Diritti interna

Doveri interna

ricerca avanzata

Parere sullo schema delle procedure per l'accreditamento al Database Nazionale degli operatori della sicurezza privata - 11 luglio 2018 [9054325]

[doc. web n. 9054325]

Parere sullo schema delle procedure per l'accreditamento al Database Nazionale degli operatori della sicurezza privata - 11 luglio 2018

Registro dei provvedimenti
n. 415 dell'11 luglio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa  Giovanna Bianchi Clerici, componenti e dell’avv. Giuseppe Busia, segretario generale;

Visto l’art. 252-bis del r.d. 6 maggio 1940, n. 635, recante Approvazione del regolamento per l'esecuzione del testo unico 18 giugno 1931, n. 773 delle leggi di pubblica sicurezza, ai sensi del quale le guardie particolari sono iscritte in un apposito registro della prefettura, nel quale sono annotati gli istituti e gli altri soggetti presso cui prestano o hanno prestato servizio e tutte le variazioni relative al rapporto di servizio, la formazione acquisita, l'impiego prevalente nell'anno, nonché, succintamente, i motivi di cessazione dal servizio;

Visto il decreto legislativo 18 maggio 2018, n. 51, recante l’attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio;

Visto il regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati);

Vista la richiesta di parere del Ministero dell’interno, Dipartimento della Pubblica Sicurezza, sullo schema delle procedure per l'accreditamento al Database Nazionale degli operatori della sicurezza privata;

Esaminata la documentazione in atti;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Con nota in data 3 aprile 2018 il Dipartimento della Pubblica Sicurezza del Ministero dell’interno ha chiesto a questa Autorità di esprimere il proprio parere in merito alla conformità alla disciplina rilevante i materia di tutela dei dati personali delle procedure per l'accreditamento al Database Nazionale degli operatori della sicurezza privata (di seguito: Database), descritte in un “manuale” allegato alla richiesta di parere.

Il Database, di prossima attivazione, è previsto dall’art. 252-bis del r.d. 6 maggio 1940, n. 635, recante “Approvazione del regolamento per l'esecuzione del testo unico 18 giugno 1931, n. 773, delle leggi di pubblica sicurezza”.

Il predetto articolo, inserito dall'art. 1, comma 1, lett. e), del d.P.R. 4 agosto 2008, n. 153, prevede che:

“Le guardie particolari sono iscritte in un apposito registro della prefettura, nel quale sono annotati gli istituti e gli altri soggetti presso cui prestano o hanno prestato servizio e tutte le variazioni relative al rapporto di servizio, la formazione acquisita, l'impiego prevalente nell'anno, nonché, succintamente, i motivi di cessazione dal servizio.

Nel caso di variazione del datore di lavoro, l'iscrizione nel registro di cui al comma 1 consente l'approvazione del decreto di nomina, anche in altre province, con le procedure semplificate definite dal Ministero dell'interno.

Il Ministero dell'interno assicura il collegamento informatico dei registri delle prefetture, al fine di realizzare un'unica banca dei dati nazionale degli operatori di sicurezza privata, alla quale possono accedere gli uffici preposti alle attività di controllo e, per i rispettivi compiti istituzionali, gli ufficiali e agenti di pubblica sicurezza e di polizia giudiziaria.”.

Il Database è finalizzato ad agevolare  le attività di controllo amministrativo delle Prefetture, competenti a rilasciare i titoli autorizzatori previsti dalle vigenti normative, nonché delle Questure, a loro volta competenti ad esercitare la sorveglianza sui servizi di vigilanza privata.

Il database contiene esclusivamente gli elementi essenziali riguardanti il rilascio dei titoli di approvazione della nomina a guardia giurata e le vicende concernenti tali titoli autorizzatori (concessione, revoca, sospensione etc.) e non reca "dati di polizia" relativi agli accertamenti finalizzati all’adozione dei provvedimenti di concessione e revoca del decreto di approvazione della nomina a guardia giurata (ad esempio, condanna per i reati rilevanti, individuati dall'art. 138 T.U.L.P.S.).

Il Manuale descrive, nel dettaglio, le procedure di accreditamento al Database, i dati oggetto di inserimento e consultazione e le procedure di gestione e revoca delle credenziali di accesso attraverso un form del sistema.

In particolare, il manuale prevede che l'accesso al Sistema Informativo si effettua tramite Browser Web che utilizza un protocollo per la comunicazione sicura (https), attraverso il quale si accede ad apposito form.

Ogni Prefettura dovrà preregistrare il responsabile per poi successivamente richiedere le abilitazioni per gli altri incaricati.

La password indicata in fase di preregistrazione, unitamente al PIN rilasciato al termine della procedura, costituiranno le credenziali di accesso.

La password indicata dovrà rispettare questi requisiti minimi: 8 caratteri alfanumerici; una lettera minuscola; una lettera maiuscola; uno o più di questi caratteri speciali:_.,\-+*!#@?

La form è stata dotata di un "parser'” (correttore sintattico formale) online che sarà di aiuto all'utente per la creazione di una password conforme.

Al fine di ottenere la definitiva abilitazione al sistema, il PIN di fine registrazione, unitamente ai dati indicati nella form, fatta eccezione per la password, dovranno essere trasmessi tramite messaggistica interna certificata (MIC) a specifico indirizzo del Ministero.

OSSERVA

Il trattamento in oggetto non risulta effettuato a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, bensì per finalità di controllo e vigilanza amministrativa. Per tale motivo, come ricordato dallo stesso Ministero, i trattamenti effettuati attraverso la repository in questione non sono inclusi tra quelli elencati al D.M. 24 maggio 2017, concernente i trattamenti non occasionali di dati personali effettuati, con strumenti elettronici, da forze di polizia.

Pertanto, tale trattamento rientra nel campo di applicazione del  regolamento (UE) 2016/679, come indicato anche dall’art. 6, comma 2, del decreto legislativo  18 maggio 2018, n. 51, recante l’attuazione della direttiva (UE) 2016/680, ed appare adeguatamente previsto da specifica fonte normativa, che indica anche i dati oggetto di trattamento.

Occorre, tuttavia, rilevare alcuni aspetti che non appaiono adeguatamente disciplinati nella documentazione trasmessa.

In particolare, a parte l’articolata procedura di accreditamento, non risultano adottate misure tecniche e organizzative pienamente adeguate per garantire un livello di sicurezza adeguato al rischio e volte ad assicurare la protezione dei dati trattati fin dalla progettazione e per impostazione predefinita, né è precisato che l’accesso al sistema va consentito a persone che agiscono sotto l’autorità del titolare e svolgano compiti per i quali esso è necessario (v. artt. 32, 25 e 29 del regolamento UE 2016/679). 

A tale proposito, fermo restando che il titolare del trattamento, in virtù del principio di responsabilizzazione, è competente per il rispetto della disciplina in materia di protezione dei dati personali e deve essere in grado di comprovarlo (art. 5, par. 2, del regolamento citato) si invita il Ministero richiedente a valutare l’adozione delle seguenti cautele:

- prevedere il tracciamento di tutte le operazioni effettuate sui dati personali, tali da consentire l’identificazione del soggetto che ha effettuato l’accesso o altra operazione di trattamento e la data ed ora in cui il trattamento è stato effettuato. In tale contesto, occorre anche dettare una specifica disciplina della conservazione dei file di log; 

- prevedere il rilascio, a coloro che agiscano sotto la propria autorità, delle istruzioni in merito alle modalità ed all'ambito del trattamento consentito;

- modificare periodicamente la password, ad esempio  almeno ogni sei mesi; 

- non assegnare il codice per l'identificazione, laddove utilizzato,  ad altri incaricati, neppure in tempi diversi;

- disattivare le credenziali di autenticazione non utilizzate da un determinato periodo di tempo (es. almeno sei mesi) , salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica;

- disattivare le credenziali anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali;

- impartire istruzioni a coloro che agiscano sotto la propria autorità  per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento;

- verificare periodicamente, e comunque almeno annualmente, la sussistenza delle condizioni per la conservazione dei profili di autorizzazione;

- proteggere i dati personali devono essere protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici, da aggiornare con cadenza almeno semestrale;

- effettuare, almeno annualmente, gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti;

- adottare idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

Nel caso di una violazione di dati personali, il titolare del trattamento deve effettuare la notifica della violazione al Garante, ai sensi dell’art. 33 del regolamento (UE) 2016/679 e la comunicazione all'interessato, ai sensi e nei limiti di cui all’art. 34 del medesimo regolamento. 

Si ricorda, infine, che i dati trattati dalle forze di polizia per le finalità di polizia sono conservati separatamente da quelli registrati per finalità amministrative che non richiedono il loro utilizzo, come previsto dall’art. 47, comma 2, del decreto legislativo 2018, n. 51.

TUTTO CIÒ PREMESSO IL GARANTE

esprime il proprio avviso, sullo schema delle procedure per l'accreditamento al Database Nazionale degli operatori della sicurezza privata, di cui all’art. 252-bis del r.d. 6 maggio 1940, n. 635, con le osservazioni di cui in motivazione.

Roma, 11 luglio 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia