| Garante per la protezione dei dati personali Parere del Garante su uno schema didecreto dirigenziale recante regole procedurali di carattere tecnico operativoper l'attuazione del sistema di interconnessione tra il sistema informativo delcasellario (SIC) e il sistema integrato dell'esecuzione e della sorveglianza(SIES) PROVVEDIMENTO DEL 18 APRILE 2013 Registro dei provvedimenti n. 198 del 18 aprile 2013 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale; Vistala richiesta di parere del Ministero della giustizia; Vistol'articolo 154, commi 4 e 5, del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196); Vistala documentazione in atti; Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; Relatorela dott.ssa Augusta Iannini; PREMESSO IlMinistero della Giustizia ha richiesto il parere del Garante su uno schema didecreto dirigenziale recante regole procedurali di carattere tecnico operativoper l'attuazione del sistema di interconnessione tra il sistema informativo delcasellario (SIC) e il sistema integrato dell'esecuzione e della sorveglianza(SIES). L'articolo18 del decreto direttoriale 25 gennaio 2007 – concernente regoleprocedurali di carattere tecnico operativo per l'attuazione del D.P.R. 14novembre 2002, n. 313, recante il testo unico in materia di casellariogiudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e deirelativi carichi pendenti (infra T.U.) - detta disposizioni transitorie inmateria di iscrizione dei provvedimenti nel casellario giudiziale. Sullo schemadi tale decreto il Garante ha reso a suo tempo parere (18 gennaio 2007). Inparticolare, il comma 3 di tale articolo 18, disciplina in via transitoria lemodalità di inserimento dei dati nel sistema, "in considerazione della noncompleta operatività del sistema di interconnessione tra le diversearticolazioni degli uffici giudiziari e le altre pubbliche amministrazioni edin attesa dell'integrazione tra i sistemi SIES (Sistema Integrato Esecuzione eSorveglianza) e Casellario". L'odiernodecreto intende superare, appunto, tale fase transitoria e in tal sensodisciplina le modalità di interconnessione e di integrazione del SIES con ilsistema informativo del Casellario giudiziale centrale (SIC) per garantire ilnecessario scambio di informazioni. RILEVATO Loschema di decreto dirigenziale in esame determina le modalità tecnico operativevolte a consentire l'acquisizione al sistema informativo del casellario (SIC)dei provvedimenti giudiziari emessi dalla magistratura di sorveglianza gestitidal sistema informativo uffici di sorveglianza (SIUS), dei quali si prevedel'iscrizione nel casellario giudiziale ai sensi dell'articolo 3 del T.U., oltreche le modalità attraverso cui rendere possibile l'acquisizione automaticanonché l'aggiornamento da parte degli uffici del pubblico ministero collegatial sistema informativo esecuzioni penali (SIEP), dei titoli esecutivi iscrittinel SIC (art. 1, comma 1, dello schema di decreto). Loschema definisce il SIC come sistema informativo automatizzato del casellariogiudiziale, del casellario dei carichi pendenti, dell'anagrafe delle sanzioniamministrative dipendenti da reato, dell'anagrafe dei carichi pendenti degliilleciti amministrativi dipendenti da reato, il cui controllo e la cui gestionesono demandati all'ufficio del casellario centrale (art. 19 T.U.). Lesuddette attività di trasmissione e acquisizione dei provvedimenti giudiziaricitati avvengono mediante un sistema di interconnessione tra il SIC e ilSIES (Sistema informativo dell'esecuzione penale, di cui fanno parte il SIUS eil SIEP), presenti all'interno del dominio giustizia, realizzato conformementealle regole tecniche e nel rispetto degli standard e delle regoledell'infrastruttura della sicurezza predisposte dal Ministero della Giustizia.L'interconnessione avviene tramite protocollo SSL e l'utilizzo di certificatidi firma digitale necessari per la mutua autenticazione (art. 1, comma 2, delloschema). Loschema di decreto in oggetto prevede che ai sensi dell'articolo 15 del T.U.siano attribuite al Tribunale e all'Ufficio di sorveglianza e agli uffici delpubblico ministero, le funzioni di ufficio di iscrizione SIUS/SIEP (art.1, comma 1, lett. g), ricordando che in capo ai medesimi è inoltre riconosciutala competenza in ordine alle attività necessarie per l'eventuale gestione deiprovvedimenti giudiziari direttamente sul SIC; in particolare, si precisa chela fruizione dell'interconnessione tra i sistemi SIC e SIES dovrà avveniremediante l'utilizzo delle infrastrutture tecnologiche predisposte dallaDirezione generale per i sistemi informativi automatizzati del Ministero dellagiustizia (art. 1, commi 3 e 4 dello schema). Quantoai soggetti cui è demandato il trattamento dei dati personali, lo schema didecreto dirigenziale designa come titolare del trattamento il Ministero dellaGiustizia- Dipartimento per gli affari di giustizia, in seno al quale èistituto l'ufficio centrale, per quanto riguarda il SIC, nonchè il Ministerodella Giustizia-Dipartimento per l'organizzazione giudiziaria, del personale edei servizi, nell'ambito del quale è istituita la direzione generale per isistemi informativi automatizzati, per quanto attiene, invece, al SIES(articolo 1, comma 5). Loschema definisce, inoltre, il "sistema SIES", come sistemainformativo dell'esecuzione penale, congegnato dalla Direzione generale deisistemi informativi automatizzati del Ministero della Giustizia perinformatizzare ogni attività inerente all'esecuzione dei provvedimentigiudiziari delle Procure, dei Tribunali di sorveglianza, degli Uffici disorveglianza, nonché degli uffici del giudice dell'esecuzione, specificandoulteriormente che il suddetto sistema si articola nel Sistema informativoesecuzioni penali (SIEP), nel Sistema informativo uffici di sorveglianza(SIUS), e nel Sistema informativo giudice dell'esecuzione (SIGE) (art. 2 delloschema). Viene,poi, precisato che il "sistema di interconnessione SIC/SIES",precedentemente menzionato, consiste nell'insieme del software, hardware e retidi trasmissione che collegano i sistemi SIC e il sistema SIES (sottosistemiSIEP e SIUS) situati all'interno del dominio giustizia. Infine,per utente SIUS/SIEP s'intende l'utente autorizzato dall'ufficio giudiziario adaccedere al sistema SIUS o SIEP e abilitato ad effettuare le operazioni di cuial presente decreto. Loschema di decreto descrive il funzionamento del sistema di interconnessioneSIC/SIUS, prescrivendo che il Tribunale e l'Ufficio di sorveglianza trasmettanoal sistema SIC, direttamente dal SIUS ed in tempo reale, i provvedimentigiudiziari di propria competenza, avvalendosi di un servizio web ad hoc, ilquale provvederà all'iscrizione dei provvedimenti nella banca dati delcasellario giudiziale, a restituire l'esito dell'operazione; in caso positivo,il servizio trasmette al sistema SIUS i dati relativi alle generalità delsoggetto, al provvedimento giudiziario trasmesso, al procedimento SIUS (numeroe anno), al titolo esecutivo, nonché, anche a fini di controllo, l'estratto delprovvedimento iscritto ai sensi dell'art. 4 del T.U. (art.3, comma 1 delloschema) Loschema precisa che "condicio sine qua non" della trasmissione di taliprovvedimenti dal SIUS al SIC è la presenza sul SIC medesimo sia del soggettosia del titolo esecutivo, prevedendo, al contempo, appositi controlliautomatici in grado di evidenziare eventuali difformità trasmettendole alsistema SIUS con segnalazioni ad hoc. Inoltre, il decreto prescrive che sulportale del casellario siano pubblicate le tabelle con l'elenco analitico ditutti i provvedimenti giudiziari di sorveglianza che costituiranno oggetto ditrasmissione tra i citati sistemi, chiarendosi che qualsivoglia tentativo diinviare provvedimenti ulteriori rispetto a quelli presenti nella suddettatabella sarà rifiutato con una segnalazione in tal senso (art. 3, commi 2, 3 e4 dello schema). Latrasmissione diretta dal SIUS al SIC dei provvedimenti giudiziari dellamagistratura di sorveglianza è consentita secondo due diverse modalità: a)servizio in cooperazione applicativa tramite la tecnologia cosidetta WebService; b) servizio applicativo di interoperabilità, denominato"WEB/SIC-SIES"(art. 4 dello schema). Sispecifica altresì, che per "modulo WEB/SIC-SIES "si intende indicarel'applicazione che consente in via diretta ai sistemi principali (SIEP e SIUS)la consultazione della banca dati del sistema del casellario, limitatamenteall'espletamento delle esigenze descritte dal decreto in oggetto. Loschema di decreto dirigenziale prescrive, altresì, i compiti affidati agliuffici di iscrizione del Tribunale di sorveglianza e dell'ufficio disorveglianza collegati al SIUS, quali, tra gli altri, il trasferimento deiprovvedimenti definitivi dal SIUS al SIC, la trasmissione al sistema SIC degliaggiornamenti effettuati sul sistema SIUS, la gestione dei casi di rifiuto deltrasferimento a causa della mancanza sul SIC del soggetto e/o del titoloesecutivo, e la gestione dei casi di segnalazione di errori riscontrati dal SIC(art. 7 dello schema). Infine,lo schema di decreto detta le diposizioni transitorie in materia di iscrizionesul SIC dei provvedimenti della magistratura della sorveglianza non gestibiliancora tramite il sistema di interconnessione SIC/SIUS (art. 8 dello schema). Inordine all'interconnessione tra il sistema SIC e il sistema SIEP, lo schema didecreto prevede che l'acquisizione automatica dei titoli esecutivi dal SIC daparte degli uffici del pubblico ministero collegati al SIEP, oltre chel'eventuale aggiornamento di quelli non presenti sul SIC medesimo avviene, intempo reale, mediante il sistema di interconnessione SIC/SIES (con le stessemodalità di cui all'art. 4), specificandosi altresì che per tali attività verràutilizzato un servizio applicativo di interoperabilità denominato"WEB/SIC-SIES" attraverso il quale l'utente SIEP ricerca ilprovvedimento giudiziario sul sistema SIC e provvede a confermare iltrasferimento dal sistema SIC al sistema SIEP; il sistema SIEP provvedeimmediatamente a iscrivere i dati del titolo esecutivo sul registroinformatizzato dell'esecuzione e ad assegnare il relativo numero di registro(art. 9, commi 1 e 2 dello schema). Invece,nel caso in cui il titolo esecutivo non sia presente sul SIC, l'utente SIEPdovrà trasferire lo stesso da SIEP a SIC, il quale verrà trasmesso a titolo di"provvedimento provvisorio" sollecitando l'iscrizione all'ufficioiscrizione competente; l'acquisizione di tali provvedimenti, consentita per isoggetti che non hanno precedenti penali, comporta l'acquisizione provvisoriadei dati anagrafici (c.d. soggetto provvisorio) (art. 9, comma 3 dello schemadi decreto). Leultime disposizioni dello schema di decreto sono dedicate alle modalità per larichiesta di accesso e attivazione sul SIC da parte degli uffici giudiziari ealle politiche di sicurezza. Sottoquest'ultimo profilo, lo schema di decreto stabilisce, in particolare, chel'ufficio giudiziario interessato definisca i corrispondenti livelli divisibilità e operatività, sulla base di profili di autorizzazione e dicredenziali di autenticazione abbinate ad un codice identificativo e ad unaparola chiave, posseduta dall'utente e per suo esclusivo utilizzo, assumendosila responsabilità in ordine alla gestione e all'utilizzo degli accessi alproprio sistema, nonché in ordine al trattamento dei relativi dati personali(art. 12, comma 1 e 2 dello schema). RITENUTO Loschema di decreto contiene regole procedurali di carattere tecnico operativoper l'interconnessione tra il SIC e il SIES, in conformità alle regole disicurezza prescritte dal decreto 25 gennaio 2007 recante regole procedurali dicarattere tecnico operativo per l'attuazione del D.P.R. 14 novembre 2002, n. 313,sul cui schema il Garante ha reso a suo tempo parere (parere 18 gennaio 2007). Inoltreil Garante ha reso recentemente parere sullo schema di decreto dirigenzialerelativo alla consultazione diretta del SIC (Sistema Informativo delCasellario) da parte delle amministrazioni pubbliche e dei gestori di pubbliciservizi ai sensi dell'articolo 39 del d.P.R. 14 novembre 2002, n. 313 (parere11 ottobre 2012). Laversione dello schema di decreto in esame tiene conto degli approfondimenti edelle indicazioni suggeriti dall'Ufficio del Garante ai competenti uffici delMinistero della Giustizia nel corso di contatti informali, volti a perfezionareil testo e a rendere conformi alla disciplina in materia di protezione dei datipersonali i trattamenti previsti dallo schema di provvedimento. Leosservazioni dell'Ufficio hanno riguardato, in particolare, le politiche disicurezza da adottare al fine di esplicitare, non solo le opportune cautelenella creazione dell'account dell'utente, ma anche la registrazione delleoperazioni effettuate. Leosservazioni sono state integralmente recepite dall'Amministrazioneinteressata, tanto che l'attuale comma 3 dell'articolo 12 dello schema prevedeche ogni qualvolta venga trasmesso o acquisito un provvedimento oppuresia effettuato l'accesso al servizio applicativo di interoperabilità("modulo WEB/SIC-SIES") da parte degli utenti dei sistemi SIUS eSIEP, il sistema del casellario assicura la registrazione automatica nelproprio sistema di autenticazione, se non già presente, dei dati relativiall'utente, l'assegnazione allo stesso di un codice univoco e la registrazionedelle operazioni effettuate. Inconclusione lo schema di decreto non presenta criticità sotto il profilo dellaprotezione dei dati personali e il Garante non ha osservazioni da formulare. IL GARANTE esprimeparere favorevole sullo schema di decreto dirigenziale recante regoleprocedurali di carattere tecnico operativo per l'attuazione del sistema diinterconnessione tra il sistema informativo del casellario (SIC) e il sistemaintegrato dell'esecuzione e della sorveglianza (SIES). Roma, 18 aprile 2013
|