| Garante per la protezione dei dati personali Parere su un decreto dirigenziale delMinistero della Giustizia in materia di consultazione diretta del SistemaInformativo del Casellario (SIC) da parte delle amministrazioni pubbliche e deigestori di pubblici servizi PROVVEDIMENTO DEL 19 GIUGNO 2014 Registro dei provvedimenti n. 312 del 19 giugno 2014 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale; Vistala richiesta di parere del Ministero della giustizia; Vistol'articolo 154, commi 4 e 5, del Codice in materia di protezione dei datipersonali (d.lg. 30 giugno 2003, n. 196); Vistala documentazione in atti; Viste le osservazioni dell'Ufficio formulatedal segretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000; Relatoreil dott. Antonello Soro; PREMESSO IlMinistero della giustizia ha chiesto il parere del Garante in ordine ad unoschema di decreto dirigenziale, con il quale: 1)si intende prorogare (art. 1 dello schema) la vigenza delle disposizionitransitorie previste dall'articolo 16 del decreto dirigenziale del 5 dicembre2012 (d'ora in poi: "decreto dirigenziale"), recante le regoleprocedurali di carattere tecnico operativo per l'attuazione della consultazionediretta del Sistema Informativo del Casellario (SIC) da parte delleamministrazioni pubbliche e dei gestori di pubblici servizi, ai sensidell'articolo 39 del decreto del Presidente della repubblica 14 novembre 2002,n. 313 (Testo unico delle disposizioni legislative e regolamentari in materiadi casellario giudiziale, di anagrafe delle sanzioni amministrative dipendentida reato e dei relativi carichi pendenti; di seguito: "T.U."); 2)si intende modificare (artt. 2-4 dello schema) il decreto dirigenziale ed irelativi allegati tecnici, al fine di implementare nel sistema informativo delcasellario una procedura per l'apposizione di un contrassegno generatoelettronicamente (c.d. glifo), che sostituisce la firma digitale del Direttoredel casellario, attualmente apposta sui certificati, in modo da consentire laverifica automatica dell'autenticità del documento, ai sensi dell'articolo23-ter del decreto legislativo 7 marzo 2005, n. 82 (di seguito:"C.A.D."); nonché a seguito degli esiti della fase di sperimentazionedell'accesso al sistema tramite la cooperazione applicativa (articolo 3 delloschema). RILEVATO Ilcitato articolo 39 prevede che con decreto dirigenziale del Ministero dellagiustizia, sentiti la Presidenza del Consiglio dei Ministri –Dipartimento per l'innovazione e le tecnologie ed il Garante, siano individuatele modalità tecnico-operative per consentire alle amministrazioni pubbliche eai gestori di pubblici servizi, eventualmente con differenziazioni territorialie per tipo di certificato, la consultazione del sistema ai fini delleacquisizioni d'ufficio delle informazioni e/o dei controlli relativi alledichiarazioni sostitutive di certificazioni, ai sensi degli articoli 43, 46 e71 del d.P.R. 28 dicembre 2000, n. 445 (Testo unico delle disposizionilegislative e regolamentari in materia di documentazione amministrativa), o aifini dell'acquisizione dei certificati del casellario giudiziale, delcasellario dei carichi pendenti e dell'anagrafe delle sanzioni amministrativedipendenti da reato e dei relativi carichi pendenti, anche da partedell'autorità giudiziaria. L'art.46 del T.U., rubricato "Regole tecniche sino alla completa operatività delsistema", dispone al comma 1 che "sino alla completa operatività delsistema, le regole tecniche di cui agli articoli 39 e 42 sono disciplinate condecreto dirigenziale del Ministero della Giustizia, sentita la Presidenza delConsiglio dei Ministri – Dipartimento per l'innovazione e le tecnologie –per le modalità telematiche, e sentito il Garante per la protezione dei datipersonali [Š]". Ipredetti articoli 39 e 46 sono stati finora attuati, in via parziale etransitoria, dapprima con il decreto dirigenziale del Ministero della Giustiziadell'11 febbraio 2004 (pubblicato nella G.U. n. 37 del 14 febbraio 2004),previo parere del Garante reso in data 28 gennaio 2004. Successivamente, condecreto dirigenziale 25 gennaio 2007 (pubblicato nella G.U. n. 32 dell' 8febbraio 2007) il menzionato Ministero ha disciplinato, più in generale,"le regole procedurali di carattere tecnico operativo" perl'attuazione del d.P.R. n. 313 del 2002, anche in questo caso previo parere delGarante, reso in data 18 gennaio 2007. In particolare, tale decretoall'articolo 30 ha demandato ad un successivo provvedimento dirigenziale ladefinizione delle modalità tecnico operative per consentire la consultazionedel sistema da parte delle amministrazioni pubbliche e dei gestori di pubbliciservizi ai sensi dell'articolo 39 T.U. ed ha previsto che "in attesadell'adozione del decreto dirigenziale di cui al comma 2, continua adapplicarsi in via transitoria il decreto dirigenziale emanato in data 11febbraio 2004". Inattuazione del predetto articolo 30 è stato adottato, nel 2012, previo pareredel Garante, reso in data 11 ottobre 2012, il decreto dirigenziale chel'odierno schema intende modificare, il quale ha disciplinato la materia introducendoil "certificato selettivo ex art. 39 del T.U." al fine di assicurareil pieno rispetto del principio di pertinenza e di indispensabilità dei datitrattati. Amente dell'articolo 1 di tale decreto, infatti, ogni amministrazioneinteressata può acquisire dal sistema del casellario (SIC), tramite il predettocertificato selettivo, esclusivamente le iscrizioni corrispondenti aprovvedimenti giudiziari che riflettano le condizioni ostative degli specificiprocedimenti in relazione ai quali sono effettuati gli accertamenti. Ciò,secondo quanto disciplinato da apposita convenzione con il Ministero dellagiustizia nella quale devono essere individuate, fra l'altro, le norme cheregolamentano i predetti procedimenti, i termini, le condizioni e i vincoli normativi,nonché le regole tecniche necessarie per garantire il rilascio di un"certificato che contenga solo dati pertinenti e coerenti con i compitiistituzionali delle amministrazioni interessate" (art. 1, commi 4, 5, 7 e8). Ilmedesimo articolo 1 di tale decreto, al comma 9, prevede, tuttavia, che"fino a quando non saranno definite le convenzioni e realizzate leprocedure informatiche in relazione alle regole tecniche ivi individuate, leamministrazioni interessate continuano ad acquisire i certificati previsti dalT.U., presso gli uffici locali del casellario, secondo le disposizionitransitorie di cui al decreto dirigenziale 11 febbraio 2004". Inoltre,il comma 15 dell'art. 1 prevede che "le disposizioni transitorie di cui aldecreto dirigenziale 11 febbraio 2004 che consentono alle Amministrazioniinteressate l'acquisizione dei certificati ai sensi dell'articolo 39 T.U. peril tramite degli uffici locali rimangono in vigore fino al 30 giugno2014". Infine, l'articolo 16, comma 8, del decreto del 2012 dispone che,in via transitoria, le Amministrazioni interessate che non hanno attivato laprocedura di cui all'articolo 5 (concernente l'accesso al SIC delleAmministrazioni interessate) richiedono i certificati secondo quanto dispostonel decreto dirigenziale 11 febbraio 2004 del Ministero della giustizia, con lemodalità ivi indicate. Ledisposizioni transitorie in questione prevedono, in sostanza, che alleamministrazioni sia rilasciato, per il tramite degli uffici locali, uncertificato contenente la totalità delle iscrizioni riguardanti una determinatapersona, fermo restando il divieto di utilizzare dati personali nonindispensabili allo specifico adempimento previsto nell'ambito del procedimentoamministrativo cui si riferisce la richiesta (art. 1 A) del decreto 11 febbraio2004). RITENUTO 1. Proroga delle disposizioni transitorie. L'articolo1 dell'odierno schema di decreto prevede la proroga al 30 giugno 2016 (di bendue anni, cioè) del descritto regime transitorio. Ciò, sul presupposto che siaimpossibile per il Ministero della giustizia stipulare nel termine del 30giugno 2014 le previste convenzioni con le amministrazioni interessate (cfr.preambolo). Ciò posto, si evidenzia come il regime transitorio operiormai da dieci anni e come in più occasioni questa Autorità abbia avuto modo dirilevare la particolare delicatezza della disciplina da adottare in attuazionedell'articolo 39, al fine di garantire il rispetto dei principi dipertinenza, non eccedenza e indispensabilità nel trattamento, anche per viatelematica, dei dati giudiziari (artt. 11, comma 1, lett. d), e 22, comma 3,d.lg. 30 giugno 2003, n. 196, recante il Codice in materia di protezione deidati personali, di seguito Codice). Afronte dell'ulteriore proroga proposta con il presente schema, motivata sullabase dell'"impossibilità" per il Ministero di sottoscrivere entro ilprossimo termine del 30 giugno 2014 le menzionate convenzioni, questa Autoritàrichiama fortemente l'attenzione dell'Amministrazione sulle criticità che nederivano in termini di tutela della riservatezza e del diritto alla protezionedei dati personali, segnatamente in relazione alla mancata operatività del"certificato selettivo" (destinato a contenere, come detto, solo datipersonali pertinenti e coerenti con i compiti istituzionali delleamministrazioni interessate). Sisegnala, pertanto, la necessità di porre in essere ogni iniziativa ed attivitàidonea ad accelerare la messa a regime del sistema, nonché tutti gliadempimenti che consentano di superare definitivamente la fase transitoria nelrispetto della disciplina recata dal Codice e, in particolare, dei citatiprincipi di pertinenza, non eccedenza e indispensabilità nell'utilizzazione,anche per via telematica, dei dati giudiziari. 2. Previsioni di carattere tecnico. L'odiernoschema introduce nell'articolato del decreto dirigenziale e dei suoi allegatiil "contrassegno generato elettronicamente", anche detto"glifo", previsto dall'art.23-ter del Codice dell'amministrazionedigitale (in prosieguo: "C.A.D."). Le regole tecniche di formazione eapposizione del "glifo" sono state dettagliate nella Circolare AgIDn.62 del 30 aprile 2013 recante, appunto, "linee guida per il contrassegnogenerato elettronicamente ai sensi dell'articolo 23-ter, comma 5 delC.A.D.". Si osserva, in proposito, che tali innovazioni sono volte a dareevidenza della conformità della copia cartacea all'originale informatico e nonintroducono elementi di criticità dal punto di vista della sicurezzainformatica dei dati personali. Loschema di decreto introduce modifiche anche a seguito degli esiti della fase disperimentazione dell'accesso al sistema tramite la cooperazione applicativa.Sotto questo profilo l'odierno schema non presenta criticità in relazione aiprofili di interesse di questa Autorità. IL GARANTE a)segnala all'Amministrazione la necessità di porre in essere ogni iniziativa edattività idonea ad accelerare la messa a regime del sistema, nonché tutti gliadempimenti che consentano di superare definitivamente la fase transitoria nel rispettodei principi di pertinenza, non eccedenza e indispensabilità nel trattamentodei dati giudiziaria; b)esprime parere favorevole in relazione alle previsioni di cui agli articoli 2-4dello schema di decreto recante modifiche al decreto dirigenziale del 5dicembre 2012; in relazione all'articolo 1 del medesimo schema esprime parerenei termini di cui in motivazione (punto 1). Roma 19 giugno 2014
|