Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Raccolta di dati biometrici in occasione del rilascio della Carta Multiservizi della Difesa-CMD - 24 maggio 2017 [6531525]

[doc. web n. 6531525]

Raccolta di dati biometrici in occasione del rilascio della Carta Multiservizi della Difesa-CMD - 24 maggio 2017

Registro dei provvedimenti
n. 249 del 24 maggio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il provvedimento generale del Garante n. 513 del 2014 in tema di biometria e le annesse Linee guida in materia di riconoscimento biometrico e firma grafometrica (G.U. 2.12.2014, n. 280);

VISTA la segnalazione concernente il trattamento di dati biometrici effettuato dal Ministero della Difesa;

VISTI gli atti d'ufficio;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1. La segnalazione nei confronti del Ministero della Difesa.

Con segnalazione presentata nei confronti del Ministero della Difesa, il Sig. XX, dipendente civile di tale dicastero con mansioni di assistente amministrativo, ha lamentato che nel febbraio del 2015, in occasione del rilascio della Carta Multiservizi della Difesa-CMD (per scadenza della precedente tessera di riconoscimento), sarebbe stato convocato dal responsabile della sezione personale e affari generali del Centro Rifornimenti di Commissariato di Napoli (allo stato soppresso) ove prestava servizio e sottoposto ad una procedura di raccolta di dati biometrici (in particolare dell'impronta digitale del pollice della mano destra e dell'indice della mano sinistra), rappresentata come necessaria ai fini del rilascio della CMD, senza ricevere alcuna informativa.

Al Garante è stato chiesto di pronunciarsi sulla liceità del trattamento effettuato e, se del caso, di disporre la cancellazione dei dati raccolti in violazione di legge (cfr. da ultimo, nota del 6.10.2016).

2. Le dichiarazioni del Ministero della Difesa e del Comando Commissariato.

2.1. Il Ministero della Difesa ˗ individuato quale titolare del trattamento ai sensi dell'articolo 4, comma 1, lett. f) del Codice ˗ in risposta a successive richieste di elementi rivolte dall'Autorità circa le caratteristiche dei trattamenti di dati biometrici effettuati in occasione del rilascio e/o rinnovo della CMD, ha dichiarato che:

a. l'amministrazione "dispone di un sistema per l'acquisizione delle «evidenze informatiche» (foto, immagine della firma del Titolare e Template dell'impronta digitale) utilizzate per l'emissione della Tessera personale di riconoscimento (Modello ATe/Carta Multiservizi della Difesa CMD) dei propri dipendenti, ai sensi del D.P.C.M. 24 maggio 2010" (cfr. nota 26.11.2015, Scheda di informazioni, punto 1);

b. nell'ambito della procedura di rilascio della CMD "i dati biometrici (template dell'impronta digitale) sono stati utilizzati per scopi di limitazione all'accesso in aree sensibili per motivi di sicurezza […]. Allo stato attuale, l'uso di tale sistema è stato sospeso" (cfr. nota cit., Scheda di informazioni, punto 7);

c. in particolare, "l'identificazione del personale tramite l'utilizzo del template dell'impronta digitale, custodito unicamente all'interno del chip del modello Ate/CMD, è stato previsto, ai soli fini istituzionali, per determinate figure, titolari di specifiche attribuzioni […]. Nello specifico il riconoscimento biometrico […] è stato utilizzato unicamente per l'accesso alle aree protette che ospitano l'infrastruttura della Certification Authority del Ministero della Difesa […]. Per tali aree è necessario assicurare elevati e specifici livelli di sicurezza che richiedono uno stretto controllo dell'accesso, sia «fisico» ai locali sia «logico» ai sistemi informativi presso gli stessi installati, unicamente al personale autorizzato" (v. nota 22.4.2016, Scheda di informazioni, punto a);

d. di aver trattato, per tali finalità, i dati del solo personale militare (v. nota 26.11.2015, Scheda di informazioni, punto 13);

e. i descritti trattamenti sono stati effettuati nel "rispetto delle prescrizioni previste dal paragrafo 4.2. del provvedimento generale [in materia di biometria]" (v. Scheda 22.4.2016, punto b);

f.  in occasione del rilascio della CMD l'amministrazione ha fornito un'informativa agli interessati mediante "copia del modulo di rilascio del modello ATe, recentemente adeguato e completato con l'informativa sul trattamento dei dati", mentre in precedenza l'informativa è stata resa verbalmente (v. Scheda cit., punto b e Annesso 2);

g. quanto alle modalità del trattamento, "i dati biometrici non vengono conservati nelle banche dati dell'Amministrazione […]. Il template dell'impronta digitale viene salvato nel solo modello ATe […]" (v. Scheda cit., punto c);

h. il trattamento di dati biometrici è stato effettuato "a partire dall'anno 2004, con l'avvio in esercizio del sistema di emissione della Carta Multiservizi della Difesa (CMD). […] L'utilizzo del sistema è stato sospeso nel settembre 2014, quando è stato adeguato il processo di emissione […] al DPCM del 24 maggio 2010 e l'infrastruttura PKI è stata unificata ed accentrata presso un solo locale, dove sono utilizzati sistemi di identificazione diversi, non basati su informazioni biometriche" (v. Scheda cit., punto d).

2.2. Alla luce di tali riscontri l'Autorità ha ritenuto necessario formulare una richiesta di elementi anche nei confronti del Centro Rifornimenti di Commissariato di Napoli, presso il quale sarebbero avvenuti i fatti oggetto di segnalazione. Con nota pervenuta il 26.9.2016 il Comando Commissariato del Ministero della Difesa ha dichiarato che:

a. il Centro Rifornimenti di Commissariato di Napoli è stato soppresso a partire dal 30 giugno 2015 (cfr. nota cit., n. 1);

b. nel I° trimestre 2015 (periodo cui è riferita la segnalazione) sono stati raccolti "template delle impronte digitali al personale dipendente che ha fatto richiesta di rilascio/rinnovo della nuova Carta Multiservizi Difesa […], con l'unica finalità di concludere l'iter procedurale informatico previsto dal portale della Banca Dati Centrale dell'Esercito" (cfr. nota cit., n. 2, lett. a.);

c. nell'arco temporale cui si riferisce la segnalazione "sono state chieste le CMD da n. 5 militari e n. 6 dipendenti civili" (cfr. nota cit., n. 2, lett. d.);

d. i trattamenti effettuati "sono tutt'ora in essere in quanto archiviati presso la Banca Dati Centrale e nelle rispettive CMD" (cfr. nota cit., n. 2, lett. b.);

e. "con e-mail del 12 febbraio 2015 […] il Centro Sistemi Informatici dell'Esercito (CSIE) rendeva nota la non obbligatorietà per il personale civile di apporre l'impronta digitale, finalizzata all'emissione della CMD" (cfr. nota cit., n. 2, lett. c.);

f. "agli atti risultano le schede riepilogative della procedura adottata per il rilascio della CMD da cui si evince anche la raccolta del template dell'impronta digitale, firmata dal personale interessato" (cfr. nota cit., n. 2, lett. e.);

g. non risulta essere stata effettuata la notificazione al Garante (cfr. nota cit., n. 2, lett. f.);

h. in occasione del rilascio delle CMD sarebbe stato effettuato il trattamento "in conformità alle indicazioni procedurali riportate sul portale del CSIE; peraltro lo stesso [Centro Rifornimenti di Commissariato] una volta chiesti e ricevuti i necessari chiarimenti, si è immediatamente attivato per conoscere le eventuali procedure da attuare per la cancellazione dei dati biometrici già raccolti, del personale civile che ne avesse fatto successivamente richiesta" (cfr. nota cit., n. 3);

i. "agli atti del disciolto Ente non risultano istanze tendenti alla cancellazione del template da parte del personale civile interessato" (cfr. nota cit., n. 2, lett. b.) .

2.3. Da ultimo l'Amministrazione, a parziale rettifica di quanto affermato in precedenza e di quanto indicato dal Comando Commissariato in relazione alla conservazione di dati presso il CSIE, ha specificato che:

a. in occasione del procedimento di rilascio o rinnovo della CMD, il template ricavato dall'impronta digitale "non viene archiviato in banche dati centrali e nei sistemi informativi dell'Amministrazione della Difesa, ma viene salvato solo nel modello ATe/CMD, che rimane nell'esclusiva disponibilità dell'interessato per tutto il ciclo di vita della carta" (cfr. nota 28.2.2017, Scheda informativa, punto a);

b. il modello di informativa rilasciata agli interessati con riguardo ai dati biometrici (fornito in copia all'Autorità), laddove indica tra le finalità del trattamento anche la necessità di "applicare le disposizioni [in materia di] rilevazione automatica delle presenze per l'erogazione dei compensi per lavoro straordinario" (v. modello contenuto in Annesso 2, All. A, nota 21.4.2016 cit.), contiene "un refuso di stampa – peraltro già corretto"; pertanto il dato biometrico non viene utilizzato per tale ulteriore finalità (cfr. nota cit., Scheda informativa, punto b);

c. "nel settembre 2014, in aderenza ai nuovi obiettivi di adeguamento ed ammodernamento funzionale e normativo […] per adeguare i dispositivi (CMD) alle norme di cui al DPCM 24 maggio 2010 è stato realizzato un CMS [Card Management System] unico sia per il personale militare sia per il personale civile. Il template dell'impronta digitale è potenzialmente utilizzabile per scopi di limitazione dell'accesso ad aree destinate ad uso esclusivo del solo personale militare che, per precipue mansioni e/o per motivi di sicurezza, deve operare nelle citate aree" (cfr. nota cit., Scheda informativa, punto d);

d. a partire dal 2016 "il portale web per l'emissione del modello ATe/CMD prevede una nuova funzionalità che permette di acquisire/cancellare il template dell'impronta digitale anche successivamente alla procedura di emissione […], evitando di dover riemettere una nuova carta in caso della modifica in un momento successivo" (cfr. nota cit., Scheda informativa, punto e).

3. Il trattamento di dati biometrici all'interno della tessera di riconoscimento del personale della pubblica amministrazione.

La tessera di riconoscimento rilasciata con modalità elettronica dalle amministrazioni dello Stato (prevista dall'art. 66, comma 8, d.lgs. 7 marzo 2005, n. 82, Codice dell'amministrazione digitale), in base alla specifica disciplina vigente può contenere dati personali, anche biometrici, purché nel rispetto delle disposizioni di cui all'art. 17 del Codice, che prevede la verifica preliminare del Garante in caso di particolari trattamenti che presentano rischi specifici per i diritti, le libertà fondamentali nonché la dignità degli interessati (così l'art. 6, D.P.C.M. 24 maggio 2010, "Regole tecniche delle Tessere di riconoscimento (mod. AT) di cui al D.P.R. n. 851 del 1967  rilasciate con modalità elettronica dalle Amministrazioni dello Stato, ai sensi dell' articolo 66, comma 8, del decreto legislativo n. 82 del 2005").

In base a quanto ulteriormente specificato dal citato D.P.C.M. 24.5.2010 (modificato con D.P.C.M. 18 gennaio 2016), nell'ambito delle finalità proprie delle tessere di riconoscimento (identificazione dei dipendenti e autenticazione all'accesso per via telematica ai servizi erogati in rete dalle pubbliche amministrazioni, con funzionalità di carta nazionale dei servizi), l'amministrazione può utilizzare "per particolari esigenze di sicurezza fisica o logica […] informazioni biometriche come le impronte digitali […] del titolare dell'ATe. L'utilizzo di tali informazioni avviene nel rispetto della normativa in materia di protezione dei dati personali" (Allegato B, D.P.C.M. 24.5.2010 cit., punto 3.1.). E' inoltre specificato che i dati biometrici possono essere inseriti nella tessera "per specifici scopi di sicurezza dell'amministrazione stessa. In ogni caso è fatto divieto […] di memorizzare in banche dati le informazioni biometriche"; i dati devono essere altresì "prelevati e memorizzati secondo procedure che garantiscono la protezione dei dati personali" (punto Allegato B, D.P.C.M. cit., punto 6.2.).

Pertanto la specifica disciplina in materia di tessere di riconoscimento rilasciate dalle amministrazioni dello Stato prevede la verifica preliminare da parte del Garante. In proposito l'Autorità, in un'ottica di semplificazione, con il citato Provvedimento generale prescrittivo in materia di biometria (n. 513 del 12 novembre 2014, pubblicato in G.U. n. 280 del 4 dicembre 2014, doc. web n. 3556992) ha, tra l'altro, individuato alcune ipotesi per le quali – in presenza dei requisiti di legittimità previsti dal Codice nonché nel rispetto di determinate prescrizioni tecniche – il titolare del trattamento è esonerato dall'attivare l'istanza di verifica preliminare dinnanzi all'Autorità (v. in particolare punto 4.; le prescrizioni contenute nel provvedimento sono ora richiamate nell'Allegato B, D.P.C.M. cit., punto 6.2., come modificato con D.P.C.M. 18 gennaio 2016).

RILEVATO

4. L'esito dell'istruttoria. Profili di illiceità del trattamento.

All'esito dell'esame delle dichiarazioni rese all'Autorità nel corso del procedimento ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell'art. 168 del Codice ˗ nonché della documentazione acquisita, è emerso che il Ministero della Difesa, in qualità di titolare, ha effettuato operazioni di trattamento di dati biometrici in occasione del rilascio e del rinnovo della Carta Multiservizi della Difesa - CMD, che risultano per alcuni profili non conformi alla disciplina in materia di protezione dei dati personali, nei termini di seguito descritti.

4.1. I trattamenti di dati personali effettuati dal Ministero della Difesa (a livello centrale o attraverso le proprie articolazioni anche periferiche, quali il Comando Commissariato e i Centri Rifornimento di Commissariato)  sono sottoposti alla disciplina prevista in via generale per i soggetti pubblici (disposizioni generali e regole ulteriori previste dagli artt. 18-22 del Codice). Esclusivamente in caso di trattamenti effettuati per finalità di difesa o di sicurezza dello Stato, in base ad espresse disposizioni di legge che li prevedano specificamente, alcuni articoli del Codice non trovano applicazione (cfr. art. 58 del Codice).

Nel caso oggetto di segnalazione, presso il Centro Rifornimenti di Commissariato di Napoli, nel I° trimestre del 2015 ˗ come rappresentato nella segnalazione al Garante e in base a quanto dichiarato dall'amministrazione stessa (v. precedente punto 2.2., lett. b. e c.) ˗ sono stati raccolti i dati biometrici (tratti, in particolare, dalle impronte digitali) dei dipendenti che hanno fatto richiesta di rilascio o rinnovo della Carta Multiservizi della Difesa, indipendentemente dalla mansione svolta.

In relazione a tale trattamento di dati biometrici risulta che l'amministrazione non ha osservato quanto previsto dalle citate disposizioni del D.P.C.M. 24 maggio del 2010, in base alle quali all'interno delle tessere di identificazione del personale (coerentemente con le finalità proprie di tali documenti) possono essere trattate determinate tipologie di dati biometrici solo per particolari esigenze di sicurezza fisica e logica (cfr. art. 6 e Allegato B, punto 3.1., D.P.C.M. 24.5.2010, cit.). Inoltre, in base a quanto stabilito dal menzionato provvedimento generale prescrittivo in materia di biometria ˗ applicabile ai trattamenti effettuati nel 2015, visto che la pubblicazione in Gazzetta Ufficiale è avvenuta il 2.12.2014 ˗ il procedimento di verifica preliminare non deve essere attivato esclusivamente nel caso in cui ricorrano le previste condizioni (in particolare, determinate finalità e modalità dei trattamenti effettuati purché congiuntamente all'adozione di particolari misure tecniche). Condizioni che non risultano essersi verificate nel caso di specie, considerato che la raccolta delle impronte e la memorizzazione dei template all'interno delle tessere sono avvenute nei confronti di tutti coloro che hanno chiesto il rinnovo del documento di identificazione, senza riguardo a specifiche esigenze di autenticazione per l'accesso fisico o logico ad aree particolari sensibili.

Il trattamento effettuato è pertanto illecito ai sensi degli artt. 11, comma 1, lett. a) (principio di liceità del trattamento) e 17 (trattamento che presenta rischi specifici) del Codice.

L'amministrazione, inoltre, non ha effettuato la notificazione al Garante, dovuta ai sensi dell'art. 37, comma 1, lett. a) del Codice, né ha fornito nel corso del procedimento elementi volti a documentare l'avvenuta prestazione di una compiuta informativa agli interessati, dovuta ai sensi dell'art. 13 del Codice.

4.2. Per quanto riguarda i trattamenti effettuati in termini generali dal Ministero della Difesa in occasione del rilascio/rinnovo delle tessere di identificazione dei propri dipendenti, risulta che l'amministrazione ha effettuato ˗ in base a quanto dalla stessa dichiarato ˗ trattamenti di dati biometrici dal 2004 al settembre 2014. Ciò è avvenuto mediante estrazione del template dell'impronta digitale e conservazione del riferimento biometrico sulla tessera di riconoscimento elettronica (CMD), allo scopo di effettuare l'autenticazione dei soggetti specificamente autorizzati ad accedere alle aree che ospitano la struttura della Certification Authority (v. precedente punto 2.1., lett. b., c. e h.).

In relazione a tali operazioni di trattamento l'amministrazione non ha provveduto ad attivare davanti al Garante il procedimento di verifica preliminare previsto dall'art. 17 del Codice, conformemente a quanto prescritto specificamente dall'art. 6 del D.P.C.M. 24.5.2010. Né, in proposito, era stato ancora pubblicato il provvedimento generale prescrittivo in materia di biometria che ha individuato i casi di esonero dall'obbligo di presentare la predetta istanza di verifica preliminare. Inoltre, con Provv. 14 giugno 2007, n. 23 ("Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico", in G.U. 13 luglio 2007, n. 161) l'Autorità ha previsto che "il trattamento di dati relativi alle impronte digitali è ammesso a condizione che […] sia sottoposto con esito positivo […] alla verifica preliminare […] ai sensi dell'art. 17 del Codice" (cfr. punto 7.2.).

Quanto alle finalità del trattamento si osserva, peraltro, che non emergono dagli atti elementi in base ai quali risulti l'avvenuta effettuazione di alcuna attività da parte dell'amministrazione volta a selezionare il personale che, in relazione alle mansioni svolte ed agli incarichi ricoperti, dovesse essere sottoposto alla descritta procedura di autenticazione e dunque alla previa raccolta di dati biometrici. Da alcuni documenti presenti in atti si evince, piuttosto, l'applicazione di un distinto regime di obbligatorietà/facoltatività della sottoposizione a trattamento biometrico in ragione dell'appartenenza al personale militare o al personale civile, che non corrisponde alla (diversa) attività di selezione di coloro che necessitano di essere autenticati con strumenti aggiuntivi ed univoci rispetto ai tradizionali strumenti identificativi, in considerazione dell'attività cui sono in concreto preposti all'interno della struttura organizzativa di appartenenza (v. punto 2.2., lett. e. e modello di informativa ex art. 13 in Annesso 2, All. A, nota 22.4.2016).

Il trattamento effettuato è pertanto illecito ai sensi degli artt. 11, comma 1, lett. a) e 17 del Codice.

L'amministrazione ha altresì omesso di effettuare la notificazione al Garante, ai sensi dell'art. 37, comma 1, lett. a) del Codice.

E' emerso, inoltre, che l'Amministrazione ha fornito agli interessati un'informativa in relazione all'attività di "acquisizione e […] verifica delle […] impronte digitali" (v. nota 22.4.2016, Scheda di informazioni, punto b e Annesso 2, "Informativa ai sensi dell'art. 13 del d. lgs. n. 196/2003 sull'attività di acquisizione delle impronte digitali") nella quale, secondo quanto dichiarato dall'amministrazione stessa, è stato erroneamente rappresentato che in caso di eventuale rifiuto al trattamento non sarebbe stato possibile "applicare le disposizioni per la formazione del bilancio annuale e pluriennale dello Stato  che prevede la rilevazione automatica delle presenze per l'erogazione dei compensi per lavoro straordinario" (v. precedente punto 2.3., lett. b.). Né, sotto questo profilo, può ritenersi che la messa a disposizione (sui portali intranet e internet del ministero della difesa) della direttiva SMD-I-009 "Carta Multiservizi della Difesa (CMD), Public Key Infrastructure (PKI) e Firma Digitale", edizione 2014, abbia soddisfatto idonee finalità informative, considerato che all'interno di tale documento non vi è alcun cenno al trattamento di dati biometrici tratti dall'impronta digitale.

Conclusivamente si ritiene che i dipendenti nei cui confronti sono state effettuate operazioni di trattamento dei dati biometrici non abbiano ricevuto un'informativa idonea circa le finalità e la natura obbligatoria o facoltativa del trattamento dei dati, in violazione di quanto stabilito dall'articolo 13 del Codice.

5. Prescrizioni e misure a tutela degli interessati.

5.1. In base a quanto dichiarato dall'Amministrazione nel corso dell'istruttoria, allo stato non sono effettuati trattamenti di dati biometrici attraverso il rilascio o il rinnovo delle CMD.

Considerato, tuttavia, che nelle tessere rilasciate presso il Centro Rifornimenti di Commissariato di Napoli nonché in quelle rilasciate tra il 2004 e il 2014 per finalità di accesso alle aree che ospitano la struttura della Certification Authority, sono tutt'ora presenti dati biometrici (template dell'impronta digitale) illecitamente raccolti nei termini suesposti (cfr. punti 4.1. e 4.2.), tenuto conto della necessità di non pregiudicare la corretta identificazione del personale che accede ad aree pubbliche ove si svolgono attività istituzionali demandate al Ministero della difesa (tra le quali alcune senz'altro caratterizzate da particolare delicatezza), si prescrive all'Amministrazione di effettuare un programma di aggiornamento delle CMD contenenti i template delle impronte digitali, da completarsi nel termine massimo di 180 giorni dalla data di ricezione del presente provvedimento - a partire dalle tessere rilasciate presso il Centro Rifornimenti di Commissariato di Napoli –, volto ad inibire il trattamento dei predetti dati memorizzati in violazione delle disposizioni vigenti.

L'Amministrazione potrà adempiere a tale prescrizione con le modalità ritenute più idonee in relazione alle caratteristiche delle tessere e del sistema tecnologico utilizzato per l'emissione e la gestione della CMD. Ad esempio, potrà adottare misure per inibire l'accesso all'area di memoria che contiene l'impronta o per rendere indisponibile il template contenuto nel microchip, oppure procedere alla sostituzione delle tessere secondo un cronoprogramma da completare in ogni caso entro il termine sopra indicato.

Di tale programma e della sua implementazione l'Autorità dovrà essere adeguatamente informata (cfr. punto 2 del dispositivo).

5.2. Per quanto riguarda invece i trattamenti di dati biometrici che si intendono eventualmente effettuare in futuro nella CMD, si raccomanda di procedere, prima dell'inizio delle operazioni di trattamento, alla individuazione delle "particolari esigenze di sicurezza fisica o logica" che rendono necessario il ricorso al trattamento di dati biometrici dei soggetti autorizzati per finalità di autenticazione in vista del raggiungimento di "specifici scopi di sicurezza" (cfr. D.P.C.M. 24.5.2010 cit.) e di rispettare tutte le condizioni previste nel provvedimento generale prescrittivo in materia di biometria (comprese le misure di sicurezza e gli altri adempimenti di legge).

Negli altri casi (ossia al di fuori delle ipotesi di esonero contemplate dal provvedimento generale) dovrà essere attivato il procedimento di verifica preliminare davanti al Garante ai sensi dell'art. 17 del Codice.

Eventuali trattamenti che rientrino nelle ipotesi previste dall'art. 58 del Codice, in presenza di idonea base normativa e ricorrendo tutti i requisiti di legge, potranno essere effettuati anche a prescindere dal procedimento di verifica preliminare (v. provv. 18 dicembre 2014, n. 608, doc. web n. 3710695).

5.3. Considerato che all'esito del procedimento è stato riscontrato un difetto di coordinamento tra la struttura centrale e le articolazioni periferiche dell'Amministrazione in relazione all'attuazione della disciplina in materia di protezione dei dati personali, evidenziato in particolare dall'adozione di differenti modalità attuative con particolare riferimento al trattamento dei dati biometrici, si suggerisce all'Amministrazione di individuare un responsabile della protezione dei dati secondo il modello previsto dal Regolamento (UE) 2016/679 del 27 aprile 2016 (cfr. artt. 37-39 che prevedono, a regime, l'individuazione di tale figura obbligatoriamente per i soggetti pubblici), anche al fine di garantire effettività all'attuazione uniforme delle disposizioni in materia di protezione dei dati e cooperazione con l'autorità di controllo.

6. Aspetti sanzionatori.

L'Autorità si riserva di valutare, con autonomo procedimento, la sussistenza dei presupposti per la contestazione di violazioni amministrative, in relazione all'inidonea informativa agli interessati, all'omessa attivazione della verifica preliminare e all'omessa notificazione al Garante (v. punti 4.1. e 4.2. in relazione agli artt. 13, 17 e 37 del Codice e 6, D.P.C.M. 24.5.2010).

Si ricorda che, ai sensi dell'articolo 162, comma 2-ter del Codice, in caso di inosservanza del presente provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro.

TUTTO CIO PREMESSO IL GARANTE

ritenuto illecito, nei termini di cui in motivazione (punti 4.1. e 4.2.), il trattamento complessivamente effettuato dal Ministero della Difesa in occasione del rilascio e del rinnovo della Carta Multiservizi della Difesa in violazione degli articoli 11, comma 1, lett. a), 13, 17 e 37, comma 1, lett. a) del Codice:

1) ai sensi degli articoli 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive all'Amministrazione, quale misura necessaria, di effettuare nel termine di 180 giorni dalla data di ricezione del presente provvedimento un programma di aggiornamento delle CMD volto ad inibire il trattamento dei dati biometrici memorizzati in violazione delle disposizioni vigenti, nei termini di cui in motivazione (punto 5.1.);

2) ai sensi dell'art. 157 del Codice invita, altresì, entro 30 giorni dalla data di ricezione del presente provvedimento, a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell'art. 157 è punito con la sanzione amministrativa di cui all'art. 164 del Codice.

Ai sensi degli articoli 152 del Codice e 10 del decreto legislativo n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 24 maggio 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia