[doc. web n. 9995114]

Parere sugli schemi di convenzione del Ministero della giustizia con, rispettivamente, Agenzia delle entrate, INPS e Unioncamere per la definizione delle modalità di accesso, da parte degli uffici giudiziari, alle banche dati contenenti le informazioni utili per la gestione della crisi d’impresa e dell’insolvenza - 22 febbraio 2024

Registro dei provvedimenti
n. 129 del 22 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTO il d.lgs. 12 gennaio 2019, n. 14, recante “Codice della crisi d'impresa e dell'insolvenza in attuazione della legge 19 ottobre 2017, n. 155” (di seguito, CCI) che, all’art. 367, con riferimento alle istruttorie sui debiti risultanti dai pubblici registri nei procedimenti per l'apertura della liquidazione giudiziale o del concordato preventivo, prevede che “le pubbliche amministrazioni che gestiscono le banche dati del Registro delle imprese, dell'Anagrafe tributaria e dell'Istituto nazionale di previdenza sociale trasmettono direttamente e automaticamente alla cancelleria, mediante il sistema di cooperazione applicativa ai sensi del decreto legislativo 7 marzo 2005, n. 82, Codice dell'amministrazione digitale, i dati e i documenti di cui ai commi 2, 3 e 4” (comma 1);

VISTE, in particolare, le seguenti disposizioni del citato art. 367 del CCI, ai sensi delle quali:

- “Il Registro delle imprese trasmette alla cancelleria i bilanci relativi agli ultimi tre esercizi, la visura storica, gli atti con cui sono state compiute le operazioni straordinarie e in particolare aumento e riduzione di capitale, fusione e scissione, trasferimenti di azienda o di rami di azienda. Ulteriori informazioni e documenti possono essere individuati con decreto non avente natura regolamentare del Ministero della giustizia, di concerto con il Ministero dello sviluppo economico” (comma 2);

- “L'Agenzia delle entrate trasmette alla cancelleria le dichiarazioni dei redditi concernenti i tre esercizi o anni precedenti, l'elenco degli atti sottoposti a imposta di registro e i debiti fiscali, indicando partitamente per questi ultimi interessi, sanzioni e gli anni in cui i debiti sono sorti. Con decreto del direttore generale della giustizia civile d'intesa con il direttore generale dell'Agenzia delle entrate possono essere individuati ulteriori documenti e informazioni” (comma 3);

- “L'Istituto nazionale di previdenza sociale trasmette alla cancelleria le informazioni relative ai debiti contributivi. Con decreto del direttore generale della giustizia civile d'intesa con il presidente del predetto Istituto possono essere individuati ulteriori documenti e informazioni” (comma 4);

- “Sino a quando non sono definiti dall'Agenzia per l'Italia digitale gli standard di comunicazione e le regole tecniche di cui all'articolo 71 del decreto legislativo 7 marzo 2005, n. 82, e, in ogni caso, quando l'amministrazione che gestisce la banca dati o il Ministero della giustizia non dispongono dei sistemi informatici per la cooperazione applicativa di cui al codice dell'amministrazione digitale, i dati, i documenti e le informazioni di cui al presente articolo sono acquisiti previa stipulazione, senza nuovi o maggiori oneri per la finanza pubblica, di una convenzione a titolo gratuito e senza nuovi o maggiori oneri per la finanza pubblica, finalizzata alla fruibilità informatica dei dati, sentito il Garante per la protezione dei dati personali” (comma 5);

VISTE le note con cui il Ministero della giustizia ha trasmesso all’Autorità – da ultimo, in data 23 gennaio 2024 e 8 febbraio 2024 – ai fini dell’acquisizione del parere di competenza ai sensi dell’art. 367, comma 5, del CCI, gli schemi di convenzione “con l’Agenzia delle Entrate, l’INPS e Unioncamere, necessarie per la definizione, in ossequio a quanto previsto dal Codice della crisi d’impresa e dell’insolvenza, delle modalità di accesso da parte degli Uffici giudiziari alle informazioni sui debiti risultanti dalle banche dati pubbliche che, a regime, verranno attuate mediante cooperazione applicativa tra i sistemi informativi e le predette banche dati”, unitamente alle valutazioni d’impatto sulla protezione dei dati effettuate ai sensi dell’art. 35 del Regolamento;

RILEVATO che gli schemi di convenzione in esame individuano misure volte ad assicurare il rispetto della disciplina in materia di protezione dei dati personali, con particolare riferimento alla trasparenza e alla garanzia dei diritti, alla sicurezza del trattamento e agli obblighi comunicativi reciproci in caso di rilevazione di violazioni dei dati personali, prevedendo, in particolare, che:

a) con riferimento alla convenzione tra Ministero della giustizia e Agenzia delle entrate per l’accesso ai dati presenti in Anagrafe tributaria:

- in relazione alle dichiarazioni dei redditi concernenti i tre esercizi o anni precedenti e all'elenco degli atti sottoposti a imposta di registro, le cancellerie accedano direttamente tramite gli specifici “servizi di cooperazione disponibili in SIATEL v2.0 PuntoFisco”; il personale preposto delle cancellerie è autorizzato secondo quanto disciplinato nella Convenzione di cooperazione informatica (ossia la convenzione prot. n. 27395 del 15 febbraio 2011 che disciplina l’accesso ai dati dell’Anagrafe tributaria da parte del Ministero della giustizia) (artt. 2 e 3);

- in relazione ai debiti fiscali (con la distinta indicazione degli interessi, delle sanzioni e degli anni in cui i debiti sono sorti), le cancellerie formulano richiesta via PEC all’ufficio dell’Agenzia delle entrate competente in base al domicilio fiscale del soggetto, il quale fornisce la documentazione richiesta entro 30 giorni rispondendo all’indirizzo PEC da cui ha avuto origine la richiesta stessa (artt. 2 e 3);

- sono previste specifiche misure di sicurezza, come, ad esempio: la limitazione degli accessi per le finalità espresse nel presente atto convenzionale e alle sole puntuali posizioni per le quali si conoscono già gli elementi necessari alla loro univoca individuazione; il tracciamento degli accessi da parte dell’Agenzia delle entrate; l’utilizzo, da parte dell’Agenzia delle entrate, di dispositivi in grado di segnalare eventuali anomalie nelle attività di accesso, con la possibilità di interruzione del servizio qualora non sia possibile adottare soluzioni alternative atte ad evitare il blocco applicativo dei sistemi; le verifiche effettuate dal Ministero della giustizia, anche a campione, sulla legittimità degli accessi e le conseguenti tempestive comunicazioni all’Agenzia delle entrate in caso di verifica di accessi illegittimi o anomali, provvedendo in maniera autonoma a disabilitarne l’accesso; la messa a disposizione del Ministero della giustizia, su sua richiesta, dei dati di dettaglio degli accessi effettuati da parte delle persone a ciò autorizzate, che sono conservati dall’Agenzia delle entrate per un periodo non inferiore ai 24 mesi; la cifratura dei file recanti le informazioni trasmesse via PEC dall’Agenzia delle entrate (art. 5);

b) con riferimento alla convenzione tra Ministero della giustizia e INPS per l’accesso ai dati relativi ai debiti contributivi di una impresa:

- le informazioni cui accedono le cancellerie, fornite dall’INPS e contenute nella relativa certificazione, sono le seguenti: denominazione o ragione sociale, sede legale e codice fiscale del debitore; numero identificativo e data di effettuazione della richiesta; esposizioni debitorie consolidate, distinte per Gestione previdenziali, numero di posizione contributiva, periodo, importo dei contributi, importo delle sanzioni civili e stato del credito (art. 2);

- le cancellerie formulano la richiesta di acquisizione delle predette informazioni via PEC alla competente sede INPS individuata in base alla sede legale/domicilio fiscale del soggetto, la quale risponde all'indirizzo PEC da cui ha avuto origine la richiesta stessa; la certificazione è contenuta in file protetto da password sicura, che verrà fornita dalla predetta sede INPS su apposita richiesta PEC della cancelleria interessata, contenente l’indicazione del referente e dell’e-mail istituzionale al quale inoltrare la password con separata e successiva e-mail (art. 3);

- l’accesso alle informazioni è consentito esclusivamente a soggetti che siano stati designati quali responsabili del trattamento o persone autorizzate, alle quali vengono impartite precise e dettagliate istruzioni; inoltre, i dati e le comunicazioni per PEC ed e-mail sono conservati per il tempo necessario al compimento delle attività inerenti allo scopo per il quale sono forniti e, in ogni caso, per un periodo minimo di 24 mesi dallo scambio degli stessi (art. 5);

c) con riferimento alla convenzione tra Ministero della giustizia e Unioncamere, in rappresentanza delle Camere di commercio: l’accesso e l’estrazione, da parte delle cancellerie, dei dati previsti dall’art. 367, comma 2, del CCI e presenti nei Registri delle imprese, messi a disposizione dalle Camere di commercio competenti, per il tramite di InfoCamere S.c.p.A., attraverso il servizio Telemaco (artt. 2 e 3);

CONSIDERATO che, in merito ai flussi di dati personali effettuati via PEC:

a) nello schema di convenzione tra Ministero della giustizia e Agenzia delle entrate, si rende necessario prevedere che i messaggi con i relativi allegati, unitamente ai relativi metadati e alle ricevute di accettazione e di consegna, siano conservati con modalità adeguate a garantire integrità e riservatezza, nonché per un periodo massimo (da individuarsi nello schema) proporzionato rispetto alle finalità per le quali tali dati personali debbano essere trattati, nel rispetto dei principi di limitazione della conservazione, di integrità e riservatezza, di accountability e di privacy by design e by default, nonché degli obblighi di sicurezza (art. 5, parr. 1, lett. e) e f), e 2, e artt. 24, 25 e 32 del Regolamento), fermo restando che la misura della cifratura prevista dall’art. 5, comma 7, dello schema debba riguardare anche i file contenuti nelle richieste provenienti dal personale autorizzato del Ministero della giustizia, laddove all’interno di tale file siano contenuti dati personali (ad esempio, nel caso delle ditte individuali);

b) nello schema di convenzione tra Ministero della giustizia e INPS, si rende necessario prevedere che, ai fini di prevenire i rischi connessi al trattamento (come quelli di intercettazione delle PEC da parte di terzi non autorizzati), gli allegati al messaggio PEC inviato dall’INPS siano sottoposti a cifratura, e siano conservati, unitamente ai relativi metadati e alle ricevute di accettazione e di consegna, con modalità adeguate a garantire integrità e riservatezza,  nonché per un periodo massimo (da individuarsi nello schema) proporzionato rispetto alle finalità per le quali tali dati personali debbano essere trattati, nel rispetto dei principi di limitazione della conservazione, di integrità e riservatezza, di accountability e di privacy by design e by default, nonché degli obblighi di sicurezza (art. 5, parr. 1, lett. e) e f), e 2, e artt. 24, 25 e 32 del Regolamento), fermo restando che la predetta misura della cifratura debba riguardare anche i file contenuti nelle richieste provenienti dal personale autorizzato del Ministero della giustizia, laddove all’interno di tale file siano contenuti dati personali (ad esempio, nel caso delle ditte individuali);

CONSIDERATO, inoltre, che nello schema di convenzione tra Ministero della giustizia e Agenzia delle entrate si rende necessario prevedere che l’accesso alle informazioni sia effettuato da responsabili del trattamento e da persone autorizzate specificamente designate e destinatarie di apposite istruzioni, ai sensi, rispettivamente, degli artt. 28 e 29 del Regolamento;

CONSIDERATO che sullo schema di convenzione tra Ministero della giustizia e Unioncamere non vi sono osservazioni da formulare, essendo state recepite le indicazioni fornite dall’Ufficio nel corso delle interlocuzioni informali, che hanno riguardato, in particolare, l’individuazione dei ruoli nei trattamenti di dati personali effettuati nell’ambito dei Registri delle imprese – che, in base alla normativa di settore, è un registro pubblico consultabile da chiunque e svolge finalità di pubblicità legale in relazione agli eventi che concernono le imprese (cfr. spec. art. 2188 c.c. e art. 8 della l. 29 dicembre 1993, n. 580) – con il riconoscimento della titolarità in capo alle Camere di commercio competenti, le quali si avvalgono di InfoCamere S.c.p.A., quale gestore informatico, in veste di responsabile del trattamento ai sensi dell’art. 28 del Regolamento;

RITENUTO, pertanto, di poter esprimere parere favorevole sugli schemi di convenzione in esame, a condizione che, in merito ai flussi di dati personali effettuati via PEC:

1) nello schema di convenzione tra Ministero della giustizia e Agenzia delle entrate, sia previsto che i messaggi con i relativi allegati, unitamente ai relativi metadati e alle ricevute di accettazione e di consegna, siano conservati con modalità adeguate a garantire integrità e riservatezza, nonché per un periodo massimo (da individuarsi nello schema) proporzionato rispetto alle finalità per le quali tali dati personali debbano essere trattati;

2) nello schema di convenzione tra Ministero della giustizia e Agenzia delle entrate sia previsto che l’accesso alle informazioni sia effettuato da responsabili del trattamento e da persone autorizzate specificamente designate e destinatarie di apposite istruzioni;

3) nello schema di convenzione tra Ministero della giustizia e INPS, sia previsto che gli allegati al messaggio PEC inviato dall’INPS siano sottoposti a cifratura;

4) nello schema di convenzione tra Ministero della giustizia e INPS, sia previsto che i messaggi siano conservati, unitamente ai relativi metadati e alle ricevute di accettazione e di consegna, con modalità adeguate a garantire integrità e riservatezza, nonché per un periodo massimo (da individuarsi nello schema) proporzionato rispetto alle finalità per le quali tali dati personali debbano essere trattati;

CONSIDERATO, infine, che, qualora il Ministero della giustizia e i soggetti con esso convenzionati, per le medesime finalità e in attuazione dell’art. 367 del CCI, decidessero di introdurre modalità di accesso alle menzionate banche dati mediante servizi di cooperazione applicativa tra sistemi informatici – in luogo di quelle basate su scambi di comunicazioni puntuali via PEC (come l’Agenzia delle entrate in relazione ai debiti fiscali, o l’INPS) – dovranno essere individuate misure volte ad assicurare il rispetto del principio di integrità e riservatezza e gli obblighi di sicurezza (artt. 5, par. 1, lett. f), e 32 del Regolamento), come, ad esempio, le istruzioni al personale specificamente autorizzato degli uffici giudiziari, il tracciamento delle operazioni svolte, modalità di rilevazione e segnalazione di accessi anomali, l’effettuazione di adeguati controlli (anche a campione) e forme di comunicazione reciproca, sia da parte del Ministero che da parte dei soggetti che gestiscono le banche dati oggetto di consultazione;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sugli schemi di convenzione del Ministero della giustizia con, rispettivamente, Agenzia delle entrate, INPS e Unioncamere per la definizione delle modalità di accesso, da parte degli uffici giudiziari, alle banche dati contenenti le informazioni utili per la gestione della crisi d’impresa e dell’insolvenza, ai sensi dell’art. 367 del d.lgs. 12 gennaio 2019, n. 14, a condizione che, in merito ai flussi di dati personali effettuati via PEC:

1) nello schema di convenzione tra Ministero della giustizia e Agenzia delle entrate, sia previsto che i messaggi con i relativi allegati, unitamente ai relativi metadati e alle ricevute di accettazione e di consegna, siano conservati con modalità adeguate a garantire integrità e riservatezza, nonché per un periodo massimo (da individuarsi nello schema) proporzionato rispetto alle finalità per le quali tali dati personali debbano essere trattati;

2) nello schema di convenzione tra Ministero della giustizia e Agenzia delle entrate sia previsto che l’accesso alle informazioni sia effettuato da responsabili del trattamento e da persone autorizzate specificamente designate e destinatarie di apposite istruzioni;

3) nello schema di convenzione tra Ministero della giustizia e INPS, sia previsto che gli allegati al messaggio PEC inviato dall’INPS siano sottoposti a cifratura;

4) nello schema di convenzione tra Ministero della giustizia e INPS, sia previsto che i messaggi siano conservati, unitamente ai relativi metadati e alle ricevute di accettazione e di consegna, con modalità adeguate a garantire integrità e riservatezza, nonché per un periodo massimo (da individuarsi nello schema) proporzionato rispetto alle finalità per le quali tali dati personali debbano essere trattati.

Roma, 22 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei