale non sia tanto un nuovo diritto della personalità, bensì sia lo stesso bene giuridico dell’identità. Del resto ciò pare essere confermato dalla formulazione del nuovo CAD che qualiica come un diritto, per l’appunto, l’assegnazione di un’identità digitale ai sensi dell’art. 3, 1-quinques, per tutti i cittadini e le imprese, nonché, ai sensi del comma 1-sexies, per tutti gli iscritti all’Anagrafe nazionale della popolazione residente7, e non già un diritto alla identità digitale.

5 V. Amenta, A. Lazzaroni, L. Abba, L’identità digitale: dalle nuove frontiere del Sistema Pubblico di Identiicazione (SPID) alle problematiche legate al web, in Ciberspazio e diritto, 16, 52, 2015, 1, 11-28.

6 G. Finocchiaro, La protezione dei dati personali e la tutela dell’identità, in AA. VV., Diritto di Internet, Torino, UTET, 2014, 151-181. A. Principato, Verso nuovi approcci alla tutela della privacy: “privacy by design” e “privacy by default settings”, in Contratto e impresa, 2015, 1, 197-227.

Tuttavia si è ingenerato un equivoco terminologico tra gli interpreti del diritto per la qualiicazione normativa di “identità digitale” che viene così equiparata al concetto del diritto all’identità personale. L’identità digitale non è solo il diritto a non vedersi traviata la propria personalità, ma essa si snoda in tutti i diritti della personalità. Ecco perché è necessario tutelare il bene giuridico della identità digitale attraverso forme di tutela della identità personale nei termini anzidetti, garantire il diritto alla riservatezza nella formulazione negativa di escludere gli altri dalla propria sfera personale e familiare per il tramite del c.d. diritto all’oblio, nonché il diritto alla protezione dei dati personali che altro non è che il controllo o autodeterminazione della circolazione dei propri dati personali.

La regolamentazione dello SPID sembra andare in questa direzione ovvero quella di tutelare il bene giuridico dell’identità anche in rete, predisponendo norme giuridiche a garanzia dei diritti della personalità. Non sembra che lo SPID possa ingenerare un mostrum elettronico di raccolta e controllo dei dati sui singoli soggetti, né che i singoli perdano i propri diritti di personalità o che barattino i propri dati in cambio di servizi online cedendo ai sistemi di business intelligent. Viceversa pare che lo SPID rafforzi in rete l’esercizio effettivo dei diritti della personalità, il singolo soggetto di diritto è messo realmente nelle condizioni di poter gestire autonomamente la propria identità digitale, anche correggendo le storture che una pubblica amministrazione elefantiaca e ingessata genera. Ciò è confermato dalla lettura della procedura di rilascio della identità digitale e della sua manutenzione; inoltre, la possibilità di sospendere o revocare l’identità digitale anche a richiesta del soggetto interessato, eviden- zia che lo stesso può esercitare un maggior controllo dei propri dati personali che circolano fra i fornitori dei servizi in rete tramite il sistema SPID, anziché rimettere tutto il controllo e la gestione ai singoli funzionari amministrativi. La persona potrà autonomamente accedere alla propria identità digitale tramite le proprie credenziali modiicando tali dati, seguendo le norme in tema di ciclo di vita delle identità digitali8 .

Quel che preme sottolineare è che la raccolta e la condivisione dei dati personali tramite SPID tra i gestori delle identità digitali, i fornitori dei servizi in rete e gli users, non sono oggetto di proilazione. Questo sta ad indicare che tali dati sono tutelati pienamente e che non potranno essere oggetto di cessione o scambio economico per ini diversi da quelli istituzionali per i quali ogni singola istituzione pubblica ha richiesto il rilascio per l’accesso al servizio pubblico offerto in rete. Ciò si evince dal combinato disposto degli artt. del CAD e del Codice privacy cui espressamente rinvia l’art. 2, comma V, del CAD. In particolare l’art. 44 del CAD, disponendo i requisiti per la gestione e conservazione dei documenti informatici alla lettera f) del comma I, prevede l’obbligo per i gestori di garantire l’accesso in condizioni di sicurezza alle informazioni del sistema nel rispetto delle disposizioni in materia di tutela dei dati personali, tra i quali rientrano i dati sensibili e i dati giudiziari la cui trasmissibilità tra pubbliche amministrazioni può avvenire solo se previsto da legge, nelle modalità ivi previste e solo per ini istituzionali. Da ciò pare escludersi che i dati sensibili dei soggetti che accedono a SPID siano oggetto di proilazione, dato l’espresso divieto del Codice privacy cui si rinvia interamente per la disciplina del trattamento dei dati personali9. Il fatto che per gli altri dati personali non sensibili non si preveda la stessa tutela, non pare consistere in un indice della debolezza del sistema di tutela degli stessi, bensì si adegua alle normative di settore già previste negli allegati al Codice privacy per il loro trattamento in formato cartaceo, si pensi al trattamento dei dati sanitari, al trattamento dei dati per inalità statistiche e di stu-

8 Capo III, Artt. 19 ss., del Regolamento attuativo SPID, AgID determinazione n. 44 del 2015, reperibile in www.agid.com dio, e anche al trattamento dei dati ai ini di marketing. Quel che è importante al ine di garantire l’integrità della identità del singolo è che i dati sensibili continuino ad avere una tutela giuridica e informatica maggiore rispetto agli altri dati che sono già più facilmente accessibili dai terzi. Proprio il sistema di gradazione crescente di sicurezza informatica dei tre livelli previsti da SPID, a seconda del tipo di dato raccolto, risponde a questa esigenza.

9 E.C. Pallone, La proilazione degli individui connessi a Internet: “privacy online” e valore economico dei dati personali, in Ciberspazio e diritto, 16, 53, 2015, 2, 295-327.

Quanto espresso pare trovare conferma anche nei successivi artt. 50 e 51, comma II, del CAD, ove i documenti informatici delle pubbliche amministrazioni devono essere custoditi e conservati per garantire l’integrità, la riservatezza, ed evitare l’utilizzo abusivo degli stessi, fuori dai limiti consentiti e solo per le inalità espresse da legge, ovvero le p.a. potranno condividere i dati, grazie al sistema SPID (che si ricordi, è un sistema federato di accesso ai servizi erogati in rete dalle pubbliche amministrazioni e tra pubbliche amministrazioni), esclusivamente per i loro ini istituzionali tramite l’ausilio del sistema pubblico di connettività (SPC). A ciò si aggiunga che l’art. 133 del Codice privacy espressamente rubricato “Internet e reti telematiche”, rinvia all’art. 11 del medesimo codice, richiamato inoltre dall’art. 22 del Codice privacy sulla condotta dei soggetti pubblici, ove si dispone che tutti i dati personali sono oggetto di trattamento secondo le medesime regole, quali:

«a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle inalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identiicazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati», oltre che rispettare le norme tecniche per il trattamento elettronico dei dati personali secondo l’allegato B al codice e secondo i regolamenti attuativi SPID prima illustrati.

Nel caso speciico si applicherà anche l’art. 25, comma I lett. b), del Codice privacy, ove si legge che «la comunicazione e la diffusione – dei dati personali – sono vietate […] lett. b) per inalità diverse da quelle indicate nella notiicazione del trattamento, ove prescritta». Ebbene il sistema SPID prevede ai sensi dell’art. 6 del regolamento attuativo che al momento dell'identiicazione del soggetto richiedente l’identità digitale, il gestore deve fornire una completa informativa sul trattamento dei dati personali ai sensi dell’art. 13 del d.lgs. n. 196 del 2003, e speciicare le inalità del rilascio degli “attributi identiicati” e degli “attributi secondari” per la messa in funzione della propria identità digitale10. Inoltre anche qualora si ammettesse la cessione da parte dei gestori delle identità digitali o da parte dei fornitori dei servizi in rete dei dati personali degli utenti anche a soggetti terzi rispetto alle p.a., comunque la decisione ultima di concedere la circolazione e, dunque, la proilazione dei propri dati personali, spetta al singolo soggetto di diritto, il quale dovrà prestare sempre il proprio consenso informato ai sensi dell’art. 13, comma III e ss., del Codice privacy, nel quale si prevede l’obbligo di informativa e di rilascio del consenso da parte dell’utente per tutti i tipi di trattamento dei dati personali, anche per le comunicazioni elettroniche, come si evince dalla lettura dell’art. 122 del codice in questione. Inine si ritiene che a livello di articolato normativo non si impone agli users di “accettare” forme di proilazione dei propri dati per accedere ai servizi pubblici in rete, se così non fosse si negherebbe l’esercizio dei diritti del cittadino. Tali dati non saranno oggetto di scambio commerciale o comunque di scambi che esulino dai ini istituzionali dei fornitori dei servizi pubblici online.

Si ricordi che è stato di recente approvato il nuovo regolamento UE 2016 (679) del Parlamento e del Consiglio del 27 aprile 2016, entrato in vigore nel maggio, ma applicabile a partire dal maggio 2018 secondo il disposto dell’art. 99, comma 2. Il presente regolamento, «relativo alla protezione delle persone isiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)», modiicherà la precedente normativa in materia di trattamento di dati personali con una ricaduta notevole sulle legislazioni nazionali al ine di uniformare la normativa in questione su scala eurounitaria11. Si pone all’evidenza sin da subito che il regolamento presenta tra i criteri-guida la minimizzazione dell’uso dei dati e la limitazione delle inalità di utilizzo nei sistemi di identiicazione e autenticazione digitali, come espressamente sancito nell’art. 5, lett. b) e c)12 .

10 Per la deinizione di “attributi”, “attributi identiicativi”, “attributi secondari”, “attributi qualiicati”, si rimanda all’art. 1 del d.p.c.m. del 24 ottobre 2014.

5. L’incidenza del sistema SPID nei rapporti tra pubblica amministrazione e cittadini

Ai sensi dell’art. 2, comma 2, del CAD, tutte le pubbliche amministrazioni sono tenute ad adeguarsi al sistema SPID entro 24 mesi dal primo accreditamento13. L’obiettivo che si intende perseguire è quello di rendere concretamente fruibile l’amministrazione digitale, di cui lo SPID ne è un’asse portante14. In particolare si parla di digital irst, ovvero l’obbligo per le p.a. di sostituire gli attuali procedimenti in formato cartaceo con quelli in formato digitale15 .

I regolamenti attuativi offrono un panorama normativo in questo senso incrementando i diritti digitali di cittadini ed imprese, già previsti nell’artt. 3 e 12 del CAD e nel nuovo art. 3 bis della l. n. 241 del 1990, ove si dispone che «per conseguire maggiore eficienza nella loro attività, le amministrazioni pubbliche incentivano l’uso della telematica, nei rapporti interni, tra le diverse amministrazioni e tra queste e i privati»16 .

11 P. Passaglia, Privacy e nuove tecnologie, un rapporto dificile. Il caso emblematico dei social media, tra regole generali e ricerca di una speciicità, in www. giurcost.it, 28 settembre 2016, fasc. n. 3.

12 Regolamento UE 2016 (679) del Parlamento e del Consiglio del 27 aprile 2016: Articolo 5 – Principi applicabili al trattamento di dati personali.

13 V. www.agid.com.

14 F. Brugaletta, Lo stato di informatizzazione della p.a. in Italia e in Europa, in Diritto dell’Internet, cit., 691-712. F. Cardarelli, Amministrazione digitale, trasparenza e principio di legalità, in Diritto dell’informazione e dell’informatica, 2015, 1, 227-273.

15 Cfr. d.p.c.m. 13 novembre 2014, pubblicato in Gazzetta Uficiale n. 8 del 12 gennaio 2015.

16 V. anche l’art. 12 del CAD.

Tuttavia, il timore che le banche dati in possesso delle p.a. e dei gestori delle identità digitali possono essere piegati ad interessi non pubblici, genera scetticismo per la tutela delle identità dei singoli. Se tale timore trova riscontro nei vari episodi di hackeraggio, non deve distogliere l’attenzione dal miglioramento in termini di qualità della vita e di esercizio dei diritti che le nuove tecnologie offrono, ma deve concentrarsi sulla creazione di un sistema di responsabilità in caso di disservizio seguendo lo sviluppo delle tecnologie della sicurezza informatica. Lungo questa via si sta districando la recente giurisprudenza amministrativa che sanziona le amministrazioni inadempienti rispetto all’adeguamento all’Agenda digitale, e individua come responsabili in caso di mal funzionamento delle piattaforme digitali i soggetti pubblici che erogano servizi online17. A tal ine la Corte dei conti ha ritenuto responsabili per danno erariale i dirigenti pubblici di un ente locale, che non avevano raggiunto il livello degli indici di risultato per l’assolvimento degli obblighi di incremento di pubblicità e trasparenza, pur percependo l’indennità di risultato18, mentre il Tar Puglia è andato oltre, stabilendo che è onere della pubblica amministrazione assumersi il rischio dei malfunzionamenti e degli esiti anomali dei sistemi informatici di cui la stessa si avvale19 .

La giurisprudenza amministrativa sembra dare le prime risposte positive ai problemi che un sistema di gestione di identità digitale può causare, facendo trasparire una consapevolezza nei giudici ovvero che l’amministrazione digitale deve essere pienamente perseguita e che non sono più accettati i comportamenti remissivi delle p.a. che si trincerano dietro le problematiche della tutela della sicurezza dei dati in rete.

17 Cfr. T.A.R. Trentino, 15 aprile 2015, n. 149. In particolare il giudice amministrativo ha ritenuto responsabile tanto l’ideatore della piattaforma che non avesse proceduto a risolvere le eventuali anomalie di funzionamento, tanto il pubblico funzionario che, informato delle anomalie, non avesse compiuto le attività necessarie per accogliere le istanze del richiedente. Vedi anche, T.A.R. Friuli Venezia Giulia, Sez. I, 24 novembre 2015, n. 523; T.A.R. Puglia-Bari, Sez. I, 18 dicembre 2015, n. 1646.

18 Corte dei conti Lazio, 2 febbraio 2015.

19 Cfr. T.A.R. Puglia, 28 luglio 2015, n. 1094. V., G. Sgueo, L’Amministrazione digitale, in Giornale di Diritto Amministrativo, 2016, 1, 114 ss. B. Barmann, La responsabilità della amministrazione per il cattivo funzionamento dei sistemi informatici – il commento, in Giornale di Diritto Amministrativo, 2016, 3, 393 ss.

6. Osservazioni conclusive

Le nuove tecnologie sono diventate strumenti di inclusione sociale nel rapporto tra cittadini e p.a., facilitando l’esercizio dei diritti dei singoli e migliorando l’eficacia della macchina amministrativa. In ciò si comprende il potenziale che offre il sistema SPID, perché ciascun individuo con le stesse credenziali d’accesso potrà autonomamente gestire i propri rapporti con le p.a.; inoltre, le p.a. aumenteranno i propri canali di interoperabilità e comunicazione dei dati, eficentando i servizi pubblici e riducendo i costi di gestione. Per rendere effettivo questo ambizioso progetto è necessario incrementare la formazione digitale dei funzionari amministrativi, perché altrimenti si continuerebbe a giustiicare un comportamento negligente delle p.a. Questo percorso verso il digitale, inoltre, deve investire sull’educazione al digitale dei cittadini, perché le ICTs non diventino strumento di esclusione sociale.

Per quanto concerne la pesante incudine dei sistemi di sicurezza dei dati personali, la ricerca scientiica in questo settore non conosce battute d’arresto. Le opportunità di migliorare l’esercizio dei propri diritti devono fungere da spinta motrice per il miglioramento dei sistemi di sicurezza. Il compito del giurista è quello di stabilire le regole e i principi entro cui la tecnologia può esprimere le proprie potenzialità al servizio dei diritti del cittadino.