Diritti interna

Doveri interna

ricerca avanzata

Parere su uno schema di decreto del Presidente della Repubblica recante il Regolamento per la disciplina delle procedure di raccolta, accesso, comunicazione, correzione, cancellazione ed integrazione dei dati e delle informazioni registrati nel CED - 26 luglio 2017 [6826534]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
6826534
Data:
26/07/17
Argomenti:
Pubblica Sicurezza , CED
Tipologia:
Parere del Garante

VEDI ANCHE Newsletter del 15 settembre 2017

 

[doc. web n. 6826534]

Parere su uno schema di decreto del Presidente della Repubblica recante il Regolamento per la disciplina delle procedure di raccolta, accesso, comunicazione, correzione, cancellazione ed integrazione dei dati e delle informazioni registrati nel CED - 26 luglio 2017

Registro dei provvedimenti
n. 337 del 26 luglio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero dell´Interno;

Visto l´art. 154, comma 4, del d.lgs. 30 giugno 2003, n. 196 recante Codice in materia di protezione dei dati personali (di seguito  Codice);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSO

Il Ministero dell´interno ha chiesto il parere del Garante in ordine a uno schema di decreto del Presidente della Repubblica recante "Regolamento concernente la disciplina delle procedure di raccolta, accesso, comunicazione, correzione, cancellazione ed integrazione dei dati e delle informazioni registrati nel Centro elaborazione dati di cui all´articolo 8 della legge 1 aprile 1981, n. 121, in attuazione dell´articolo 57 del decreto legislativo 30 giugno 2003, n. 196".

Per attuare il suddetto articolo 57, il Ministero dell´Interno ha predisposto due atti regolamentari: uno per disciplinare le modalità attuative dei principi di protezione dei dati personali relativamente ai trattamenti effettuati per finalità di polizia da Organi, Uffici e Comandi di polizia ed inteso ad introdurre una disciplina di carattere generale, applicabile a tutti i trattamenti di dati effettuati per le finalità sopra indicate dalle suddette autorità (di seguito indicato come Regolamento generale)  - sul quale il Garante ha espresso parere il 2 marzo u.s. (in www.gpdp.it, doc. web n. 6197365)-; l´altro, il presente schema, che detta le ulteriori modalità di attuazione dei principi del Codice con riferimento ai trattamenti di dati personali effettuati dal Centro Elaborazione Dati del Ministero dell´interno (di seguito CED), di cui all´art. 8 della legge n. 121 del 1981.

A completamento del quadro normativo di riferimento, va anche considerato l´ ulteriore provvedimento, adottato ai sensi dell´art. 53 del Codice (Decreto 24 maggio 2017, pubblicato nella GURI n. 145 del 24 giugno 2017), con il quale sono stati individuati i trattamenti non occasionali di dati personali svolti per finalità di polizia con strumenti elettronici ed i relativi titolari, su cui il Garante ha reso parere il 23 febbraio scorso (doc. web n. 6197012). La scheda 1, allegata al decreto, contiene una descrizione dei trattamenti di dati effettuati dal centro elaborazione dati (C.E.D.) del Ministero dell´Interno.

RILEVATO

L´articolo 57 del Codice al comma 1, prevede che "Con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei ministri, su proposta del Ministro dell´interno, di concerto con il Ministro della giustizia, sono individuate le modalità di attuazione dei principi del presente codice……". Coerentemente il testo sottoposto a parere chiarisce, fin dal preambolo, che le disposizioni che si intendono introdurre sono solo quelle necessarie ad esplicitare i principi e le modalità fissati nel d.P.R. contenente il Regolamento generale ai trattamenti effettuati dal C.E.D., alle cui disposizioni viene di volta in volta operato il rinvio, e non a porsi come nuovo e diverso provvedimento attuativo dell´art. 57, seppur limitatamente ai trattamenti operati dal C.E.D.

CONSIDERATO

Il parere è reso su una versione dello schema di regolamento che tiene conto degli approfondimenti e delle indicazioni suggerite dall´Ufficio del Garante ai competenti uffici dell´Amministrazione interessata nel corso di più riunioni e contatti informali, volti a perfezionare il testo e a renderlo pienamente conforme alla disciplina in materia di protezione dei dati personali.

Le osservazioni dell´Ufficio hanno riguardato, in particolare: 1) la necessità di rendere chiaro ed esplicito il collegamento tra i due testi normativi, evidenziando tale nesso fin dal preambolo ed inserendo i necessari riferimenti   nell´articolato  laddove  opportuno e segnatamente agli articoli 1 (oggetto), 2 (definizioni); 2) la necessità di mantenere il parallelismo ed il coordinamento tra i due testi, segnatamente con riguardo alle finalità del trattamento (articolo 4), le possibilità di ulteriore trattamento, nonché 3) di specificare le regole per: la conservazione e uso dei dati ed informazioni contenuti nel CED ed in particolare quelli raccolti per finalità amministrative;  l´identificazione del titolare e del responsabile del trattamento, nonché della stessa organizzazione del CED, da intendere come strumento di supporto per lo svolgimento dei fini istituzionali e non come soggetto che opera il trattamento di dati; la lunghezza dei termini di conservazione dei dati e le relative categorie; la specificazione dei criteri per la comunicazione dei dati e per operare collegamenti con altre banche dati; gli obblighi di sicurezza; l´introduzione di un riferimento alla direttiva 680 del 2016, mancante nel testo inizialmente sottoposto all´Ufficio, e inoltre evitare, nel rispetto del diritto dell´Unione europea e nelle more del recepimento della direttiva, di introdurre disposizioni potenzialmente in conflitto con quanto da questa previsto.
Le indicazioni rese sono state sostanzialmente recepite nell´articolato.

RITENUTO

1. In esito all´interlocuzione avutasi si evidenziano tra i principali aspetti positivi del testo nella nuova versione sottoposta al Garante:

1. l´introduzione di uno specifico articolo relativo all´organizzazione del CED (articolo 3),

2. la previsione nel testo del responsabile per la protezione dei dati, cui vengono affidati compiti di informazione, sorveglianza, consulenza e cooperazione con il Garante e la sua individuazione, operata all´articolo 5, comma 6. A questa figura viene fatto espresso e concreto riferimento in altre disposizioni contenute nell´articolato, in particolare quelle che trattano delle procedure per la raccolta delle informazioni e dei dati. L´articolo 6, comma 2 prevede che il responsabile per la protezione dei dati sia previamente consultato da parte della Commissione tecnica ai fini della definizione dei criteri per la classificazione dei dati e delle informazioni e per l´individuazione delle correlative categorie (tenendo conto per quanto possibile delle diverse categorie di interessati, come richiesto dall´articolo 6 della direttiva 680/2016) e l´articolo 7, commi 6 e 7, dispone analogo obbligo da parte della Commissione  tecnica   in  relazione  all´individuazione  delle  fattispecie  in cui  può  essere autorizzato un allungamento dei termini massimi  di conservazione dei dati nonché     ai      fini della definizione delle modalità di cancellazione o anonimizzazione dei dati. Si tratta di una importante anticipazione dell´obbligo introdotto al Capo IV, Sezione 3, articoli 32- 34, della direttiva 680/2016;

3. la comunicazione al Garante da parte del responsabile del trattamento dei criteri stabiliti dalla Commissione tecnica ai sensi degli articoli su richiamati, nonché la  previa consultazione dell´Autorità nella definizione delle modalità tecniche per assicurare l´uniforme trattamento dei dati e delle informazioni del CED, incluse quelle relative alla certezza dell´identificazione degli operatori ed addetti.

2. Le osservazioni formulate di seguito sono pertanto limitate agli specifici punti dello schema ritenuti meritevoli di ulteriori affinamenti in modo da rendere il testo pienamente conforme al quadro normativo di riferimento:

Art. 7 (Termine della conservazione dei dati)

Rispetto alla precedente versione il comma 2 dell´articolo si limita a rinviare all´articolo del Regolamento generale in cui sono individuati i termini massimi di conservazione dei dati personali. Restano valide pertanto le criticità sollevate nel parere adottato il 9 marzo scorso riguardo lo schema di Regolamento generale, cui si rinvia.

Peraltro si suggerisce di inserire al comma 3 dopo le parole "incaricati del trattamento" le parole "appositamente designati e abilitati per tale accesso…"in modo da rendere più certa la loro individuazione.

Art.  8 (Conferimento ed aggiornamento dei dati)

Per le stesse ragioni, al comma 7 dell´articolo andrebbe specificato che le autorizzazioni  all´inserimento di dati nel CED  sono nominative. Il comma si leggerebbe pertanto nel seguente modo "Le autorizzazioni all´inserimento sono nominative e sono….".

Art. 11 (Responsabilità)

In linea con quanto previsto dal Codice, al comma 1 , dopo le parole "sono responsabili" si suggerisce di sostituire le parole "esatta comunicazione degli stessi" con le parole " della correttezza e dell´esattezza dei dati comunicati".

Art. 12 (Collegamenti con altre banche dati)

La disposizione andrebbe integrata con il riferimento al Regolamento generale, che all´articolo 9 disciplina la stessa materia. Si suggerisce pertanto di aggiungere al comma 1 , in fine, le parole " e con le modalità previste dall´art. 9 del Regolamento generale".

Al comma 2 si dovrebbe specificare che il principio di gratuità riguarda le sole banche dati pubbliche, aggiungendo quindi la parola "pubbliche" al primo rigo.

Art. 13 (Legittimazione all´accesso)

Come già rilevato in relazione agli articoli 7 ed 8, anche in questo caso si  ritiene opportuno precisare al comma 7 che le autorizzazioni debbano essere nominative, integrando di conseguenza l´articolato: "Le autorizzazioni alla consultazione di cui al presente articolo sono nominative e sono rilasciate,…".

Per quanto concerne il comma 8, si suggerisce di eliminare il riferimento a strumenti o procedure automatiche (robot) mantenendo il divieto di estrazione e copia in forma massiva dei dati contenuti nel CED. In questo modo il divieto coprirebbe tutte modalità che potrebbero consentire il downloading di dati in forma massiva dal CED, incluse ovviamente quelle operate tramite robot. Il comma sarebbe pertanto del seguente tenore "Sono vietate l´estrazione e la copia in forma massiva delle notizie e delle informazioni confluite nel CED."

Art. 18 (Diritto di accesso ai dati personali)

Andrebbe aggiunto il riferimento al Dipartimento della Pubblica sicurezza quale titolare del trattamento.

Art. 21 (Obblighi di sicurezza)

Considerata la complessità e l´importanza del CED e la necessità di prevedere misure di sicurezza adeguate ai rischi del trattamento ed anche alla luce delle prescrizioni in materia impartite negli anni dal Garante, sembrerebbe opportuno avvalersi della delega regolamentare prevista dall´articolo 20 anche per dettagliare le specifiche misure di sicurezza del Centro.

Sembra pertanto opportuno riformulare l´articolo eliminando il comma 2 ed introducendo, in fine, un comma in cui si precisi che: "Le misure di sicurezza sono dettagliate nel Regolamento di cui all´art. 20".

TUTTO CIO´ PREMESSO IL GARANTE:

esprime parere favorevole sullo schema di decreto del Presidente della Repubblica recante "Regolamento concernente la disciplina delle procedure di raccolta, accesso, comunicazione, correzione, cancellazione ed integrazione dei dati e delle informazioni registrati nel Centro elaborazione dati di cui all´articolo 8 della legge 1 aprile 1981, n. 121, in attuazione dell´articolo 57 del decreto legislativo 30 giugno 2003, n. 196", con le osservazioni formulate al punto 2.

Roma, 26 luglio 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia