| Garante per la protezione dei dati personali Nella riunione odierna, inpresenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini,vice presidente, della prof.ssa Licia Califano e della dott.ssa GiovannaBianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale; Vista la richiesta diparere della Presidenza del Consiglio dei Ministri; Visto il decretolegislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezionedei dati personali; Vista la legge 6 agosto2013, n. 96; Vista la documentazione inatti; Viste le osservazionidell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000; Relatore il dott. AntonelloSoro; La Presidenza del Consigliodei Ministri – Dipartimento per gli affari giuridici e legislativi harichiesto il parere del Garante in ordine a uno schema di decreto legislativoper il recepimento della direttiva europea 2011/82/UE del Parlamento europeo edel Consiglio, del 25 ottobre 2011, intesa ad agevolare lo scambiotransfrontaliero di informazioni sulle infrazioni in materia di sicurezzastradale. Il provvedimento è adottatoai sensi della legge 6 agosto 2013, n. 96, recante delega al Governo per ilrecepimento delle direttive europee e l'attuazione di altri atti dell'Unioneeuropea (legge di delegazione europea 2013), ed in particolare dell'articolo 1e dell'allegato B. Lo schema è statopredisposto all'esito dei lavori di un apposito tavolo tecnico, istituitopresso la Presidenza del Consiglio dei Ministri-Settore legislativo delMinistro per gli affari europei, cui ha fornito il proprio contributo, arichiesta, anche l'Ufficio del Garante. 1. Il quadro normativoeuropeo. 1.1. Il decreto è volto aconsentire lo scambio fra Paesi appartenenti all'Unione europea (di seguito"UE") delle informazioni relative ai veicoli (e al rispettivoproprietario o intestatario) con i quali è stata commessa una delle ottoinfrazioni stradali specificamente individuate nella direttiva stessa, qualorail veicolo sia immatricolato in uno Stato membro diverso da quello in cui ècommessa l'infrazione. La direttiva prevedeespressamente che ai dati personali trattati nel suo ambito si applicano ledisposizioni in materia di protezione dei dati personali contenute nellaDecisione quadro 2008/977/GAI del Consiglio concernente la cooperazionegiudiziaria e di polizia in materia penale (di seguito "Decisionequadro"), nonché le "pertinenti" analoghe disposizioni contenutenelle Decisioni 2008/615/GAI e 2008/616/GAI del Consiglio sul potenziamentodella cooperazione transfrontaliera, soprattutto nella lotta al terrorismo ealla criminalità transfrontaliera, che disciplinano anche lo scambio di dati diimmatricolazione dei veicoli (di seguito "decisioni di Prüm") (art. 7direttiva). Tali decisioni GAI, com'ènoto, non risultano ancora attuate in Italia malgrado le ripetutesollecitazioni dell'Autorità specie con riferimento alla Decisione quadro.
Inproposito, il Garante in data 12 ottobre 2012 ha segnalato al Governo e alParlamento -in relazione al disegno di legge di ratifica dell'Accordo Italia -U.S.A. sul rafforzamento della cooperazione nella prevenzione e lotta alleforme gravi di criminalità- la necessità di dare attuazione alla normativa suitrattamenti effettuati per finalità di giustizia e di polizia (decreti deiministeri della Giustizia e dell'Interno ai sensi degli articoli 46, 49, 53 e57 del Codice). Successivamente, l'Autoritàha sensibilizzato gli uffici legislativi dei dicasteri della Giustizia,dell'Interno, degli Affari esteri e del Ministro degli affari europei perl'attuazione della Decisione quadro, anche al fine di inserirla nel disegno dilegge di delegazione europea 2013-bis, all'epoca in preparazione. Il disegno dilegge di delega al Governo per il recepimento delle direttive europee el'attuazione di altri atti dell'Unione europea - Legge di delegazione europea2013 - secondo semestre, presentato recentemente in Parlamento, non reca, però,la Decisione quadro fra gli atti cui dare attuazione. Il Garante cogliel'occasione del presente parere per richiamare ancora una volta l'attenzionedel Governo sulla necessità di assicurare la dovuta attuazione alle predettedecisioni GAI. 1.2. Il richiamo contenutonella direttiva europea rende però necessario assicurare, intanto, alledecisioni GAI (la Decisione quadro e le due di Prüm), una prima attuazione,seppure limitatamente alla materia dello scambio transfrontaliero diinformazioni sulle infrazioni stradali, al fine di evitare l'instaurazione diprocedure d'infrazione contro l'Italia per mancato recepimento della direttivastessa. Al riguardo, l'Ufficio delGarante, in apertura dei lavori del tavolo tecnico, pur consapevole dellanecessità di recepire la direttiva, ha segnalato alla Presidenza del Consigliodei ministri la complessità ed i rischi di una "attuazione parziale"delle tre decisioni. La complessità discendeprimariamente dalla necessità di adattare le disposizioni in materia diprotezione dei dati personali, inclusa la sicurezza dei dati e dei sistemi,contenute nelle decisioni, al solo specifico scambio di dati fra autoritàcompetenti in materia di infrazioni stradali regolato nella direttiva. Le predette disposizionidelle decisioni, infatti, sono state concepite con riferimento al trattamentodi dati oggetto di scambio fra autorità competenti nei Paesi UE, edeventualmente in Paesi terzi, per ogni possibile tipologia di cooperazionegiudiziaria e di polizia in materia penale (Decisione quadro) ovvero, piùspecificatamente nel quadro di un potenziamento della cooperazione nella lottaal terrorismo ed alla criminalità transfrontaliera, anche mediante accesso adaltri tipi di informazioni, quali quelle relative al DNA ed alle improntedigitali (decisioni di "Prüm") . 2. Le procedure per loscambio transfrontaliero di informazioni. Il titolo I dello schema didecreto reca disposizioni per l'accesso e lo scambio delle informazioni tral'Italia e gli altri Stati membri dell'UE, sulle otto infrazioni in materia disicurezza stradale specificamente indicate, quando queste siano commesse con unveicolo immatricolato in uno Stato membro diverso da quello in cui è statacommessa l'infrazione (artt. 1 e 2). L'articolo 4 disciplina laprocedura per lo scambio delle informazioni, stabilendo innanzitutto che ilpunto di contatto nazionale individuato dall'Italia (la Direzione Generaledella Motorizzazione del Dipartimento per i trasporti, la navigazione ed isistemi informativi e statistici del Ministero delle Infrastrutture e deiTrasporti infra "Motorizzazione") deve garantire ai punti di contattodegli altri Stati membri la "consultazione automatizzata" ai datinazionali di immatricolazione dei veicoli (dati dei veicoli e dati relativi aiproprietari o agli intestatari dei veicoli) contenuti nell'Archivio nazionaledei veicoli di cui all'articolo 226, comma 5, del decreto legislativo 30 aprile1992, n. 285, di seguito "Codice della strada". Per"consultazione automatizzata" si intende la procedura di accesso"on line" per la consultazione delle banche dati nazionali. Analogamente, gli"organi accertatori" (organi preposti ai servizi di polizia stradalidi cui all'articolo 12 del Codice della strada) trasmettono telematicamentealla Motorizzazione le richieste di dati relativi ai veicoli ed a quelliriguardanti i proprietari o gli intestatari di veicoli immatricolati neglialtri Stati della UE. La Motorizzazione inoltra tali richieste al punto dicontatto nazionale dello Stato membro interessato, attraverso consultazioniautomatizzate, e fornisce le informazioni ottenute all'organo accertatorerichiedente. I dati oggetto di scambiofra gli Stati membri sono individuati nell'allegato I dello schema di decreto,redatto in conformità a quanto previsto dalla direttiva. Le consultazioniautomatizzate - che avvengono mediante utilizzo del numero completo della targadi immatricolazione del veicolo - sono effettuate nel rispetto delle proceduredescritte nel capo 3 dell'allegato della decisione di Prüm 2008/616/GAI, cui loschema di decreto rinvia espressamente. La Motorizzazione, inqualità di punto di contatto nazionale, adotta tutte le misure necessarie perassicurare che lo scambio di informazioni con gli altri Stati membri siaeffettuato con mezzi elettronici interoperabili. Lo scambio di informazioniavviene mediante l'infrastruttura di rete per le comunicazioni transeuropee didati tra amministrazioni della UE (rete s-Testa) e attraverso l'usodell'applicazione informatica messa a disposizione sulla piattaformaEUCARIS appositamente prevista per le finalità di cui all'articolo 12 delladecisione di Prüm 2008/615/GAI (scambio di dati relativi a veicoli). Infine, l'articolo 6disciplina le modalità di informazione delle persone interessate (ilproprietario, l'intestatario del veicolo o la persona altrimenti individuataquale autore dell'infrazione) sul procedimento avviato per le infrazionicommesse in materia di sicurezza stradale ("lettera di informazione",allegato II allo schema di decreto). 3. Le disposizioni inmateria di protezione dei dati personali. Lo schema di decretointroduce, poi, importanti disposizioni per la protezione dei dati personalioggetto di scambio transfrontaliero in materia di infrazioni stradali (titoloII), risultate necessarie per dare attuazione alla Decisione quadro e alleDecisioni di Prüm in relazione ad aspetti non disciplinati dalla normativavigente e in particolare dal decreto legislativo 30 giugno 2003, n. 196,recante il Codice in materia di protezione dei dati personali (infra Codice). Tali disposizioni siapplicano esclusivamente ai dati personali trattati ai sensi del presentedecreto dagli organismi indicati nello stesso, vale a dire dallaMotorizzazione, punto di contatto nazionale per l'Italia per l'applicazionedella direttiva (titolare di tutti i trattamenti di dati effettuati per lefinalità del decreto) e dagli "organi accertatori" (titolari deltrattamento dei dati necessari ad accertare le responsabilità per le infrazionicommesse in Italia con veicoli immatricolati in altri Stati dell'UE) (art. 7). In tema di qualità deidati, lo schema di decreto introduce l'obbligo per la Motorizzazione diinformare quanto prima il punto di contatto nazionale dell'altro Stato membroove risulti che siano stati ad esso comunicati dati inesatti e - di converso -se ha motivo di ritenere che i dati ricevuti siano inesatti (art. 8). Nel rispetto del principiodi "conservazione temporanea" dei dati personali, (art. 11, comma 1,lett. e), del Codice) la Motorizzazione è tenuta a individuare adeguati terminiper la cancellazione dei dati personali trattati in applicazione del decreto,nonché per un esame periodico della necessità di conservazione dei dati stessi,e deve adottare misure tecniche e procedurali che garantiscano che tali terminisiano rispettati. All'atto dellacomunicazione dei dati all'estero, la Motorizzazione può indicare al punto dicontatto nazionale dell'altro Stato membro i termini della loro conservazionee, analogamente, nei casi in cui il punto di contatto di un altro Stato membroabbia indicato termini per la conservazione dei dati comunicati, laMotorizzazione ne informa quanto prima gli organi accertatori i quali, allascadenza, devono cancellare i dati, salvo che siano necessari per losvolgimento del procedimento di infrazione in corso, per l'accertamento direati o per l'esecuzione di sanzioni (art. 9). Di particolare importanza èl'articolo 10 dello schema che attribuisce all'interessato (che può essereanche il cittadino di un altro Stato UE, che ha commesso un'infrazione inItalia) due "nuovi" diritti e cioè il diritto di ottenere: a) che sia aggiunto un indicatoredi validità ai dati di cui l'interessato contesta l'esattezza e per i quali nonè possibile stabilire se siano corretti o inesatti (che potremmo definire, persemplificare, "diritto di flag"); b) che i dati non venganocancellati ma solo conservati temporaneamente se vi sono fondati motivi diritenere che la cancellazione possa compromettere un proprio legittimointeresse; i dati così conservati sono trattati ulteriormente solo per lo scopoche ha impedito la loro cancellazione. Tali diritti sonoesercitati con le modalità previste dal Codice e sono tutelati mediante ricorsoal Garante o all'autorità giudiziaria. L'indicatore di validità (flag) puòessere tolto anche a richiesta o con il consenso dell'interessato. Inoltre, ai sensidell'articolo 11 dello schema, l'interessato ha diritto di ottenereinformazioni dalla Motorizzazione in merito a quali dati sono stati comunicatial punto di contatto nazionale dello Stato membro in cui ha commessol'infrazione, ivi comprese la data della richiesta e l'autorità che l'ha effettuata,a meno che tale punto di contatto non abbia chiesto di non informarel'interessato in conformità alla legislazione di quello Stato. Analogamente, laMotorizzazione può chiedere al punto di contatto dello Stato membro diimmatricolazione di non informare l'interessato della comunicazione dei datinei casi in cui la normativa italiana lo consenta. I dati ricevuti dall'esteropossono essere comunicati dalla Motorizzazione e dagli organi accertatori asoggetti privati solo nei casi previsti dalla legge, unitamenteall'informazione sulle finalità per le quali i dati stessi possono essereutilizzati (art. 13). Per quanto riguarda lasicurezza dei dati e dei sistemi, lo schema di decreto prevede che laMotorizzazione e gli organi accertatori, per quanto di rispettiva competenza,nell'ambito delle più ampie misure di sicurezza previste dal Codice, provvedanoa che le comunicazioni di dati effettuate in applicazione del presente decretosiano registrate in appositi file di log ai fini della verifica della liceitàdel trattamento dei dati (art. 14). Infine, lo schema, inottemperanza a quanto previsto espressamente dalla Decisione quadro, designa ilGarante quale autorità nazionale preposta al controllo sui trattamenti dei datipersonali effettuati in applicazione del decreto, controllo da esercitare neimodi previsti dal Codice (art. 15). Come già evidenziato sopra,lo schema è stato predisposto all'esito dei lavori di un apposito tavolotecnico, istituito presso la Presidenza del Consiglio dei Ministri-Settorelegislativo del Ministro per gli affari europei, cui ha fornito il propriocontributo anche l'Ufficio del Garante, in particolare per quanto riguarda gliaspetti di protezione dei dati personali. Le disposizioni in materiadi protezione dei dati contenute nel titolo II del decreto, introdotte nelcorso dei lavori per la redazione dello schema, non presentano profili dicriticità, e pertanto il Garante non ha osservazioni da formulare sull'odiernoschema di decreto. esprime parere favorevolesullo schema di decreto legislativo per il recepimento della direttiva europea2011/82/UE del Parlamento europeo e del Consiglio, del 25 ottobre 2011, intesaad agevolare lo scambio transfrontaliero di informazioni sulle infrazioni inmateria di sicurezza stradale. Roma, 9 gennaio 2014
|