Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Parere sul Protocollo d'intesa relativo ai rapporti di collaborazione tra l'Autorità nazionale anticorruzione e la Guardia di Finanza - 15 giugno 2017 [6634563]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
6634563
Data:
15/06/17
Argomenti:
Pubblica Amministrazione , Guardia di finanza
Tipologia:
Parere del Garante

[doc. web n. 6634563]

Parere sul Protocollo d´intesa relativo ai rapporti di collaborazione tra l´Autorità nazionale anticorruzione e la Guardia di Finanza - 15 giugno 2017

Registro dei provvedimenti
n. 284 del 15 giugno 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice") e, in particolare, gli artt. 19, 54 e 154, comma 1, lett. g);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Con nota in data 3 gennaio 2017 del Segretario generale dell´Autorità nazionale anticorruzione (di seguito, per brevità: "ANAC"), è stato trasmesso a questa Autorità un Protocollo d´intesa, firmato il 20 settembre 2015 dall´ANAC e dal Corpo della Guardia di Finanza (di seguito, per brevità: "G.d.F."), denominato "Protocollo d´intesa relativo ai rapporti di collaborazione tra l´Autorità nazionale anticorruzione e la Guardia di Finanza" (di seguito, per brevità: "Protocollo"), concernente, tra l´altro, uno scambio di dati tra i due Organi. Assieme al Protocollo è stato trasmesso un allegato tecnico, composto da una parte generale e da due "annessi". L´Annesso 1, rubricato "Descrizione dei dati oggetto della cooperazione con la Guardia di Finanza instaurata in forza del Protocollo di Intesa siglato tra Autorità e Guardia di Finanza in data 11 giugno 2013", riguarda la comunicazione di dati da parte dell´ANAC alla G.d.F.; l´Annesso 2, intitolato "Scambio informazioni tra la guardia di finanza e l´autorità nazionale anticorruzione in materia di monitoraggio dei contratti pubblici", riguarda invece il flusso inverso dei dati, ossia la comunicazione dei dati da parte della G.d.F. all´ANAC.

L´art. 8 del Protocollo ("Accesso alle banche dati") prevede che "La Guardia di Finanza s´impegna a condividere con l´Autorità i dati e gli elementi informativi di cui dispone che possono rivestire potenziale interesse ai fini dello sviluppo delle attività di collaborazione, fatti salvi i vincoli di riservatezza in tema di divulgazione ed utilizzo delle informazioni. Per le medesime finalità gli elementi di possibile interesse per l´attuazione del presente protocollo contenuti nella BDNCP [Banca dati nazionale dei contratti pubblici] sono resi disponibili dall´Autorità in favore della Guardia di Finanza.".

Lo scambio di dati non avviene tramite il collegamento diretto alle banche dati, bensì mettendo a disposizione i dati di interesse attraverso un server FTP/S, nel quale (come indicato alla pag. 7 dell´allegato tecnico), sono presenti una cartella a cui può accedere la G.d.F. (che contiene i dati messi a disposizione da ANAC) ed una cartella alla quale può accedere ANAC (che contiene i dati messi a disposizione dalla G.d.F.).

Appare escluso, pertanto, che l´ANAC possa accedere direttamente al sistema informativo della G.d.F. (il Mo.Co.P.) e che la G.d.F. abbia accesso diretto alla BDNCP gestita da ANAC.

In base all´allegato tecnico, le informazioni che ANAC mette a disposizione della  G.d.F. consistono in una serie di dati contenuti nella Banca dati nazionale dei contratti pubblici (di seguito, per brevità: "BDNCP").

L´ANAC procede, in prima battuta, ad "uno scarico massivo ed integrale" dei dati da condividere. Successivamente procede al caricamento  di file contenenti le sole modifiche rispetto al flusso iniziale (pag. 8 allegato tecnico). Le informazioni trasmesse, contenenti anche dati personali (come precisato nella nota del Segretario generale dell´ANAC), sono analiticamente indicate nell´Annesso 1. 

La G.d.F. utilizza i dati messi a disposizione dell´ANAC per alimentare un sistema informativo denominato Mo.Co.P. (Monitoraggio dei Contratti Pubblici). Tale sistema è illustrato nella nota del Segretario generale dell´ANAC e nell´allegato tecnico al Protocollo.

Come indicato nella nota del Segretario generale dell´ANAC, "il sistema Mo.Co.P. è in grado di rielaborare i dati di BDNCP forniti da ANAC restituendo a questa utili indici aggregati di monitoraggio sulla tematica dei contratti pubblici.".

Nell´annesso 2 dell´allegato tecnico (pag. 48), si precisa che Mo.Co.P. "consente, in particolare, di incrociare i dati provenienti da ANAC con ulteriori elementi tratti dal patrimonio informativo del Corpo, al fine di produrre indici di rischio riferiti ad ogni singolo appalto.". In particolare, "ad ogni appalto è associato un indice di rischio complessivo denominato "Indice Mo.Co.P.", a sua volta calcolato a partire dalla combinazione di ulteriori indici di dettaglio, alcuni dei quali derivano dai dati contenuti nelle banche dati del Corpo.".

Nell´Annesso 2,  pag. 48, si precisa, altresì, che gli indici di rischio che la G.d.F. potrà mettere a disposizione dell´ANAC non sono connessi a dati di polizia presenti all´interno del patrimonio informativo del Corpo, ma derivano unicamente dai dati forniti dall´ANAC e/o da dati di contesto estratti da altre fonti (in particolare Anagrafe Tributaria e Infocamere).

L´Annesso 2 elenca gli indici di rischio elaborati dalla G.d.F. (come l´indice dello scostamento temporale tra la data di pubblicazione del bando e la data di costituzione dell´azienda, ecc.),  messi a disposizione dell´ANAC nell´ambito di specifici report, parimenti descritti nel medesimo Annesso.

I report trasmessi ad ANAC si distinguono in:

a. report periodici predefiniti (cadenza annuale, in formato PDF, Word, Excel, e altri), generati automaticamente dal sistema ed estratti dalla G.d.F. entro il mese di gennaio, riferiti agli appalti dell´anno precedente;

b. Report ricorrenti costruiti su richiesta dell´ANAC (a richiesta periodica, in formato Excel)

Attraverso la funzione di analisi libera è possibile esplorare i dati contenuti in Mo.Co.P. allo scopo di produrre report complessi in base alle esigenze. Normalmente, i dati vengono caricati dinamicamente dal datawarehouse contenuto in Mo.Co.P., ma per la fruizione offline da parte dell´ANAC è possibile generare uno snapshot del foglio Excel che risulterà statico, ma autoconsistente. All´occorrenza e su richiesta dell´ANAC, ulteriori report Excel potranno essere realizzati dal Comando Generale o dal Nucleo Speciale Anticorruzione per la successiva trasmissione, in formato statico, all´ANAC;

c. Report una tantum (a richiesta, in formato Excel)

In caso di interrogazioni complesse finalizzate al soddisfacimento di esigenze informative estemporanee, il Comando Generale accederà direttamente al datawarehouse per estrarre i dati richiesti dall´ANAC.

Per quanto riguarda le modalità attraverso le quali tali report sono messi a disposizione dell´ANAC, nella parte generale dell´allegato tecnico (pag. 7) si precisa che sul medesimo server utilizzato per il flusso di dati inverso (da ANAC a G.d.F.) è presente una cartella ad accesso riservato sulla quale la G.d.F. effettuata lo scarico del flusso di dati concordato da Guardia di Finanza ad ANAC.

OSSERVA

1. Il contesto normativo

Con riferimento alla trasmissione di dati dall´ANAC alla G.d.F., si rileva che nella documentazione trasmessa da ANAC non è precisato se i dati della BDNCP conferiti alla G.d.F. siano, in tutto od in parte, dati pubblici, ossia acquisibili da chiunque, o no.

Per quanto riguarda i dati non pubblici la fattispecie rientra nell´ambito di applicazione dell´art. 54 del Codice, secondo cui: "nei casi in cui le autorità di pubblica sicurezza o le forze di polizia possono acquisire in conformità alle vigenti disposizioni di legge o di regolamento dati, informazioni, atti e documenti da altri soggetti, l´acquisizione può essere effettuata anche per via telematica. A tal fine gli organi o uffici interessati possono avvalersi di convenzioni volte ad agevolare la consultazione da parte dei medesimi organi o uffici, mediante reti di comunicazione elettronica, di pubblici registri, elenchi, schedari e banche di dati, nel rispetto delle pertinenti disposizioni e dei principi di cui agli articoli 3 e 11. Le convenzioni-tipo sono adottate dal Ministero dell´interno, su conforme parere del Garante, e stabiliscono le modalità dei collegamenti e degli accessi anche al fine di assicurare l´accesso selettivo ai soli dati necessari al perseguimento delle finalità di cui all´articolo 53.".

Per quanto invece concerne la trasmissione di dati dalla G.d.F. ad Anac, il relativo trattamento può ricondursi alla disciplina di cui all´art. 19 del Codice.

L´allegato tecnico al Protocollo precisa che la base normativa che legittima lo scambio di dati tra le parti è indicata nelle premesse del Protocollo di intesa. In tali premesse, sono richiamate le disposizioni relative alle competenze dell´Autorità e del Corpo ed alle attività di reciproca collaborazione.

L´ANAC, in particolare, svolge importanti compiti nell´ambito prevenzione della corruzione nelle amministrazioni pubbliche e nelle società partecipate e controllate ed è competente per la vigilanza in materia di contratti pubblici. I compiti assegnati all´ANAC dal legislatore fanno di questa l´istituzione di riferimento nell´ambito sopra considerato.

Per lo svolgimento dei suoi compiti, l´ANAC si avvale anche della collaborazione della G.d.F., secondo quanto espressamente previsto dalla legge.

In particolare, l´art. 34-bis del d. l. 18 ottobre 2012, n. 179, prevede che la Commissione per la valutazione, la trasparenza e l´integrità delle amministrazioni pubbliche (oggi ANAC) si avvale, sulla base di intese con il Ministro dell´economia e delle finanze, della Guardia di finanza, che agisce con i poteri di indagine ad essa attribuiti ai fini degli accertamenti relativi all´imposta sul valore aggiunto e all´imposta sui redditi.

L´articolo 213, comma 5, del d.lgs. 18 aprile 2016, n. 50 (noto anche come il nuovo codice degli appalti), dispone, a sua volta, che l´ANAC, nell´ambito dello svolgimento della propria attività, può disporre ispezioni, anche su richiesta motivata di chiunque ne abbia interesse, avvalendosi eventualmente della collaborazione di altri organi dello Stato nonché dell´ausilio della G.d.F..

Su un piano generale, l´art. 3 del d.lgs. 19 marzo 2001, n. 68, prevede che la G.d.F., in relazione alle proprie competenze in materia economica e finanziaria, collabora con gli organi costituzionali. La stessa collaborazione, previe intese con il Comando generale, può essere fornita agli organi istituzionali, alle Autorità indipendenti e agli enti di pubblico interesse che ne facciano richiesta.

Con riferimento specifico alle competenze della G.d.F., si ricorda che l´art. 2 del d. lgs. 19 marzo 2001, n. 68 attribuisce al Corpo le funzioni di polizia economica e finanziaria a tutela del bilancio pubblico, delle regioni, degli enti locali e dell´Unione europea.

Le fonti normative richiamate evidenziano l´inerenza delle attività che si intendono compiere alle funzioni istituzionali degli organi firmatari della Convenzione e, pertanto, consentono l´attivazione del flusso di dati personali in argomento.

2.Il trattamento dei dati in base al Protocollo

In primo luogo, si rileva che l´art. 8 del Protocollo prevede in termini generici e programmatici la condivisione tra i firmatari degli elementi informativi di cui dispone la Guardia di Finanza, e che possono rivestire potenziale interesse ai fini dello sviluppo delle attività di collaborazione tra essi e la condivisione dei dati contenuti nella BDNCP.

L´individuazione specifica dei dati che possono essere oggetto di reciproco conferimento e le modalità tecniche di condivisione sono contenute, invece, negli allegati.

Tuttavia, il Protocollo non menziona l´allegato tecnico - che secondo quanto indicato nella nota di accompagnamento dell´ANAC, è stato elaborato "Al fine di dare riscontro all´esigenza manifestata dalla Guardia di Finanza" –- e neppure rinvia ai due annessi, e, comunque, non indica la natura di tali atti.

L´allegato tecnico, in quanto contenente regole condizionanti la legittimità del trattamento in argomento, deve invece costituire parte integrante del Protocollo e la sua modifica deve seguire le regole fissate per eventuali modifiche ed integrazioni del Protocollo stesso. Ciò anche allo scopo di individuare la data certa delle norme tecniche. A tale proposito, si rileva che gli allegati tecnici forniti a questa Autorità, sono contrassegnati con la dicitura "versione 05 settembre 2016", cioè sono stati redatti oltre un anno dopo la stipula del Protocollo, e non è dato conoscere se vi siano eventuali successive versioni degli stessi.

Pertanto, occorre inserire nel Protocollo una clausola che preveda che le parti disciplinano con allegato tecnico, facente parte integrante del  Protocollo, l´individuazione dei dati che possono essere oggetto di reciproco conferimento e le modalità operative e tecniche dello scambio dei dati stessi.

Questo anche allo scopo di precisare con maggiore chiarezza l´ambito ed i limiti dello scambio di informazioni, atteso che il flusso di dati dalla G.d.F. ad ANAC consiste in diversi tipi di elaborazioni.

Tra queste in primo luogo vanno considerati gli indici di rischio riferiti ad ogni singolo appalto, elaborati tramite il sistema informativo Mo.Co.P.

Dall´esame dell´annesso 2 dell´allegato tecnico si evince che, in termini generali, Mo.Co.P. "consente, in particolare, di incrociare i dati provenienti da ANAC con ulteriori elementi tratti dal patrimonio informativo del Corpo, al fine di produrre indici di rischio riferiti ad ogni singolo appalto".

Tali indici di rischio, connessi a dati di polizia presenti all´interno del patrimonio informatico della G.d.F., non sembrerebbero essere oggetto di ostensione all´ANAC, la quale sembrerebbe destinataria di soli indici di rischio "non connessi a dati di polizia presenti all´interno del patrimonio informativo del Corpo, ma derivati unicamente dai dati forniti dall´ANAC e/o da dati di contesto estratti da altre fonti (in particolare Anagrafe Tributaria e Infocamere)." (n. 3 dell´annesso 2).

Diversamente, tuttavia, l´art. 8 del Protocollo, in base al quale "1. La Guardia di Finanza s´impegna a condividere con 1´ Autorità i dati e gli elementi informativi di cui dispone che possono rivestire potenziale interesse ai fini dello sviluppo delle attività di collaborazione, fatti salvi i vincoli di riservatezza in tema di divulgazione ed utilizzo delle informazioni" parrebbe formulato in termini relativamente generici, non idonei ad escludere la comunicazione di dati che tengano conto dei suddetti elementi non disponibili per Anac.

Inoltre, sempre nel medesimo annesso 2, parrebbe distinguersi tra gli indici di rischio aggregati, dei quali si è detto, gli indici di rischio di dettaglio utilizzabili nei report rilasciati all´ANAC, di cui al n. 3 dell´annesso, e i report di cui al n. 4 dello stesso.

Per questi ultimi, le lettere b) e c) del n. 4 non prevedono puntualmente quanto invece indicato ai nn. 2 e 3, ossia che le informazioni fornite non risultano riconducibili a elementi riservati di cui il Corpo è titolare.

Occorre, pertanto, indicare con maggiore dettaglio il contenuto dei report predisposti dalla G.d.F., chiarendo altresì espressamente che tutte le informazioni trasmesse dalla G.d.F. ad ANAC  non sono connesse a dati di polizia presenti all´interno del patrimonio informativo del Corpo, ma derivano unicamente dai dati forniti dall´ANAC e/o da dati di contesto estratti da altre fonti. Ove vi siano fonti ulteriori rispetto ad Anagrafe Tributaria e Infocamere occorre altresì precisare quali esse siano.

Dal punto di vista tecnico il descritto meccanismo di trasferimento di dati appare idoneo a fornire la necessaria sicurezza ed anche le dettagliate procedure di gestione delle credenziali, emesse e distribuite seguendo una procedura operativa prestabilita definita in conformità alle disposizioni relative al sistema di autenticazione informatica di cui all´allegato B del Codice, risultano adeguate, al pari delle altre misure di sicurezza previste.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 19, 54 e 154, comma 1, lett. c) g) del Codice, esprime parere favorevole sul Protocollo d´intesa relativo ai rapporti di collaborazione tra l´Autorità nazionale anticorruzione e la Guardia di Finanza,

a) con la seguente condizione: si introduca nel Protocollo una previsione secondo cui le parti individuano nell´allegato tecnico, facente parte integrante del medesimo Protocollo, i dati suscettibili di reciproco conferimento, nonché le modalità operative e tecniche dello scambio dei dati stessi;

b) e la seguente osservazione: si chiarisca espressamente che tutte le informazioni trasmesse dalla Guardia di Finanza all´Autorità nazionale anticorruzione non sono connesse a dati di polizia presenti all´interno del patrimonio informativo del Corpo ma derivano unicamente dai dati forniti dall´Autorità nazionale anticorruzione e/o da dati di contesto estratti da altre fonti, precisando altresì – ove sussistano fonti, ulteriori rispetto all´ Anagrafe Tributaria e ad Infocamere, alle quali la Guardia di Finanza attinga per elaborare indici e report- quali esse siano.

Roma, 22 giugno 2017

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia