Parere del Garante su uno schema di decreto interministeriale riguardante "Regole tecniche e di sicurezza relative al permesso di soggiorno conforme al Regolamento (CE) n. 1030/2002 come modificato dal Regolamento (CE) n. 380/2008"

vedi anche [newsletter]

Parere del Garante suuno schema di decreto interministeriale riguardante "Regoletecniche e di sicurezza relative al permesso di soggiorno conforme alRegolamento (CE) n. 1030/2002 come modificato dal Regolamento (CE) n.380/2008"

PROVVEDIMENTO DEL 5GIUGNO 2012

Registro dei provvedimenti n. 178 del 5giugno 2012

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale;

Vista la richiesta di parere del Ministero dell'interno;

Visto l'art. 154, comma 4 del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

Il Ministero dell'interno ha richiesto il parere del Garante in ordinea uno schema di decreto del Ministro dell'interno – da emanarsi diconcerto con il Ministro dell'economia e delle finanze e il Ministro dellapubblica amministrazione e per la semplificazione - recante "Regoletecniche e di sicurezza relative al permesso di soggiorno conforme alRegolamento (CE) n. 1030/2002 come modificato dal Regolamento (CE) n.380/2008".

Lo schema di decreto in oggetto mira ad adeguare il vigente modellodel permesso di soggiorno (art. 5, c. 8, d.lgs. 25 luglio 1998, n. 286) e delpermesso di soggiorno per soggiornanti di lungo periodo (art. 9 d.lgs. 25luglio 1998, n. 286) alle previsioni contenute nel regolamento CE n. 380/2008del Consiglio del 18 aprile 2008, che modifica il regolamento (CE) n.1030/2002, istitutivo di un modello uniforme per i permessi di soggiornorilasciati a cittadini di Paesi terzi, le cui prescrizioni sono state recepitedal decreto del 28 settembre 2009.

Con appositi decreti direttoriali – in ordine ai quali sidispone l'acquisizione del parere del Garante - saranno inoltre stabilite, tral'altro, le regole tecniche e di sicurezza relative al trattamento dei datibiometrici necessari per il rilascio e l'attivazione del permesso di soggiorno,che in ottemperanza alle norme dell'Unione europea dovrà contenere unmicroprocessore contact-less, nel quale saranno inseriti – nel rispettodelle disposizioni del Codice - l'immagine del volto e le impronte digitali deltitolare, entrambe in formato interoperabile.

RILEVATO

La principale caratteristica tecnica innovativa della tipologia dipermesso di soggiorno disciplinata dall'odierno provvedimento consistenell'inserimento, all'interno del supporto fisico, di un microprocessore RF,idoneo alla memorizzazione dei dati del titolare del permesso di soggiorno, deidati identificativi del documento stesso, nonché degli elementi biometriciprimari (immagine del volto del titolare del documento, ai sensi dellaDecisione della Commissione C (2009) 3770 del 20 maggio 2009 e successivemodificazioni) e secondari (immagini delle impronte digitali del titolare deldocumento, secondo quanto prescritto dalla stessa Decisione), specificatinell'allegato A al decreto.

Ai sensi dell'articolo 3, comma 3, il microprocessore RF possiede lecaratteristiche di sicurezza necessarie a garantire la protezione, l'integrità,l'autenticità e la riservatezza dei dati in esso memorizzati ed è strutturatosecondo particolari dispositivi, idonei a consentirne la lettura unicamenteagli organi di controllo. Peraltro, la garanzia dell'integrità edell'autenticità dei dati e degli elementi biometrici primari e secondarimemorizzati nel microprocessore è ulteriormente assicurata dall'istituzionedell' "Infrastruttura a chiave pubblica per i permessi di soggiorno",mentre la sicurezza degli elementi biometrici secondari è garantita anchedall'istituzione dell' "Infrastruttura a chiave pubblica per i sistemi dicontrollo" destinati alla protezione e alla lettura (art. 6, comma 2,lettere a) e b).

L'articolo 4, comma 1, precisa che gli elementi biometrici primari esecondari memorizzati nel microprocessore possono essere utilizzati soltanto afini di verifica dell'autenticità del documento e dell'identità del titolare,comunque escludendo confronti in modalità "uno a molti" a fini diidentificazione.

Le modalità per garantire, in particolare, la qualità e l'interoperabilitàdegli elementi biometrici, primari e secondari, acquisiti saranno definite daapposite "regole e guide tecniche" emanate da DigitPa, previo pareredel Garante (art. 4, comma 3).

Ai fini della verifica dell'esistenza di precedenti permessi di soggiornogià rilasciati all'interessato ovvero dei dati del permesso di soggiorno incaso di denuncia di furto o smarrimento del documento, nonché per le verificheda attuarsi nei casi di malfunzionamento del microprocessore, è consentita laconsultazione dei dati presenti nell'archivio informatizzato dei permessidi soggiorno di cui all'articolo 2, comma 1, lettera g), del decreto delPresidente della Repubblica n. 242 del 27 luglio 2004 (art. 5, comma 1). A talearchivio, per le suddette finalità, sono trasmessi per via telematica –nel rispetto delle regole tecniche adottate ai sensi dell'articolo 71 delcodice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo2005, n. 82 – da parte degli organi competenti, i dati acquisiti all'attodella presentazione dell'istanza di rilascio, rinnovo o aggiornamento delpermesso di soggiorno (art. 5, comma 2).

L'articolo 5, comma 3, dispone che i dati personali e gli elementibiometrici primari acquisiti durante il procedimento relativo alle attività di verificae controllo sono conservati nel citato archivio informatizzato "conmodalità strettamente correlate" alle attività stesse, per un periodo parialla durata del permesso di soggiorno CE per soggiornanti di lungo periodo eper un periodo non superiore a dieci anni per le altre tipologie del permessodi soggiorno. Tali termini di conservazione sono stati definiti sulla basedelle esigenze di verifica e controllo riscontrabili in relazioneall'autenticità dei dati contenuti nel permesso di soggiorno, nel rispetto deiprincipi di proporzionalità, finalità e pertinenza dei dati personali trattatirispetto agli scopi cui il trattamento è preordinato. Analogamente, laconservazione degli elementi biometrici secondari nell'archivio informatizzato èconsentita soltanto per il "tempo strettamente necessario" alcompletamento dei procedimenti amministrativi per il rilascio o per il rinnovodel permesso di soggiorno (art. 5, comma 4).

L'articolo 5, comma 3, dello schema di decreto esclude peraltro lapossibilità di utilizzare gli elementi biometrici primari per il confrontosecondo la modalità "uno a molti", per finalità di identificazione.  Durantel'intero processo di emissione dei permessi di soggiorno la riservatezza,l'integrità e la sicurezza dei dati trattati è ulteriormente assicuratadall'istituzione di un' "Infrastruttura a chiave pubblica diservizio", destinata a implementare, tra l'altro, la creazione di canalidi comunicazione sicuri e la cifratura dei dati, come sarà meglio precisato neidecreti direttoriali emanati, ai sensi dell'articolo 10, previo parere delGarante (art. 6, commi 5 e 6).

Inoltre, si esclude la possibilità di conservazione - da partedell'Istituto poligrafico e Zecca dello Stato s.p.a, tenuto a provvedere allapersonalizzazione grafica del permesso di soggiorno - di qualsivoglia tracciadei dati utilizzati per la personalizzazione stessa (art. 7, comma 6).

L'articolo 12 precisa peraltro, al comma 1, che il trattamento deidati personali necessario ai fini della personalizzazione, del rilascio e delrinnovo del permesso di soggiorno è effettuato nel rispetto delle disposizionidel Codice. Il titolare del trattamento dei dati registrati nell'archivioinformatizzato dei permessi di soggiorno è il Ministerodell'interno-Dipartimento della pubblica sicurezza, mentre il responsabile deltrattamento è il Centro elettronico nazionale, presso il quale è istituitol'archivio stesso (art. 12, comma 2).

RITENUTO

Il parere è reso su di una versione dello schema di decretopredisposta all'esito dei lavori di un tavolo tecnico istituito presso ilDipartimento della pubblica sicurezza del Ministero dell'interno, cui hannopartecipato, in via collaborativa, anche rappresentanti dell'Ufficio delGarante. In quest'ambito, pertanto, è stato possibile rappresentare l'esigenzadi elevare il più possibile lo standard di garanzia del diritto alla protezionedei dati personali trattati per le finalità del decreto, precisandoulteriormente, ad esempio, l'ambito soggettivo di applicazione delledisposizioni del decreto, con particolare riguardo alle varie tipologie dipermesso di soggiorno previste dalla normativa vigente; disciplinando iltrattamento dei dati biometrici, nonché i termini e le modalità diconservazione dei dati personali dei titolari dei permessi di soggiornonell'Archivio informatizzato dei permessi di soggiorno conformemente aiprincipi di proporzionalità, finalità e pertinenza dei dati trattati rispettoagli scopi perseguiti; prevedendo adeguate cautele per evitare abusi anchenell'ambito delle attività di verifica e controllo dell'autenticità dei datiriportati nel documento.

La sostanziale conformità dello schema rispetto alle conclusioniraggiunte all'esito dei lavori del tavolo tecnico consente al Garante diesprimere un parere favorevole sullo schema di decreto, sebbene sussista unprofilo suscettibile di ulteriore perfezionamento.

Come già rilevato dall'Ufficio del Garante nell'ambito dei lavori deltavolo tecnico, infatti, appare opportuno inserire nello schema di decreto unanorma idonea a individuare meglio la disciplina applicabile, chiarendoespressamente il rapporto fra le disposizioni del predetto schema e le normevigenti, atteso che - come pare ragionevole ritenere secondo i principi cheregolano la successione delle norme nel tempo – il precedente d.m. 28settembre 2009 dovrebbe essere sostituito dall'odierno schema.

Una tale precisazione consentirebbe, infatti, di fugare ogni dubbio inordine alla disciplina, anche relativa al trattamento dei dati personali,applicabile alle varie fattispecie.

IL GARANTE

esprime parere favorevole sullo schema di decreto del Ministrodell'interno – da emanarsi di concerto con il Ministro dell'economia edelle finanze e il Ministro della pubblica amministrazione e per lasemplificazione - recante "Regole tecniche e di sicurezza relative alpermesso di soggiorno conforme al Regolamento (CE) n. 1030/2002 come modificatodal Regolamento (CE) n. 380/2008", con la seguente raccomandazione:

- valuti l'Amministrazione l'opportunità di inserire nelloschema di decreto una norma idonea a individuare meglio la disciplinaapplicabile, chiarendo espressamente il rapporto tra lo schema di decreto e ilprecedente decreto 28 settembre 2009.

Roma, 5 giugno 2012

Il presidente
Pizzetti

Il relatore
Fortunato

Il segretario generale
De Paoli