La questione ci è stata posta all’attenzione dal nuovo consulente privacy, l’avvocato Andrea Monti, uno dei massimi esperti italiani di informatica giuridica, recentemente entrato a far parte del Gruppo di ricerca sicurezza e privacy della SIT, di cui fanno già parte, tra gli altri, Corrado Giustozzi e Chiara Rabbito.

Ci scrive Andrea Monti:

” Caro Segretario,
in merito ai quesiti postimi circa la PEC, ti comunico che il quadro normativo e’ finalmente stabilizzato e non si prevedono rinvii.
Evidenzio, pero’, una criticita’ relativa al segreto professionale che ho gia’ espresso con una richiesta di parere al mio ordine (senza risposta, al momento).
In sintesi: i messaggi PEC viaggiano in rete con protocolli “sicuri”.
Questo significa che sono ragionevomente al riparo da abusive cognizioni.
Una volta recapitati (cioe’ giunti nella casella di posta localizzata presso il fornitore di servizi) i messaggi sono conservati “in chiaro” e, di fatto, sono protetti soltanto da una username e da una password (essendo accessibili via webmail).
Il risultato pratico e’ che, sia in caso di furto di identita’ (tipo phishing), sia in caso di violazione del server del fornitore da parte di terzi malintenzionati, sia in caso di fornitore “infedele”, dati sensibili – nel caso di specie sanitari – potrebbero essere illecitamente conosciuti da soggetti non legittimati.
Il problema si verifica perche’ le norme tecniche della PEC non obbligano i gestori a usare sistemi di cifratura per la memorizzazione (attenzione, MEMORIZZAZIONE, non trasporto) dei messaggi.
In pratica, la PEC e’ piu’ simile a una cartolina postale che a una raccomandata sigillata in busta chiusa.
Ho dei seri dubbi sulla legittimita’ di questa situazione rispetto al dovere di serbare il segreto professionale.
Il risultato pratico e’ che chi vuole proteggere la confidenzialita’ dei messaggi deve usare dei software di cifratura. Il che implica, tuttavia, che pure il destinatario usi lo stesso programma (e non e’ detto che lo faccia o voglia farlo).
Credo sia utile formulare una richiesta di parere urgente al Garante per la protezione dei dati personali, per evitare  – a posteriori – la nascita di sgradevoli problemi “.

Cosa che ci accingiamo subito a fare, data la fondatezza di quanto esposto dal nostro consulente.

Cordiali saluti.

Giancarmine Russo
Segretario generale
della SIT – Roma19 novembre 2009