[doc. web n. 1875293]

Parere del Garante su uno schema di Convenzione tra il Ministero dell´Interno e l´INPS per l´accesso delle forze di polizia, tramite il C.e.d., alla banca dati dell´Istituto, attraverso l´utilizzo di specifiche applicazioni informatiche - 2 febbraio 2012

Registro dei provvedimenti
n. 45 del 2 febbraio 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

Vista la richiesta di parere del Ministero dell´interno-Dipartimento della pubblica sicurezza;

Visto il Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196), in particolare l´art. 54;

Esaminata la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

Il Ministero dell´interno-Dipartimento della pubblica sicurezza ha chiesto il parere del Garante in ordine a uno schema di Convenzione, e agli Allegati che ne costituiscono parte integrante, da stipularsi tra il Ministero e l´Istituto nazionale della previdenza sociale avente a oggetto l´accesso da parte delle forze di polizia, tramite il Centro elaborazione dati (C.e.d.) del Dipartimento, alla banca dati dell´Istituto, attraverso l´utilizzo di specifiche applicazioni informatiche.

Il parere è richiesto ai sensi dell´art. 54, comma 1, del Codice nella parte in cui prevede la stipula da parte del Ministero dell´interno, previo parere conforme del Garante, di convenzioni-tipo volte ad agevolare la consultazione di pubblici registri, elenchi, schedari e banche di dati da parte di autorità di pubblica sicurezza e di forze di polizia nei casi in cui esse possono acquisire da altri soggetti informazioni, atti e documenti, in conformità a vigenti disposizioni di legge o di regolamento, anche per via telematica.

Il parere è reso tenendo conto delle informazioni e degli elementi forniti dal Ministero e dall´Istituto, che hanno fornito piena collaborazione, anche nel corso di alcuni incontri tecnici tenuti presso questa Autorità e si riferisce a una versione aggiornata dello schema di Convenzione e degli Allegati redatti all´esito degli approfondimenti svolti nell´ambito di detti incontri, che hanno permesso di chiarire e specificare numerosi aspetti della Convenzione.

É stata, in primo luogo, introdotta nell´art. 1 la definizione di "dato personale" tra le informazioni cui è possibile accedere. Si rende, peraltro, necessario riformulare tale definizione alla luce delle modifiche introdotte all´art. 4 del Codice dall´art. 40, comma 2, del d.l. 6 dicembre 2011, n. 201 (conv.to dalla legge 22 dicembre 2011, n. 214), che ha sottratto dall´ambito di applicazione della disciplina in materia di protezione dei dati personali le persone giuridiche, enti e associazioni.

Nello stesso articolo sono state definite le figure dei soggetti responsabili della corretta applicazione della Convenzione ("responsabili della Convenzione") e della sua gestione operativa ("referenti tecnici") per il C.e.d. e per l´I.n.p.s.; tali figure vengono individuate nell´art. 9.

Nell´art. 2 sono state indicate le applicazioni informatiche che permettono l´accesso degli operatori delle forze di polizia ai dati detenuti dall´Istituto; la disposizione rinvia all´Allegato B  per la compiuta elencazione di tali informazioni.

Nella Convenzione sono individuate le specifiche finalità per le quali è consentito l´accesso (art. 4), in coerenza con la normativa, citata nella Premessa, che prevede le attività che legittimano l´acquisizione dei dati detenuti dall´I.n.p.s. da parte delle forze di polizia.

É stato previsto che l´Istituto svolga attività di formazione nei confronti del personale delle forze di polizia sull´utilizzo del servizio (art. 7, comma 3).

Sono stati, altresì, introdotti l´obbligo per l´Istituto di fornire al C.e.d. strumenti volti a consentire al Centro il monitoraggio e il controllo delle operazioni effettuate dagli utenti (art. 7, comma 4), e per il C.e.d. di sottoporre gli accessi degli operatori di polizia alla banca dati dell´Istituto ai sistemi di monitoraggio degli accessi e di alert su anomalie in uso al Centro (art. 8, comma 4); i dirigenti degli uffici (nella Convenzione denominati "supervisori locali") devono essere appositamente istruiti sull´obbligo di verifica degli alert (art. 8, comma 6).

In conformità ai provvedimenti concernenti l´adozione di misure di sicurezza in materia di trattamento dei dati personali presso il C.e.d. (provv. 17 novembre 2005 e 11 ottobre 2006), si è reso opportuno chiarire che il Centro verifica ogni sessanta giorni le abilitazioni degli utenti autorizzati ad accedere alla banca dati dell´I.n.p.s. (art. 8, comma 3).

Disposizioni sull´obbligo per il C.e.d. di attuare al proprio interno alcune necessarie regole di sicurezza (registrazione e identificazione degli utenti, adozione di credenziali di autenticazione, utilizzo di meccanismi crittografici nelle procedure di autenticazione) sono state introdotte nell´art. 10, comma 5, della Convenzione.

OSSERVA

1. Le attività delle forze di polizia
La legge 31 maggio 1965, n. 575 prevede che nei confronti degli "indiziati di appartenere ad associazioni di tipo mafioso, alla camorra, alla ‘ndrangheta o ad altre associazioni (…) che perseguono finalità o agiscono con metodi corrispondenti a quelli delle associazioni di tipo mafioso", nonché dei soggetti indiziati di particolari reati, possono essere proposte dal questore territorialmente competente "le misure di prevenzione della sorveglianza speciale di pubblica sicurezza e dell´obbligo di soggiorno nel comune di residenza o di dimora abituale"  (artt. 1 e 2).

A tal fine, l´articolo 2-bis della legge stabilisce che il questore procede "anche a mezzo della guardia di finanza o della polizia giudiziaria, ad indagini sul tenore di vita, sulle disponibilità finanziarie e sul patrimonio" di tali soggetti, nonché "ad indagini sull´attività economica facente capo agli stessi soggetti allo scopo anche di individuare fonti di reddito" (comma 1). In particolare, può essere accertata la titolarità "di licenze, autorizzazioni, concessioni o abilitazioni all´esercizio di attività imprenditoriali e commerciali, comprese le iscrizioni ad albi professionali e pubblici registri" nonché il beneficio di "contributi, finanziamenti o mutui agevolati" concessi "da parte dello Stato, degli enti pubblici o delle Comunità europee" (comma 2).

Le indagini possono essere effettuate anche nei confronti del coniuge, dei figli e di conviventi, nonché "delle  persone fisiche o giuridiche, società, consorzi od associazioni, del cui patrimonio i soggetti medesimi risultano poter disporre in tutto o in parte, direttamente o indirettamente" (comma 3).

Per svolgere tali accertamenti il questore può richiedere "direttamente o a mezzo di ufficiali o agenti di polizia giudiziaria, ad ogni ufficio della pubblica amministrazione, ad ogni ente creditizio nonché alle imprese, società ed enti di ogni tipo, informazioni e copia della documentazione ritenuta utile ai fini delle indagini" (comma 6).

L´art. 55 c.p.p., da parte sua, prevede che la polizia giudiziaria, oltre che svolgere "ogni indagine e attività disposta o delegata dall´autorità giudiziaria" (comma 2), deve, "anche di propria iniziativa, prendere notizia dei reati, impedire che vengano portati a conseguenze ulteriori, ricercarne gli autori, compiere gli atti necessari per assicurare le fonti di prova e raccogliere quant´altro possa servire per l´applicazione della legge penale" (comma 1).

2. Accesso alla  banca dati dell´I.n.p.s. in ottica di identità federata
L´accesso alla banca dati dell´I.n.p.s., tramite il C.e.d., da parte degli operatori abilitati delle forze di polizia avviene in ottica di identità federata.

L´identità federata presuppone una relazione di fiducia tra le parti, secondo la quale la parte che detiene la banca dati – nella specie, l´I.n.p.s. – ripone fiducia nell´assunzione di responsabilità di un identity provider – nella specie, il Ministero –, che individua e gestisce l´utente abilitato all´accesso, ne conosce l´identità e ne controlla l´attività. 
Come il Garante ha già ritenuto per l´accesso degli operatori di polizia, tramite il C.e.d., alla banca dati dell´Anagrafe tributaria, gestita dall´Agenzia delle entrate (provvedimento del 26 marzo 2009; parere del 26 maggio 2011), tale modalità di accesso deve ritenersi adeguata per il C.e.d., trattandosi di una struttura già oggetto di specifici accertamenti da parte del Garante – definiti con i provvedimenti 17 novembre 2005 e 11 ottobre 2006 – concernenti l´adozione di più robuste misure di sicurezza nel trattamento dei dati personali effettuato presso il Centro.

In particolare, sulla base delle prescrizioni impartite dall´Autorità, il Dipartimento ha introdotto, in tempi diversi, riguardo agli utenti delle forze di polizia abilitati all´accesso al Centro, tra le altre misure, la certificazione digitale e il censimento delle postazioni da cui vengono effettuati gli accessi al C.e.d. (e, attraverso il Centro, alle banche dati esterne con cui questo è interconnesso); specifiche procedure di creazione, gestione e controllo delle utenze, con aggiornamento periodico ogni sessanta giorni della corrispondenza, per  ciascun utente, tra le abilitazioni all´accesso e le funzioni effettivamente svolte; strumenti di monitoraggio degli accessi e sistemi di alert su anomalia rispetto a parametri predeterminati – in quanto effettuati in un orario o in un giorno non consentito dal profilo applicativo dell´utente, oppure da una postazione di lavoro assegnata ad un ufficio diverso da quello di appartenenza dell´utente –.

3.La Convenzione

3.1. Tipologie di dati e finalità dell´accesso
La Convenzione nell´art. 2 individua specificamente le tipologie di dati oggetto della Convenzione (attinenti a posizioni assicurative, pensionistiche e prestazioni a sostegno del reddito), accessibili attraverso le relative applicazioni informatiche, pure indicate, rinviando all´Allegato B per l´analitica elencazione dei dati consultabili (anagrafici, retributivi, contributivi, pensionistici), ivi compresi dati sensibili – quali le prestazioni pensionistiche dovute a forme di invalidità –.

Si rende, peraltro, necessario integrare il comma 3 dell´art. 2 con l´indicazione che l´Allegato B costituisce parte integrante della Convenzione.

L´accesso alla banca dati da parte delle forze di polizia è espressamente limitato alle finalità connesse allo svolgimento delle attività previste dalla normativa indicata nella Premessa (art. 4), relative all´applicazione delle misure di prevenzione ai sensi della legge n. 575/1965 e alle indagini di polizia giudiziaria di cui all´art. 55 c.p.p., effettuate nel rispetto delle condizioni e dei limiti  posti dalle disposizioni che disciplinano tali attività.

3.2. Utenti abilitati all´accesso
Possono accedere alla banca dati gli operatori delle forze di polizia con qualifica di ufficiale o agente di polizia giudiziaria cui sono attribuiti dal C.e.d., in funzione dell´incarico svolto, specifici profili di abilitazione (art. 6), che vengono sottoposti a verifica ogni sessanta giorni (art. 8, comma 3), e credenziali di autenticazione personali (art. 10, comma 5). Il C.e.d. adotta procedure di registrazione che prevedono il riconoscimento diretto e l´identificazione certa dell´utente.

L´accesso è consentito esclusivamente dalle postazioni di lavoro certificate delle forze di polizia; al fine di consentire il controllo degli accessi alla banca dati, il C.e.d. rilascia agli utenti codici identificativi personali (art. 5, comma 1).

Nella Convenzione vengono specificati gli obblighi a carico degli utenti di utilizzare le informazioni acquisite per le sole finalità di cui all´art. 4, e di osservare la normativa del Codice in tema di rispetto dei principi di pertinenza nel trattamento delle informazioni e di osservanza delle necessarie misure di sicurezza (art. 10, commi 1 e 2).

E´ posto l´obbligo per il C.e.d. di impartire al personale abilitato direttive relative alle responsabilità connesse all´accesso improprio alla banca dati, all´uso illegittimo delle informazioni e alla loro indebita divulgazione, comunicazione e cessione a terzi (art. 10, comma 3); è, altresì, previsto per entrambe le parti l´obbligo di formazione di detto personale all´utilizzo della banca dati (artt. 6 e 7, comma 3).

Sono stati, inoltre, previsti specifici divieti a carico del C.e.d., e il correlativo obbligo di impartire direttive al riguardo agli utenti, in materia di duplicazione delle informazioni acquisite per la creazione di autonome banche dati e di utilizzo di dispositivi automatici (robot) che consentono la consultazione in forma massiva dei dati personali (art. 11).

3.3. Sicurezza nel flusso dei dati
Nell´Allegato tecnico A, che costituisce parte integrante della Convenzione (art. 3), viene specificato che in relazione alla sicurezza nel flusso dei dati, considerato il particolare contesto di identità federata che caratterizza i rapporti fra le parti, è previsto "l´utilizzo del protocollo SSL (Secure Sockets Layer) per garantire le funzionalità di crittografia dei dati trasferiti da client e server. Dal punto di vista tecnico il servizio sfrutta le misure di sicurezza dei protocolli previsti dallo standard WS-Security ed in particolare per la fase di autenticazione al servizio, in conformità a quanto previsto dagli standard vengono utilizzate asserzioni SAML (Security Assertion Markup Language). In particolare, ogni richiesta di accesso al servizio viene firmata digitalmente dall´Ente richiedente ed elaborata solo dopo la verifica della firma apposta. L´utilizzo di SAML consente il trasferimento, in maniera sicura e conforme agli standard, dell´identità dell´utente finale che usufruirà delle informazioni fornite dai servizi di consultazione online e permette il corretto tracciamento delle operazioni effettuate dall´utente finale sui sistemi dell´INPS".

3.4 Tracciamento degli accessi e delle operazioni effettuate
Il C.e.d. provvede al tracciamento degli accessi alla banca dati e l´I.n.p.s. provvede al tracciamento anche dell´accesso ai dati ivi detenuti, che consente di verificare le operazioni eseguite da ciascun utente (art. 12). Gli utenti sono informati di tali attività di tracciamento (art. 6).

3.5 Reportistica e sistemi di alert
La Convenzione prevede l´obbligo per l´I.n.p.s. di fornire al C.e.d. strumenti idonei a  consentire al Centro – ad esempio, attraverso una reportistica mensile – di effettuare il monitoraggio e, conseguentemente, il controllo delle operazioni svolte dagli utenti (art. 7, comma 4).

Il C.e.d. sottopone l´accesso alla banca dati dell´Istituto ai sistemi per il monitoraggio degli accessi e di alert su anomalia in uso al Centro. I risultati dell´attività di monitoraggio e di alert sono resi disponibili per trenta giorni ai supervisori locali. Questi ultimi ricevono dal C.e.d. istruzioni per la tempestiva verifica degli alert (art. 8, commi 4, 5 e 6).

3.6 Responsabili della Convenzione e modalità di modifica della stessa
Lo schema di Convenzione individua, per ciascuna parte, le figure dei responsabili della corretta applicazione e delle attività di gestione della medesima (art. 1), giuridicamente preposti, rispettivamente, alla gestione dei rapporti e delle comunicazioni tra le parti, e all´avvio e alla gestione operativa del servizio di accesso alla banca dati (art. 9). Lo schema indica inoltre la necessità della consultazione del Garante nell´ipotesi di modifiche o integrazioni alla Convenzione (art. 15).

4. Osservazioni

L´accesso da parte delle forze di polizia alla banca dati dell´I.n.p.s., tenuto conto  della tipologia delle informazioni conservate, risulta pertinente alle attività attinenti all´applicazione delle misure di prevenzione previste dalla legge n. 575/1965 e alle indagini di polizia giudiziaria di cui all´art. 55 c.p.p..
Le disposizioni contenute nella Convenzione, sopra riportate, non presentano profili di criticità in rapporto al rispetto della disciplina in materia di protezione dei dati personali, ivi compreso il profilo della sicurezza.

Si rende, peraltro, necessario:

- riformulare la definizione di "dato personale" contenuta nell´art. 1, lett. a) della Convenzione, alla luce delle modifiche introdotte all´art. 4 del Codice dall´art. 40, comma 2, del d.l. 6 dicembre 2011, n. 201 (conv.to dalla legge 22 dicembre 2011, n. 214), che ha sottratto dall´ambito di applicazione della disciplina in materia di protezione dei dati personali le persone giuridiche, enti e associazioni;

- integrare il comma 3 dell´art. 2 con l´indicazione che l´Allegato B ivi indicato costituisce parte integrante della Convenzione.

TUTTO CIÒ PREMESSO IL GARANTE

esprime, ai sensi dell´art. 54 del Codice, parere favorevole sullo schema di Convenzione da stipularsi fra il Ministero dell´interno-Dipartimento della pubblica sicurezza e l´Istituto nazionale della previdenza sociale avente a oggetto l´accesso da parte delle forze di polizia, tramite il Centro elaborazione dati del Dipartimento, alla banca dati dell´Istituto, a condizione che:

a) venga riformulata la definizione di "dato personale" contenuta nell´art. 1, lett. a) della Convenzione, alla luce delle modifiche introdotte all´art. 4 del Codice dall´art. 40, comma 2, del d.l. 6 dicembre 2011, n. 201 (conv.to dalla legge 22 dicembre 2011, n. 214), che ha sottratto dall´ambito di applicazione della disciplina in materia di protezione dei dati personali le persone giuridiche, enti e associazioni;

b) nell´art. 2, comma 3, della Convenzione l´Allegato B venga esplicitamente definito parte integrante della Convenzione stessa.

Roma, 2 febbraio 2012

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
De Paoli