Parere su tre schemi del Direttore generale dei sistemi informativi...
Parere su tre schemi del Direttore generale dei sistemi informativi automatizzati del Ministero della giustizia contenenti specifiche tecniche in materia di aste giudiziarie con modalità telematiche - 18 luglio 2024 [10063581]
Condividi[doc. web n. 10063581]
Parere su tre schemi del Direttore generale dei sistemi informativi automatizzati del Ministero della giustizia contenenti specifiche tecniche in materia di aste giudiziarie con modalità telematiche - 18 luglio 2024
Registro dei provvedimenti
n. 464 del 18 luglio 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del professor Pasquale Stanzione, presidente, della professoressa Ginevra Cerrina Feroni, vicepresidente, dell’avvocato Guido Scorza e del dottor Agostino Ghiglia, componenti e del dottor Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, paragrafo 4;
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;
VISTA la documentazione in atti;
VISTE le osservazioni del vice segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;
Relatore il dottor Agostino Ghiglia;
PREMESSO
Il Ministero della giustizia ha richiesto il parere del Garante su tre schemi di provvedimenti (di seguito, anche “schemi”) del Direttore generale dei sistemi informativi automatizzati contenenti specifiche tecniche in materia di aste giudiziarie con modalità telematiche.
Due di questi sono previsti dall’articolo 7 del decreto ministeriale 11 luglio 2023, n. 99, recante il regolamento relativo al funzionamento della banca dati relativa alle aste giudiziarie, adottato ai sensi dell’articolo 26, comma 6, del decreto legislativo 10 ottobre 2022, n. 149, con cui è stata fornita attuazione alla legge 26 novembre 2021, n. 206, recante delega al Governo per l'efficienza del processo civile e per la revisione della disciplina degli strumenti di risoluzione alternativa delle controversie e misure urgenti di razionalizzazione dei procedimenti in materia di diritti delle persone e delle famiglie nonché in materia di esecuzione forzata).
Il citato articolo 26 del decreto legislativo n. 149 del 2022, ha previsto infatti l’istituzione presso il Ministero della giustizia di una banca dati relativa alle aste giudiziarie, contenente i dati identificativi degli offerenti, i dati identificativi del conto bancario o postale utilizzato per versare la cauzione e il prezzo di aggiudicazione, nonché le relazioni di stima, rinviando ad un decreto ministeriale la determinazione delle modalità di acquisizione dei dati, le modalità di inserimento dei medesimi nella banca dati, nonché le modalità di esercizio del potere di vigilanza da parte del Ministero della giustizia.
L’articolo 7 del predetto decreto n. 99 del 2023, prevede che con provvedimento del responsabile dei sistemi informativi e automatizzati del Ministero della Giustizia, siano emanate le specifiche tecniche relative all'inserimento dei dati nella banca dati e all'individuazione dei tempi di conservazione dei dati stessi, nonché delle modalità di attribuzione delle utenze e di accesso alla banca dati da parte di tutti i soggetti abilitati e siano aggiornate le specifiche tecniche previste dall'articolo 161-quater delle disposizioni per l'attuazione del codice di procedura civile (Modalità di pubblicazione sul portale delle vendite pubbliche); l’articolo prevede, altresì, che le specifiche tecniche saranno emanate dopo aver acquisito il parere del Garante per la protezione dei dati personali.
Al riguardo si rammenta che nell’esprimere il parere di competenza sullo schema di tale decreto (parere del 17 maggio 2023 n. 216), il Garante ha segnalato, tra l’altro, l’opportunità a che, in ragione della rilevanza sotto il profilo della protezione dati, anche le specifiche tecniche del responsabile dei sistemi informativi e automatizzati del Ministero, previste appunto nell’articolo 7 della bozza, fossero sottoposte al parere del Garante.
Il terzo schema di provvedimento è invece adottato ai sensi dell’articolo 26 del decreto del Ministro della giustizia 26 febbraio 2015, n. 32, recante le regole tecniche e operative per lo svolgimento della vendita dei beni mobili e immobili con modalità telematiche nei casi previsti dal codice di procedura civile, ai sensi dell'articolo 161-ter delle disposizioni per l'attuazione del codice di procedura civile.
CONSIDERATO
1. Il primo schema di provvedimento direttoriale.
Il primo schema di specifiche tecniche (1 BDAG_ST_V1.0_20052024), definisce le modalità operative per l’uso della Banca Dati delle Aste Giudiziarie (di seguito anche “BDAG”), in attuazione di quanto previsto dal d.m. n. 99/2023, relative, in particolare, all'inserimento dei dati nella BDAG, all'individuazione dei tempi di conservazione degli stessi nonché alle modalità di accesso alla BDAG da parte dei soggetti abilitati.
1.1. La BDAG, istituita presso il Ministero della giustizia, contiene le informazioni relative alle aste giudiziarie, divise tra i dati delle vendite pubblicate sul Portale delle Vendite Pubbliche previsto dall’articolo 490 c.p.c. (di seguito anche “PVP” o “Portale”) e quelli delle offerte presentate per le vendite stesse, ed è articolata in tre sezioni: 1) esecuzioni immobiliari; 2) esecuzioni mobiliari; 3) vendite nelle procedure concorsuali.
I dati relativi alle aste giudiziarie sono acquisiti in maniera automatizzata nella BDAG per il tramite del PVP, presso il quale sono raccolti i dati delle offerte provenienti dai sistemi dei Gestori delle Vendite Telematiche di cui all’articolo 2, comma 1, lett. b), del decreto ministeriale n 32/2015. Come previsto dall’articolo 3 del d.m. n. 99/2023, i dati della BDAG possono essere integrati dai professionisti delegati e dai cancellieri degli uffici (limitatamente al compenso liquidato ai professionisti, ovvero anche agli altri dati mancanti qualora non sia stato nominato il professionista delegato).
I dati delle aste giudiziarie acquisiti dalla BDAG sono analiticamente indicati nello schema (par. 7.1 dati asta; par. 7.2 dati offerte).
Ad esclusione di una pagina informativa pubblica, la BDAG è accessibile da parte di qualificati utenti esterni (professionisti delegati alle vendite, curatori o liquidatori, commissionari) e interni al dominio Giustizia (personale delle cancellerie degli uffici giudiziari, autorità giudiziaria civile e penale, giudici dell’esecuzione, giudici delegati, presidenti degli uffici giudiziari o loro delegati, operatori del Ministero della giustizia), con diverse procedure di autenticazione informatica (paragrafo 4) e con differenti profili di autorizzazione, in conformità a quanto previsto dagli articoli 3, 4 e 5 del d.m. n. 99/2023. In particolare, per gli utenti esterni è previsto l’utilizzo degli strumenti di autenticazione (SPID, CIE e CNS) di cui all’articolo 64 del d.lgs. 7 marzo 2005, n. 82 (di seguito “CAD”), mentre la verifica della titolarità ad operare su una specifica asta viene effettuata presso il Sistema Informativo Esecuzioni Civili e Concorsuali (di seguito “SIECIC”). Per gli utenti interni, invece, l’autenticazione informatica e la gestione dei profili di autorizzazione vengono effettuate tramite il sistema “Active Directory Nazionale” (di seguito “ADN”).
Circa i tempi di conservazione dei dati personali, lo schema prevede che i dati e i documenti delle aste archiviati nella BDAG sono conservati per la durata massima di 5 anni dalla ricezione tramite il PVP, tenuto conto della tipologia di informazioni e procedure coinvolte, nonché delle esigenze del titolare del trattamento alla luce della ratio ordinamentale di istituzione della banca dati aste giudiziarie. Le informazioni sugli accessi logici alla banca dati e alle operazioni svolte sono conservate in un apposito file di log per la durata di cinque anni, ai sensi dell’articolo 5, comma 2, del d.m. 11 luglio 2023 , n. 99, avente caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità.
Quanto alle responsabilità connesse al trattamento dei dati personali, il paragrafo 9 dello schema prevede che il Ministero della Giustizia è il titolare del trattamento dei dati ai sensi dell’articolo 6 del DM 11 luglio 2023, n. 99, soltanto per le finalità correlate alla tenuta della banca dati.
Gli organi giudiziari sono titolari del trattamento relativamente ai dati trattati nell’ambito dell’esercizio delle proprie funzioni giudiziarie e forniscono apposite istruzioni sul trattamento ai soggetti operanti sotto la propria autorità ed abilitati ad accedere ai dati presenti nella banca dati.
Il Ministero della giustizia si avvale di soggetti fornitori di tecnologie e servizi professionali funzionali all’erogazione dei servizi informatici, quali responsabili del trattamento ai sensi dell’articolo 28 del Regolamento, che assicurino, in particolare, misure tecniche e organizzative adeguate a garantire la protezione dei dati personali e la tutela dei diritti degli interessati.
I titolari del trattamento sono tenuti a segnalare tempestivamente al Ministero della giustizia qualsiasi incidente di sicurezza del quale siano venuti a conoscenza, suscettibile di configurare una violazione dei dati personali di cui all’articolo 4, punto 12), del Regolamento. Il Ministero informa, senza ingiustificato ritardo, gli ulteriori titolari del trattamento per i quali l’incidente di sicurezza possa produrre effetti in relazione alle attività di trattamento da questi effettuate, in modo da consentire loro di stabilire se si sia verificata una violazione dei dati personali, di valutare i rischi per i diritti e le libertà delle persone fisiche che ne derivano, di adottare misure per porvi rimedio e per attenuare i possibili effetti negativi, nonché di verificare la sussistenza dei presupposti per la notifica al Garante, ai sensi dell’articolo 33 del Regolamento e, se del caso, per la comunicazione agli interessati, ai sensi dell’articolo 34 del Regolamento. Le modalità operative di condivisione delle informazioni di cui al presente comma sono definite in un disciplinare adottato dal Ministero della Giustizia, sentiti gli organi giudiziari.
Il Ministero della Giustizia, quale soggetto competente per la tenuta della banca dati e delle componenti tecniche a supporto, gestisce le violazioni dei dati personali di cui viene a conoscenza e che hanno impatto sul sistema informativo, secondo il disciplinare adottato, sentiti gli organi giudiziari, nonché mediante l’adozione di specifici protocolli operativi.
1.2. La complessità del sistema impone particolare attenzione ai profili della sicurezza dei dati e dei flussi di informazione.
Al riguardo si rappresenta la necessità che le misure tecniche e organizzative, da adottarsi al fine di garantire un livello di sicurezza adeguato ai rischi presentati dai trattamenti effettuati nell’ambito della BDAG, siano individuate e regolarmente riesaminate e aggiornate, sulla base di una valutazione d’impatto sulla protezione dei dati, da effettuarsi ai sensi dell’art. 35 del Regolamento. Le predette misure devono essere volte a garantire l’integrità e la riservatezza dei dati personali trattati (riducendo al minimo i rischi di accesso non autorizzato e di trattamento non consentito o non conforme alle finalità previste), ad attuare in modo efficace i principi di protezione dei dati, a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento, a tutelare i diritti degli interessati, nonché a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (artt. 5, par. 1, lett. f), 25 e 32 del Regolamento).
In particolare, tenendo anche conto dello stato dell’arte, nonché della natura, dell’oggetto, del contesto e delle finalità dei trattamenti effettuati nell’ambito della BDAG, si ritiene necessario che lo schema sia integrato prevedendo:
a) l’adozione di meccanismi per attenuare il rischio connesso all’attivazione fraudolenta di identità digitali SPID o certificati di autenticazione CNS intestati a utenti esterni (professionisti delegati alle vendite, curatori o liquidatori, commissionari), suscettibili di essere utilizzati per accessi abusivi e non autorizzati alla BDAG (cfr. par. 4.1 dello schema di specifiche tecniche);
b) l’utilizzo di procedure di autenticazione informatica a due o più fattori (strong authentication) per l’accesso degli utenti interni alla BDAG da rete internet o, in alternativa, l’accesso alla BDAG di tali utenti solo tramite le reti del dominio giustizia (cfr. par. 4.2 dello schema di specifiche tecniche);
c) la definizione dei profili di autorizzazione delle diverse tipologie di utenti, in modo da limitare l’accesso in consultazione ai soli dati necessari per effettuare le attività di trattamento ad essi affidate, con particolare riferimento alle informazioni personali riferite agli offerenti (nome, cognome, codice fiscale, dati relativi alla cauzione) (cfr. parr. 5.1 e 5.2 dello schema di specifiche tecniche).
2. Il secondo schema di provvedimento direttoriale.
Il secondo schema di specifiche tecniche trasmesso dal Ministero della giustizia (PVP_ST_Allegato_A_V1.0_20052024) è diretto a sostituire le specifiche tecniche vigenti, di cui al provvedimento del Direttore generale per i sistemi informativi automatizzati del 12 gennaio 2018, relative alle modalità di pubblicazione dei dati sul Portale delle vendite pubbliche ai sensi dell’articolo 161-quater delle disp. att. c.p.c., nonché quelle relative alle modalità di acquisizione dei dati relativi alle pubblicazioni ed alle informazioni minime da pubblicare sui siti internet per consentire, tramite funzionalità informatizzate, il monitoraggio da parte del Portale stesso, come previsto dall’articolo 7 del d.m. 31 ottobre 2006.
2.1. Scopo del Portale è quello di consentire lo svolgimento della vendita di beni mobili e immobili mediante gara telematica nei casi previsti dal Codice di procedura civile, nel rispetto dei principi di competitività, trasparenza, semplificazione, efficacia, sicurezza, esattezza e regolarità delle procedure telematiche.
Lo schema disciplina, in dettaglio, le modalità operative di inserimento delle informazioni relative alla pubblicazione di un avviso di vendita da parte del soggetto legittimato alla pubblicazione che dovrà operare dall’area riservata, utilizzando la funzionalità di data-entry messa a disposizione dall’interfaccia web del Portale stesso (paragrafo 1.8), nonché le modalità di colloquio tra i sistemi informatici (paragrafo 1.10.1).
Il Portale mette a disposizione dei cittadini un motore di ricerca delle pubblicazioni delle vendite forzate e i riferimenti ai siti Internet di pubblicità e di vendita telematica, ove indicati. I soggetti interessati a ricevere informazioni sulle inserzioni del Portale possono iscriversi a un servizio e scegliere l’area di interesse al fine di ricevere informazioni relative alle vendite in corso. I medesimi possono fare richiesta di visita di un bene immobile oggetto di una procedura di espropriazione immobiliare attraverso un servizio messo a disposizione sempre dal Portale.
Lo schema prevede che i dati personali forniti dal cittadino per la fruizione dei servizi o non saranno trasmessi a soggetti terzi, ma utilizzati esclusivamente per le finalità strettamente connesse al servizio prestato dal Portale e che i dati memorizzati nel Portale saranno criptati con chiave di criptazione e de-criptazione in possesso unicamente dell’Amministratore di sistema (paragrafo 1.7.1.).
Lo schema disciplina inoltre le modalità operative che i siti di pubblicità devono rispettare e le informazioni minime relative ai dati che essi devono pubblicare ex articolo 490, comma 2, c.p.c. (avviso contenente tutti i dati che possono interessare il pubblico, copia dell'ordinanza del giudice e relazione di stima), per consentire il predetto monitoraggio da parte del Portale (paragrafi 1.8.8., 1.10. – 1.12 e 2.1.1.).
Quanto alle responsabilità connesse al trattamento dei dati personali, ai sensi del paragrafo 5 dello schema, il Ministero della Giustizia è titolare del trattamento per le finalità correlate alla tenuta e aggiornamento del Portale, nell'esecuzione di un compito di interesse pubblico e connesso all'esercizio di pubblici poteri di cui è investito. Per la gestione dell’infrastruttura tecnologica, il Ministero nomina responsabili del trattamento i soggetti incaricati della gestione dei servizi applicativi che afferiscono al sistema; gli eventuali sub fornitori vengono nominati sub responsabili, nella ricorrenza dei presupposti di cui all’articolo 28, par. 2, del Regolamento. I soggetti responsabili e sub-responsabili assicurano, in particolare, l’adozione di misure tecniche e organizzative adeguate a garantire la protezione dei dati personali e la tutela dei diritti degli interessati.
Gli organi giudiziari sono titolari del trattamento relativamente ai dati nel procedimento giudiziario per cui viene autorizzata la pubblicazione della vendita di beni mobili e immobili; si avvalgono dei servizi informatici resi disponibili dal Ministero della Giustizia e forniscono ai soggetti operanti sotto la propria autorità ed abilitati ad accedere ai dati presenti nel portale, apposite istruzioni sul trattamento. Gli uffici giudiziari sono responsabili delle abilitazioni assegnate agli utenti (ove non già legittimati) che siano incaricati di trattare i dati; procedono in maniera autonoma ad abilitare e disabilitare gli operatori che abbiano accesso ai dati in ragione delle rispettive mansioni e competenze, ai sensi dell’art. 2-quaterdecies del Codice.
Il Ministero della giustizia assicura adeguati livelli di sicurezza, aggiornamento tecnologico, economicità ed efficienza dei sistemi informatici utilizzati per la tenuta del Portale. La disponibilità e resilienza dei servizi è garantita anche attraverso i soggetti incaricati della gestione dei servizi applicativi e infrastrutturali; il Ministero svolge compiti di vigilanza e indirizzo dei responsabili del trattamento.
Nel caso di episodi di data breach la gestione avviene in collaborazione con il DPO. In particolare, il Ministero della Giustizia gestisce le violazioni dei dati personali di cui viene a conoscenza e che hanno impatto sul sistema informativo, sentiti gli organi giudiziari, nonché mediante l’adozione di specifici protocolli operativi - in ogni caso con le tempistiche e modalità atte a consentire la sollecita rilevazione di una violazione dei dati personali - delle misure conseguenti e dei possibili rimedi, nonché la completa acquisizione ed analisi degli elementi necessari ai fini degli adempimenti prescritti dagli artt. 33-34 del Regolamento. Le modalità operative di condivisione delle informazioni e di definizione dei ruoli coinvolti nella gestione degli incidenti di sicurezza possono essere specificate con apposito disciplinare adottato dal Ministero della Giustizia, sentiti gli organi giudiziari.
2.2. Ciò premesso sul piano descrittivo, si svolgono le seguenti osservazioni.
2.2.1. Con riferimento ai dati e documenti inseriti nel Portale per un avviso di vendita, lo schema prevede che il soggetto legittimato alla pubblicazione, nel provvedere all’inserimento nel Portale dei dati relativi ai beni inclusi nel lotto in vendita, si assume qualsiasi responsabilità derivante da omessi o insufficienti accorgimenti atti a evitare la pubblicazione di immagini che violino la privacy degli interessati o di immagini di soggetti minori (paragrafo 1.8.6.)
Anche per quanto riguarda la pubblicazione nel Portale dei documenti da allegare obbligatoriamente (l’ordinanza di vendita per le vendite giudiziarie, il provvedimento che dispone la vendita forzata per le vendite non giudiziarie, le planimetrie, le perizie, le foto, ogni altro allegato relativo alla vendita forzata), lo schema prevede che “il soggetto legittimato alla pubblicazione assevera che la documentazione allegata è idonea ad essere pubblicata e pertanto conforme a quanto previsto in generale dalla normativa vigente in materia di privacy [….] Il soggetto legittimato alla pubblicazione si assume pertanto qualsiasi responsabilità derivante da omessi o insufficienti accorgimenti atti a preservare l’identità e la privacy dei soggetti coinvolti e di terzi estranei citati a qualsiasi titolo all’interno della procedura. Ricade unicamente sul soggetto legittimato alla pubblicazione la responsabilità di non allegare immagini di soggetti minori o immagini vietate.”.
Tali opportune previsioni non precisano, tuttavia, quale sia il ruolo assegnato al responsabile della pubblicazione nell’ambito delle figure organizzative previste dal Regolamento, sicché si ritiene necessario un chiarimento al riguardo.
Con riferimento alla pubblicazione degli avvisi di vendita sui siti internet di pubblicità nei casi di cui all’articolo 490, secondo comma, c.p.c., è previsto il monitoraggio della conformità al codice in materia di protezione dei dati personali (paragrafo 1.11.3.).
In tale ipotesi, non è indicato quale soggetto debba rispondere nel caso di pubblicazione in violazione della normativa di protezione dei dati personali, né il suo ruolo sotto il profilo delle responsabilità connesse alla protezione dei dati; si impone anche in questo caso, perciò, una integrazione dello schema, a chiarimento.
Appare inoltre opportuna la pubblicazione di un avviso (disclaimer) che ricorda ai soggetti legittimati alla pubblicazione degli avvisi di vendita di adottare adeguate misure per rimuovere dalla documentazione allegata le generalità e gli altri dati identificativi delle persone fisiche a cui appartenevano i beni mobili o immobili oggetto dell’asta o di soggetti terzi (cfr. par. 1.8.7 dello schema di specifiche tecniche).
2.2.2. Per quanto riguarda più specificamente gli aspetti tecnologici, lo schema integra le attuali specifiche tecniche definendo le modalità di trasmissione alla BDAG dei dati degli avvisi di vendita e delle offerte presentate, ai sensi del d. m. n. 99/2023, nonché introducendo per gli utenti esterni l’utilizzo degli strumenti di autenticazione (SPID, CIE e CNS) di cui all’articolo 64 del CAD.
A tale proposito, si ritiene che debbano essere adottati meccanismi per attenuare il rischio connesso all’attivazione fraudolenta di identità digitali SPID o certificati di autenticazione CNS intestati a utenti esterni (soggetti legittimati alla pubblicazione, soggetti cui rivolgersi per la visita del bene, operatori Gestore della Vendita Telematica), suscettibili di essere utilizzati per accessi abusivi e non autorizzati al PVP (cfr. par. 1.5.1 dello schema di specifiche tecniche).
2.2.3. Per quanto concerne i tempi di conservazione dei documenti, lo schema prevede (paragrafo 4.2) che i dati e i documenti delle aste archiviate nel Portale siano conservati per la durata massima di 5 anni.
Le informazioni sugli accessi logici al Portale e alle operazioni svolte sono conservate in un apposito file di log per la durata di cinque anni ai sensi dell’articolo 5, comma 2, del decreto 11 luglio 2023, n. 99, aventi caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità.
Poiché i dati e i documenti delle aste inseriti nel PVP sono destinati a transitare nella BDAG, il Ministero dovrebbe valutare la sussistenza di motivi operativi che giustifichino la conservazione dei dati e i documenti delle aste anche nella base dati PVP, per il medesimo periodo di cinque anni previsto per la conservazione dei dati nella predetta banca dati (cfr. parr. 4.2 PVP e 10.2. BDAG).
2.2.4. Si segnala, infine, in spirito di collaborazione, il seguente refuso: al paragrafo 1.11.3, pagina 27, è indicato “Manuale: monitoraggio della conformità al codice in materia di protezione dei dati personali (Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016)”); in relazione al quale si consiglia la seguente correzione: “Manuale: monitoraggio della conformità al codice in materia di protezione dei dati personali ed al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016”.
3. Il terzo schema di provvedimento direttoriale.
Il terzo schema, previsto dall’articolo 26 del d. m. 26 febbraio 2015, n. 32, riguarda le regole tecniche e operative per lo svolgimento della vendita dei beni mobili e immobili con modalità telematiche nei casi previsti dal c.p.c. Lo schema è diretto a sostituire le vigenti specifiche tecniche adottate con provvedimento del Direttore generale per i sistemi informativi automatizzati del 12 gennaio 2018.
Esso non introduce alcun elemento di novità rispetto all’attuale testo, limitandosi ad aggiornare alcune immagini e ad apportare alcuni mirati perfezionamenti del testo.
In considerazione di quanto sopra, l’Autorità non ha osservazioni da formulare su tale schema di decreto.
TUTTO CIO’ PREMESSO
IL GARANTE
ai sensi dell’articolo 36, paragrafo 4, del Regolamento, dell’articolo 7 del decreto del Ministro della giustizia 11 luglio 2023, n. 99 e dell’articolo 26 del decreto del Ministro della giustizia 26 febbraio 2015, n. 32, esprime parere sugli schemi di provvedimento del Direttore generale dei sistemi informativi automatizzati in tema di aste giudiziarie nei termini seguenti:
a) rispetto al primo schema, recante le specifiche tecniche relative alla banca dati delle aste giudiziarie ai sensi degli articoli 2-8 del decreto n. 99/2023, pubblicato in G.U. n°175 del 28 luglio 2023, contenente il regolamento sul funzionamento della banca dati relativa alle aste giudiziarie (1 BDAG_ST_V1.0_20052024), esprime parere favorevole con le seguenti condizioni, esposte nel “Considerato”:
siano adottati meccanismi per attenuare il rischio connesso all’attivazione fraudolenta di identità digitali SPID o certificati di autenticazione CNS intestati a utenti esterni (professionisti delegati alle vendite, curatori o liquidatori, commissionari), suscettibili di essere utilizzati per accessi abusivi e non autorizzati alla BDAG (punto 1.2.);
siano impiegate procedure di autenticazione informatica a due o più fattori (strong authentication) per l’accesso degli utenti interni alla BDAG da rete internet o, in alternativa, sia consentito l’accesso alla BDAG di tali utenti solo tramite le reti del dominio giustizia (punto 1.2);
siano definiti i profili di autorizzazione delle diverse tipologie di utenti in modo da limitare l’accesso in consultazione ai soli dati necessari per effettuare le attività di trattamento ad essi affidate, con particolare riferimento alle informazioni personali riferite agli offerenti (nome, cognome, codice fiscale, dati relativi alla cauzione) (punto 1.2).
b) rispetto al secondo schema, concernente l’aggiornamento delle specifiche tecniche relative alle modalità di pubblicazione sul portale delle vendite pubbliche, ai sensi dell’articolo 161-quater delle disposizioni di attuazione al codice di procedura civile, nonché alle modalità di acquisizione dei dati relativi alle pubblicazioni ed alle informazioni minime sui dati da pubblicare sui siti per consentire il monitoraggio da parte del portale tramite funzionalità informatizzate (PVP_ST_Allegato_A_V1.0_20052024), esprime parere favorevole con le seguenti condizioni, esposte nel “Considerato”:
- con riferimento alla responsabilità, ascritta al soggetto legittimato alla pubblicazione, per omessi o insufficienti accorgimenti atti a preservare l’identità e la privacy dei soggetti coinvolti e di terzi estranei citati a qualsiasi titolo all’interno della procedura, sia precisato il ruolo assegnato al medesimo nell’ambito delle figure organizzative previste dal Regolamento (punto 2.2.1.);
- con riferimento alla pubblicazione degli avvisi di vendita sui siti internet di pubblicità nei casi di cui all’articolo 490, comma 2, c.p.c., sia indicato il soggetto responsabile nel caso di pubblicazioni in violazione della normativa di tutela dei dati personali ed il ruolo assegnato al medesimo nell’ambito delle figure organizzative previste dal Regolamento (punto 2.2.1.);
- si preveda la pubblicazione di un avviso (disclaimer) che ricordi ai soggetti legittimati alla pubblicazione degli avvisi di vendita di adottare adeguate misure per rimuovere dalla documentazione allegata le generalità e gli altri dati identificativi delle persone fisiche a cui appartenevano i beni mobili o immobili oggetto dell’asta o di soggetti terzi (2.2.2.);
- siano adottati meccanismi per attenuare il rischio connesso all’attivazione fraudolenta di identità digitali SPID o certificati di autenticazione CNS intestati a utenti esterni (soggetti legittimati alla pubblicazione, soggetti cui rivolgersi per la visita del bene, operatori, Gestore della Vendita Telematica), suscettibili di essere utilizzati per accessi abusivi e non autorizzati al PVP (2.2.3.);
c) esprime parere favorevole sul terzo schema, recante aggiornamento delle specifiche tecniche previste dall’articolo 26 del decreto del Ministro della giustizia 26 febbraio 2015, n. 32 (PVP_ST_Allegato_B_V1.0_20052024).
Roma, 18 luglio 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
