Nascondi n. pagina

Stampa

PDL 2519

XVII LEGISLATURA

CAMERA DEI DEPUTATI

   N. 2519



 

Pag. 1

PROPOSTA DI LEGGE

d'iniziativa dei deputati

QUINTARELLI, COPPOLA, BARGERO, BONACCORSI, CAPUA, CARROZZA, DALLAI, MARCO DI MAIO, GALGANO, MALPEZZI, RAMPI, TINAGLI, VARGIU, BALDUZZI, BOMBASSEI, ANTIMO CESARO, CIMMINO, DAMBRUOSO, MATARRESE, MOLEA, VECCHIO, SOTTANELLI

Disposizioni concernenti l'acquisizione di strumenti e dotazioni informatiche da parte delle pubbliche amministrazioni, per la tutela della sovranità tecnologica e della riservatezza dei dati trattati

Presentata l'8 luglio 2014


      

torna su
Onorevoli Colleghi! La presente proposta di legge, avente ad oggetto la tutela della sovranità tecnologica e della riservatezza dei dati personali, si compone di sette articoli.
      L'articolo 1 reca le definizioni.
      L'articolo 2 prevede l'obbligo, in capo ai soggetti pubblici, di acquisire esclusivamente sul mercato elettronico della pubblica amministrazione (MEPA), indipendentemente dal valore della fornitura, gli strumenti informatici atti a trattare dati rilevanti, debitamente certificati.
      L'articolo 3 indica, nello specifico, i casi in cui non si applica l'obbligo previsto dall'articolo 2.
      L'articolo 4 stabilisce che i soggetti pubblici, prima di acquisire software, hardware o servizi, devono verificare che gli stessi siano stati dichiarati dal loro produttore o importatore in Italia come non atti a trattare informazioni riservate o delle quali è vietata la divulgazione o non prodotti né forniti, neanche per interposta persona, da un'impresa che ha la propria sede legale in Stati o territori non appartenenti all'Unione europea che praticano controlli di massa sui dati personali soggetti alla propria giurisdizione o provenienti dall'Unione europea, o che è affiliata a un'impresa stabilita o con sede legale in Stati o territori non appartenenti
 

Pag. 2

all'Unione europea che attuano controlli di massa su tali dati personali soggetti alla propria giurisdizione o provenienti dall'Unione europea.
      La dichiarazione deve essere pubblicata sul MEPA e ha valore di dichiarazione sostitutiva di certificazione.
      Il Garante per la protezione dei dati personali può in ogni momento inibire l'inclusione nel MEPA di software, hardware o servizi per i quali risulti un alto grado di rischio di violazione dei requisiti prescritti.
      A norma dell'articolo 5 i soggetti pubblici individuano nella propria organizzazione un responsabile del procedimento e la relativa struttura di progetto incaricata di promuovere l'attuazione del piano di adeguamento a quanto previsto dalla legge, nonché il rispetto degli altri obblighi ivi previsti redigendone un apposito elenco, da aggiornare periodicamente, comunque almeno una volta l'anno. La realizzazione delle suddette attività rientra tra i parametri di valutazione della performance dirigenziale di cui al decreto legislativo 27 ottobre 2009, n. 150.
      L'articolo 6 consente ai soggetti pubblici di acquisire servizi di accesso alla rete internet, di hosting o servizi applicativi on line solo da imprese europee che attestano di utilizzare, ai fini della resa del servizio, hardware e software localizzati in Italia nonché di aver concluso e di attuare accordi di interconnessione con altri fornitori di servizi internet debitamente autorizzati.
      Sono altresì disciplinati i casi di sospensione o interruzione degli accordi di interconnessione.
      L'articolo 7 disciplina i servizi di trasmissione dei dati e di posta elettronica relativi a soggetti pubblici.
 

Pag. 3


torna su
PROPOSTA DI LEGGE

Art. 1.
(Definizioni).

      1. Ai fini di cui alla presente legge:

          a) per «affiliata» si intende:

              1) una controllata dell'impresa ai sensi dell'articolo 2359 codice civile;

              2) una società di cui l'impresa è una controllata;

              3) una controllata dell'impresa di cui al numero 2);

          b)    per «certificato qualificato» si intende il certificato elettronico conforme ai requisiti di cui all'allegato I della direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, rilasciati da certificatori che rispondono ai requisiti di cui all'allegato II della medesima direttiva;

          c)    per «controllo di massa» si intende una situazione di trattamento di dati personali realizzata da un soggetto che, di fatto o di diritto, svolge le funzioni di titolare del trattamento essendo domiciliato o avendo sede legale in uno Stato non appartenente all'Unione europea o in un territorio al di fuori degli Stati membri dell'Unione europea nell'ambito del quale è possibile che i dati siano conferiti a terzi ignoti, singolarmente o in modo massivo, in assenza di un ordine legittimo dell'autorità giudiziaria competente o di condizioni di tutela del diritto alla riservatezza dei dati personali equivalenti a quelle previste dalle normative dell'Unione europea;

          d)    per «dati rilevanti» si intendono i dati sensibili e i dati giudiziari come definiti all'articolo 4, comma 1, lettere d) ed e), del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, relativi a

 

Pag. 4

persone fisiche italiane o residenti in Italia, nonché i dati relativi a soggetti pubblici ed afferenti a questioni economiche, finanziarie, di ordine pubblico o alla sicurezza nazionale;

          e) per «programmi informatici a codice aperto» o «software open source» si intendono i programmi informatici per elaboratore distribuiti con una licenza d'uso che, consentendo un pieno e libero accesso al codice sorgente, possono essere utilizzati, studiati e modificati liberamente anche in versione modificata;

          f)    per «hardware» si intendono le apparecchiature di cui è composto un sistema informatico, con l'esclusione del software;

          g)    per «hardware documentato» si intende l’hardware che è dotato di software open source che ne controlla il funzionamento o, in alternativa, di specifiche tecniche esaustivamente documentate dal produttore o dal venditore e di condizioni contrattuali di vendita, che permettono al soggetto acquirente di sviluppare o di far sviluppare, ove si reputi necessario e opportuno, software open source che ne controllano il funzionamento;

          h)    per «impresa europea» si intende un'impresa costituita e funzionante in base all'ordinamento di uno Stato membro dell'Unione europea e stabilita in uno Stato o in un territorio appartenente all'Unione europea e che non è soggetta, ai sensi dell'articolo 2359 del codice civile, a influenza dominante da parte di, né collegata a, o controllata da un'impresa domiciliata in uno Stato o in un territorio non appartenente all'Unione europea;

          i) per «protocollo aperto» si intende un protocollo di comunicazione basato su una specifica aperta;

          l) per «specifica aperta» si intende una specifica tecnica:

              1) disponibile al pubblico esaustivamente documentata e il cui documento è prodotto da un organismo internazionale

 

Pag. 5

di standardizzazione, o che è disponibile gratuitamente;

              2) per la quale gli eventuali diritti che ne possono limitare l'uso, quali brevetti o altri diritti di privativa, sono attribuiti mediante licenza d'uso gratuita e irrevocabile;

          m) per «software» si intende l'informazione o le informazioni, quali programmi informatici e dati, utilizzate da sistemi informatici;

          n) per «soggetti pubblici» si intendono:

              1)    le amministrazioni dello Stato; gli enti pubblici territoriali; gli altri enti pubblici non economici; gli organismi di diritto pubblico; le associazioni, unioni, consorzi, comunque denominati, costituiti da tali soggetti;

              2) gli organismi di diritto pubblico di cui all'articolo 3, comma 26, del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006, n. 163;

              3)    le imprese pubbliche di cui all'articolo 3, comma 28, del codice di cui al decreto legislativo 12 aprile 2006, n. 163;

              4)    i soggetti, anche diversi da quelli di cui ai numeri 1), 2) e 3), che operano in virtù di diritti speciali o esclusivi;

          o) per «mail exchanger host» si intende un server impiegato per trasmettere tramite internet messaggi di posta elettronica, con protocollo standard Simple Mail Transfer Protocol (SMTP) definito in IETF RFC 821, e successive modificazioni, o con altri protocolli standard elaborati da organismi nazionali o internazionali di normalizzazione o, se liberamente accessibili, dall'industria;

          p) per «trattamento» si intende ogni trattamento di dati personali di cui all'articolo 5 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni;

 

Pag. 6

          q) per «Mercato elettronico della pubblica amministrazione» (MEPA) si intende il mercato digitale disciplinato dall'articolo 328 del regolamento di cui al decreto del Presidente della Repubblica 5 ottobre 2010, n. 207;

          r) per «diritti speciali o esclusivi» si intendono i diritti di cui all'articolo 207, comma 2, del codice di cui al decreto legislativo 12 aprile 2006, n. 163;

          s) per «strumenti informatici» si intendono software, apparati e servizi informatici o telematici.

Art. 2.
(Divieto di acquisizione).

      1. Ferma restando l'applicazione delle disposizioni del codice di cui al decreto legislativo 12 aprile 2006, n. 163, i soggetti pubblici sono tenuti ad acquisire esclusivamente nel MEPA, indipendentemente dal valore della fornitura, strumenti informatici atti a trattare dati rilevanti, debitamente certificati ai sensi dell'articolo 4.
      2. Gli acquisti effettuati in violazione del comma 1 sono nulli.

Art. 3.
(Acquisizione consentita).

      1. Non sono necessarie le certificazioni previste dall'articolo 2, comma 1, se il produttore o il venditore dichiara che:

          a) il software, incluso quello che costituisce componente di un servizio, sia software open source;

          b) l'hardware, incluso quello che costituisce componente di un servizio, sia hardware documentato;

          c) software, hardware o servizi operino esclusivamente con protocolli aperti, con formati aperti e con ogni ulteriore specifica di funzionamento aperta e siano ceduti con condizioni contrattuali che non

 

Pag. 7

impediscano al soggetto pubblico acquirente di realizzarne, ove ritenuto opportuno, l'interoperabilità con altri software, hardware o servizi applicativi in possesso del medesimo o di altri enti pubblici;

          d) sia il produttore che il fornitore di ogni componente dei software, hardware e servizi, con riferimento all'effettivo beneficiario dei profitti derivanti dalla fornitura, sia un'impresa europea;

          e) l'acquisto sia necessario e urgente in relazione a motivate esigenze di tutela della salute, della vita umana, dell'incolumità pubblica o della sicurezza dello Stato.

      2. La dichiarazione di cui al comma 1 è resa ai sensi dell'articolo 47 del testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, di cui al decreto del Presidente della Repubblica 28 dicembre 2001, n. 445, con l'applicazione delle sanzioni penali previste dall'articolo 76 del medesimo testo unico nel caso di dichiarazioni non veritiere e con la decadenza dai benefìci eventualmente acquisiti ai sensi dell'articolo 75 dello stesso testo unico.

Art. 4.
(Requisiti dei software, hardware e servizi certificati).

      1. Fermo restando quanto disposto dall'articolo 3, i soggetti pubblici, prima di acquisire software, hardware e servizi, devono verificare che gli stessi siano stati dichiarati dal loro produttore o importatore in Italia come:

          a) non atti a divulgare o comunicare a terzi, non autorizzati al loro trattamento, dati rilevanti;

          b) non prodotti né forniti, neanche per interposta persona, da un'impresa che:

              1) ha la propria sede legale in Stati o in territori non appartenenti all'Unione europea che praticano controlli di massa

 

Pag. 8

sui dati personali soggetti alla propria giurisdizione o provenienti dall'Unione europea;

              2) è affiliata a un'impresa stabilita o con sede legale in Stati o in territori non appartenenti all'Unione europea che attuano controlli di massa sui dati personali soggetti alla propria giurisdizione o provenienti dall'Unione europea.

      2. La dichiarazione di cui al comma 1 è resa ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, e nel caso di dichiarazione non veritiera è stabilita la decadenza dai benefìci eventualmente acquisiti ai sensi dell'articolo 75 del medesimo testo unico.
      3. Il Garante per la protezione dei dati personali può in ogni momento inibire l'inserimento nel MEPA di software, hardware e servizi per i quali risulti il rischio di violazione dei requisiti previsti dal comma 1.

Art. 5.
(Piano di adeguamento).

      1. I soggetti pubblici, entro centottanta giorni dalla data di entrata in vigore della presente legge, individuano al proprio interno un responsabile del procedimento e la relativa struttura di progetto incaricata di predisporre un piano di adeguamento a quanto previsto dalla medesima legge, nonché di promuovere il rispetto degli altri obblighi ivi previsti redigendone un apposito elenco.
      2. Il responsabile di cui al comma 1 aggiorna periodicamente, comunque almeno una volta all'anno, l'elenco e il piano previsti dal medesimo comma 1.
      3. La predisposizione del piano di adeguamento e la redazione dell'elenco, nonché il loro aggiornamento, ai sensi di quanto previsto dal presente articolo, rientrano tra i parametri di valutazione della performance dirigenziale di cui al decreto legislativo 27 ottobre 2009, n. 150.

 

Pag. 9

Art. 6.
(Servizi di accesso, hosting e servizi applicativi).

      1. In conformità a quanto previsto dall'articolo 52 del Trattato sul funzionamento dell'Unione europea e al fine di limitare l'esportazione non autorizzata di dati e informazioni dall'Italia verso territori ove possano esserne compromessi la sicurezza e l'ordine pubblico, i soggetti pubblici acquisiscono servizi di accesso alla rete internet, di hosting o servizi applicativi solo da imprese europee che attestano, con dichiarazione sostitutiva di atto di notorietà ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di utilizzare, ai fini della resa del servizio, software e hardware localizzati in Italia nonché di aver concluso e di attuare accordi di interconnessione con altri fornitori di servizi internet debitamente autorizzati ai sensi dell'articolo 25 del codice delle comunicazioni, di cui al decreto legislativo 1o agosto 2003, n. 259, e successive modificazioni, esclusivamente attraverso punti d'interscambio di traffico situati in Italia.
      2. In caso di dichiarazione di cui al comma 1 mendace il contratto di fornitura di servizi di accesso alla rete internet o di hosting di servizi applicativi è nullo e il fornitore è segnalato al Garante per la protezione dei dati personali per trattamento dei dati in violazione della legislazione vigente.
      3. Se, successivamente alla dichiarazione di cui al comma 1, il fornitore sospende o interrompe gli accordi di interconnessione con altri fornitori attraverso punti d'interscambio di traffico situati in Italia, il contratto è dichiarato nullo qualora il fornitore non sia in grado di assicurare il servizio in conformità a quanto previsto dalla presente legge o di trovare un fornitore sostitutivo in subappalto che sia in grado di assicurare la continuità della fornitura in conformità a quanto previsto dalla medesima legge.

 

Pag. 10


      4. Il fornitore di uno o più soggetti pubblici che, durante il rapporto di fornitura di servizi di accesso alla rete internet, di hosting o di servizi applicativi, sospende o interrompe, senza un preavviso di almeno sessanta giorni, accordi di interconnessione con altri fornitori attraverso punti d'interscambio situati in Italia, è tenuto a corrispondere una sanzione amministrativa di importo pari a dieci volte il valore totale della fornitura complessivamente erogata ai soggetti pubblici.

Art. 7.
(Servizi di trasmissione dei dati e di posta elettronica).

      1. I    soggetti pubblici che si avvalgono di servizi o di software per la raccolta o per altri trattamenti di dati rilevanti ovvero per l'invio di corrispondenza verso altri soggetti pubblici devono usare certificati qualificati emessi da imprese stabilite in Stati membri dell'Unione europea e che non siano controllate, direttamente o indirettamente, ai sensi dell'articolo 2359 del codice civile, da imprese con sede legale in Stati o in territori non appartenenti all'Unione europea ove siano attuati controlli di massa.
      2. I trasferimenti di dati rilevanti nonché i collegamenti di posta elettronica effettuati da soggetti pubblici mediante strumenti telematici devono avvenire in modalità cifrata con l'impiego, per i mail exchanger host, dei certificati qualificati di cui al comma 1.
      3. È vietato ai soggetti pubblici di acquistare o di utilizzare sistemi di cifratura basati su certificati qualificati diversi da quelli di cui al comma 1.
      4. Le imprese che emettono certificati qualificati di cui al comma 1 sono tenute a comunicare al Ministero dell'interno, entro quindici giorni dal verificarsi dell'evento, la cessione a terzi, inclusi soggetti pubblici, della titolarità, anche temporanea, mediante licenza, esclusiva o no, dei certificati qualificativi o delle chiavi crittografiche nonché ogni cessione a terzi dell'azienda o del ramo d'azienda ad essi relativo ovvero di quote del rispettivo

 

Pag. 11

capitale sociale eccedenti lo 0,5 per cento del capitale.
      5. La violazione degli obblighi di cui al comma 4 è punita con la nullità dei contratti eventualmente stipulati con i soggetti pubblici per la fornitura dei certificati qualificati e con il divieto di partecipare a procedure ad evidenza pubblica o di concludere contratti con soggetti pubblici per due anni dalla violazione stessa.
torna su