| Garante per la protezione dei dati personali Parere su uno schema di regolamentorecante disposizioni sulle modalità di funzionamento, accesso, consultazione ecollegamento con il CED della Banca dati nazionale unica della documentazioneantimafia PROVVEDIMENTO DEL 30 GENNAIO 2014 Registro dei provvedimenti n. 39 del 30 gennaio 2014 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e delladott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale; Vistala richiesta di parere del Ministero dell'interno; Vistol'articolo 154, commi 4 e 5, del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196); Vistala documentazione in atti; Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; Relatoreil dott. Antonello Soro; PREMESSO IlMinistero dell'interno ha richiesto il parere del Garante in ordine a unoschema di regolamento recante "Disposizioni concernenti le modalità difunzionamento, accesso, consultazione e collegamento con il CED di cuiall'articolo 8 della legge 1 aprile 1981, n. 121, della Banca dati nazionaleunica della documentazione antimafia, istituita ai sensi dell'art. 96 deldecreto legislativo 6 settembre 2011, n. 159". Ilregolamento è emanato in attuazione dell'articolo 99, comma 1, del decretolegislativo 6 settembre 2011, n. 159 (infra "codice antimafia"), ilquale rimette ad uno o più regolamenti la disciplina delle modalità difunzionamento della predetta banca dati, dell'accesso da parte del personaledelle Forze di polizia e dell'amministrazione civile dell'interno, nonché dellaDirezione nazionale antimafia (infra DNA) per l'esercizio dei propri compitiistituzionali (art. 371-bis c.p.p.), dell'autenticazione, autorizzazione eregistrazione degli accessi e delle operazioni effettuate, della consultazionead opera dei soggetti previsti dalla legge e del collegamento con il Centroelaborazione dati interforze del Dipartimento della pubblica sicurezza(infra CED). RILEVATO Labanca dati nazionale unica della documentazione antimafia (infra "bancadati") è istituita per facilitare e razionalizzare il sistema di rilasciodella documentazione antimafia, cioè le "comunicazioni" e le"informazioni" antimafia, liberatorie e interdittive (artt. 96 e 98,comma 1, codice antimafia). L'articolo4 dello schema descrive le informazioni contenute nella banca dati. Inparticolare, oltre al numero di codice fiscale, di partita IVA e agli elementiidentificativi dell'impresa, la banca dati contiene, tra le altre cose, laspecificazione della tipologia e della natura della documentazione antimafia,nonché la data di rilascio di ciascun provvedimento e la prefettura competente.E' importante sottolineare che la disposizione normativa precisa che i datisono sottoposti a cifratura (art. 4, comma 5). Loschema di regolamento disciplina anche la conservazione dei dati contenuti neldata base, individuando specifici termini di conservazione differenziati pertipologie di informazioni (art. 5, comma 1). Di particolare importanza sotto ilprofilo della protezione dei dati personali è la previsione in base alla quale,decorso il relativo periodo di conservazione, i dati sono cancellati dallaprefettura competente, all'esito delle necessarie verifiche, laddove previste(art. 5, comma 2). Titolaredel trattamento dei dati contenuti nella banca dati è il Ministerodell'interno- Dipartimento per le politiche del personale dell'amministrazionecivile, presso cui è istituita, che ne assicura la gestione tecnica einformatica attraverso una sezione centrale e sezioni provinciali istituitepresso ogni Prefettura. La sezione centrale ha il compito di garantire lagestione tecnica ed informatica del sistema, assicurando, al contempo, lacontinuità operativa. La medesima sezione provvede inoltre a rilasciare lecredenziali di autenticazione. Nell'ambito dei predetti compiti, il dirigentedell'ufficio in cui è istituita la sezione centrale è il responsabile deltrattamento dei dati personali (art. 8). LaBanca dati è strutturata in due archivi magnetici, uno contenente ladocumentazione antimafia e l'altro gli accertamenti. Le operazioni ditrattamento elettronico dei dati possono essere effettuate solo attraversoterminali di collegamento alla banca dati attivati presso le Prefetture epresso i soggetti legittimati all'accesso e alla consultazione (art. 10). Sullabase di quanto previsto dalla normativa primaria (artt. 98, commi 2 e 3, e 99codice antimafia) l'articolo 6 dello schema disciplina la connessione, mediantecollegamenti telematici, della banca dati con altre banche dati. Sonoprevisti collegamenti, in particolare, con il CED, ai fini della verifica deidati necessari all'accertamento nei confronti dell'impresa dei requisiti per ilrilascio della documentazione antimafia previsti dalla legge; con il sistemainformatico costituito presso la DIA, relativamente ai dati acquisiti nel corsodegli accessi e degli accertamenti nei cantieri (comma 1); con il casellarioinformatico istituito presso l'osservatorio dei contratti pubblici all'internodell'Autorità per la vigilanza sui contratti pubblici di lavori, servizi eforniture nonché con la banca dati nazionale dei contratti pubblici e con isistemi informativi delle Camere di commercio, ai fini del rilascio delladocumentazione antimafia e in relazione ai dati e alle informazionispecificamente indicate (comma 2). E'inoltre prevista la possibilità di attivare collegamenti telematici con ilsistema informativo del casellario giudiziale del Ministero della giustizia econ l'Anagrafe nazionale della popolazione residente, limitatamente, inquest'ultimo caso, al riscontro e all'accertamento delle generalità deifamiliari conviventi residenti nel territorio dello Stato dei soggettisottoposti alla verifica antimafia (comma 3). Ilcollegamento tra la Banca dati nazionale e il CED avviene attraverso webservices messi a disposizione da quest'ultimo (art. 11). Ilcollegamento al sistema informatico costituito presso la DIA avviene secondo lemodalità di cui all'allegato 1 (art. 12, comma 1). Infine,il collegamento con gli altri sistemi informativi avviene sulla base dellastipula di apposita convenzione con i soggetti pubblici preso cui sonoistituiti. La convenzione, adottata in conformità al parere del Garante, anchesu schema-tipo, deve definire anche le misure di sicurezza per la realizzazionee il mantenimento in esercizio dei collegamenti, nel rispetto della disciplinarecata in materia dal Codice in materia di protezione dei dati personali di cuial decreto legislativo 30 giugno 2003, n. 196 (infra Codice) (art. 12, comma 2,dello schema). Leinterrogazioni della banca dati possono essere effettuate per finalità diaccesso, consultazione, immissione e aggiornamento dei dati. Ciascun tipo diinterrogazione (ad opera di soggetti determinati ai quali sono state rilasciatecredenziali di autenticazione) corrisponde a uno specifico profilo diautorizzazione ad operare sul sistema (art. 14 e all.3). Loschema di regolamento opportunamente prevede che i responsabili degli organi ouffici legittimati a interrogare la banca dati o le sezioni della stessa bancadati provvedano a verificare periodicamente che le operazioni di interrogazionesiano effettuate dal personale abilitato per le finalità previste dalla legge edal regolamento, e nel rispetto dei compiti specificamente assegnati (art. 27). Labanca dati è alimentata mediante l'"immissione" in essa dei datipertinenti e non eccedenti rispetto alle finalità per le quali la stessa è istituita(art. 2, comma 2, lett. c)), a cura del personale addetto agli uffici delleprefetture competenti al rilascio della documentazione antimafia autorizzatodal prefetto, o su sua delega, dal viceprefetto vicario (art. 16). Siprevede espressamente che le credenziali di autenticazione rilasciate devonoconsentire la registrazione delle singole operazioni eseguite (art. 16, comma2). Per "consultazione" si intende l'operazione che consente ai soggetti a ciòlegittimati dal codice antimafia (pubbliche amministrazioni, enti pubblici,enti vigilati, società controllate, concessionari di opere pubbliche,contraenti generali, camere di commercio e ordini professionali) di richiederee ottenere il rilascio della documentazione antimafia, senza il dettaglio deidati contenuti nella banca dati (art. 2, comma 2, lett. b)). Loschema di regolamento individua, in dettaglio, il personale dei soggettilegittimati a effettuare operazioni di consultazione e le relative modalità dicollegamento alla banca dati. Si tratta dei dipendenti dei predetti soggettipreventivamente individuati dai responsabili di uffici, legali rappresentantidi imprese o associazioni, ovvero dai presidenti delle Camere di Commercio edegli ordini professionali (art. 17). I soggetti interessati devono richiedere l'attivazione di appositi collegamenti con la banca dati, che sono attivati conle modalità e le garanzie di cui allegati 2 e 3 (art. 13, commi 1 e 2). Ilcapo V del regolamento disciplina le procedure per il rilascio delladocumentazione antimafia tramite la banca dati a richiesta dell'operatore ilquale, dopo aver superato la procedura di verifica delle credenziali diautenticazione, deve indicare la tipologia di documentazione antimafiarichiesta (art. 23). Conriferimento alla comunicazione antimafia, sulla base dei dati immessidall'operatore che effettua la consultazione, il sistema informativo dellabanca dati, se l'impresa è censita, verifica i dati esistenti nella stessabanca dati o in altre banche dati collegate. Il sistema rilascia quellaliberatoria ai sensi dell'art. 88, comma 1, del codice antimafia, qualora nonrilevino a carico dell'impresa censita cause di divieto, sospensione o decadenzadi cui all'articolo 67 del medesimo codice (art. 24, comma 1). Qualora,invece, emergano a carico dell'impresa censita cause di divieto, sospensione odecadenza ovvero una documentazione antimafia interdittiva valida, laprefettura accerta la situazione aggiornata per emanare il provvedimento finaleossia a seconda dei casi la comunicazione antimafia interdittiva o liberatoria(art. 24, commi 2 e 4). Allo stesso modo, se l'impresa non è censita dalsistema, la Prefettura provvede alle predette verifiche (art. 24, comma 5). Corrispondentemente,l'informazione antimafia liberatoria è rilasciata ai sensi dell'articolo 92,comma 1, del codice antimafia, qualora non emergano i motivi ostativi previstidal codice antimafia o dal regolamento (tentativi di infiltrazione mafiosa dicui all'art. 84, comma 4, lettere a) e b) del codice antimafia; art. 4, comma3, lettere a), b), c) e d) del presente schema) (art. 25, comma 1). Qualora,invece, emergano a carico dell'impresa censita i predetti dati, la prefettura,esperiti i necessari accertamenti, adotta il provvedimento finale (art. 25,commi 3 e 5). Parimenti, se l'impresa non è censita dal sistema, la Prefetturaprovvede alle predette verifiche (art. 25, comma 6). Aifini di aggiornamento, la banca dati comunica, per via telematica, giornalmentealle Prefetture il riepilogo di comunicazioni e informazioni antimafialiberatorie, nonché l'elenco delle imprese nei cui confronti gli accertamentisono stati effettuati da più di un anno dal rilascio automatico della documentazioneantimafia. La Prefettura rinnova quindi le verifiche nei confronti dellepredette imprese e eventualmente adotta provvedimenti interdittivi (art. 26). Idati conservati nella banca dati possono essere trattati per finalità dirilascio della documentazione antimafia (art. 3, comma 1). Inoltre,possono essere trattati anche per finalità di applicazione della normativaantimafia ovvero per scopi statistici, ma solo da determinati soggettiespressamente individuati dal regolamento e nell'ambito delle rispettiveattribuzioni (art. 3, comma 2). Tali soggetti sono: alcuni uffici delDipartimento della pubblica sicurezza del Ministero dell'interno, leprefetture, gli uffici delle Forze di polizia, la struttura tecnica del Comitatodi coordinamento per l'alta sorveglianza delle grandi opere (CCASGO). Infine,tali dati possono essere trattati dalla DNA per le finalità di cui all'art.371-bis c.p.p. sulle attività di coordinamento del procuratore nazionaleantimafia. Per consentire tali trattamenti lo schema di regolamentodisciplina l"accesso" alla banca dati, vale a dire l'operazione checonsente ai soggetti legittimati di acquisire conoscenza dei dati conservatinella banca dati (art. 2, comma 2, lett. a)). L'articolo15 individua poi con maggior dettaglio il personale dei predetti ufficiabilitato all'accesso. In particolare, il personale delle Forze di polizia haaccesso attraverso il collegamento con il CED secondo le modalità di cuiall'allegato 4 recante la relativa procedura (art. 15, comma 2). Loschema disciplina infine le modalità dei collegamenti alla banca dati deisoggetti legittimati a effettuare operazioni di accesso, prevedendo un'appositarichiesta di attivazione alle sezioni della banca dati (art. 13, comma 3); anchenella fattispecie, per l'effettuazione delle predette operazioni è necessariopossedere le credenziali di autenticazione secondo le modalità previstedall'allegato 2 a cui è associato un determinato profilo di autorizzazione(art. 18, commi 1 e 3). E'importante sottolineare che, al fine di verificare la liceità dei predettiaccessi e trattamenti, la banca dati conserva la registrazione delleinterrogazioni identificando l'operatore (art. 3, comma 4). Comegià anticipato sopra tutti i dati conservati nella banca dati sono sottoposti aprocedura di cifratura. Lasezione II del capo IV dello schema disciplina, poi, le caratteristiche e lemodalità di rilascio delle credenziali di autenticazione al sistema. Pereffettuare le operazioni di consultazione, accesso, immissione e aggiornamentodei dati i soggetti legittimati devono preventivamente munirsi dellecredenziali di autenticazione e del certificato abilitante l'attivazione delcollegamento alla VPN in modo da connettersi in sicurezza alla banca dati (art.18). Lespecifiche caratteristiche dei collegamenti sono individuate nei disciplinaritecnici di cui agli allegati 2 e 3. Labanca dati, infine, conserva la registrazione delle interrogazioni eseguite. L'articolo28 dello schema di regolamento disciplina la procedura di aggiornamento delleinformazioni conservate nella banca dati a cura della stessa impresainteressata. Siprevede, in particolare, che l'impresa alla quale si riferiscono i dati possachiedere alla sezione centrale della banca dati se esistano informazioni che lariguardano, la loro comunicazione in forma intellegibile e, ove risultinotrattati in violazione di disposizioni di legge o di regolamento, la lorocancellazione. Unaapposita commissione istituita presso la sezione centrale della banca dati,esperiti i necessari accertamenti, comunica al richiedente le determinazioniadottate; può omettere di provvedere sulla richiesta se ciò può pregiudicareoperazioni a tutela della sicurezza pubblica o di prevenzione e repressione deireati. In tal caso, la disposizione normativa prevede che la commissionene dia informazione al Garante. CONSIDERATO Ilparere è reso su di una versione dello schema di regolamento che tiene contodegli approfondimenti e delle indicazioni suggeriti dall'Ufficio del Garante aicompetenti uffici dell'Amministrazione interessata nel corso di più riunioni econtatti informali, volti a perfezionare il testo e a renderlo pienamenteconforme alla disciplina in materia di protezione dei dati personali. Leosservazioni dell'Ufficio hanno riguardato, in particolare, le finalità deltrattamento dei dati (art. 3), la specificazione delle banche dati oggetto dicollegamento (art. 6), una maggiore selettività degli accessi alla banca dati(artt. 3 e 15), l'obbligo di cancellazione dei dati alla scadenza del terminedi conservazione (art. 5), la previsione espressa del conforme parere delGarante sulle convenzioni destinate a disciplinare i collegamenti con alcunisistemi informativi (art. 12, comma 2,), l'aggiornamento della banca dati acura dell'impresa (art. 28). Le indicazioni rese sono state sostanzialmenterecepite nell'articolato. Loschema di regolamento sottoposto a parere non presenta, quindi, criticità sottoil profilo della protezione dei dati personali e, pertanto, il Garante non haosservazioni da formulare. Roma, 30 gennaio 2014
|