| Garante per la protezione dei dati personali Parere del Garante su uno schema diregolamento in materia di Anagrafe Nazionale della Popolazione Residente PROVVEDIMENTO DEL 17 APRILE 2014 Registro dei provvedimenti n. 202 del 17 aprile 2014 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e delladott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretariogenerale; VISTAla richiesta di parere del Ministero dell'interno; VISTOl'art. 154, comma 4 del Codice in materia di protezione dei dati personali(d.lgs. 30 giugno 2003, n. 196); VISTAla documentazione in atti; VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; RELATOREil dott. Antonello Soro; PREMESSO IlMinistero dell'interno ha richiesto il parere del Garante in ordine a unoschema di regolamento recante modalità di attuazione e di funzionamentodell'Anagrafe Nazionale della Popolazione Residente (di seguito: ANPR) edefinizione del piano per il graduale subentro dell'ANPR alle anagrafi dellapopolazione residente. L'ANPR,quale base di dati di interesse nazionale (art. 60 del decreto legislativo 7marzo 2005, n. 82, recante il Codice dell'amministrazione digitale, infra:CAD), subentra all'Indice Nazionale delle Anagrafi (INA), istituito ai sensidell'articolo 1, comma quinto, della legge 24 dicembre 1954, n. 1228 eall'Anagrafe degli Italiani Residenti all'Estero (AIRE), istituita ai sensidella legge 27 ottobre 1988, n. 470 (art. 62 CAD, come integralmente sostituitodall'articolo 2, comma 1, del decreto-legge 18 ottobre 2012, n. 179, convertitodalla legge 17 dicembre 2012, n. 221). Inoltre,"Šl'ANPR subentra altresì alle anagrafi della popolazione residente e deicittadini italiani residenti all'estero tenute dai comuni. Con il decreto dicui al comma 6 è definito un piano per il graduale subentro dell'ANPR allecitate anagrafi, da completare entro il 31 dicembre 2014Š" (art. 62, comma2, CAD). Aquest'ultimo proposito, con uno o più decreti del Presidente del Consiglio deiMinistri, acquisito il parere del Garante, sono stabiliti i tempi e le modalitàdi attuazione, anche con riferimento alle garanzie e alle misure di sicurezzada adottare nel trattamento dei dati personali, alle modalità e ai tempi diconservazione dei dati e all'accesso ai dati da parte delle pp. aa. per leproprie finalità istituzionali secondo le modalità di cui all'articolo 58 delmedesimo CAD (art. 62, comma 6, CAD). IlGarante ha già espresso, in data 24 aprile 2013, il parere di competenza su unoschema di d.P.C.M. recante disposizioni "di prima attuazione" diquanto sancito dal predetto articolo 62 del CAD. Tale schema precisava che consuccessivi decreti (da adottarsi ai sensi del medesimo articolo 62, comma 6),si sarebbero disciplinate le ulteriori modalità di attuazione delladisposizione normativa in questione, anche con riferimento al subentrodell'ANPR alle anagrafi comunali, alle relative misure di sicurezza e allespecifiche tecniche concernenti l'organizzazione e il flusso dei dati. IlGarante, nell'esprimere il parere sullo schema (poi approvato: d.P.C.M. 23agosto 2013, n. 109), si è riservato di valutare i sistemi e le misure disicurezza relativi alle successive fasi del progetto di attuazione dell'ANPR inoccasione dei pareri dell'Autorità sugli schemi di decreto previsti per ladisciplina di tali fasi e dei relativi profili di sicurezza dei dati. Loschema di decreto in esame rappresenta un passo ulteriore verso la completaattuazione della normativa in materia di ANPR, in particolare per quantoriguarda il subentro della anagrafe nazionale alle anagrafi comunali. RILEVATO Oggettodel regolamento è, secondo il dettato dell'articolo 1, comma 1, il piano per ilgraduale subentro dell'ANPR alle anagrafi della popolazione residente e deicittadini italiani residenti all'estero tenute dai Comuni, le garanzie e lemisure di sicurezza da adottare nel trattamento dei dati personali, i criteriper l'interoperabilità dell'ANPR con le altre banche dati di rilevanzanazionale e regionale, le modalità di conservazione dei dati e l'accesso aidati da parte delle pp. aa. per le proprie finalità istituzionali. Loschema trasmesso si compone di un articolato e di quattro allegati checostituiscono parte integrante del decreto. L'articolo2 disciplina il subentro dell'ANPR alle anagrafi tenute dai Comuni secondo unpiano e le modalità stabilite dall'allegato A; si precisa che il subentroriguarda anche le situazioni anagrafiche pregresse. Al riguardo, il Ministerodell'interno e l'Istat definiscono "standard e indicatori finalizzati amonitorare la qualità dei dati registrati nell'ANPR" (comma 3). L'articolo3 individua i dati contenuti nell'ANPR, mediante rinvio alle pertinentidisposizioni del regolamento anagrafico (d.P.R. 30 maggio 1989, n. 223), neidati del cittadino, della famiglia anagrafica e della convivenza, nonché neidati dei cittadini residenti all'estero e nel domicilio fiscale; il medesimoarticolo rinvia poi all'allegato B dello schema per l'individuazione dei"campi" relativi ai predetti dati. Ulteriori campi potranno essereindividuati con apposito decreto del Ministro dell'interno, sentito il Garante. L'articolo4 riguarda il trattamento dei dati contenuti nell'ANPR che –si specifica–deve avvenire secondo le modalità e le misure di sicurezza descrittenell'allegato C (comma 1). Titolaredel trattamento dei dati personali contenuti nell'ANPR è il Ministerodell'interno, nonché il sindaco, per le attribuzioni di propria competenza dicui all'articolo 54 del decreto legislativo 18 agosto 2000, n. 267, seppurlimitatamente alla registrazione dei dati (commi 2 e 3). Responsabile deltrattamento è, invece, la società di cui all'articolo 1, comma 306, della leggen. 228 del 2012 (comma 4). Loschema precisa, infine, che l'ANPR rende disponibili ai Comuni per i quali ècompletato il subentro e alle altre pubbliche amministrazioni, nonché agliorganismi che erogano pubblici servizi, per l'espletamento delle rispettivefunzioni, determinati servizi specificati nell'allegato D (artt. 5 e 6).Ulteriori servizi potranno essere resi disponibili dall'ANPR mediantesuccessivi decreti (art. 1, comma 2). Infine,l'articolo 7 prevede che il cittadino possa esercitare il diritto di accesso aipropri dati personali e gli altri diritti di cui all'articolo 7 del Codice inmateria di protezione dei dati personali di cui al decreto legislativo 30giugno 2003, n. 196 (di seguito: Codice), presso gli uffici anagrafici ovverotramite sito web dedicato, previa identificazione informatica e con modalitàsicure. RITENUTO Conl'istituzione dell'Anagrafe nazionale della popolazione residente, banca dati diinteresse nazionale (art. 60 del CAD), si è determinata la centralizzazionepresso il Ministero dell'interno di un numero cospicuo di informazionipersonali, attualmente registrate in distinte banche dati (anagrafi comunali). Lefinalità che appaiono sottese a tale progetto rispondono a riconosciute finalitàistituzionali; nondimeno, occorre assicurare un equo bilanciamento di taliesigenze con i diritti delle persone, assicurando un'adeguata protezione delleinformazioni registrate nell'anagrafe nazionale, anche sotto il profilo dellasicurezza dei dati e dei sistemi. Inragione della rilevanza che tale data base assume sotto il profilo dellaprotezione dei dati personali, il Garante riconnette particolare importanza alprocesso di attuazione dell'ANPR. Non a caso il legislatore, nell'istituirla,ha previsto la sottoposizione di tale banca dati ad un audit di sicurezza, daeffettuare con cadenza annuale e le cui risultanze devono essere inserite nellarelazione annuale del Garante (art. 62, comma 1, CAD). L'articolatorisponde, in larga parte, alle indicazioni rese, in via collaborativa,dall'Autorità all'esito di riunioni e contatti informali avuti con leamministrazioni interessate. Tuttavia, restano da perfezionare alcuni aspetti,in modo da rendere il testo pienamente conforme alla disciplina inmateria di protezione dei dati personali, secondo quanto appresso indicato. 1.1.Il regolamento anagrafico. Comegià rilevato sopra, l'articolo 3 dello schema individua i dati contenutinell'ANPR, fra gli altri, nei dati del cittadino, della famiglia anagrafica edella convivenza, mediante rinvio alle pertinenti disposizioni del regolamentoanagrafico (artt. 20, 21 e 22, d.P.R n. 223 del 1989). Alriguardo l'Autorità si riserva di fornire eventuali indicazioni circa iltrattamento di tali dati in occasione del parere che dovrà rendere sullo schemadi decreto per l'aggiornamento del predetto regolamento anagrafico, in fase dielaborazione presso il Ministero dell'interno. 1.2.Standard di qualità dei dati. Siè già visto come in relazione alla fase di subentro il Ministero dell'interno el'Istat definiscano "standard e indicatori finalizzati a monitorare laqualità dei dati registrati nell'ANPR" (art. 2, comma 3). Laqualità dei dati registrati nell'ANPR è di estrema importanza per gliinteressati, considerati i riflessi che il trattamento dei dati"anagrafici" possono avere sull'identità e l'intera personalità deicittadini, e tenuto conto della enorme mole di informazioni che è contenutanella banca dati nazionale. Si ritiene, perciò, opportuno prevedere nelloschema che la definizione di tali standard di qualità del dato siano definitidal ministero e dall'Istat sentito il Garante, che assicura sin d'ora la piùampia collaborazione al riguardo. 1.3.Controlli. L'articolo2 dello schema prevede che i dati anagrafici inviati dai Comuni ai fini delsubentro siano sottoposti ad una serie di controlli formali, quali, da un lato,la validazione del codice fiscale previo confronto con l'anagrafe tributaria e,dall'altra, una verifica di congruità con i dati contenuti nell'ANPR. Ladisposizione è pienamente condivisibile, essendo volta ad assicurarel'esattezza dei dati e la loro congruità rispetto alle informazioni giàregistrate nell'ANPR. Tuttavia va perfezionata, individuando espressamente ilsoggetto o i soggetti cui sono rimessi tali controlli (ministero, comuni oaltri soggetti). 1.4.Diritti dell'interessato. L'articolo7 prevede che il cittadino possa esercitare il diritto di accesso ai propridati personali e gli altri diritti di cui all'articolo 7 del Codice presso gliuffici anagrafici ovvero tramite sito web dedicato, previa identificazioneinformatica e con modalità sicure. Ladisposizione va perfezionata chiarendo se il sito web cui si fa riferimento siaquello dei singoli comuni oppure un sito "dedicato" dell'ANPR o dialtri soggetti. L'articolo2, comma 4, dello schema prevede che, "a seguito del subentro" la "banca dati eventualmente conservata dai comuni per l'esercizio dellefunzioni di competenza deve essere automaticamente aggiornata con i datiregistrati nell'ANPR". Ladisposizione, per come è formulata, desta forti perplessità tenuto conto chenon risulta consentita una "duplicazione" della anagrafe dellapopolazione residente presso il singolo comune, seppure "allineata"con l'ANPR: ciò, infatti sarebbe in evidente contraddizione con la logicastessa del subentro dell'Anagrafe nazionale della popolazione residente alleanagrafi comunali, oggetto del presente decreto. Unaprecisazione in tal senso, del resto, è contenuta nell'allegato al d.P.C.M. 23agosto 2013, n. 109, dove, nell'ambito della descrizione delle fasi transitoriedell'attuazione dell'ANPR, si chiarisce che "effettuata la migrazionedelle anagrafi comunali nell'ANPR, le banche dati relative alle anagraficomunali vengono dismesse" (dPCM n. 109/2013, all. par. 4.6.2. fase 2).Inoltre, l'eventuale "ultrattività" delle anagrafi comunali nellaloro interezza si porrebbe in contrasto con il principio di economicitàdell'erogazione dei servizi in rete e di collaborazione delle amministrazioniper integrare i procedimenti di rispettiva competenza previsti dal codicedell'amministrazione digitale (art. 63 CAD). Siinvita pertanto l'amministrazione a sopprimere il comma 4 dell'articolo 2 delloschema oppure a sostituirlo con una disposizione compatibile con il dettato delcodice dell'amministrazione digitale. Occorre infatti considerare chel'articolo 62, comma 3, del CAD stabilisce che l'ANPR assicura al singolocomune la disponibilità dei dati anagrafici della popolazione residente e deglistrumenti per lo svolgimento delle funzioni di competenza statale attribuite alsindaco, nonché la disponibilità dei dati anagrafici e dei servizi perl'interoperabilità con le banche dati tenute dai comuni per lo svolgimentodelle funzioni di competenza. Intal senso, possono disciplinarsi nel regolamento le modalità di attuazione delpredetto articolo 62 del CAD, affinché il comune possa disporre dei datianagrafici necessari all'esercizio delle proprie funzioni, senza tuttaviadetenere, a seguito del "subentro", copie della banca dati dellapopolazione residente. Tali dati anagrafici dovranno, peraltro, essere allineatirispetto a quelli detenuti nell'ANPR. 3.1.Come già evidenziato sopra, l'ANPR rende disponibili alle pubbliche amministrazioni,nonché agli organismi che erogano pubblici servizi, per l'espletamento dellerispettive funzioni istituzionali, determinati servizi, specificatinell'allegato D. In particolare si tratta dei seguenti servizi:"consultazione ed estrazione", che consente di interrogare i datidell'ANPR di competenza, secondo specifici parametri di ricerca;"comunicazione dati e variazioni anagrafiche"; "serviziaccessori" (all. D, lett. B). L'articolo6, comma 2, dello schema specifica che l'accesso a tali servizi è consentitoprevia stipula di una convenzione ai sensi dell'articolo 58, comma 2, del CAD. Com'ènoto il predetto articolo 58 del CAD prevede che per agevolare la fruibilitàdei dati nonché l'acquisizione d'ufficio e il controllo sulle dichiarazionisostitutive riguardanti informazioni relative a stati, qualità personali e fattiai sensi del dPR n. 445 del 2000, le amministrazioni titolari di banche datiaccessibili per via telematica sulla base di Linee guida redatte da Digit-PA(ora Agenzia per l'Italia digitale), sentito il Garante, predispongono appositeconvenzioni aperte all'adesione di tutte le pp.aa. interessate. Lapredetta Agenzia (AGID) ha recentemente approvato tali linee guida (Det. Comm.n. 126/2013 DIG del 24 luglio 2013), recependo integralmente le indicazionirese da questa Autorità nel parere (adottato il 4 luglio 2013), ivi comprese leprescrizioni in merito alle misure che i destinatari delle predette linee guida("erogatore" e fruitore" dei dati) devono adottare, a pena disanzione amministrativa, al fine di ridurre al minimo i rischi di accesso nonautorizzato o di trattamento non consentito o non conforme alle finalità dellaraccolta dei dati (paragrafo 5 delle linee guida). Peraltro, l'articolo 35,comma 3, del decreto legislativo n. 33 del 2013, in materia di pubblicità,trasparenza e diffusione di informazioni, fa espresso riferimento a taliconvenzioni, denominandole "convenzioni-quadro" e disponendo chesiano pubblicate sul sito istituzionale. Sirichiama l'attenzione, al riguardo, sui presupposti per l'accesso alle banchedati descritti nel provvedimento dell'AGID, quali l'esistenza di una idoneabase normativa che legittimi il fruitore ad accedere alla banca dati, allastregua dell'articolo 19, comma 2, del Codice: il carattere istituzionale dellafinalità perseguita dal fruitore; la selezione dei dati personali oggetto diaccesso, che deve avvenire nel rispetto dei principi di pertinenza e noneccedenza delle informazioni in relazione alla predetta (legittima) finalitàperseguita (paragrafo 5.5.1.1. delle linee guida). In particolare, è dinotevole importanza la previsione del divieto di acquisizione dalla banca datidetenuta dall'amministrazione "erogatrice" di elenchi di soggetti,salvo eccezioni motivate e documentate nella convenzione (par. 5.5.1.2). 3.2.E' altresì necessario integrare il medesimo articolo 6 individuando il soggettoo l'ufficio preposto alla verifica dei presupposti e delle condizioni dilegittimità dell'accesso alla banca dati da parte delle amministrazioni e degliorganismi che erogano pubblici servizi, sulla falsariga di quanto previsto dalregolamento di gestione dell'Indice nazionale delle anagrafi (art. 5, comma 2,d.m. 19 gennaio 2012, n. 32). 3.3.Si richiama, inoltre, sin d'ora l'attenzione dell'Amministrazione sullanecessità che l'articolo 6 sia coordinato con il disposto dell'articolo 34 delregolamento anagrafico (oggetto peraltro, come già anticipato sopra, direvisione), a norma del quale alle pp.aa. che ne facciano motivatarichiesta, per esclusivo uso di pubblica utilità, l'ufficiale di anagraferilascia elenchi degli iscritti nell'anagrafe. 3.4.L'articolo 5 prevede che l'ANPR renda disponibili determinati servizi –indicatinell'allegato D- ai Comuni per i quali è completato il subentro. fra taliservizi è previsto anche l'invio telematico delle attestazioni e delledichiarazioni di nascita e dei certificati di cui all'articolo 74 del d.P.R. n.396 del 2000 (regolamento sullo stato civile) che pervengono ai comuni (puntoA-4 dell'allegato D), con le modalità tecniche stabilite con il decreto delMinistro dell'interno previsto dall'articolo 2, comma 3, del decreto-legge n.179 del 2012. Alriguardo questa Autorità si riserva di fornire le indicazioni di competenza sutali modalità, per i profili inerenti alla sicurezza dei dati personali, nelparere sullo schema di decreto che dovrà essere richiesto ai sensi dell'articolo154, comma 4, del Codice. Infine,si richiama l'attenzione su quello che sembra essere un mero refuso, vale adire il mancato richiamo, nell'articolo 5, dell'allegato C dello schema recantele modalità e le misure di sicurezza per l'accesso all'ANPR (il richiamo èinvece opportunamente contenuto nell'omologo articolo 6, comma 1, che riguardai servizi resi alle pp.aa.). 4.1.Si è già sottolineata la rilevanza che tale banca dati assume sotto il profilodella protezione dei dati personali e quindi l'importanza di un equobilanciamento delle esigenze istituzionali ad essa sottese con i diritti dellepersone. Ciò rende necessario assicurare un'adeguata protezione delleinformazioni registrate nell'ANPR anche per quanto riguarda la sicurezza deidati e dei sistemi. Sottoil profilo della sicurezza, si ritiene perciò necessario integrare lo schemacon la previsione che le misure di sicurezza da adottare non sono solo quelledi cui allegato C) dello schema (come potrebbe far ritenere l'attualeformulazione dell'articolo 4, comma 1), ma innanzitutto le garanzie disicurezza previste dal Codice. In tal senso si potrebbe perfezionare il comma 1dell'articolo 4, aggiungendo alla fine queste parole: "adottate daltitolare del trattamento nel quadro delle più ampie misure di cui agli articolida 31 a 36 e allegato B) del Codice". 4.2.Si ritiene poi necessario prevedere nell'allegato C) che l'istituenda ANPR siadotata di un sistema di log analysis per l'analisi periodica dei file di log,in grado di individuare, sulla base di regole predefinite e formalizzate,eventi potenzialmente anomali e di segnalarli tramite funzionalità di alert.Tale sistema dovrebbe periodicamente generare report sintetici sulla stato disicurezza del sistema. Inoltre,con riferimento ai "sistemi e servizi di backup" e ai "sistemi eservizi di Disaster recovery", già previsti, l'allegato specifichi che lerelative procedure devono essere esplicitate con il massimo dettaglio possibilenel piano di continuità operativa di cui all'articolo 50-bis del CAD. 4.3.L'articolo 1, comma 1, dello schema stabilisce che oggetto del regolamentosono, fra l'altro, "i criteri per l'interoperabilità dell'ANPR con lealtre banche dati di rilevanza nazionale e regionale". Alriguardo, si rileva che lo schema accenna a tali criteri mediante rinvioall'allegato tecnico del d.P.C.M. n. 109 del 2013 (all. C, punto 1) e con laprevisione che nell'ANPR sono contenuti anche "gli ulteriori campirelativi ai dati di servizio necessari a garantire l'interoperabilità con lebanche dati di rilevanza nazionale e regionale" (all. B, punto E)). Inquesto quadro, l'Autorità auspica che regole tecniche più dettagliate in materiadi interoperabilità siano adottate e rese conoscibili dalla Amministrazionecompetente, con le modalità ritenute più idonee, al fine di agevolare iltempestivo e puntuale adeguamento dei sistemi e delle applicazioni informatichedelle altre amministrazioni interessate, in conformità alle misure di sicurezzapreviste dal Codice e dall'allegato C) al presente schema di regolamento. Roma, 17 aprile 2014
|