Sulla Gazzetta Ufficiale numero 280 di martedì 2 dicembre 2014 è stato pubblicato il provvedimento numero 513 del Garante della Privacy che semplifica gli adempimenti per la sottoscrizione di documenti informatici con firma grafometrica. A determinate condizioni, sarà possibile l’avvio a regime dei sistemi di firma elettronica avanzata senza necessità di presentare un’istanza di verifica preliminare.
Firma grafometrica più facile. E’ stato pubblicato, sulla Gazzetta Ufficiale numero 280 del 2 dicembre 2014, il provvedimento numero 513 del Garante della Privacy che semplifica gli adempimenti per la sottoscrizione di documenti informatici con firma grafometrica. L’atto prevede che, rispettando determinate condizioni, sarà possibile l’avvio a regime dei sistemi di firma elettronica avanzata senza necessità di presentare un’istanza di verifica preliminare. Si dà così il via libera anche agli operatori che, nelle more del provvedimento, avevano presentato istanza ed erano in attesa di risposta. Gli adempimenti. Prima condizione di esonero è il rispetto delle misure e degli accorgimenti tecnici, stabiliti dal Garante, per assicurare la sicurezza dei dati biometrici. Dovranno poi essere verificati i presupposti di legittimità dettati dal Codice Privacy, cioè i principi generali di liceità, finalità, necessità e proporzionalità dei trattamenti. Fondamentali, poi, l’obbligo di informativa agli interessati e la notificazione al Garante dell’esistenza di un’attività di raccolta e di utilizzazione dei dati personali. Non ci potrà essere conservazione dei dati in archivi biometrici centralizzati in caso contrario, la presentazione dell’istanza rimarrà obbligatoria. In caso di verifica preliminare già presentata, i titolari dovranno limitarsi a comunicare all’Autorità, entro 30 giorni dalla pubblicazione del provvedimento, la conformità del trattamento adottato alle prescrizioni o l’intenzione di adeguarsi alle stesse. Con la presentazione di questa comunicazione, verranno interrotte le attività di valutazione del Garante. Invece, i titolari che, mancando il provvedimento generale, non avevano presentato l’istanza devono adottare, entro 180 giorni dalla pubblicazione, gli accorgimenti richiesti qualora il processo realizzato rientri nei casi di esonero, oppure sono tenuti a sospendere, entro la stessa data, i trattamenti, che dovranno essere sottoposti all’Autorità con il prior checking. Necessario sarà il consenso degli interessati al trattamento, che varrà poi per tutti i documenti da sottoscrivere, ma con la possibilità di un’eventuale revoca successiva. Conservazione dei dati. I dati biometrici e grafometrici non dovranno essere conservati su dispositivi hardware utilizzati per la raccolta, ma dovranno essere invece memorizzati all’interno dei documenti informatici in forma cifrata, con sistemi di crittografia a chiave pubblica. La corrispondente chiave privata, frazionabile tra più soggetti, dovrà essere affidata ad un terzo fiduciario e non potrà essere conservata, in maniera completa, da chi eroga il servizio di firma grafometrica. L’informativa resa agli interessati e la relazione tecnica dovranno indicare nel dettaglio le modalità di generazione, consegna e conservazione delle chiavi. Inoltre, la relazione, che descrive gli aspetti organizzativi e tecnici e contiene la valutazione della necessità e della proporzionalità del trattamento, dovrà essere tenuta aggiornata, con una verifica annuale di controllo, per tutta la durata di esercizio del sistema biometrico e mantenuta a disposizione del Garante.
PP_AMM_garante_s