g-docweb-display Portlet

Parere sullo Schema di regolamento sull'interconnessione di sistemi informativi in materia di immigrazione - 4 marzo 2004[1054860]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc web n. 1054860]

Parere sullo Schema di regolamento sull´interconnessione di sistemi informativi in materia di immigrazione - 4 marzo 2004

Presidenza del Consiglio dei ministri
Dipartimento affari giuridici e legislativi
Roma

Ministero dell´interno
Ufficio affari legislativie relazioni parlamentari
Viminale - Roma

e, p.c.,

Ministero dell´interno
Dipartimento della pubblica sicurezza
Ufficio per l´amministrazione generale
Viminale - Roma

Ministero dell´interno
Dipartimento della pubblica sicurezza
Direzione centrale per l´immigrazionee la polizia delle frontiere
Viminale - Roma

 

rif. n. 27-25/A-106 del 29 dicembre 2003


Oggetto: schema di d.P.R. concernente "Regolamento recante modifiche ed integrazioni al d.P.R. 31 agosto 1999, n. 394, in materia di immigrazione" (art. 34, comma 1, l. n. 189/2003).

Schema di regolamento di cui all´art. 34, comma 2, della legge n. 189/2003 concernente l´interconnessione di sistemi informativi in materia di immigrazione.

Il Ministero dell´interno ha richiesto il prescritto parere in ordine allo schema di regolamento in oggetto, di modifica e integrazione del d.P.R. 31 agosto 1999, n. 394, recante norme di attuazione del d.l.g. n. 286 del 1998 (t.u. in materia di immigrazione e condizione dello straniero).

Lo schema è adottato ai sensi dell´articolo 34, comma 1, della legge n. 189/2002, che ha modificato il citato testo unico, al fine di adeguare alle nuove disposizioni legislative il vigente regolamento di attuazione; si inserisce poi tra altri interventi per l´attuazione della normativa in materia di immigrazione e soggiorno e di razionalizzazione e semplificazione del rilascio dei relativi documenti agli stranieri, ove sono previsti anche altri due provvedimenti: il regolamento volto a "razionalizzare l´impiego della telematica nelle comunicazioni, nelle suddette materie, tra le amministrazioni pubbliche" e ad "assicurare la massima interconnessione fra gli archivi già realizzati… o in via di realizzazione presso le amministrazioni pubbliche" (art. 34, comma 2, l. n. 189/2003), e il decreto interministeriale sui documenti di soggiorno elettronici (art. 5, comma 8, d. lg. n. 286/1998), sul cui schema di decreto il Garante si è espresso con il parere del 15 ottobre 2003 e con il successivo parere in data odierna.

Ferma restando la relativa autonomia, anche sotto il profilo della fonte, di tale decreto in materia di permesso di soggiorno elettronico, si rileva una particolare contiguità delle materie oggetto degli altri due schemi di regolamento da adottare ai sensi dell´articolo 34 della legge n. 189/2003, in particolare per quanto riguarda il funzionamento dello sportello unico, come è confermato dai notevoli rinvii contenuti nello schema qui trasmesso dal Ministero dell´interno (art. 34, comma 1, d. lg. n. 189/2003) all´altro schema di regolamento sotto il profilo dei flussi informativi e delle connessioni fra archivi e sistemi informativi (art. 34, comma 2, d. lg. n. 189/2003). Tale contiguità, unitamente all´omogeneità delle fonti normative (art. 17, comma 1, l. n. 400/1988) rende utile una valutazione in ordine all´opportunità di unificare i due regolamenti, al fine di assicurare una trattazione della materia, già di per sé alquanto complessa, unitaria e organica anche sotto il profilo delle garanzie per gli interessati.

Per gli aspetti riferiti al funzionamento dello sportello unico e dei flussi informativi, si rende comunque opportuno un esame congiunto dello schema odierno con quello di cui all´articolo 34, comma 2, della legge n. 189/2003, di cui si è acquisita copia informalmente.

Nello stesso spirito, si formulano anche alcune osservazioni in riferimento ad alcuni aspetti del vigente d.P.R. n. 394 del 1999, non modificati dallo schema di regolamento di cui al citato articolo 34, comma 1, al fine di adeguare in maniera armonica la normativa vigente ai principi del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196).

1) Rilievi dattiloscopoco e altri dati biometrici
L´odierno schema reca una disposizione in materia di rilascio di permesso di soggiorno per motivi di lavoro che fa riferimento all´acquisizione di "rilievi fotodattiloscopici", in applicazione dell´art. 5, comma 2-bis del d. lg. n. 286/1998, come modificato dalla legge n. 189/2002 (art. 31 dello schema, che sostituisce l´art. 36, comma 2, del d.P.R. n. 394/1999).

Con norma più generale, poi, il d.P.R. n. 394 del 1999 (non modificato, sul punto, dall´odierno schema) prevede che all´atto della richiesta del permesso di soggiorno può essere richiesto allo straniero, in luogo della fotografia, di farsi ritrarre da apposita apparecchiatura per il "trattamento automatizzato dell´immagine" (art. 9 d.P.R. n. 394/1999).

Come già rilevato da questa Autorità nel citato parere del 15 ottobre 2003 e nel menzionato parere in data odierna, l´utilizzazione di dati a fini di ulteriore verifica dell´identità delle persone, come, ad esempio, le impronte digitali, segnatamente nel caso in cui si intendano inserire dati biometrici in documenti elettronici, deve essere supportata da adeguate garanzie. L´attenzione deve essere rivolta in particolare, oltre alla necessaria base normativa, alla pertinenza dei dati inseriti nei documenti, alla proporzionalità del loro utilizzo in relazione a delimitate finalità e all´adozione delle misure di sicurezza (d. lg. n. 196/2003).

Dopo l´approvazione della legge n. 189 del 2002, il Governo è intervenuto in materia con il decreto-legge 9 settembre 2002, n. 195 (convertito dalla legge n. 222 del 2002), prevedendo specifiche garanzie per il trattamento di tali dati anche ai fini del rilascio della carta d´identità elettronica (art. 2, commi 6 e 7, d. l. n. 195/2002). Nel corso dei lavori di approvazione del provvedimento d´urgenza il Governo ha accettato un ordine del giorno della Camera dei deputati che lo impegna a riferire al Parlamento sui criteri che intende seguire per l´adozione delle norme inerenti tali garanzie, "con particolare riferimento alle modalità di raccolta dei rilievi fotodattiloscopici, della loro conservazione, dell´accesso agli stessi e della logica su cui si basa il loro trattamento."

L´uso di dati biometrici a fini di identificazione o di verifica dell´identità dichiarata è poi oggetto di ampia discussione in ambito europeo. Ogni scelta normativa in materia, quindi, soprattutto per quanto riguarda la definizione dei dati biometrici da inserire eventualmente nei documenti elettronici, deve essere pienamente armonizzata con il quadro normativo comunitario, che, allo stato, non è, però, ancora integralmente definito, come testimonia la recente proposta di regolamento del Consiglio di modifica del regolamento (CE) n. 1030/2002, istitutivo di un modello uniforme per i permessi di soggiorno.

Anche il Gruppo dei Garanti europei (Gruppo ex art. 29, dir. n. 95/46) ha mostrato particolare attenzione per tali problematiche, da ultimo con il noto documento approvato il 1° agosto 2003.

Il Gruppo ha sottolineato che il rispetto del principio di proporzionalità, che costituisce un elemento centrale della protezione garantita dalla direttiva 95/46/CE, deve indurre nell´ambito dell´autenticazione/verifica della persona, a scegliere applicazioni biometriche che non rientrino in un sistema centralizzato, ma comportino la verifica dell´identità delle persone solo in sede locale, preferibilmente attraverso la memorizzazione dei dati biometrici su un oggetto accessibile unicamente all´utilizzatore (tessera dotata di un microchip, carta bancaria). Lo scopo di tale cautela, compatibilmente con la specifica finalità perseguita, è, evidentemente, quello di contenere i possibili rischi derivanti da collegamenti fra banche di dati.

In tale prospettiva, il Codice in materia di protezione dei dati personali ha precisato le garanzie rispetto al trattamento di dati biometrici o relativi a "banche dati basate su particolari tecniche di elaborazione delle informazioni" ovvero effettuati con "particolari tecnologie", in ragione, evidentemente, dei maggiori rischi ad esso connessi, in particolare per i trattamenti effettuati da forze di polizia o da altri organi di pubblica sicurezza, assoggettandoli a specifica disciplina (art. 17 e art. 55 d. lg. n. 196/2003).

L´Autorità, pertanto, anche sulla base della cooperazione assicurata con l´altro parere in data odierna, e della prevista comunicazione di codesto Ministero dalla quale potranno evincersi più agevolmente le specifiche finalità (art. 39 d. lg. n. 196/2003), conferma la disponibilità ad adottare a breve un provvedimento con il quale potranno essere specificate misure ed accorgimenti a garanzia dell´interessato, anche in tema di sicurezza.

Le osservazioni allo stato formulabili rispetto all´attuale schema di provvedimento potrebbero essere recepite sostituendo il primo periodo del capoverso c), dell´articolo 11, comma 1, dello schema (art. 11, comma 2, d.P.R. n. 394/1999) con i seguenti due periodi: "Il permesso di soggiorno è rilasciato in conformità al regolamento (CE) n. 1030/2002 del Consiglio del 13 giugno 2002 che istituisce un modello uniforme per i permessi di soggiorno rilasciati a cittadini di paesi terzi e contiene l´indicazione del codice fiscale. Il permesso di soggiorno o la carta di soggiorno di cui all´articolo 17 rilasciati in formato elettronico possono altresì contenere i soli dati biometrici individuati dalla normativa comunitaria.".

2) Archivi informatizzati e flussi informativi
Il medesimo schema di regolamento reca altresì varie disposizioni concernenti archivi informatizzati e flussi di informazioni per via telematica fra soggetti pubblici e privati a vario titolo interessati dal regolamento, in particolare ai fini del rilascio dei visti d´ingresso nel Paese e dei permessi di soggiorno (artt. 5, 9, 11, 24, 25, 26, 27, 28 e 44 dello schema, che modificano o introducono, rispettivamente, i seguenti articoli del d.P.R. n. 394/1999: art. 6, commi 4 e 5; art. 9, comma 1-ter; art. 11, comma 2-bis; artt. da 30 a 30-quinquies, art. 31, 32, 32-bis e 33; art. 61-bis).

Il quadro che ne risulta, che prevede flussi di informazione anche tramite "procedure telematiche" o "in via telematica", è assai complesso ed articolato e di non facile lettura, anche perché si registra, come anticipato, una sovrapposizione di fonti normative, sia "interne" all´odierno schema, con il rinvio a decreti ministeriali di attuazione, sia "esterne", con il rinvio alle disposizioni del più volte citato regolamento di cui all´articolo 34, comma 2, della legge n. 189/2002.

In base ad una lettura congiunta dei due schemi di regolamento si svolgono le seguenti osservazioni.

Nello schema di regolamento ex articolo 34, comma 1, della legge n. 189/2003:

a) si prevede che lo Sportello unico istituito presso ogni prefettura-ufficio territoriale del Governo possa avvalersi anche di un "archivio informatizzato centrale" in materia di immigrazione (art. 24 dello schema, che modifica l´art. 30 del d.P.R. n. 394/1999), previsto dall´altro regolamento di cui all´articolo 34, comma 2. Occorre chiarire se tale archivio coincida con il "sistema informativo" di cui all´articolo 2, comma 4, dell´altro schema, anche se tale sistema informativo in realtà sembra essere costituito, a sua volta, dalla "sommatoria" di quattro distinti archivi (art. 1, comma 1, lett. g), h) j) e k), reg. ex art. 34, comma 2). Al di là di tale considerazione, ove vi sia coincidenza fra i due sistemi, potrebbe essere opportuno uniformarne la denominazione;

b) sono individuati direttamente solo i soggetti che "trasmettono i dati da acquisire nell´archivio" (il medesimo Sportello unico, le questure, le autorità consolari, i competenti uffici del Ministero del lavoro e delle politiche sociali, le regioni e gli enti locali, i Centri per l´impiego, ovvero anche soggetti privati quali le associazioni di categoria, i datori di lavoro e gli stessi lavoratori extracomunitari: art. 30-quater, commi 1 e 2, d.P.R. n. 394/1999, pure introdotto dall´art. 24 dello schema), ma non anche i soggetti autorizzati alla sua consultazione, mentre ogni altro aspetto è demandato a decreti attuativi dell´odierno regolamento, oppure a decreti di attuazione dell´ulteriore regolamento di cui all´articolo 34, comma 2, della legge n. 189/2002 (art. 30-quater, commi 3, 4 e 5 e art. 44 dello schema, che introduce l´art. 61-bis del d.P.R. n. 395/1999, in materia di sistemi informativi). A tale riguardo, fermo restando che questa Autorità si riserva di formulare le osservazioni di competenza sui vari schemi di decreti che perverranno per il parere, si rappresenta la necessità di integrare l´articolo 30-quater del d.P.R. n. 394/1999, con l´individuazione dei soggetti che possono consultare l´archivio. L´individuazione dovrà tener conto, ove si tratti di soggetti pubblici, quanto meno delle funzioni svolte, ovvero, se si tratti eventualmente di soggetti privati, delle specifiche disposizioni di legge o di regolamento che prevedano espressamente tale accesso (art. 19, comma 3, d. lg. n. 196 del 2003), in riferimento a classi selezionate di dati, nel rispetto del principio di pertinenza e di finalità (art. 11 d. lg. n. 196/2003).

Con riferimento allo schema di regolamento ex articolo 34, comma 2, della legge n. 189/2003 si osserva invece:

a) è necessario definire specificamente le finalità e il contenuto degli ulteriori, non identificati archivi di cui all´articolo 2, comma 2, in relazione ai "procedimenti" cui si intende riferirli;

b) è opportuno conformare maggiormente, ai principi in materia di protezione dei dati personali la previsione, pur condivisibile nelle finalità, di adeguati "controlli" sugli accessi al "sistema informativo" di cui all´articolo 2, comma 4, già citato (art. 2, comma 5). La disposizione potrebbe essere così modificata: "Al fine di assicurare il monitoraggio dell´attività di acquisizione, certificazione e visura di dati e documenti memorizzati nel sistema informativo di cui al comma 4, ciascuna postazione avente accesso al sistema è soggetta a previa registrazione con annotazione dei dati identificativi dell´utente. I dati personali, concernenti l´identificazione degli utenti e le operazioni di accesso e consultazione degli archivi sono utilizzabili per fini di sicurezza del sistema e di accertamento di eventuali illeciti, nel rispetto dei principi dell´articolo 11 del decreto legislativo 30 giugno 2003, n. 196.";

c) nell´art. 2, comma 6, in sintonia con le definizioni del menzionato Codice, si deve parlare di "titolarità", anziché di responsabilità;

d) all´articolo 3, comma 2, è necessario chiarire quali siano gli "altri utenti" con i quali i sistemi informativi delle pubbliche amministrazioni potrebbero essere interconnessi, in particolare se si tratta di soggetti privati, anche ai fini dell´individuazione della eventuale specifica base normativa per l´accesso al sistema (art. 19, comma 3, d. lg. n. 196/2003);

e) analoga più specifica individuazione appare necessaria per "gli archivi automatizzati del sistema informativo sanitario del Ministero della salute", nel rispetto dei principi di cui agli articoli 3, 11 e 22 del decreto legislativo n. 196/2003 in materia di trattamenti di dati idonei a rivelare lo stato di salute.

3) Permesso di soggiorno per motivi umanitari o per cure mediche
a) Appare necessario integrare l´articolo 21 dello schema inserendo un ulteriore comma all´articolo 27 del d.P.R. n. 394/1999, al fine di prevedere adeguate garanzie di riservatezza per le persone cui sia rilasciato un permesso di soggiorno per motivi di protezione sociale, sia per evitare ritorsioni a seguito della denuncia di fatti criminosi, sia per scongiurare il rischio di discriminazioni derivanti dalle precedenti esperienze.

Sul punto il Garante è già intervenuto con provvedimento del 23 novembre 2000 cui hanno fatto seguito, sul piano applicativo, opportune direttive diramate dal Dipartimento della pubblica sicurezza a competenti uffici ed organi di polizia.

Il nuovo comma potrebbe essere ad esempio così formulato: "3-quater. Il permesso di soggiorno di cui all´articolo 18 del testo unico reca, quale motivazione, la sola dicitura "per motivi umanitari" ed è rilasciato con modalità tali da assicurare l´eventuale differenziazione da altre tipologie di permessi di soggiorno e l´agevole individuazione dei motivi del rilascio ai soli uffici competenti, anche mediante il ricorso a codici alfanumerici.";

b) l´art. 44, comma 1, lett. a) del d.P.R. n. 394/1999, non modificato sul punto dall´odierno schema, prevede che il cittadino che intenda curarsi in Italia debba produrre alla competente rappresentanza diplomatica o consolare e alla questura una dichiarazione attestante il "tipo di cura". Inoltre, l´art. 39 dello schema ha previsto che debba essere prodotta "certificazione sanitaria, attestante la patologia del richiedente" (art. 44, comma 1, lett. d), d.P.R. n. 394/1999). Si richiama in proposito il divieto di diffusione di dati idonei a rivelare lo stato di salute, previsto dal Codice, e la necessità di prevedere che il trattamento di tali dati sensibili avvenga con apposite modalità che permettano di salvaguardarne la riservatezza anche attraverso la loro custodia separata (art. 22 d. lg. n. 196/2003).

4) Altri aspetti
Si forniscono, infine, ulteriori suggerimenti in riferimento ad altri aspetti dello schema di modifica del d.P.R. n. 394/2003:

a) nell´art. 1 dello schema di regolamento (art. 1, comma 1, d.P.R. n. 394/1999), non risulta del tutto chiaro se i dati da inserire nelle schede ivi previste per finalità di accertamento della condizione di reciprocità abbiano natura di dato personale o non siano piuttosto dati anonimi. Ove si tratti di dati personali, non sembra giustificata la pubblicazione su Internet di tali schede, con la conseguente necessità di espungere dalla norma il seguente periodo: "Tali schede sono altresì rese disponibili e semestralmente aggiornate sul sito internet del Ministero degli affari esteri.";

b) all´articolo 9 dello schema (art. 9, comma 1-bis, d.P.R. n. 394/1999) non appare chiaro a quale decreto ministeriale si faccia riferimento;

c) mentre appare superfluo richiamare, a proposito dei vari decreti attuativi da emanare, le vigenti regole sui flussi di dati per via informatica e telematica e la necessità del parere del Garante per i profili relativi alla protezione dei dati (art. 154 del Codice), è invece da ricordare l´esigenza di aggiornare i rinvii normativi in materia di protezione dei dati personali con riferimento alle nuove disposizioni del d. lg. n. 196 del 2003. In particolare, all´art. 15, comma 7, del d.P.R. n. 394/1999, le parole "articoli 9, 22 comma 3, e 27 della legge 31 dicembre 1996, n. 675 e successive modificazioni e integrazioni" andrebbero sostituite dalle seguenti: "articoli 3, 11, 18, 19, 20, 21 e 22 del decreto legislativo 30 giugno 2003, n. 196", all´articolo 53, comma 6, lett. e), del d.P.R. n. 394/1999, le parole "tutela dei dati personali, ai sensi della legge 31 dicembre 1996, n. 675" dalle seguenti: "protezione dei dati personali, ai sensi del decreto legislativo 30 giugno 2003, n. 196", all´articolo 58, comma 6, del d.P.R. n. 394/1999, le parole "della legge 31 dicembre 1996, n. 675" dalle seguenti: "del decreto legislativo 30 giugno 2003, n. 196".

L´Autorità rimane pienamente a disposizione per ogni chiarimento ed ulteriore collaborazione.

 

IL SEGRETARIO GENERALE
Buttarelli

Scheda

Doc-Web
1054860
Data
04/03/04

Argomenti


Tipologia

Parere del Garante

Vedi anche (10)