g-docweb-display Portlet

Parere sullo schema di decreto recante le modalità di accesso al Ced del Dipartimento della PS da parte della polizia municipale per la consultazione dei dati e delle informazioni relativi ai veicoli rubati e l'inserimento dei dati relativi ai veicoli rubati e ai documenti rubati o smarriti - 6 giugno 2018 [9022288]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9022288]

Parere sullo schema di decreto recante le modalità di accesso al Ced del Dipartimento della PS da parte della polizia municipale per la consultazione dei dati e delle informazioni relativi ai veicoli rubati e l'inserimento dei dati relativi ai veicoli rubati e ai documenti rubati o smarriti - 6 giugno 2018

Registro dei provvedimenti
n. 376 del 6 giugno 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Visto l’articolo 24, comma 2, del decreto legislativo 18 maggio 2018, n. 51;

Vista la richiesta di parere pervenuta dal Ministero dell’interno;

Vista la documentazione in atti;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000; 

Relatore la dott.ssa Augusta Iannini;

PREMESSO

1. Il Ministero dell’interno ha richiesto il parere del Garante su uno schema di decreto predisposto di concerto con il Ministro delle infrastrutture e dei trasporti e il Ministro dell’economia e delle finanze, sentita l'Associazione nazionale dei Comuni italiani (ANCI) e l’Automobile club d’Italia (ACI), attuativo dell'articolo 16-quater del decreto legge 18 gennaio 1993, n. 8, convertito in legge, con modificazioni, dalla legge 19 marzo 1993, n. 68, recante le modalità di accesso al Centro elaborazione dati del Dipartimento della pubblica sicurezza da parte della polizia municipale per la consultazione dei dati e delle informazioni relativi ai veicoli rubati, nonché per l’inserimento dei dati e delle informazioni relative ai veicoli rubati e ai documenti rubati o smarriti acquisiti autonomamente.

In particolare, l’articolo 16-quater, prevede che “Il personale della polizia municipale addetto ai servizi di polizia stradale accede ai sistemi informativi automatizzati del pubblico registro automobilistico e della direzione generale della motorizzazione civile e può accedere, in deroga all'articolo 9 della legge 1° aprile 1981, n. 121, e successive modificazioni, qualora in possesso della qualifica di agente di pubblica sicurezza, allo schedario dei veicoli rubati e allo schedario dei documenti d'identità rubati o smarriti operanti presso il Centro elaborazione dati di cui all'articolo 8 della predetta legge n. 121. Il personale della polizia municipale in possesso della qualifica di agente di pubblica sicurezza può altresì accedere alle informazioni concernenti i permessi di soggiorno rilasciati e rinnovati”, il medesimo articolo al comma 1-bis stabilisce, inoltre, che il suddetto personale “addetto ai servizi di polizia stradale ed in possesso della qualifica di agente di pubblica sicurezza può essere, altresì, abilitato all'inserimento, presso il Centro elaborazione dati ivi indicato, dei dati relativi ai veicoli rubati e ai documenti rubati o smarriti”.

Con riferimento alla medesima materia, è stato trasmesso all’Autorità un altro schema di decreto recante “le modalità di accesso al Centro elaborazione dati del Dipartimento della pubblica sicurezza del Ministero dell’interno, da parte della polizia municipale, per la consultazione dei dai e delle informazioni relative ai documenti  d’identità  rubati o smarriti  e ai permessi  di soggiorno  rilasciati  e rinnovati”, su cui il Garante rende separato parere.

RILEVATO

2. Lo schema di decreto si compone di 9 articoli e di 3 allegati (A, B e C) contenenti rispettivamente le regole connesse al collegamento diretto tra il CED del Dipartimento della pubblica sicurezza e i corpi di polizia municipale (all. A), tra il CED del Dipartimento della pubblica sicurezza e il  CED di ANCITEL (all. B) e, infine, l’indicazione delle informazioni minime per procedere alle consultazioni (all. C).

L’articolo 1 dello schema disciplina le modalità di accesso per via telematica al Centro elaborazione dati del Dipartimento della pubblica sicurezza, da parte della polizia municipale di cui alla legge n. 65 del 1986, nonché i livelli di accesso del personale addetto al servizio di polizia municipale, per la consultazione dei dati e delle informazioni relativi ai veicoli rubati, nonché per l’inserimento dei dati e delle informazioni relative ai veicoli rubati e ai documenti rubati o smarriti acquisiti autonomamente. 

Al suo articolo 2, lo schema, detta le definizioni.

In esso vengono espressamente indicati i significati dell’ «ANCITEL», quale società che gestisce i servizi telematici e la rete telematica dell'Associazione nazionale dei comuni italiani, di seguito ANCI e di «CED ANCITEL», quale Centro elaborazione dati di ANCITEL. 

Si precisa inoltre cosa debba intendersi per «amministratore locale», definendo quest’ultimo, l'incaricato del trattamento dei dati  personali, autorizzato dal responsabile del trattamento a effettuare le operazioni di gestione tecnica, di supporto di primo livello e formazione degli utenti, secondo le indicazioni del responsabile del trattamento.

L’art. 3 dello schema definisce quali siano le modalità di accesso telematico agli archivi.

In esso viene precisato che la consultazione e l’inserimento dei dati e delle informazioni relativi ai veicoli rubati e ai documenti rubati o smarriti,  avviene attraverso accessi diretti oppure attraverso la rete telematica di ANCITEL.

I suddetti accessi diretti possono essere attivati attraverso una connessione in modalità sicura tra il CED del Dipartimento della pubblica sicurezza e i Corpi della polizia municipale, secondo le modalità tecniche definite nell'allegato A dello schema di decreto (comma 2), ma possono anche essere attivati attraverso la rete telematica di ANCITEL, tramite una connessione in modalità sicura tra il CED del Dipartimento della pubblica sicurezza e il CED ANCITEL, che collega gli uffici della polizia municipale dei Comuni, secondo le modalità tecniche definite nell'allegato B del medesimo schema (comma 3).

L’articolo 4 dello schema di decreto provvede ad indicare espressamente quali siano i soggetti titolari, responsabili e “incaricati” del trattamento dei dati personali. In particolare, in esso viene indicato il Dipartimento della pubblica sicurezza quale titolare del trattamento, mentre si prevede che siano responsabili del trattamento il Direttore del Servizio per il sistema informativo interforze del Dipartimento e anche i Comandanti dei Corpi di polizia municipale nei casi di accesso diretto, o ANCITEL, quando l'accesso avvenga attraverso la rete telematica ad essa dedicata.

L’articolo 5 indica i soggetti legittimati alla consultazione e all’inserimento dei dati e delle informazioni relativi ai veicoli rubati e ai documenti rubati o smarriti.

In particolare sarà legittimato alla consultazione a all’inserimento, il personale della polizia municipale avente la qualifica di agente di pubblica sicurezza, addetto al servizio di polizia stradale (art. 5, comma 1) e il personale della polizia municipale avente la qualifica di agente di pubblica sicurezza, ognuno di essi debitamente autorizzato.

Gli ultimi articoli dello schema oltre ad indicare quali siano i dati e le informazioni oggetto di consultazione e inserimento presso il CED del Dipartimento della pubblica sicurezza (operando il rinvio allegato C dello schema), prevedono anche, ai fini di una loro massima tutela, “l'adozione di misure di sicurezza,  idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta” (artt. 6 e 7).

RITENUTO

3. Esaminato lo schema di decreto, il Garante, nel rilevare che non si rinvengono particolari profili di criticità sotto il profilo della protezione dei dati personali, ritiene necessario fornire talune precisazioni volte a perfezionare il testo.

3.1. I riferimenti normativi e le figure soggettive del trattamento dei dati personali.
Nel rilevare preliminarmente l’esigenza di citare nel preambolo il decreto legislativo 18 maggio 2018, n. 51, di attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016, recentemente pubblicato e in vigore dall’8 giugno 2018, si osserva che è necessario espungere dallo schema ogni riferimento ad articoli del Codice in materia di protezione dei dati personali (d. lg. n. 196 del 2003).

A prescindere dalla circostanza che tale Codice è oggetto di revisione in attuazione della legge 25 ottobre 2017, n. 163 (legge di delegazione europea) che al suo articolo 13 delega il Governo ad adeguarne le disposizioni al Regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, la materia oggetto del presente schema trova i suoi parametri di riferimento normativo nella Direttiva (UE) 2016/680 e nel citato decreto legislativo di attuazione.

In conseguenza di ciò, si richiama l’attenzione dell’Amministrazione sulla necessità di utilizzare le categorie soggettive di riferimento (titolare del trattamento, responsabile del trattamento, o chiunque agisca sotto l’autorità del titolare o del responsabile del trattamento e abbia acceso ai dati personali) in linea con le definizioni e i compiti previsti dal rinnovato quadro normativo.

In particolare, tenuto conto del complesso degli obblighi e delle responsabilità che incombono sul responsabile del trattamento a norma della Direttiva e del decreto legislativo di attuazione (cfr. artt. 22, 24, commi 2 e 3, 25, comma 4, 26, 28, 29, Dir. e artt. 18, 20, commi 2 e 3, 21, comma 4, 22, 24, 25, 41 e 42, comma 2, d. lg. n. 51/2018), si invita l’Amministrazione ad una valutazione attenta   della designazione a responsabili del trattamento del Direttore del Servizio per il sistema informativo interforze  e dei Comandanti dei Corpi di polizia municipale (cfr. art. 4, commi 2 e 3 e i riferimenti presenti nell’allegato A dello schema). Ciò, in particolare, alla luce della reale configurazione del rapporto e dei rispettivi compiti del titolare e del responsabile, tenendo in considerazione che quest’ultimo effettua il trattamento “per conto” del titolare (art. 3, punto 9, Dir. e art. 2, comma 1, lett. i) d. lg. n. 51/2018) e che, rispetto ai Comandanti, che operano sotto l’autorità dei rispettivi Corpi di polizia, un’autonoma titolarità del trattamento andrebbe riconosciuta agli enti locali cui questi fanno capo (cfr. art. 23 Dir. e art. 19 d. lg. n. 51/2018). 

Quanto alla figura dell’incaricato del trattamento (cui lo schema fa riferimento, oltre che nell’articolo 4, anche nella definizione di “amministratore locale”, come abbiamo visto), se è vero che tale locuzione non si riscontra né nella Direttiva né nel Regolamento, tuttavia il Regolamento fa riferimento espressamente alle “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” quali soggetti diversi dal “terzo” (art. 4, punto 10), mentre entrambi gli atti normativi sovranazionali prevedono che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento (…)” (art. 23 Dir. e art. 19 d. l.g. n. 51/2018; art. 29 Reg.).

3.2. L’“amministratore locale”.

L’articolo 2 dello schema definisce amministratore locale “l'incaricato del trattamento dei dati personali, autorizzato dal responsabile del trattamento a effettuare le operazioni di gestione tecnica, di supporto di primo livello e formazione degli utenti, secondo le indicazioni del responsabile del trattamento”. Un altro riferimento a tale figura si trova al paragrafo 2 dell’allegato A ove si dispone che il Comandante del Corpo di polizia municipale nomina, nell'ambito del personale appartenente ai comandi di polizia municipale, gli “amministratori locali”, quali incaricati del trattamento dei dati personali, autorizzati dal responsabile del trattamento a effettuare le operazioni di gestione tecnica, di supporto di primo livello e formazione degli utenti, secondo le indicazioni del responsabile del trattamento". In tale paragrafo si precisa inoltre che le mansioni di "amministratore locale" e di "incaricato" non possono essere attribuite alla stessa persona. Analoga previsione si riscontra al paragrafo 2 dell’allegato B.

Alla luce di quanto osservato al punto 3.1., a prescindere dalle considerazioni appena svolte circa l’utilizzo della locuzione corretta (non più “incaricati”, ma più opportunamente “autorizzati” al trattamento dei dati), si richiama l’attenzione dell’Amministrazione sulla necessità di valutare in concreto se lo svolgimento dei compiti assegnati agli amministratori locali comporti o meno il trattamento di dati personali, applicando di conseguenza le regole pertinenti alle reali funzioni svolte.

3.3. Ulteriori osservazioni sugli allegati A e B.

Al paragrafo 2, dell’allegato B, pur prevedendosi che ANCITEL sia tenuta al mantenimento dei dati inerenti la trasmissione ai fini della verifica della qualità del dato, nel limite temporale di due anni, non risultano specificati i suddetti “dati inerenti la trasmissione”, pertanto si invita l’Amministrazione ad integrare il paragrafo, indicando espressamente quali siano i dati che ANCITEL deve acquisire e conservare.
Al paragrafo 2.6. dell’allegato B, è opportuno precisare cosa si intenda per “monitoraggio delle attività svolte dagli utenti” (rispetto alla successiva previsione di controlli sulle autorizzazioni e sulla loro scadenza), anche sotto il profilo della conformità al quadro di garanzie previste per i dipendenti.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere favorevole sullo schema di decreto predisposto di concerto con il Ministro dell’interno, recante le modalità di accesso al Centro elaborazione dati del Dipartimento della pubblica sicurezza da parte della polizia municipale per la consultazione dei dati e delle informazioni relativi ai veicoli rubati, nonché per l’inserimento dei dati e delle informazioni relative ai veicoli rubati e ai documenti rubati o smarriti, con le osservazioni di cui ai punti da 3.1 a 3.3.

Roma, 6 giugno 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia