giovedì 4 marzo 2010

Posta Elettronica Certificata (PEC) e Privacy


L’uso della posta elettronica certificata (PEC) è stato reso obbligatorio per pubblica amministrazione, aziende e professionisti iscritti ad albi dal D.L. 185/2008 poi convertito nella Legge n°2/2009.

Tutte le imprese costituite in forma societaria sono tenute ad indicare il proprio indirizzo di posta elettronica certificata nella domanda di iscrizione al registro delle imprese, le imprese già costituite prima dell’entrata in vigore della Legge, hanno invece a disposizione 3 anni di tempo per indicare la propria casella PEC al registro delle imprese.

I professionisti iscritti ad albi ed elenchi istituiti con legge dello Stato devono comunicare ai rispettivi ordini e collegi il proprio indirizzo PEC entro un anno dall’entrata in vigore della Legge, gli ordini ed i collegi devono pubblicare in un elenco riservato, consultabile in via telematica esclusivamente dalle pubbliche amministrazioni, i dati identificativi degli iscritti con il relativo indirizzo PEC.

La Posta Elettronica Certificata (PEC) è un sistema di posta elettronica nel quale è fornita al mittente documentazione elettronica, con valenza legale, attestante l’invio e la consegna di documenti informatici. “Certificare” l’invio e la ricezione (i due momenti fondamentali nella trasmissione dei documenti informatici), significa fornire al mittente, dal proprio gestore di posta, una ricevuta che costituisce prova legale dell’avvenuta spedizione del messaggio e dell’eventuale allegata documentazione. Allo stesso modo, quando il messaggio perviene al destinatario, il gestore invia al mittente la ricevuta di avvenuta (o mancata) consegna con precisa indicazione temporale. Nel caso in cui il mittente smarrisca le ricevute, la traccia informatica delle operazioni svolte, conservata per legge per un periodo di 30 mesi, consente la riproduzione, con lo stesso valore giuridico, delle ricevute stesse.

L’obbligo di utilizzare un sistema PEC (o analogo) per le comunicazioni tra imprese, professionisti e pubbliche amministrazioni, può contribuire a realizzare nelle aziende e negli studi professionali un sistema di protezione dell’integrità, della disponibilità e della confidenzialità dell’informazione trasmessa/ricevuta e quindi a realizzare una “privacy compliance” più aderente al sistema di protezione dei dati personali, previsto dal Testo Unico in vigore.

Queste le caratteristiche che rendono la posta elettronica certificata uno strumento di grande tutela per la protezione dei dati personali trasmessi:
La PEC non può essere intercettata perché viaggia tramite connessioni protette.
La PEC non può essere modificata perché l’impronta digitale del messaggio di consegna (hash) non corrisponderebbe a quella di spedizione, o viceversa.
La PEC non contiene virus o spam.
L’Amministratore di Sistema può utilizzare in modalità IMAPSSL la stessa casella PEC con le stesse procedure, anche se ricopre lo stesso ruolo in altre strutture.
Dato che l’hash generata dalla PEC crittografa il testo del messaggio e l’eventuale allegato, con l’aggiunta di una marca temporale, non appena spediti in allegato, si potranno considerare a norma anche i files log che in alcuni sistemi operativi non risultano protetti ed appaiono in chiaro.
R.M.