[doc. web n. 10168204]

Parere al Ministero della giustizia su tre schemi di provvedimento in tema di: - “Nuove specifiche tecniche sulla Banca dati relativa alle aste giudiziarie (BDAG)”; - “Nuove specifiche tecniche sul Portale delle vendite pubbliche (PVP); - “Nuove specifiche tecniche sulle vendite con modalità telematiche” - 10 luglio 2025

Registro dei provvedimenti
n. 382 del 10 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del professor Pasquale Stanzione, presidente, della professoressa Ginevra Cerrina Feroni, vicepresidente, dell’avvocato Guido Scorza e del dottor Agostino Ghiglia, componenti e del dottor Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito: “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni del vice segretario generale reggente, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore dottor Agostino Ghiglia;

PREMESSO

1. In data 24 aprile 2025, il Ministero della giustizia ha richiesto il parere del Garante su tre schemi di provvedimento (di seguito, anche “schemi”) del Capo Dipartimento per l’innovazione tecnologica della giustizia, contenenti, rispettivamente: - “Nuove specifiche tecniche sulla Banca dati relativa alle aste giudiziarie (BDAG)”; - “Nuove specifiche tecniche sul Portale delle vendite pubbliche (PVP); - “Nuove specifiche tecniche sulle vendite con modalità telematiche”.

Più precisamente, i tre predetti schemi contengono:

i) specifiche tecniche previste dall’art. 26, comma 6, del d.lgs. 10 ottobre 2022, n. 149, adottate ai sensi dall’art. 7 del d.m. 11 luglio 2023, n. 99, recante il regolamento relativo al funzionamento della Banca dati relativa alle aste giudiziarie (BDAG);

ii) specifiche tecniche previste dall'art. 161-quater disp. att. c.p.c. sul portale delle vendite pubbliche (PVP), aggiornate ai sensi del citato art. 7 del d.m. 11 luglio 2023, n. 99, recante il regolamento relativo al funzionamento della banca dati relativa alle aste giudiziarie;

iii) specifiche tecniche previste dall’art. 26 del d.m. 26 febbraio 2015, n. 32, recante il regolamento sulle regole tecniche e operative per lo svolgimento della vendita dei beni mobili e immobili con modalità telematiche.

Nella medesima richiesta il Ministero ha precisato che, a seguito del parere di questa Autorità, i conseguenti provvedimenti saranno adottati dal citato Capo Dipartimento, ai sensi dell’art. 3, comma 3, del d.p.c.m. n. 78 del 2024, a tenore del quale: “I provvedimenti e le attestazioni che secondo le disposizioni normative, anche regolamentari, vigenti, competono al Direttore generale dei sistemi informativi automatizzati, al Responsabile dei sistemi informativi automatizzati o alla Direzione generale dei sistemi informativi automatizzati sono attribuiti al Capo del Dipartimento per l'Innovazione tecnologica della giustizia”.

I primi due succitati schemi sono previsti dall’articolo 7 del decreto ministeriale 11 luglio 2023, n. 99, recante il regolamento relativo al funzionamento della banca dati relativa alle aste giudiziarie, adottato ai sensi dell’articolo 26, comma 6, del decreto legislativo 10 ottobre 2022, n. 149, con cui è stata fornita attuazione alla legge 26 novembre 2021, n. 206, recante delega al Governo per l'efficienza del processo civile e per la revisione della disciplina degli strumenti di risoluzione alternativa delle controversie e misure urgenti di razionalizzazione dei procedimenti in materia di diritti delle persone e delle famiglie nonché in materia di esecuzione forzata).

Il citato articolo 26 del decreto legislativo n. 149 del 2022 ha previsto infatti l’istituzione presso il Ministero della giustizia di una banca dati relativa alle aste giudiziarie, contenente i dati identificativi degli offerenti, i dati identificativi del conto bancario o postale utilizzato per versare la cauzione e il prezzo di aggiudicazione, nonché le relazioni di stima, rinviando ad un decreto ministeriale  la determinazione delle modalità di acquisizione dei dati, le modalità di inserimento dei medesimi nella banca dati, nonché le modalità di esercizio del potere di vigilanza da parte del Ministero della giustizia.

L’articolo 7 del predetto decreto n. 99 del 2023, prevede che con provvedimento del responsabile dei sistemi informativi e automatizzati del Ministero della Giustizia, siano emanate le specifiche tecniche relative all'inserimento dei dati nella banca dati e all'individuazione dei tempi di conservazione dei dati stessi, nonché delle modalità di attribuzione delle utenze e di accesso alla banca dati da parte di tutti i soggetti abilitati e siano aggiornate le specifiche tecniche previste dall'articolo 161-quater delle disposizioni per l'attuazione del codice di procedura civile (Modalità di pubblicazione sul portale delle vendite pubbliche). L’articolo in questione prevede, altresì, che le specifiche tecniche siano emanate dopo aver acquisito il parere del Garante per la protezione dei dati personali.

Al riguardo si rammenta che - nell’esprimere il parere di propria competenza (provv. del 17 maggio 2023 n. 216), sullo schema di tale decreto n.99/2023 – il Garante ha segnalato, tra l’altro, l’opportunità che, in ragione della loro rilevanza sotto il profilo della protezione dati, anche le specifiche tecniche del responsabile dei sistemi informativi e automatizzati del Ministero fossero sottoposte al parere del Garante.

In applicazione di tale prescrizione, il Ministero della Giustizia, il 24 maggio 2024, ha chiesto al Garante di esaminare le specifiche tecniche, contenute in tre schemi riguardanti rispettivamente la “Banca dati relativa alle aste giudiziarie (BDAG); il “Portale delle vendite pubbliche (PVP)” nonché “le vendite con modalità telematiche”.  

Il Garante ha reso il proprio parere, con provvedimento 18 luglio 2024 n. 464, stabilendo quanto segue:

a) rispetto al primo schema, recante le specifiche tecniche relative alla banca dati delle aste giudiziarie ai sensi degli articoli 2-8 del decreto n. 99/2023, contenente il regolamento sul funzionamento della banca dati relativa alle aste giudiziarie (di seguito: “schema originario n.1”), è stato espresso parere con le seguenti condizioni:

fossero adottati meccanismi per attenuare il rischio connesso all’attivazione fraudolenta di identità digitali SPID o certificati di autenticazione CNS intestati a utenti esterni (professionisti delegati alle vendite, curatori o liquidatori, commissionari), suscettibili di essere utilizzati per accessi abusivi e non autorizzati alla BDAG;

fossero impiegate procedure di autenticazione informatica a due o più fattori (strong authentication) per l’accesso degli utenti interni alla BDAG da rete internet o, in alternativa, sia consentito l’accesso alla BDAG di tali utenti solo tramite le reti del dominio giustizia;

fossero definiti i profili di autorizzazione delle diverse tipologie di utenti in modo da limitare l’accesso in consultazione ai soli dati necessari per effettuare le attività di trattamento ad essi affidate, con particolare riferimento alle informazioni personali riferite agli offerenti (nome, cognome, codice fiscale, dati relativi alla cauzione).

b) rispetto al secondo schema, concernente l’aggiornamento delle specifiche tecniche relative alle modalità di pubblicazione sul portale delle vendite pubbliche, ai sensi dell’articolo 161-quater delle disposizioni di attuazione al codice di procedura civile, nonché alle modalità di acquisizione dei dati relativi alle pubblicazioni ed alle informazioni minime sui dati da pubblicare sui siti per consentire il monitoraggio da parte del portale tramite funzionalità informatizzate (di seguito: “schema originario n. 2”), è stato espresso parere con  le seguenti condizioni:

- con riferimento alla responsabilità, ascritta al soggetto legittimato alla pubblicazione, per omessi o insufficienti accorgimenti atti a preservare l’identità e la privacy dei soggetti coinvolti e di terzi estranei citati a qualsiasi titolo all’interno della procedura, venisse precisato il ruolo assegnato al medesimo nell’ambito delle figure organizzative previste dal Regolamento;

- con riferimento alla pubblicazione degli avvisi di vendita sui siti internet di pubblicità nei casi di cui all’articolo 490, comma 2, c.p.c., venissero indicati il soggetto responsabile nel caso di pubblicazioni in violazione della normativa di tutela dei dati personali ed il ruolo assegnato al medesimo nell’ambito delle figure organizzative previste dal Regolamento;

- si prevedesse la pubblicazione di un avviso (disclaimer) che ricordasse ai soggetti legittimati alla pubblicazione degli avvisi di vendita di adottare adeguate misure per rimuovere dalla documentazione allegata le generalità e gli altri dati identificativi delle persone fisiche a cui appartenevano i beni mobili o immobili oggetto dell’asta o di soggetti terzi;

- venissero adottati meccanismi per attenuare il rischio connesso all’attivazione fraudolenta di identità digitali SPID o certificati di autenticazione CNS intestati a utenti esterni (soggetti legittimati alla pubblicazione, soggetti cui rivolgersi per la visita del bene, operatori, Gestore della Vendita Telematica), suscettibili di essere utilizzati per accessi abusivi e non autorizzati al PVP;

c) ha espresso parere favorevole sul terzo schema, recante aggiornamento delle specifiche tecniche previste dall’articolo 26 del decreto del Ministro della giustizia 26 febbraio 2015, n. 32 (di seguito: “schema originario n. 3”).

Di seguito, al suddetto parere del 18 luglio 2024 si farà riferimento per il necessario raccordo logico-giuridico con il nuovo parere reso con il presente provvedimento e, più in generale, per la rappresentazione delle tematiche in rilievo.

CONSIDERATO

2. Il primo schema di provvedimento direttoriale.

Il primo schema in questione contiene nuove specifiche tecniche relative alle modalità di pubblicazione nella Banca Dati delle Aste Giudiziarie e sulle modalità di acquisizione dei dati relativi alle esecuzioni, ai sensi degli artt. 2-8 del d.m. 11 luglio 2023, n. 99.

Al riguardo, è opportuno richiamare il primo schema di specifiche tecniche (schema originario n.1), sul quale questo Garante ha reso il citato parere del 18 luglio 2024 n. 464. Tale schema recava le modalità operative per l’uso della Banca Dati delle Aste Giudiziarie (di seguito anche “BDAG”), relative, in particolare, all'inserimento dei dati nella BDAG, all'individuazione dei tempi di conservazione degli stessi nonché alle modalità di accesso alla BDAG da parte dei soggetti abilitati.

2.1. La BDAG, istituita presso il Ministero della giustizia, contiene le informazioni relative alle aste giudiziarie, divise tra i dati delle vendite pubblicate sul Portale delle Vendite Pubbliche previsto dall’articolo 490 c.p.c. (di seguito anche “PVP” o “Portale”) e quelli delle offerte presentate per le vendite stesse, ed è articolata in tre sezioni: 1) esecuzioni immobiliari; 2) esecuzioni mobiliari; 3) vendite nelle procedure concorsuali.

I dati relativi alle aste giudiziarie sono acquisiti in maniera automatizzata nella BDAG per il tramite del PVP, presso il quale sono raccolti i dati delle offerte provenienti dai sistemi dei Gestori delle Vendite Telematiche di cui all’articolo 2, comma 1, lett. b), del decreto ministeriale n 32/2015. Come previsto dall’articolo 3 del d.m. n. 99/2023, i dati della BDAG possono essere integrati dai professionisti delegati e dai cancellieri degli uffici (limitatamente al compenso liquidato ai professionisti, ovvero anche agli altri dati mancanti qualora non sia stato nominato il professionista delegato). I dati delle aste giudiziarie acquisiti dalla BDAG sono stati analiticamente indicati nello schema originario n.1 (par. 7.1 dati asta; par. 7.2 dati offerte).

Ad esclusione di una pagina informativa pubblica, la BDAG è accessibile da parte di qualificati utenti esterni (professionisti delegati alle vendite, curatori o liquidatori, commissionari) e interni al dominio Giustizia (personale delle cancellerie degli uffici giudiziari, autorità giudiziaria civile e penale, giudici dell’esecuzione, giudici delegati, presidenti degli uffici giudiziari o loro delegati, operatori del Ministero della giustizia), con diverse procedure di autenticazione informatica (paragrafo 4) e con differenti profili di autorizzazione, in conformità a quanto previsto dagli articoli 3, 4 e 5 del d.m. n. 99/2023. In particolare, per gli utenti esterni è previsto l’utilizzo degli strumenti di autenticazione (SPID, CIE e CNS) di cui all’articolo 64 del d.lgs. 7 marzo 2005, n. 82 (di seguito “CAD”), mentre la verifica della titolarità ad operare su una specifica asta viene effettuata presso il Sistema Informativo Esecuzioni Civili e Concorsuali (di seguito “SIECIC”). Per gli utenti interni, invece, l’autenticazione informatica e la gestione dei profili di autorizzazione vengono effettuate tramite il sistema “Active Directory Nazionale” (di seguito “ADN”).

Circa i tempi di conservazione dei dati personali, è previsto che i dati e i documenti delle aste archiviati nella BDAG siano conservati per la durata massima di 5 anni dalla ricezione tramite il PVP, tenuto conto della tipologia di informazioni e procedure coinvolte, nonché delle esigenze del titolare del trattamento alla luce della ratio ordinamentale di istituzione della banca dati aste giudiziarie. E’ previsto inoltre che le informazioni sugli accessi logici alla banca dati e alle operazioni svolte siano conservate in un apposito file di log per la durata di cinque anni, ai sensi dell’articolo 5, comma 2, del d.m. 11 luglio 2023, n. 99, avente caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità.

Quanto alle responsabilità connesse al trattamento dei dati personali, il Ministero della Giustizia è il titolare del trattamento dei dati ai sensi dell’articolo 6 del DM 11 luglio 2023, n. 99, soltanto per le finalità correlate alla tenuta della banca dati.

Gli organi giudiziari sono titolari del trattamento relativamente ai dati trattati nell’ambito dell’esercizio delle proprie funzioni giudiziarie e forniscono apposite istruzioni sul trattamento ai soggetti operanti sotto la propria autorità ed abilitati ad accedere ai dati presenti nella banca dati.

Il Ministero della giustizia si avvale di soggetti fornitori di tecnologie e servizi professionali funzionali all’erogazione dei servizi informatici, quali responsabili del trattamento ai sensi dell’articolo 28 del Regolamento, che assicurino, in particolare, misure tecniche e organizzative adeguate a garantire la protezione dei dati personali e la tutela dei diritti degli interessati.

I titolari del trattamento sono tenuti a segnalare tempestivamente al Ministero della giustizia qualsiasi incidente di sicurezza del quale siano venuti a conoscenza, suscettibile di configurare una violazione dei dati personali di cui all’articolo 4, punto 12), del Regolamento. Il Ministero informa, senza ingiustificato ritardo, gli ulteriori titolari del trattamento per i quali l’incidente di sicurezza possa produrre effetti in relazione alle attività di trattamento da questi effettuate, in modo da consentire loro di stabilire se si sia verificata una violazione dei dati personali, di valutare i rischi per i diritti e le libertà delle persone fisiche che ne derivano, di adottare misure per porvi rimedio e per attenuare i possibili effetti negativi, nonché di verificare la sussistenza dei presupposti per la notifica al Garante, ai sensi dell’articolo 33 del Regolamento e, se del caso, per la comunicazione agli interessati, ai sensi dell’articolo 34 del Regolamento.

Il Ministero della Giustizia, quale soggetto competente per la tenuta della banca dati e delle componenti tecniche a supporto, gestisce le violazioni dei dati personali di cui viene a conoscenza e che hanno impatto sul sistema informativo, secondo il disciplinare adottato, sentiti gli organi giudiziari, nonché mediante l’adozione di specifici protocolli operativi.

2.2. Lo schema di nuove specifiche tecniche trasmesso dal Ministero della giustizia, in esame per il presente parere, integra le vigenti specifiche tecniche relative alle modalità di pubblicazione nella Banca Dati delle Aste Giudiziarie (di seguito “BDAG”) e sulle modalità di acquisizione dei dati relativi alle esecuzioni, introducendo per gli utenti interni (personale delle cancellerie degli Uffici giudiziari, giudici dell’esecuzione, giudici delegati, presidenti degli Uffici giudiziari o loro delegati, operatori del Ministero della giustizia) l’utilizzo degli strumenti di autenticazione (SPID livello 2, CIE e CNS) di cui all’art. 64 del CAD, già previsto per gli utenti esterni (professionisti delegati alle vendite, curatori o liquidatori, commissionari). 

Al riguardo, tenendo anche conto dello stato dell’arte, nonché della natura, dell’oggetto, del contesto e delle finalità dei trattamenti effettuati nell’ambito della BDAG, si ritiene necessario che lo schema sia integrato, prevedendo, in particolare, l’adozione di meccanismi per attenuare il rischio connesso all’attivazione fraudolenta di identità digitali SPID o certificati di autenticazione CNS intestati a utenti esterni (professionisti delegati alle vendite, curatori o liquidatori, commissionari) o a utenti interni (personale delle cancellerie degli Uffici giudiziari, giudici dell’esecuzione, giudici delegati, presidenti degli Uffici giudiziari o loro delegati, operatori del Ministero della giustizia), suscettibili di essere utilizzati per accessi abusivi e non autorizzati alla BDAG (cfr. parr. 4.1 e 4.2 dello schema in esame) e successivi connessi illeciti trattamenti come la diffusione indiscriminata sul web o la comunicazione a soggetti terzi nell’ambito di illecite attività commerciali. Ciò, con l’inevitabile integrazione di ‘violazioni di dati personali’ ai sensi degli artt. 32 ss. del Regolamento e la conseguente applicabilità dei provvedimenti correttivi e delle sanzioni amministrative pecuniarie di cui agli artt. 58 e 83 del Regolamento.  

L’adozione della suddetta misura, che era stata già prospettata dal Garante nel parere sul precedente schema (provv. n. 464/2024, cit., adottato riguardo allo schema originario n.1) in relazione agli utenti esterni (che possono accedere alle sole procedure di vendita giudiziaria ad essi affidate), risulta ancor più necessaria in relazione agli utenti interni considerata l’ampia visibilità che gli stessi hanno su tutte le procedure di vendita giudiziaria di competenza dell’Ufficio di appartenenza.

3. Il secondo schema di provvedimento direttoriale.

3.1 Il secondo schema in esame è volto a sostituire le vigenti specifiche tecniche relative alle modalità di pubblicazione sul portale delle vendite pubbliche ai sensi dell’art. 161-quater delle disp. att. c.p.c. nonché relative alle modalità di acquisizione dei dati relativi alle pubblicazioni ed alle informazioni minime relative ai dati da pubblicare sui siti per consentire il monitoraggio da parte del portale tramite funzionalità informatizzate ai sensi di quanto previsto dall’art. 7 del d.m. 31 ottobre 2006 (adottate con provvedimento del Direttore generale per i sistemi informativi automatizzati del 25 settembre 2024).

Scopo del Portale è quello di consentire lo svolgimento della vendita di beni mobili e immobili mediante gara telematica nei casi previsti dal Codice di procedura civile, nel rispetto dei principi di competitività, trasparenza, semplificazione, efficacia, sicurezza, esattezza e regolarità delle procedure telematiche.

Il provvedimento disciplina, in dettaglio, le modalità operative di inserimento delle informazioni relative alla pubblicazione di un avviso di vendita da parte del soggetto legittimato alla pubblicazione che dovrà operare dall’area riservata, utilizzando la funzionalità di data-entry messa a disposizione dall’interfaccia web del Portale stesso, nonché le modalità di colloquio tra i sistemi informatici.

Il Portale mette a disposizione dei cittadini un motore di ricerca delle pubblicazioni delle vendite forzate e i riferimenti ai siti Internet di pubblicità e di vendita telematica, ove indicati. I soggetti interessati a ricevere informazioni sulle inserzioni del Portale possono iscriversi a un servizio e scegliere l’area di interesse al fine di ricevere informazioni relative alle vendite in corso. I medesimi possono fare richiesta di visita di un bene immobile oggetto di una procedura di espropriazione immobiliare attraverso un servizio messo a disposizione sempre dal Portale.

E’ previsto che i dati personali forniti dal cittadino per la fruizione dei servizi non siano trasmessi a soggetti terzi, ma utilizzati esclusivamente per le finalità strettamente connesse al servizio prestato dal Portale e che i dati memorizzati nel Portale siano criptati con chiave di criptazione e de-criptazione in possesso unicamente dell’Amministratore di sistema.

Quanto alle responsabilità connesse al trattamento dei dati personali, il Ministero della Giustizia è titolare del trattamento per le finalità correlate alla tenuta e aggiornamento del Portale, nell'esecuzione di un compito di interesse pubblico e connesso all'esercizio di pubblici poteri di cui è investito. Per la gestione dell’infrastruttura tecnologica, il Ministero nomina responsabili del trattamento i soggetti incaricati della gestione dei servizi applicativi che afferiscono al sistema; gli eventuali sub fornitori vengono nominati sub responsabili, nella ricorrenza dei presupposti di cui all’articolo 28, par. 2, del Regolamento. I soggetti responsabili e sub-responsabili assicurano, in particolare, l’adozione di misure tecniche e organizzative adeguate a garantire la protezione dei dati personali e la tutela dei diritti degli interessati.

Gli organi giudiziari sono titolari del trattamento relativamente ai dati nel procedimento giudiziario per cui viene autorizzata la pubblicazione della vendita di beni mobili e immobili; si avvalgono dei servizi informatici resi disponibili dal Ministero della Giustizia e forniscono ai soggetti operanti sotto la propria autorità ed abilitati ad accedere ai dati presenti nel portale, apposite istruzioni sul trattamento. Gli uffici giudiziari sono responsabili delle abilitazioni assegnate agli utenti (ove non già legittimati) che siano incaricati di trattare i dati; procedono in maniera autonoma ad abilitare e disabilitare gli operatori che abbiano accesso ai dati in ragione delle rispettive mansioni e competenze, ai sensi dell’art. 2-quaterdecies del Codice.

Il Ministero della giustizia assicura adeguati livelli di sicurezza, aggiornamento tecnologico, economicità ed efficienza dei sistemi informatici utilizzati per la tenuta del Portale.  La disponibilità e resilienza dei servizi è garantita anche attraverso i soggetti incaricati della gestione dei servizi applicativi e infrastrutturali; il Ministero svolge compiti di vigilanza e indirizzo dei responsabili del trattamento.

Nel caso di episodi di data breach la gestione avviene in collaborazione con il DPO. In particolare, il Ministero della Giustizia gestisce le violazioni dei dati personali di cui viene a conoscenza e che hanno impatto sul sistema informativo, sentiti gli organi giudiziari, nonché mediante l’adozione di specifici protocolli operativi - in ogni caso con le tempistiche e modalità atte a consentire la sollecita rilevazione di una violazione dei dati personali -  delle misure conseguenti e dei possibili rimedi, nonché la completa acquisizione ed analisi degli elementi necessari ai fini degli adempimenti prescritti dagli artt. 33-34 del Regolamento.

3.2. Premesso quanto sopra, lo schema di provvedimento  portato all’attenzione di questa Autorità integra le attuali specifiche tecniche, definendo i servizi di cooperazione e il tracciato relativi agli allegati alle procedure di vendita giudiziaria, nonché introducendo per gli utenti interni (operatori degli Uffici giudiziari, operatori del Ministero della giustizia) l’utilizzo degli strumenti di autenticazione (SPID livello 2, CIE e CNS) di cui all’art. 64 del CAD, già previsto per gli utenti esterni (soggetti legittimati alla pubblicazione, soggetti cui rivolgersi per la visita del bene, operatori Gestore della Vendita Telematica, estimatori).

Ciò posto - tenendo anche conto dello stato dell’arte, nonché della natura, dell’oggetto, del contesto e delle finalità dei trattamenti effettuati nell’ambito del PVP - si ritiene necessario che lo schema sia integrato prevedendo l’adozione di meccanismi per attenuare il rischio connesso all’attivazione fraudolenta di identità digitali SPID o certificati di autenticazione CNS intestati a utenti esterni (soggetti legittimati alla pubblicazione, soggetti cui rivolgersi per la visita del bene, operatori Gestore della Vendita Telematica, estimatori) e utenti interni (operatori degli Uffici giudiziari, operatori del Ministero della giustizia), suscettibili di essere utilizzati per accessi abusivi e non autorizzati al PVP (cfr. parr. 1.5.1 e 1.5.2 del nuovo schema di specifiche tecniche).

L’adozione di tale misura, che era stata già prospettata dal Garante nel parere sul precedente schema (provv. n. 464/2024, cit., adottato riguardo allo schema originario n.2), in relazione agli utenti esterni (che possono accedere alle sole procedure di vendita giudiziaria ad essi affidate), risulta ancor più necessaria in relazione agli utenti interni considerata l’ampia visibilità che gli stessi hanno su tutte le procedure di vendita giudiziaria di competenza dell’Ufficio di appartenenza.

4. Il terzo schema di provvedimento direttoriale.

Il terzo schema trasmesso dal Ministero della giustizia è volto a sostituire le vigenti specifiche tecniche previste dall’art. 26 del d.m. 26 febbraio 2015, n. 32, recante le regole tecniche e operative per lo svolgimento della vendita dei beni mobili e immobili con modalità telematiche nei casi previsti dal c.p.c., ai sensi dell'art. 161-ter delle disp. att. c.p.c. (adottate con provvedimento del Direttore generale per i sistemi informativi automatizzati del 25 settembre 2024).

Lo schema in esame introduce limitate modifiche o integrazioni alle attuali specifiche tecniche, che non incidono sugli aspetti essenziali del trattamento dei dati personali. Pertanto, non si ritiene di formulare osservazioni in relazione a tale schema.

TUTTO CIO’ PREMESSO

IL GARANTE

ai sensi dell’articolo 57, par. 1, lett. c), del Regolamento, esprime parere sugli schemi di provvedimento del Direttore generale dei sistemi informativi automatizzati in tema di aste giudiziarie nei termini seguenti:

a) rispetto al primo schema, contenente specifiche tecniche previste dall’art. 26, comma 6, del d.lgs. 10 ottobre 2022, n. 149, adottate ai sensi dall’art. 7 del d.m. 11 luglio 2023, n. 99, recante il regolamento relativo al funzionamento della Banca dati relativa alle aste giudiziarie (BDAG), si ritiene necessario che lo schema sia integrato prevedendo l’adozione di meccanismi per attenuare il rischio connesso all’attivazione fraudolenta di identità digitali SPID o certificati di autenticazione CNS intestati a utenti esterni o a utenti interni, nei termini di cui in motivazione (punto 2.2.);

b) rispetto al secondo schema, contenente specifiche tecniche previste dall'art. 161-quater disp. att. c.p.c. sul portale delle vendite pubbliche (PVP), aggiornate ai sensi dell’art. 7 del d.m. 11 luglio 2023, n. 99, si ritiene necessario che lo schema sia integrato prevedendo l’adozione di meccanismi per attenuare il rischio connesso all’attivazione fraudolenta di identità digitali SPID o certificati di autenticazione CNS intestati a utenti esterni e interni, nei termini di cui in motivazione (punto 3.2.);

c) rispetto al terzo schema, contenente specifiche tecniche previste dall’art. 26 del d.m. 26 febbraio 2015, n. 32, recante il regolamento sulle regole tecniche e operative per lo svolgimento della vendita dei beni mobili e immobili con modalità telematiche, non si hanno osservazioni da formulare (punto 4).

Roma, 10 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE REGGENTE
Filippi