VEDI ANCHE Newsletter del 22 ottobre 2024

[doc. web n. 10064748]

Parere sullo schema di decreto direttoriale interministeriale recante le specifiche tecniche per la messa a disposizione, nella fase giurisdizionale di merito, della videoregistrazione dei colloqui dei richiedenti asilo (c.d. Progetto “S.IN.D.A.C.A”) - 18 luglio 2024

Registro dei provvedimenti
n. 466 del 18 luglio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Ferroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

Visto il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”), come modificato dal decreto legislativo n. 101 del 2018;

Vista la richiesta di parere del Ministero dell’interno;

Vista la documentazione in atti;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Il Ministero dell’interno, con nota pervenuta in data 28 aprile 2023 a firma del Presidente della Commissione nazionale per il diritto d’asilo, richiedeva il parere del Garante su uno schema di decreto direttoriale interministeriale – composto da sei articoli e da un allegato contenente le pertinenti specifiche tecniche - a firma congiunta del predetto Presidente e del Direttore della Direzione generale dei sistemi informativi e automatizzati del ministero della Giustizia, avente ad oggetto l’individuazione delle specifiche tecniche per la messa a disposizione, nella fase giurisdizionale di merito, della videoregistrazione dei colloqui dei richiedenti asilo (c.d. Progetto “S.IN.D.A.C.A” - Sistema Informativo di Documentazione delle Audizioni delle Commissioni Asilo).

Il decreto è adottato ai sensi dell’articolo 14 del decreto legislativo 28 gennaio 2008, n. 25, di attuazione della direttiva 2005/85/CE recante norme minime per le procedure applicate negli Stati membri ai fini del riconoscimento e della revoca dello status di rifugiato (“Verbale del colloquio personale”), ai sensi del quale:

a) il colloquio è videoregistrato con mezzi audiovisivi e trascritto in lingua italiana con l'ausilio di sistemi automatici di riconoscimento vocale e della trascrizione del colloquio è data lettura al richiedente in una lingua a lui comprensibile;

b) dopo le verifiche di rito, il verbale della trascrizione è sottoscritto dal presidente o dal componente della Commissione territoriale che ha condotto il colloquio e dall'interprete;

c) copia informatica del file contenente la videoregistrazione e del verbale della trascrizione sono conservati in un apposito archivio informatico del Ministero dell'interno, con modalità che ne garantiscano l'integrità, la non modificabilità e la certezza temporale del momento in cui sono stati formati;

d) in sede di ricorso giurisdizionale avverso la decisione della Commissione territoriale, la videoregistrazione e il verbale di trascrizione sono resi disponibili all'autorità giudiziaria in conformità alle specifiche tecniche stabilite d'intesa tra i Ministeri della giustizia e dell'interno, con decreto direttoriale adottato sentito, limitatamente ai profili inerenti alla protezione dei dati personali, il Garante.

2. All’esito di un primo esame istruttorio dello schema trasmesso, con nota prot. 95511 del 19 giugno 2023 l’ufficio del Garante forniva indicazioni preliminari sul testo, al fine di integrarlo in senso conforme ai principi e alle regole poste a protezione dei dati personali e a garanzia dei diritti fondamentali degli interessati, in particolare sotto il profilo della sicurezza dei dati e del sistema.

Tale nota veniva riscontrata dal Ministero dell’interno (prot.  n. 121182 del 23 agosto 2023) con la richiesta di entrambi i dicasteri coinvolti di un incontro di lavoro, volto a “focalizzare le eventuali problematiche da risolvere in materia di rispetto della normativa sulla privacy e di tutela della riservatezza degli attori coinvolti nella procedura…[e] per valutare l’adeguatezza delle variazioni apportate al decreto” a seguito delle indicazioni rese dall’Ufficio del Garante.

Nella riunione di lavoro, tenutasi in data 17 gennaio 2024 con la partecipazione di rappresentanti di entrambi i ministeri e dell’Ufficio del Garante, venivano svolti i necessari approfondimenti, all’esito dei quali, e di successive interlocuzioni, il Ministero dell’interno ha trasmesso una versione aggiornata dello schema di decreto direttoriale interministeriale in oggetto per il prescritto parere del Garante (nota prot. n.  69447 del 7 giugno 2024).

CONSIDERATO

3.  Da quanto sopra descritto si ricava che il testo del provvedimento su cui il Garante è chiamato a rendere il proprio parere è il frutto di una complessa attività istruttoria.

Il testo oggi proposto all’attenzione del Garante tiene conto di molte delle indicazioni fornite dall’Ufficio nella fase istruttoria, volte ad assicurare il rispetto della disciplina in materia di protezione dei dati personali. In particolare, il Ministero dell’interno – sulla base di una valutazione d’impatto sulla protezione dei dati svolta, ai sensi dell’art. 35 del Regolamento, sul complesso di trattamenti effettuati nell’ambito del sistema S.IN.D.A.C.A., trasmessa al Garante unitamente allo schema di decreto – ha previsto l’adozione, tra le altre, delle seguenti misure tecniche e organizzative:

a) la registrazione degli accessi e delle operazioni effettuate sul sistema S.IN.D.A.C.A., sulla videoregistrazione e sul relativo verbale da parte dei soggetti autorizzati, con l’individuazione dei relativi tempi di conservazione, ai fini della verifica della liceità dei trattamenti, per finalità di controllo interno e per garantire l’integrità e la riservatezza dei dati personali (cfr. art. 5, comma 2, lett. a), dello schema), in ossequio ai principi di limitazione della finalità e di integrità e riservatezza e in conformità agli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. b) e f), e 32 del Regolamento);

b) l’utilizzo della crittografia per la protezione dei dati oggetto di trasmissione e di misure tecniche per garantire l'integrità, la non modificabilità e la certezza temporale dei dati registrati nei sottosistemi di memorizzazione del sistema S.IN.D.A.C.A. (cfr. art. 5, comma 2, lett. b), dello schema), in ossequio al principio di integrità e riservatezza e in conformità agli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. f), e 32 del Regolamento);

c) l’adozione di procedure operative, che coinvolgano i diversi titolari del trattamento, per rilevare e gestire eventuali violazioni dei dati personali (cfr. art. 5, comma 2, lett. c), dello schema), in ossequio al principio di integrità e riservatezza e in conformità agli obblighi in materia di sicurezza del trattamento e di violazione dei dati personali (artt. 5, par. 1, lett. f), 32 e 33 del Regolamento);

d) la limitazione degli attributi associati alle identità digitali degli utenti del sistema S.IN.D.A.C.A., acquisiti nell’ambito delle procedure di autenticazione informatica, ai dati strettamente necessari (cfr. art. 5, comma 2, lett. d), dello schema), in ossequio al principio di minimizzazione dei dati (artt. 5, par. 1, lett. c), del Regolamento);

e) l’adozione di misure per garantire un accesso selettivo alle informazioni da parte dei soggetti autorizzati (cfr. art. 5, comma 2, lett. f), dello schema), in ossequio ai principi di integrità e riservatezza e di protezione dei dati per impostazione predefinita e in conformità agli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. f), 25 e 32 del Regolamento);

f) il riesame e l’aggiornamento delle misure tecniche e organizzative definite nella valutazione d’impatto sulla protezione dei dati, con cadenza almeno annuale o a seguito di modifica dei rischi relativi alla protezione dei dati derivanti da eventi quali i cambiamenti delle attività di trattamento, la rilevazione di nuove minacce e vulnerabilità o le variazioni dei sistemi informatici a supporto (cfr. art. 5, comma 3, dello schema), in ossequio al principio di integrità e riservatezza e di responsabilizzazione e in conformità agli obblighi in materia di sicurezza del trattamento (artt. 5, parr. 1, lett. f), e 2, e 32 del Regolamento).

RITENUTO

4. Tutto ciò considerato, residua l’esigenza di un perfezionamento dello schema con riferimento ai seguenti aspetti.

4.1. Ai commi 1 e 2 dell’articolo 5, per quanto riguarda i trattamenti effettuati dal Ministero dell’interno, si specifica che titolare del trattamento “da ciascuno effettuato sui dati personali conferiti da terzi o di propria pertinenza nell’ambito delle attività necessarie ai fini dell’applicazione del presente decreto”, nonché di quelli “effettuati mediante il SINDACA”, è il Dipartimento libertà civili e immigrazione (DLCI)-Ministero dell’interno.

Posto che l’individuazione del titolare del trattamento è di estrema importanza ai fini delle conseguenti responsabilità in tema di protezione dati, si suggerisce l’opportunità di individuare il titolare del trattamento per la disciplina della titolarità del trattamento dei dati personali nel Ministero e non nel dipartimento in questione.

4.2. L’articolo 5, comma 2, lett. a), dello schema, nel prevedere che “le registrazioni devono essere inviate e collezionate da un sistema informatico centralizzato che ne garantisca la correttezza, la completezza e la immodificabilità, con tempi di conservazione di almeno 24 mesi”, individua un tempo minimo di conservazione dei dati relativi alle registrazioni degli accessi e delle operazioni eseguite nell’ambito del sistema S.IN.D.A.C.A. da parte dei soggetti autorizzati.

Tale previsione, nel lasciare indefinito il termine di conservazione e il conseguente obbligo di cancellazione alla scadenza, non è rispettoso del principio di limitazione della conservazione dei dati (art. 5, par. 1, lett. e), del Regolamento); ciò comporta la necessità di una modifica del testo che individui un termine certo di scadenza. Tale obiettivo può essere raggiunto espungendo dall’articolo 5, comma 2, lett. a), la parola “almeno” oppure individuando ex novo un termine di conservazione in base alla prudente valutazione dell’Amministrazione competente, anche in base a specifiche esigenze o discipline di settore.

4.3. Analoghe considerazioni valgono per l’individuazione del termine di conservazione dei dati di cui al comma 4 del medesimo articolo 5, che in base al dettato dell’articolo 14, comma 3, del decreto legislativo n. 25 del 2008, cui lo stesso schema rimanda, potrebbe essere ragionevole fissare in tre anni (cioè nel periodo minimo stabilito dalla norma di rango primario) o in altro congruo periodo motivatamente individuato.

TUTTO CIO’ PREMESSO, IL GARANTE

ai sensi dell’articolo 36, par. 4. del Regolamento esprime parere favorevole sullo schema di decreto direttoriale interministeriale, a firma congiunta del Presidente della Commissione nazionale per il diritto d’asilo e del Direttore della Direzione generale dei sistemi informativi e automatizzati del Ministero della Giustizia, recante le specifiche tecniche per la messa a disposizione, nella fase giurisdizionale di merito, della videoregistrazione dei colloqui dei richiedenti asilo (c.d. Progetto “S.IN.D.A.C.A”), con la seguente condizione:

- all’articolo 5, commi 1, lett. a) e 4 dello schema, siano individuati termini certi di conservazione dei dati personali (punti 4.2. e 4.3.);

e con la seguente osservazione:

si valuti l’opportunità di individuare il titolare del trattamento per la disciplina della titolarità del trattamento dei dati personali nel Ministero e non nel dipartimento libertà civili e immigrazione.

Roma, 18 luglio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei