[doc. web n. 10247832]

Provvedimento del 26 marzo 2026

Registro dei provvedimenti
n. 204 del 26 marzo 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

Vista la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (di seguito anche “Direttiva”);

Visto il Decreto Legislativo 18 maggio 2018, n. 51, di attuazione della predetta direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito anche “Decreto”);
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”), come modificato dal decreto legislativo n. 101 del 2018;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo. 

E’ pervenuto a questa Autorità un reclamo da parte dal XX, relativo ad un presunto trattamento illecito dei suoi dati personali da parte del Dipartimento della Pubblica Sicurezza – Direzione Centrale della Polizia Criminale – Servizio per il Sistema informativo Interforze.

Il XX, con riferimento all’esito dell’inoltro al Dipartimento della Pubblica Sicurezza – Direzione Centrale della Polizia Criminale – Servizio per il Sistema informativo Interforze di una richiesta di cancellazione dei dati personali a lui riferiti “(…) nonostante trascorsi quasi 25 anni”, ha lamentato la presenza di informazioni relative a procedimenti giudiziari risalenti nel tempo.

Pertanto, il reclamante ha rappresentato che in tal modo la Direzione centrale del Dipartimento della Pubblica Sicurezza avrebbe effettuato un trattamento illecito di dati personali per i motivi esposti nel reclamo ed ha chiesto a questa Autorità di adottare le misure del caso.

2. L’attività istruttoria preliminare.

2.1 Con nota in data 6 novembre 2025 prot. n. U.0147080, questa Autorità ha chiesto alla Direzione Centrale della Polizia Criminale di fornire informazioni circa:

1) il trattamento da parte della Direzione Centrale della Polizia Criminale dei dati personali del XX, contenuti nel C.E.D., con particolare riguardo ai termini di conservazione dei dati; 

2) ogni altro elemento ritenuto utile per le valutazioni di questa Autorità in merito al reclamo in oggetto.

2.2 Con nota trasmessa in data 20 novembre 2025, la Direzione Centrale della Polizia Criminale – Ufficio Affari Giuridici e del Contenzioso, ha fornito il riscontro richiesto, dichiarando: 

“(…) Il XX in data 13.12.2021 ha inoltrato a mezzo posta elettronica certificata (XX@pec.it) ai sensi dell'art. 10, comma 3, della legge 1° aprile 1981, n. 121 un'istanza di accesso/aggiornamento dei dati conservati negli archivi del Centro Elaborazione Dati del Dipartimento della Pubblica Sicurezza (d'ora in poi: CED) di cui all'art.  8, comma 1 della predetta legge (all.1).

La richiesta, in particolare, riguardava l'aggiornamento del dato relativo ad una declaratoria di estinzione del reato, pronunciata dal Tribunale Militare di Roma in data 14.5.1997 e divenuta irrevocabile il 18.7.1997, nonché, eventualmente, la sua cancellazione o trasformazione in forma anonima qualora il dato fosse risultato detenuto in violazione delle vigenti disposizioni di legge o regolamento, a norma dell'art. 10 D.P.R. n. 15/2018.

Questa Direzione Centrale, all'esito della preliminare verifica delle informazioni inserite nella predetta Banca Dati relative al XX, ha risposto a mezzo raccomandata A./R, in pari data, all'indirizzo indicato dall'istante nella citata richiesta (Via G. Marconi, n. 157 Trinitapoli - BT) con nota prot. MI-123-U-UTGC-6-2021-24063 (all.2), comunicando i seguenti dati presenti e aggiornati:

1. Estinzione del reato emessa dal Tribunale Militare di Roma in data 9.5.1997;

2. Archiviazione emessa dal G.I.P. del Tribunale di Roma in data 8.4.2002.

Nella medesima missiva, con riferimento  alla richiesta di cancellazione  o trasformazione  in forma anonima,  oltre  a  specificare  che  i  predetti  dati  risultavano  essere  già  aggiornati,   si assicurava che gli stessi non erano più visibili agli operatori di polizia non dotati di particolari credenziali di abilitazione - fornite unicamente a chi presta servizio in uffici  investigativi per attività di indagine di polizia giudiziaria o di prevenzione dei reati (profilo di  accesso "Utente Investigativo")  - richiamando la disciplina contenuta nell'art. 10, comma 5, della legge 1 aprile 1981, n. 121, secondo cui le uniche ipotesi di cancellazione dei dati nel CED sono quelle previste in caso di trattamento in violazione di vigenti disposizioni di legge o regolamento.

Difatti, il comma 5 del citato articolo 10 recita: "Chiunque viene a conoscenza dell'esistenza dei dati personali che lo riguardano, trattati anche informa non automatizzata in violazione di disposizioni di legge o di regolamento, può chiedere al tribunale del luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare la rettifica, l'integrazione, la cancellazione o la trasformazione in forma anonima dei dati medesimi".

Come noto, l'inserimento di un'informazione di polizia nel solo archivio storico del CED rappresenta una misura organizzativa e procedurale che fornisce all'ufficio di polizia uno strumento idoneo ad assicurare la duplice esigenza da una parte di limitare il rischio di utilizzo del dato, in applicazione dell'art. 30, comma 1, del D.P.R. 15 gennaio 2018 n. 15 a tutela degli interessati, dall'altra di effettuarne correttamente il trattamento dando contezza degli intervenuti aggiornamenti come richiesto dalla norma di riferimento innanzi menzionata.

Al riguardo, si segnala che l'odierno reclamante ha ricevuto il suddetto riscontro del 13.12.2021 soltanto in data 18.01.2022, come dal medesimo asserito nella comunicazione p.e.c. avente pari data (all.3).

Ciò ha determinato il sovrapporsi di ulteriori richieste medio tempore dal medesimo inoltrate a questo Ufficio, prima ancora del decorso del termine di 30 giorni di cui alla normativa sopra richiamata che, ad ogni modo, sono state assorbite dalla predetta nota di riscontro, tempestivamente inviata nei termini di legge.

Con successive comunicazioni a mezzo p.e.c., il XX ha ribadito la richiesta di cancellazione dal CED delle iscrizioni a suo carico per decorso dei termini massimi di conservazione di cui all'art. 10 del D.P.R. 15 gennaio 2018 n. 15.

In merito si osserva che la disciplina applicabile è contenuta nella Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27/4/2016, recepita nell'ordinamento italiano con il D.lgs. 18/5/2018, n. 51.

Con particolare riferimento all'aspetto della cancellazione dei dati trattati per finalità di polizia, si rinvia preliminarmente all'orientamento già esposto in passato sulla mancata entrata in vigore di un Regolamento specifico per la trattazione dei dati contenuti nel CED, in sostituzione di quello approvato con D.P.R. 3 maggio 1982, n. 378, in attuazione dell'art. 11, comma 1, della legge 121/1981 e sulla conseguente inapplicabilità, in via automatica, dei tempi di conservazione previsti nel D.P.R. del 15 gennaio 2018 n. 15.

È altresì doveroso precisare che l'aggiornamento dei dati inseriti nella Banca Dati Interforze è di esclusiva competenza dell'Ufficio di polizia che ha a suo tempo iscritto la prima segnalazione nella predetta Banca Dati, come si evince dal Regolamento di cui all'art. 11, comma 1, della legge 1° apri le 1981, n. 121, approvato con D.P.R. 3 maggio 1982, n. 378.

Alla luce di quanto sopra, apparendo il dato lecitamente conservato, come sopra specificato, e non essendo intervenuta diversa determinazione da parte del competente Ufficio territoriale di polizia, questa Direzione Centrale con nota MI-123-U-UTGC-6-2022-1278 del 25.1.2022 (all.4) ha confermato al richiedente la non cancellabilità, allo stato, di quanto richiesto, illustrando anche l'excursus normativo a sostegno dell'applicabilità delle previsioni di cui al D.P.R.  378/82, a mente delle quali la cancellazione dei dati ivi contenuti è prevista solo nei casi di erroneità, incompletezza o raccolta illegittima.

Successivamente, tenuto conto del cospicuo decorso del tempo e, dunque, di possibili variazioni intervenute circa le valutazioni in ordine all'attualità di  eventuali  esigenze  di conservazione del dato da parte del predetto Ufficio di  polizia ,  questa  Direzione  Centrale  ha avviato le pertinenti interlocuzioni con la  competente  articolazione  territoriale  (Comando Provinciale della Guardia di Finanza di Roma), proprietaria del dato, al fine di verificare dette eventuali ulteriori contingenti esigenze di conservazione delle informazioni relative all'odierno reclamante invitando, in caso contrario, a procedere  con  la cancellazione  (all. 5).

All'esito, e a margine del presente reclamo, con l'allegata comunicazione del 17.11.2025 (all.6) si è provveduto ad assicurare al XX l'intervenuta cancellazione di quanto richiesto.

Tutto quanto sopra considerato, si può ragionevolmente concludere che non si è verificato alcun trattamento illecito del dato da parte di questo Ufficio in relazione alle informazioni contenute nel CED relative al reclamante.”.

3. L’esame degli esiti dell’istruttoria preliminare.

L’Autorità, esaminato il contenuto della nota di riscontro pervenuta, ha innanzitutto accertato sul piano fattuale che i dati del reclamante oggetto della richiesta di cancellazione riguardavano una sentenza di “estinzione del reato” emessa dal Tribunale Militare di Roma in data 9 maggio 1997 e un provvedimento di “archiviazione” emesso dal G.I.P. del Tribunale di Roma in data 8 aprile 2002. 

Nel merito, per quanto riguarda, in particolare, il tema della conservazione dei dati nel CED e della loro cancellazione al verificarsi dei pertinenti presupposti di legge, il Dipartimento della pubblica sicurezza ha affermato di non aver corrisposto all’originaria istanza di cancellazione dei suddetti dati, formulata dal XX nel 2021 e reiterata nel 2022 all’esito di un primo riscontro negativo, per le ragioni, ormai ampiamente note a questa Autorità, che si sostanziano in una lettura - assolutamente non condivisibile - del quadro normativo vigente che escluderebbe l’obbligo di cancellare dati registrati nel CED in assenza del regolamento specifico di disciplina dei dati registrati nel CED. 

In specie, infatti, il Dipartimento ribadiva nella medesima nota di riscontro che “Con particolare riferimento all'aspetto della cancellazione dei dati trattati per finalità di polizia, si rinvia preliminarmente all'orientamento già esposto in passato sulla mancata entrata in vigore di un Regolamento specifico per la trattazione dei dati contenuti nel CED, in sostituzione di quello approvato con D.P.R. 3 maggio 1982, n. 378, in attuazione dell'art. 11, comma 1, della legge 121/1981 e sulla conseguente inapplicabilità, in via automatica, dei tempi di conservazione previsti nel D.P.R. del 15 gennaio 2018 n. 15.

È altresì doveroso precisare che l'aggiornamento dei dati inseriti nella Banca Dati Interforze è di esclusiva competenza dell'Ufficio di polizia che ha a suo tempo iscritto la prima segnalazione nella predetta Banca Dati, come si evince dal Regolamento di cui all’art. 11, comma 1, della legge 1° apri le 1981, n. 121, approvato con D.P.R. 3 maggio 1982, n. 378.

Alla luce di quanto sopra, apparendo il dato lecitamente conservato, come sopra specificato, e non essendo intervenuta diversa determinazione da parte del competente Ufficio territoriale di polizia, questa Direzione Centrale con nota MI-123-U-UTGC-6-2022-1278 del 25.1.2022 (all.4) ha confermato al richiedente la non cancellabilità, allo stato, di quanto richiesto, illustrando anche l'excursus normativo a sostegno dell'applicabilità delle previsioni di cui al D.P.R. 378/82, a mente delle quali la cancellazione dei dati ivi contenuti è prevista solo nei casi di erroneità, incompletezza o raccolta illegittima.”.

Ad ogni buon conto, l’Amministrazione così proseguiva nella sopra riportata: “Successivamente, tenuto conto del cospicuo decorso del tempo e, dunque, di possibili variazioni intervenute circa le valutazioni in ordine all'attualità d i  eventuali  esigenze  di conservazione del dato da parte del predetto Ufficio di  polizia,  questa  Direzione  Centrale  ha avviato le pertinenti interlocuzioni con la  competente  articolazione  territoriale  (Comando Provinciale della Guardia di Finanza di Roma), proprietaria del dato, al fine di verificare dette eventuali ulteriori contingenti esigenze d i conservazione del le informazioni relative all'odierno reclamante invitando, in caso contrario, a procedere  con  la cancellazione  (all.5).

All'esito, e a margine del presente reclamo, con l'allegata comunicazione del 17.11.2025 (all.6) si è provveduto ad assicurare al XX l'intervenuta cancellazione di quanto richiesto. (…).”.

In sostanza, il Dipartimento della pubblica sicurezza, dopo aver affermato di non aver provveduto, in un primo tempo, alla cancellazione dei dati del XX, in adesione alle sue richieste, per la perdurante assenza del regolamento specifico di disciplina dei dati registrati nel CED, tuttavia informava l’Autorità di aver successivamente provveduto a determinare - tramite l’ufficio periferico - la cancellazione dei dati personali in questione dal CED, e precisamente nel novembre del 2025, per le motivazioni sopra riportate.

4. L’avvio del procedimento e le memorie difensive.

Preso atto delle risultanze dell’istruttoria preliminare, l’Ufficio, dopo attento esame, non le ha ritenute sufficienti a consentire l’archiviazione del caso, in quanto il trattamento effettuato dal Dipartimento della Pubblica Sicurezza dei dati del reclamante inseriti nel CED non appariva rispettoso delle regole e dei principi in materia di protezione di dati e delle disposizioni di settore. 

Pertanto, con nota del 23 dicembre 2025 prot. n. U.0178295, l’Ufficio del Garante comunicava al Ministero dell’Interno - Dipartimento della Pubblica Sicurezza, in qualità di titolare del trattamento, e al XX, in qualità di interessato reclamante, l’avvio del procedimento per l’adozione dei provvedimenti di cui agli articoli 37, comma 3, e 42 del d. lgs. n. 51/2018 di attuazione della Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio.

L’oggetto della contestazione riguardava il trattamento illecito dei dati da parte del Ministero dell’Interno – Dipartimento della P.S. – Direzione Centrale della Polizia Criminale – Servizio Informativo Interforze, di dati personali del XX registrati nel CED, mediante conservazione oltre i termini previsti dalla normativa di settore in violazione dei pertinenti principi di protezione dei dati personali.

L’Ufficio del Garante, infatti, riteneva calzanti – come del resto sostenuto dalla stessa Amministrazione interessata - rispetto alle fattispecie in esame le ipotesi di cui all’articolo 10, comma 3, lettere d) ed f) del d.P.R. n. 15/2018, a norma del quale i dati personali non possono essere conservati oltre il termine massimo fissato nel modo che segue:

● “d) dati relativi a provvedimenti che dichiarano l'estinzione della pena o del reato - 8 anni dall'inoppugnabilità del provvedimento”, con riferimento all’”Estinzione del reato emessa dal Tribunale Militare di Roma in data 9.5.1997”;

● “f) dati relativi ad attività di polizia giudiziaria conclusa con provvedimento di archiviazione - 20 anni dall'emissione del provvedimento”, con riferimento al dato “Archiviazione emessa dal G.I.P. del Tribunale di Roma in data 8.4.2002”.

Applicando la predetta normativa alle due fattispecie oggetto del reclamo, i termini relativi ai dati riferiti al provvedimento di estinzione emesso dal Tribunale militare di Roma e a quelli concernenti il provvedimento del GIP del Tribunale di Roma apparivano già spirati al momento della cancellazione dei dati in questione (avvenuta nel 2025).
 
Con la nota di avvio del procedimento, è stato evidenziato, pertanto, un ritardo nella cancellazione dei dati in parola da parte del Dipartimento della p.s., atteso che essa non sarebbe avvenuta, per quanto riferito dalla stessa Amministrazione, prima del novembre 2025, con conseguente perdurante conservazione dei dati oltre i limiti di legge. E ciò in violazione del principio di limitazione della conservazione dei dati (art. 3, comma 1, lett. e) del d.lgs. 51/2018) e del connesso obbligo di cancellazione dei dati (art. 12, comma 2, d.lgs. 51/2018), cancellazione che sarebbe dovuta avvenire, in entrambi i casi, prima di quanto disposto dal Dipartimento (novembre 2025).

Ricevuto l’atto di avvio del procedimento il Dipartimento della pubblica sicurezza presentava memoria difensiva con nota 22 gennaio 2026, prot. n. I. 0009684, nei termini di seguito riportati:

“(…) Come si può constatare dalla nota di questa Direzione Centrale del 18 novembre 2025, integralmente riportata nella relazione di codesta Autorità, le ragioni sulle quali si fonda il riscontro negativo alla iniziale istanza di cancellazione presentata dal XX - che si sottolinea essere risalente al 2021 e reiterata nel 2022 - sono riferibili all’orientamento a suo tempo seguito da questa Amministrazione in conseguenza della mancata entrata in vigore di un regolamento specifico per il trattamento dei dati contenuti nel CED, previsto dall’art. 11, comma 1, della L. 121/1981, di seguito all’adeguamento del quadro giuridico interno alla normativa europea relativa al trattamento dei dati personali da parte delle Autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.

La mancata entrata in vigore del predetto Regolamento ha determinato una conseguente difficoltà interpretativa ai fini della gestione delle istanze di cancellazione, stante anche l’inapplicabilità, in via automatica, all’architettura del CED interforze della rimozione dei dati per superamento dei tempi di conservazione previsti nel D.P.R. del 15 gennaio 2018 n. 15.

Al riguardo, preme evidenziare, inoltre, l’assenza di orientamenti consolidati in merito, almeno fino al 2024, in ragione della quale questa Amministrazione, in linea con i principi di buona fede, buon andamento, imparzialità e trasparenza dell’azione amministrativa, ha agito in applicazione delle previsioni della citata L. 121/1981 e del D.P.R. 3 maggio 1982, n. 378, unico Regolamento di riferimento alla data dell’inserimento nella banca dati CED delle informative relative al XX.

Premesso quanto sopra, si evidenzia che questa Amministrazione si è ormai conformata al più recente e consolidato orientamento giurisprudenziale in materia (cfr. Tribunale di Roma sentenza “SBROCCA c/Ministero dell’Interno” n. 18017/2024, pubb. il 26/11/2024) e a quanto da codesta Autorità esplicato nel provvedimento monitorio n. 237 del 10 aprile 2025, applicando - nelle more dell’emanazione dell’atteso specifico regolamento ai sensi dell’art. 5, comma 2, D.lgs. 51/2018 - le previsioni di cui all’art. 10, comma 3, del D.P.R. 15/2018 al trattamento delle informazioni contenute nel CED in occasione delle nuove istanze di cancellazione formulate e/o reiterate dagli interessati.

Alla luce di quanto precisato in premessa, il reclamo del 15.2.2022 da parte del XX, scaturito a seguito del riscontro di questa Direzione Centrale in data 25.1.2022 (nota prot. MI-123-U-UTGC-6-2022-1278 - all.1), sarebbe stato trattato in ogni caso nell’ambito del precedente contesto interpretativo della norma.

Sul punto, inoltre, si rappresenta che, anche qualora, alla data del 25.1.2022, fosse stata già applicata alle informazioni contenute nel CED la disciplina di cui al D.P.R. 15/2018 - secondo un generico criterio di analogia che non tiene conto della funzione e dei compiti peculiari dello stesso – non si sarebbe verificato alcun trattamento illecito, non essendo spirati a quella data i termini massimi di conservazione ovvero esaurite le finalità che ne avevano originato l’iniziale inserimento.

A quella data, infatti, le informazioni presenti nel CED (comunicate all’odierno reclamante con nota del 13.12.2021 all’esito dei pertinenti accertamenti - all.2), la cui mancata cancellazione è oggetto del presente reclamo, risultavano essere legittimamente conservate.

In particolare, si evidenzia che le predette iscrizioni originano, per ammissione dello stesso ricorrente, dal medesimo fatto storico: il polin iniziale della specifica notizia di reato - inserito dall’Ufficio territorialmente competente (Nucleo Centrale Polizia Tributaria della Guardia di Finanza – 3^ Sezione di Roma) - è stato comunicato sia all’A. G. ordinaria che a quella militare determinando l’emissione di due distinti provvedimenti in successione nel tempo.

Pertanto, secondo le regole generali che governano l’aggiornamento dei dati presenti nella Banca Dati, il “polin” del 18.6.1996 è stato correttamente aggiornato (in gergo “superato”) con l’inserimento dell’informativa relativa all’ “estinzione del reato del 9.5.1997 emessa dal Tribunale militare di Roma”, aggiornata successivamente con l’inserimento dell’informativa relativa al provvedimento di “archiviazione del 8.4.2002 emessa dal GIP di Roma”, cui, tuttavia, la precedente è rimasta strettamente collegata per salvaguardare il principio di esattezza del dato previsto dall’art. 3, comma 1, lett. d) del D.lgs. 18/5/2018, n. 51.

È dimostrato, quindi, che le predette informazioni risultavano lecitamente conservate, trovando la relativa giustificazione nel disposto dell’art. 10, comma 3, lett. F) del D.P.R. 15/2018, in base al quale i suddetti termini sarebbero spirati in data 8.4.2022, successivamente cioè tanto alle istanze di cancellazione del XX quanto alla data di presentazione del reclamo in parola.

Come ulteriore argomento si evidenzia che i suddetti dati, aggiornati come sopra, erano stati comunque inseriti nella sezione del CED denominata “archivio storico”, accessibile ai soli utenti in possesso di particolari credenziali (profilo accesso denominato Utente Investigativo) quale misura organizzativa e procedurale idonea a limitare il rischio di utilizzo del dato oltre i termini di conservazione, in applicazione dell’art. 30, comma 1, D.P.R. 15/2018 in relazione all’art. 10, comma 2, del medesimo D.P.R., ai sensi del quale, trascorsa la metà del tempo massimo di conservazione di cui al comma 3, se uguale o superiore a 15 anni, i dati sono accessibili ai soli operatori a ciò abilitati e designati sulla base di profili di autorizzazione predefiniti in base alle indicazioni del capo dell’ufficio o del comandante di reparto, non essendo attuabile ad oggi la cancellazione automatica dei dati, per le note ragioni connesse all’iter di definizione delle relative modalità attuative da parte della Commissione Tecnica di cui all’art. 8, comma 3 della Legge 121/1981.

(…) si osserva, infine, che, tenuto conto dell’intervenuta istruttoria della presente procedura, inoltrata da codesta Autorità con nota prot. 147411 del 6/11/2025 ed interpretata da questo Ufficio, in coerenza con il rinnovato chiarimento interpretativo esposto in precedenza, quale “rinnovata” richiesta, questa Amministrazione ha inteso concludere il procedimento in oggetto, provvedendo ad attivare tempestivamente le relative interlocuzioni con l’ufficio territoriale detentore del dato (all. 3) - invitandolo a procedere alla cancellazione dello stesso, ovvero, a giustificare il permanere dell’interesse alla conservazione, ai sensi dei commi 4 e 5 dell’art. 10 comma 3 del D.P.R. 15/2018 - prontamente assicurando, all’esito, all’interessato l’avvenuta cancellazione di quanto richiesto con nota del 17.11.2025 (all.4), a comprova del tempestivo agere amministrativo a tutela delle specifiche ragioni del reclamante.”.

Le argomentazioni svolte non si ritengono idonee a modificare il quadro fattuale emerso dall’istruttoria, né le considerazioni svolte dall’Ufficio a supporto dell’apertura del procedimento.

5. Le valutazioni dell’Autorità. Il quadro normativo di riferimento.

5.1 Si è visto sopra come l’Amministrazione abbia ritenuto, fino ad un dato momento, non rinvenibili disposizioni in materia di termini di conservazione dei dati registrati nel CED deducendone, per quanto riguarda il caso di specie, l’impossibilità al momento delle richieste formulate dal XX di procedere alla cancellazione di dati sotto questo profilo.

In particolare, il Dipartimento della pubblica sicurezza ha affermato di non aver corrisposto all’originaria istanza di cancellazione dei suddetti dati, formulata dal XX nel 2021 e reiterata nel 2022 all’esito di un primo riscontro negativo, per le ragioni, ormai ampiamente note a questa Autorità, che si sostanziano in una lettura - assolutamente non condivisibile - del quadro normativo vigente che escluderebbe l’obbligo di cancellare dati registrati nel CED in assenza del regolamento specifico di disciplina dei dati registrati nel CED.

Ciò detto, lo stesso Dipartimento ammette, ormai, l’applicazione rispetto alla tematica in argomento, seppur non “in via automatica”, del d.P.R. n. 15/2018, rispetto alle diverse fattispecie ivi previste (art. 10), come dimostrano i riscontri pervenuti in diverse istruttorie avviate dall’Autorità in casi consimili, a far data dal provvedimento del Garante n. 237 del 10 aprile 2025.

Nello stesso procedimento in corso, peraltro, l’Amministrazione ha fatto ampio riferimento all’applicazione del DPR n. 15/2018 e, in particolare, delle sue norme in materia di termini di conservazione dei dati, anche alle informazioni registrate nel CED interforze, con riferimento specifico, per le fattispecie richiamate dal reclamante, alle ipotesi di cui all’articolo 10, comma 3, lettere d) ed f) del predetto DPR n. 15/2018, a norma del quale i dati personali non possono essere conservati oltre il termine massimo fissato nel modo che segue: 

- “d) dati relativi a provvedimenti che dichiarano l'estinzione della pena o del reato - 8 anni dall’inoppugnabilità del provvedimento”, con riferimento all’”Estinzione del reato emessa dal Tribunale Militare di Roma in data 9.5.1997”;

- “f) dati relativi ad attività di polizia giudiziaria conclusa con provvedimento di archiviazione - 20 anni dall'emissione del provvedimento”, con riferimento al dato “Archiviazione emessa dal G.I.P. del Tribunale di Roma in data 8.4.2002”.

5.2 L’Amministrazione, nelle note di riscontro, ha rappresentato che con riferimento alle richieste di cancellazione o trasformazione in forma anonima “(…) oltre  a  specificare  che  i  predetti  dati  risultavano  essere  già  aggiornati, si assicurava che gli stessi non erano più visibili agli operatori di polizia non dotati di particolari credenziali di  abilitazione - fornite unicamente a chi presta servizio in uffici  investigativi per attività di indagine di polizia giudiziaria o di prevenzione dei reati (profilo di  accesso "Utente Investigativo")  - richiamando  la disciplina contenuta nell'art . 10, comma 5, della legge 1 aprile 1981, n. 121, secondo cui le uniche ipotesi di cancellazione dei dati nel CED sono quelle previste in caso di trattamento in violazione di vigenti disposizioni di legge o regolamento.” 

Ciò detto, l’Amministrazione ha riferito -per quel che qui interessa- che i dati relativi alla sentenza di estinzione del reato del 1997 ed a quella di archiviazione del 2002, entrambe oggetto di richiesta di cancellazione da parte del XX per decorrenza del termine massimo di conservazione (rispettivamente 8 e 20 anni) erano trattati secondo la modalità per cui “(…) l'inserimento di un'informazione di polizia nel solo archivio storico del CED rappresenta una misura organizzativa e procedurale che fornisce all'ufficio di polizia uno strumento idoneo ad assicurare la duplice esigenza da una parte di limitare il rischio di utilizzo del dato, in applicazione dell'art. 30, comma 1, del D.P.R. 15 gennaio 2018 n. 15 a tutela degli interessati, dall'altra di effettuarne correttamente il trattamento dando contezza degli intervenuti aggiornamenti come richiesto dalla norma di riferimento innanzi menzionata. (…)”.

L’Autorità, al riguardo, ribadisce le proprie forti perplessità su questo profilo – rappresentate in precedenti occasioni - e ritiene che tale misura organizzativa non sia idonea a limitare il rischio di utilizzo del dato oltre i termini di conservazione e a scongiurare effetti pregiudizievoli per l’interessato, anche in ragione del presumibile elevato numero degli operatori ammessi alla consultazione dell’archivio storico.

Al contrario, la conservazione sine die di dati “scaduti”, pur in un archivio ad accesso limitato, soprattutto se generalizzata, rischia di vanificare l’obbligo di legge di cancellazione del dato il cui termine di conservazione è spirato, in grave spregio dei diritti dell’interessato.

6. Conclusioni: dichiarazione di illiceità del trattamento; applicazione delle misure di cui agli articoli 37, comma 3 e 42 del d. lgs. n. 51/2018.

6.1 Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo alcuno dei casi previsti dall’articolo 11 del regolamento del Garante n. 1/2019.

Di converso, dalla documentazione acquisita agli atti e da quanto rappresentato in merito dal Dipartimento della pubblica sicurezza, risulta come il trattamento dei dati personali dell’interessato da parte del CED Interforze, sul quale il Garante esercita il controllo ai sensi dell’articolo 10, comma 1, della legge 1 aprile 1981, n. 121, nel testo vigente, presenti criticità sotto il profilo del principio di limitazione nel tempo della conservazione dei dati.

In particolare, le risultanze dell’attività istruttoria evidenziano un ritardo nella cancellazione dei dati del reclamante, atteso che essa non è avvenuta, per quanto riferito dalla stessa Amministrazione, prima del novembre 2025, con conseguente perdurante conservazione dei dati oltre i limiti di legge in modo che il trattamento dei dati personali effettuato dal Dipartimento della Pubblica Sicurezza – Direzione Centrale della Polizia Criminale – Servizio Sistemi Informativi, risulta effettuato in violazione del principio di limitazione della conservazione (art. 3, comma 1, lett. e), d. lgs. 51/2018) e del connesso obbligo di cancellazione dei dati (art. 12, comma 2, d. lgs 51/2018), in relazione a quanto in specie previsto dall’articolo 10 comma 3, lett. d) ed f), del DPR n. 15/2018.

6.2 In attuazione di quanto previsto dalla Direttiva e in armonia con il sistema normativo del Regolamento 2016/679 (di seguito anche “Regolamento”), il decreto legislativo n. 51 del 2018 ha attribuito al Garante, quale autorità nazionale protezione dati, nell’ambito dei suoi compiti e poteri, quello di adottare - in caso di accertata illiceità di un trattamento di dati personali per violazione di una disposizione del medesimo Decreto - sia provvedimenti c.d. correttivi, sia sanzioni amministrative pecuniarie, in una logica di proporzionalità rispetto alla gravità della violazione accertata (cfr. artt. 37, comma 3 e 42 d lgs. 51/2018, nonché considerando 89 della Direttiva).

In particolare, il complessivo quadro normativo applicabile ai casi di violazione di disposizioni del citato Decreto, consente al Garante di irrogare, per i casi meno gravi, in alternativa alla sanzione pecuniaria, un ammonimento, come pure prescrizioni atte a conformare pienamente i trattamenti alle regole e alle garanzie previste in materia di protezione dei dati personali o il blocco definitivo o provvisorio del trattamento stesso (cfr. art. 37, comma 3, lett. d) ed e) e 39 del d. lgs. n. 51/2018; artt.  154, 154-bis del Codice che rinvia, fra l’altro, all’art. 58, par. 2, lett. b), del Regolamento, e 23 del d. lgs 101 del 2018).

Pertanto, considerati i criteri previsti dalla legge cui commisurare la scelta della misura da adottare o l’ammontare dell’eventuale sanzione (cfr. artt. 42, comma 3, del Decreto e 83, par. 2, del Regolamento) occorre tenere in debito conto innanzitutto che il titolare del trattamento si è dimostrato cooperante con l’Ufficio nel corso dell’istruttoria, che non risultano eventuali fattori aggravanti e che, in particolare, la condotta illecita ha esaurito i propri effetti essendo stati (seppur in ritardo) cancellati i dati del reclamante, così come dal medesimo pacificamente affermato.

Deve, altresì, tenersi conto della complessità del quadro normativo applicabile a casi del genere di quelli oggetto del presente procedimento e di possibili difficoltà interpretative, per risolvere le quali si conferma la necessità di un aggiornamento da parte dell’Amministrazione della disciplina dei trattamenti effettuati per finalità di polizia aventi ad oggetto i dati registrati nel CED, in chiave di garanzia per i diritti degli interessati.

Per le suesposte ragioni, si ritiene, quindi, di dover irrogare al titolare del trattamento l’ammonimento, alla stregua della normativa sopra citata.

Si ritiene, infine, che ricorrano i presupposti di cui all’articolo 17 del regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

DICHIARA

l’illiceità del trattamento dei dati personali dell’interessato effettuato dal Dipartimento della Pubblica Sicurezza per violazione delle disposizioni di cui agli articoli 3, comma 1, lett. e) e 12, comma 2, del d. lgs. 51/2018 e, per l’effetto:

AMMONISCE

il Dipartimento della pubblica Sicurezza per aver violato l’articolo 3, comma 1, lett. e) e l’articolo 12, comma 2 del d.lgs. n. 51/2018;

DISPONE

ai sensi dell’articolo 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’articolo 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’articolo 57, par. 1, lett. u), del Regolamento.

Ai sensi degli articoli 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 26 marzo 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori