Pubblica sicurezza:trattamenti non occasionali di dati personali da parte del C.e.d. e delle forzedi polizia

Provvedimentodel 19 dicembre 2008

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componentie del dott. Giovanni Buttarelli, segretario generale;

Vista la richiesta di parere delMinistero dell'interno;

Visto l'articolo 154, commi 4 e 5, delCodice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficioformulate dal segretario generale ai sensi dell'art. 15 del regolamento delGarante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO:

Il Ministero dell'interno ha chiesto ilparere del Garante in ordine a uno schema di decreto con il quale devono essereindividuati i trattamenti non occasionali di dati personali effettuati, construmenti elettronici, presso il Centro elaborazione dati del Dipartimentodella pubblica sicurezza o dalle forze di polizia o da altri soggetti pubbliciper finalità di tutela dell'ordine e della sicurezza pubblica, di prevenzione,accertamento e repressione di reati, nonché i relativi titolari (art. 53, comma2, d.lg. n. 196/2003).

L'adozione di tale decreto è prevista perdisposizione di legge al fine di dare ulteriore pubblicità all'esistenza ditali trattamenti e all'identità dei relativi titolari, anche a fini di tuteladei diritti degli interessati. Il decreto, da pubblicare nella GazzettaUfficiale, dovrà essere inseritonell'Allegato C) del Codice in materia di protezione dei dati personali.

Il presente parere si riferisce a unaversione aggiornata dello schema che tiene conto degli approfondimenti svoltinell'ambito di alcuni incontri tenutosi presso questa Autorità.

OSSERVA

1. L'individuazione dei trattamenti aisensi dell'articolo 53, comma 2, del Codice assume particolare importanza nelquadro dell'attuazione della disciplina in materia di protezione dei datipersonali a trattamenti effettuati per finalità di particolare interessepubblico.

Alcuni princìpi in materia di protezionedei dati personali si applicano, infatti, all'attività delle forze di polizia edi alcuni altri soggetti pubblici sulla base di adattamenti necessari inragione della specificità dell'attività svolta. È pertantonecessaria, per disposizione di legge, una ricognizione analitica ed esaustivadi tali trattamenti, aggiornabile nel tempo.

Peraltro, l'inclusione o meno di untrattamento nel testo del decreto assume rilievo ai fini delle garanzie e deidiritti degli interessati (si pensi, ad esempio, all'informativa da rendere omeno individualmente agli interessati). Ai trattamenti per le predette finalità,da menzionare nel decreto, non si applicano tutte le disposizioni del Codice,stanti le eccezioni previste dal menzionato articolo 53, comma 2.

In questa prospettiva, poiché nel decretodevono essere elencati solo i trattamenti di dati effettuati in base a "espressa" disposizione di legge che preveda "specificamente" il trattamento, nei limiti e con le modalitàeventualmente stabiliti (art. 53, comma 1, d.lg. n. 196/2003), il presenteparere è reso sull'indefettibile presupposto che per ciascuno dei trattamentiindividuati vi sia piena ed effettiva coincidenza fra quanto indicato neldecreto e l'espressa disposizione di legge indicata come riferimento, che lopreveda specificamente. In mancanza di tale particolare base normativa un determinatotrattamento non potrebbe essere comunque sottratto all'intero ambitoapplicativo del Codice, malgrado l'eventuale indicazione ingiustificata neldecreto stesso.

2. In questo quadro il Garante, fermorestando che spetta alle amministrazioni interessate l'individuazione deitrattamenti e della predetta specifica base normativa, rileva che in relazionea taluni trattamenti inseriti nello schema emerge con evidenza che non constal'esistenza di un'espressa disposizione di legge nel senso descritto.

2.1. Com'è noto, la legge n. 121 del 1981obbliga le forze di polizia a far confluire nel Centro elaborazione dati delDipartimento della pubblica sicurezza informazioni e dati destinati all'analisie alla valutazione, nonché alla loro successiva disponibilità da parte dellemedesime forze di polizia (art. 6, primo comma, lett. a), l. n. 121/1981).

Ciò premesso, stante la documentazionedisponibile, va in particolare rilevato che, diversamente da altri trattamentieffettuati dall'Arma dei carabinieri e inclusi nel decreto, non consta conevidenza l'esistenza di una specifica base normativa idonea a giustificare lamenzione distinta di due specifici trattamenti di tale forza di polizia, in viapermanente e in forma autonoma rispetto a quelli riguardanti dati destinati aconfluire nel C.e.d.. Ciò, con riferimento ai soli trattamenti denominati "Memoriale/ordinedi servizio informatizzati e gestione attività operativa" e "Sistema informatizzato delle centralioperative", effettuati pressoil Comando generale e i reparti territoriali dell'Arma dei carabinieri,riguardanti dati concernenti, rispettivamente, "soggetti di interesseoperativo e/o controllati in attività d'istituto, obiettivi sensibili, esercizipubblici, eventi criminosi" e"soggetti coinvolti a vario titolo in eventi o operazioni condotte dareparti dell'Arma dei carabinieri" (scheda 18, nn. 1 e 2). Resta fermo che l'Arma dei carabinieri potràsostanzialmente svolgere tali attività ad altro titolo, ai sensi dellamenzionata disposizione di cui alla legge n. 121/1981.

2.2. Come già rilevato dal Garante in unprecedente parere, non consta, poi, l'esistenza di elementi normativi idonei agiustificare l'inserimento dei dati dei c.d. "alloggiati" in una banca dati centralizzata qual è il Centroelettronico nazionale della Polizia di Stato (C.e.n.) (scheda 2). Per quantoposto a conoscenza dell'Autorità, la normativa di settore prevede che i gestoridi esercizi alberghieri e di altre strutture ricettive comunichino i datid'interesse, anche con mezzi informatici o telematici, solo all'autorità localedi pubblica sicurezza e non anche al predetto C.e.n. (art. 109 r.d. n.773/1931).

TUTTO CIÒ PREMESSO ILGARANTE:

esprime parere nei termini di cui inmotivazione sullo schema di decreto volto a individuare i trattamenti di datinon occasionali effettuati, con strumenti elettronici, dal Centro elaborazionedati del Dipartimento della pubblica sicurezza o dalle forze di polizia o daaltri soggetti pubblici per finalità di tutela dell'ordine e della sicurezzapubblica, di prevenzione, accertamento e repressione di reati, nonché irelativi titolari, con la condizione che i trattamenti individuati alle scheden. 2 e n. 18, punti 1 e 2, siano espunti dallo schema in quanto, dalladocumentazione trasmessa dalle amministrazioni competenti, non risultano, allostato, basi normative idonee a giustificare la corretta inclusione deitrattamenti stessi nell'ambito di quelli individuati nel decreto.

Roma, 19 dicembre 2008

Il presidente
Pizzetti

Il relatore
Chiaravalloti

Il segretario generale
Buttarelli