Garante per la protezione
    dei dati personali


Convenzione fra la Direzione investigativa antimafia e l'I.n.a.i.l. per l'accesso alla banca dati relativa ai Documenti unici di regolaritł contributiva

PROVVEDIMENTO DEL 14 APRILE 2011

Registro dei provvedimenti
n. 150 del 14 aprile 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De paoli, segretario generale;

Vista la richiesta di parere del Ministero dell'interno-Dipartimento della pubblica sicurezza, Direzione investigativa antimafia;

Visto il Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196), in particolare l'art. 54;

Esaminata la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

Il Ministero dell'interno-Dipartimento della pubblica sicurezza, Direzione investigativa antimafia ha chiesto il parere del Garante in ordine a uno schema di Convenzione, e ai due Allegati che ne costituiscono parte integrante, da stipularsi tra la Direzione investigativa antimafia (d'ora in avanti: D.i.a.) e l'Istituto nazionale per l'assicurazione contro gli infortuni sul lavoro (d'ora in avanti: I.n.a.i.l.) avente a oggetto l'accesso da parte della D.i.a. alla banca dati detenuta dall'I.n.a.i.l. relativa ai Documenti unici di regolaritł contributiva (d'ora in avanti: D.u.r.c.).

Il parere Ć richiesto ai sensi dell'art. 54, comma 1, del Codice nella parte in cui prevede la stipula da parte del Ministero dell'interno, previo parere conforme del Garante, di convenzioni-tipo volte ad agevolare la consultazione di pubblici registri, elenchi, schedari e banche di dati da parte di autoritł di pubblica sicurezza e di forze di polizia nei casi in cui esse possono acquisire da altri soggetti informazioni, atti e documenti, in conformitł a vigenti disposizioni di legge o di regolamento, anche per via telematica.

Il parere Ć reso tenendo conto degli elementi forniti dalla D.i.a. e dall'I.n.a.i.l.  nel corso di alcuni incontri tecnici tenuti presso questa Autoritł e si riferisce a una versione aggiornata dello schema di Convenzione e degli Allegati redatta all'esito degli approfondimenti svolti nell'ambito di detti incontri, che hanno permesso di chiarire e specificare numerosi aspetti della Convenzione (cfr. punto 4. che segue).

OSSERVA

1. L'attivitł della D.i.a.
La Direzione investigativa antimafia, istituita nell'ambito del Dipartimento della pubblica sicurezza con l'art. 3 del d.l. 29 ottobre 1991, n. 345 (convertito in l. 30 dicembre 1991, n. 410), ha il compito di svolgere attivitł di investigazione preventiva e indagini di polizia giudiziaria con esclusivo riferimento al contrasto all'attivitł della criminalitł organizzata (commi 1 e 2).

Il d.lg. 20 agosto 2002, n. 190 con l'art. 15 (confermato dall'art. 180 del d.lg. 12 aprile 2006, n. 163, cd. Codice degli appalti) ha demandato a un decreto del Ministero dell'interno di individuare "le procedure per il monitoraggio delle infrastrutture e insediamenti industriali per la prevenzione e repressione di tentativi di infiltrazione mafiosa".

Il decreto del Ministero dell'interno del 14 marzo 2003, adottato ai sensi delle citate disposizioni, al fine di "individuare procedure di monitoraggio idonee ad assicurare il governo dei dati e delle informazioni in possesso dei diversi soggetti pubblici e privati", all'art. 1 considera rilevanti i dati e le informazioni attinenti "alle aree territoriali impegnate dalla realizzazione delle infrastrutture e degli insediamenti produttivi" (lett. a), "alla tipologia dei lavori e alla qualificazione delle imprese esecutrici e di quelle comunque interessate al ciclo dei lavori" (lett. b), "alle procedure di affidamento delle opere al concessionario e/o al contraente generale e ai successivi affidamenti e subaffidamenti ad imprese terze" (lett. c), "agli assetti societari relativi al concessionario e al contraente generale nonchÄ ai terzi a qualunque titolo affidatari e subaffidatari" (lett. d), "alle rilevazioni effettuate presso i cantieri, in particolare, sulle imprese, sul personale e sui mezzi impiegati, anche in esito agli accessi dei Gruppi interforze di cui all'art. 5, comma 3" (lett. e).

Alla rete di monitoraggio partecipano vari soggetti, fra cui il Ministero dell'interno (art. 2), le cui attivitł di monitoraggio, a livello centrale, sono attribuite alla Direzione investigativa antimafia (art. 5, comma 1), la quale partecipa, altresô, con un proprio funzionario delle articolazioni periferiche, alla costituzione dei menzionati Gruppi interforze, operanti presso gli uffici territoriali del Governo, i quali operano in collegamento con la Direzione investigativa antimafia, che ne assicura il raccordo (art. 5, comma 3).

2. Il documento unico di regolaritł contributiva
Il D.u.r.c. Ć stato istituito con il d.l. 25 settembre 2002, n. 210 (convertito in l. 22 novembre 2002, n. 266), il quale ha posto l'obbligo per l'I.n.p.s. e per l'I.n.ai.l. - successivamente esteso alle Casse edili, ex art. 86 del d. lg. 10 settembre 2003, n. 276 - di stipulare convenzioni al fine del rilascio di un "documento unico di regolaritł contributiva" (art. 2). Il documento viene rilasciato da tali enti e attesta contestualmente la regolaritł – o meno – dell'impresa in relazione agli adempimenti contributivi previdenziali, assistenziali e assicurativi posti dalla pertinente normativa.

Il D.u.r.c. costituisce condizione indispensabile per la partecipazione e l'aggiudicazione delle gare d'appalto bandite da soggetti pubblici per lavori, servizi e forniture (cfr., tra gli altri, l'art. 2, commi 1 e 1-bis, del menzionato d. l. n. 210/2002; l'art. 38, comma 3, del citato d. lg. n. 163/2006; l'art. 90, comma 9, del d. lg. 9 aprile 2008, n. 81). Il d. lg. n. 163/2006 ha imposto l'obbligo di possesso del documento anche nel caso di affidamento di lavori in subappalto (art. 118, comma 6).

Con legge 28 gennaio 2009, n. 2 Ć stato posto direttamente a carico delle stazioni appaltanti pubbliche l'obbligo di acquisire d'ufficio il D.u.r.c. delle imprese partecipanti alle gare (art. 16-bis, comma 10).

3.La banca dati gestita dall'I.n.a.i.l.
La richiesta del D.u.r.c. va inoltrata in via informatica, dalle stazioni appaltanti o dalle stesse imprese interessate a partecipare alle gare, utilizzando uno specifico Portale denominato "Sportello Unico Previdenziale" messo a disposizione dall'I.n.a.i.l. sul proprio sito web. A tal fine le richiedenti devono conferire alcune specifiche informazioni (cfr. Allegato 1 alla Convenzione) relative alla stazione appaltante (quali denominazione, codice fiscale, recapito), all'impresa appaltatrice (tra gli altri, tipologia, codice fiscale, denominazione, sede) e all'appalto (ad esempio, tipologia, oggetto, importo, codice identificativo della gara, luogo di esecuzione, stato di avanzamento dei lavori). Le informazioni confluiscono in una banca dati gestita dall'I.n.a.i.l., e vengono messe a disposizione degli altri enti (I.n.p.s. e Casse edili) per le verifiche necessarie all'emissione del documento.

Il requisito della regolaritł contributiva deve sussistere dal momento della presentazione della domanda di partecipazione fino alla sottoscrizione del contratto, ed anche per tutta la durata dell'appalto. Le imprese appaltatrici e subappaltatrici devono richiedere e presentare il D.u.r.c. (che ha validitł limitata a trenta giorni – decreto del Ministero del lavoro del 24 ottobre 2007, art. 7 -) al fine del pagamento di ogni stato di avanzamento dei lavori e dello stato finale degli stessi (art. 118, comma 6, d. lg. n. 163/2006).

4. La Convenzione
A seguito degli incontri tecnici e degli approfondimenti svolti con le parti della Convenzione, che hanno fornito piena collaborazione, sono state apportate numerose e significative modifiche al testo.

4.1. Tipologie di dati e finalitł dell'accesso
Sono state, in primo luogo, meglio chiarite le tipologie di dati oggetto della Convenzione, costituiti dai dati contenuti nei D.u.r.c. e dalle informazioni conferite dai soggetti richiedenti (art. 2, commi 2 e 3 e Allegato 1 alla Convenzione), nonchÄ le finalitł dell'accesso, per la sola consultazione, alla banca dati da parte della D.i.a., che Ć espressamente limitato allo svolgimento dell'attivitł di monitoraggio degli appalti pubblici istituzionalmente affidata alla Direzione (art. 2, comma 1 e art. 3).

4.2. Utenti abilitati all'accesso
Sono state dettate specifiche disposizioni volte a precisare che gli utenti abilitati all'accesso sono solo quelli cui sono attribuite dalla D.i.a. specifiche credenziali di abilitazione personali (art. 4, comma 2 e art. 5), mediante creazione e gestione delle relative utenze da parte del referente tecnico della Direzione (art. 7). Vengono specificati gli obblighi a carico degli utenti di utilizzare le informazioni acquisite per le sole finalitł di cui all'art. 3, e di osservare la normativa del Codice in tema di rispetto dei principi di pertinenza nel trattamento delle informazioni e di osservanza delle necessarie misure di sicurezza (art. 8, commi 1 e 2).

Nella Convenzione Ć stato introdotto l'obbligo per la D.i.a. di impartire al personale abilitato all'accesso le istruzioni relative alle responsabilitł connesse all'accesso improprio alla banca dati, all'uso illegittimo delle informazioni e alla loro indebita divulgazione, comunicazione e cessione a terzi (art. 8, comma 3); Ć stato, altresô, introdotto per entrambe le parti l'obbligo di formazione di detto personale all'utilizzo della banca dati (art. 9).

Sono stati, inoltre, previsti specifici divieti a carico della D.i.a., e il correlativo obbligo di impartire direttive al riguardo agli utenti, in materia di duplicazione delle informazioni acquisite per la creazione di autonome banche dati e di utilizzo di dispositivi automatici (robot) che consentono la consultazione in forma massiva dei dati personali (art. 8, commi 4 e 5).

4.3. Sicurezza nel flusso dei dati
La comunicazione tra i sistemi informativi della D.i.a e dell'I.n.a.i.l. avviene attraverso la rete del Sistema pubblico di connettivitł SPC/Infranet VPN, che opera cifrando la comunicazione dalla sorgente alla destinazione e garantisce l'identitł delle parti comunicanti (art. 4).

4.4. Tracciamento degli accessi e delle operazioni effettuate
L'I.n.a.i.l. provvede al tracciamento degli accessi, che consente di verificare anche le operazioni eseguite da ciascun utente, ivi compreso il referente tecnico, anche per le attivitł di gestione delle utenze (art. 10).

4.5. Reportistica e sistemi di alert
Particolare attenzione Ć stata posta all'esigenza della redazione da parte dell'I.n.a.i.l. e messa a disposizione della D.i.a. di una reportistica periodica relativa agli accessi effettuati dagli utenti e alle operazioni svolte (art. 10, comma 3), nonchÄ all'introduzione nel sistema di specifici sistemi (alert) volti a segnalare in tempo reale alla D.i.a. accessi anomali rispetto a parametri predeterminati costituiti da accessi effettuati in determinate fasce orarie o entro il numero massimo giornalmente stabilito per ciascun utente (art. 10, comma 2).

4.6. Responsabili della Convenzione e modalitł di modifica della stessa
Il nuovo schema di Convenzione, infine, individua, per ciascuna parte, le figure dei responsabili della corretta applicazione e delle attivitł di gestione della medesima, definendo alcune loro specifiche attivitł, in particolare in tema di creazione e gestione delle utenze e di verifica sistematica e revisione periodica da parte della D.i.a. delle abilitazioni all'accesso (artt. 6 e 7), e indica la necessitł della consultazione del Garante nell'ipotesi di modifiche o integrazioni alla Convenzione (art. 13).

5. Osservazioni
L'accesso da parte della D.i.a. alla banca dati gestita dell'I.n.a.i.l., tenuto conto  della tipologia delle informazioni conservate, risulta pertinente all'attivitł di monitoraggio degli appalti pubblici istituzionalmente affidata alla Direzione, volta al contrasto alle infiltrazioni della criminalitł organizzata nelle commesse pubbliche.

Le disposizioni contenute nella Convenzione, sopra riportate, non presentano profili di criticitł in rapporto al rispetto della disciplina in materia di protezione dei dati personali, ivi compreso il profilo della sicurezza.

TUTTO CI˝ PREMESSO IL GARANTE

esprime parere favorevole sullo schema di Convenzione da stipularsi fra la Direzione investigativa antimafia e l'Istituto nazionale per l'assicurazione contro gli infortuni sul lavoro avente a oggetto l'accesso da parte della Direzione alla banca dati detenuta dall'Istituto relativa ai Documenti unici di regolaritł contributiva.

Roma, 14 aprile 2011

Il presidente
Pizzetti

Il relatore
Chiaravalloti

Il segretario generale
De Paoli