Con la pubblicazione in Gazzetta Ufficiale del d.p.c.m. 22 febbraio 2013, la firma elettronica avanzata trova piena operatività.
Fino ad oggi, la disposizione del Codice dell’amministrazione digitale sull’equiparazione del documento informatico con firma elettronica avanzata alla scrittura privata, mancando le regole tecniche, era priva di effetto.
l Codice dell’amministrazione digitale si limita, infatti, ad enunciare i requisiti generali che una firma elettronica avanzata deve soddisfare, rinviando alle regole tecniche per l’individuazione delle condizioni che essa deve garantire.
Evidente, pertanto, la rilevanza delle regole tecniche e l’impatto che questo provvedimento è destinato ad avere sulle soluzioni tecnologiche di sottoscrizione dei documenti adottate dalle diverse realtà organizzative.
Le condizioni da rispettare
Ad oggi, le applicazioni più diffuse sono quelle costituite dalla firma grafometrica, che consiste nell’apposizione della sottoscrizione autografa su un particolare tablet e dalla firma apposta tramite la cosiddetta “one time password”.
Per poter qualificare queste soluzioni come “firma elettronica avanzata” è necessario verificare se garantiscono le condizioni richieste dalle regole tecniche. In caso contrario, la soluzione può essere qualificata come “firma elettronica”.
Quali sono dunque le condizioni richieste per far sì che, ad esempio, la firma apposta sul tablet possa qualificarsi “firma elettronica avanzata”? Le norme di riferimento sono gli artt. 56 e 57 delle regole tecniche. In particolare, secondo l’art. 56, le soluzioni di firma elettronica avanzata devono garantire:
- l’identificazione del firmatario del documento;
- la connessione univoca della firma al firmatario;
- il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma;
- la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma;
- la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;
- l’individuazione del soggetto che ha erogato la soluzione di firma elettronica avanzata;
- l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati;
- la connessione univoca della firma al documento sottoscritto.
Necessario identificare l’utente
Il ricorso a soluzioni di firma elettronica avanzata è subordinato, quindi, all’adesione, sempre revocabile, dell’utente che, dopo essere stato identificato ed adeguatamente informato sulle caratteristiche della soluzione, esprime la propria adesione sottoscrivendone le condizioni. Si prevedono, inoltre, obblighi di conservazione dei documenti identificativi dell’utente firmatario e obblighi di copertura assicurativa.
Altri adempimenti sono richiesti dalle norme in materia di protezione dei dati personali. Infatti, la firma grafometrica prevede la raccolta di alcuni dati biometrici, quali ad esempio, la velocità e la pressione rilevati all’atto di apposizione della sottoscrizione. La raccolta di questi dati biometrici richiede un’informativa e la richiesta del consenso al trattamento, salvo che ricorrano casi di esclusione del consenso. Occorre, inoltre, procedere con la notifica al Garante per la protezione dei dati personali ex art. 37 del d.lgs. 196/2003. Infine, occorre valutare se il trattamento di questi dati richieda la presentazione dell’interpello preventivo al Garante per la protezione dei dati personali.
Clicca qui per visitare il sito dello Studio Legale Finocchiaro