Diritti interna

Doveri interna

ricerca avanzata

Parere sugli schemi della deliberazione, da parte dell’Autorità di regolazione per energia reti e ambiente, recante istituzione del Portale dei consumi di energia elettrica e di gas naturale e del relativo regolamento di funzionamento - 20 giugno 2019 [9123551]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9123551
Data:
20/06/19
Argomenti:
Misure di sicurezza , Banche dati , Conservazione di dati , Autorità indipendenti , Minimizzazione
Tipologia:
Parere del Garante

[doc. web n. 9123551]

Parere sugli schemi della deliberazione, da parte dell’Autorità di regolazione per energia reti e ambiente, recante istituzione del Portale dei consumi di energia elettrica e di gas naturale e del relativo regolamento di funzionamento - 20 giugno 2019

Registro dei provvedimenti
n. 131 del 20 giugno 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;

Visto il decreto legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

Visto il Codice in materia di protezione dei dati personali, decreto legislativo 30 giugno 2003, n. 196, così come modificato dal predetto d.lgs. 101/2018, di seguito Codice;

Visto l’art. 1, comma 8, della legge 27 dicembre 2017, n. 2015 (legge di bilancio 2018), secondo cui “entro il 1° luglio 2019, il soggetto gestore del Sistema informatico integrato […] provvede agli adeguamenti necessari per permettere ai clienti finali di accedere attraverso il Sistema medesimo ai dati riguardanti i propri consumi, senza oneri a loro carico. Le disposizioni per l’attuazione del primo periodo sono adottate con deliberazione dell’Autorità […], nel rispetto delle norme in materia di protezione dei dati personali, sentito il parere del Garante per la protezione dei dati personali”;

Vista la richiesta di parere del 24 maggio 2019 da parte dell’Autorità di regolazione per energia reti e ambiente (di seguito ARERA), sugli schemi della deliberazione recante istituzione del Portale dei consumi di energia elettrica e di gas naturale (di seguito Portale) e del relativo regolamento di funzionamento;

Rilevato che, in base a predetti schemi, il Portale viene realizzato dal Gestore del Sistema informativo integrato per la gestione dei flussi informativi relativi ai mercati dell’energia elettrica e del gas naturale, in qualità di titolare del trattamento, al fine di rendere disponibili ai clienti finali, a partire dal 1° luglio 2019, i propri dati di consumo, estratti dal Sistema informativo integrato (SII) di cui alla legge 13 agosto 2010, n. 129;

Considerato che tali schemi presentano diversi profili che interessano la disciplina della protezione dei dati personali, tra cui:

- le caratteristiche generali del Portale, suddiviso in un’area pubblica, accessibile a chiunque, e in un’area privata, in cui il cliente può consultare i propri dati anagrafici e di consumo, estratti dal SII attraverso l’associazione tra codice fiscale e/o partita IVA con i codici del point of delivery (POD) e del punto di riconsegna (PDR) (art. 3 dello schema di regolamento);

- la tipologia di dati accessibili dai clienti (nome e cognome, codice fiscale, codici POD e PDR, indirizzo, varie informazioni sulla fornitura); in particolare, per quanto riguarda lo storico della fornitura, operativo a decorrere dal 15 luglio 2019 (punto 3 del dispositivo dello schema di deliberazione), è consentito al cliente risalire ai dati riferiti ai 12 mesi precedenti, nella fase transitoria, che diverranno 36 mesi nella fase a regime (art. 5);

- le modalità di messa a disposizione dei dati nell’area privata, consistenti sia nella sola consultazione che nel download degli stessi (art. 6);

- le forme di autenticazione digitale, realizzate avvalendosi dello SPID di livello di sicurezza 2 (art. 4, lett. b)), nonché il ricorso a misure tecnologiche atte a garantire, tra le altre cose, robustezza, sicurezza e durabilità nel tempo (artt. 7 e 8), oltre che manutenzione ed aggiornamento continuo (art. 17);

- i tempi di conservazione delle informazioni sugli accessi effettuati, pari a 24 mesi a decorrere da ciascun accesso, e le conseguenti procedure di controllo di eventuali anomalie o utilizzi non corretti (art. 9, commi 3 e 4);

Considerato che, con riferimento ai predetti profili, gli schemi di deliberazione e di regolamento tengono conto degli approfondimenti e delle indicazioni suggerite dall’Ufficio del Garante ai competenti uffici di ARERA, volti a perfezionare il testo e a renderlo maggiormente conforme alla disciplina in materia di dati personali, con particolare riferimento a:

- il principio di trasparenza nei confronti degli interessati, con riferimento al trattamento dei dati effettuato da parte del Gestore nell’ambito del Portale e del SII;

- l’esatta individuazione delle finalità di interesse pubblico perseguite nell’ambito del Portale;

- la minimizzazione dei dati trattati nell’ambito del Portale, soprattutto in relazione all’architettura del Portale e la relativa interfaccia con il SII, nonché  nelle funzioni di web analytics e reportistica;

- le misure di sicurezza, con particolare riguardo all’utilizzo dello SPID, ai controlli sugli accessi ai dati e alle attestazioni periodiche di sicurezza del Portale;

- i tempi di conservazione dei dati, anche con riferimento al tracciamento degli accessi;

Ritenuto che i predetti schemi individuano misure atte a garantire il trattamento lecito e corretto dei dati personali, fin dalla progettazione, e che non vi sono, pertanto, rilievi da formulare, fermi restando, tuttavia, gli obblighi imposti dal Regolamento in capo al Gestore, titolare del trattamento, con particolare riferimento ai principi (art. 5) e alle misure di sicurezza (art. 32);

Rilevato, inoltre, che il conseguente trattamento effettuato dal Gestore, per l’esecuzione di un compito di interesse pubblico, presenta rischi elevati per i diritti e le libertà degli interessati, ai sensi degli artt. 35 e 36, § 5, del Regolamento e art. 2-quinquiesdecies del Codice, in quanto ha per oggetto dati dei consumi individuali, per fascia oraria, di energia elettrica e gas naturale alla massima granularità disponibile, relativi alla totalità dei clienti su scala nazionale, con una profondità storica, a regime, di 36 mesi;

Ritenuto, pertanto, di autorizzare il trattamento, svolto nell’ambito del Portale, da parte del Gestore del Sistema informativo integrato, a condizione che quest’ultimo trasmetta al Garante, prima dell’avvio del trattamento, la valutazione di impatto sulla protezione dei dati, al fine di conoscere, in particolare, le misure tecniche e organizzative e le garanzie per gli interessati adottate in concreto dal titolare, in conformità a quanto stabilito nella deliberazione e nel regolamento in esame;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

TUTTO CIO’ PREMESSO, IL GARANTE:

a) ai sensi dell’art. 36, § 4, del Regolamento, esprime parere favorevole sugli schemi della deliberazione, da parte dell’Autorità di regolazione per energia reti e ambiente, recante istituzione del Portale dei consumi di energia elettrica e di gas naturale e del relativo regolamento di funzionamento;

b) ai sensi dell’art. 58, § 3, lett. c), del Regolamento e dell’art. 2-quinquiesdecies del Codice, autorizza il Gestore del Sistema informativo integrato ad effettuare il trattamento, svolto nell’ambito del Portale, ferma restando la necessità dell’effettuazione di un’adeguata valutazione di impatto sulla protezione dei dati personali.

Roma, 20 giugno 2019

IL PRESIDENTE
SORO

IL RELATORE
IANNINI

IL SEGRETARIO GENERALE
BUSIA