g-docweb-display Portlet

Parere sullo schema schema di decreto interministeriale di modifica dell’Allegato tecnico al decreto del Presidente della Repubblica 7 settembre 2010, n. 160 in materia di alle specifiche tecniche riordino della disciplina sullo sportello unico per le attività produttive - 16 settembre 2021 [9716338]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9716338]

Parere sullo schema schema di decreto interministeriale di modifica dell’Allegato tecnico al decreto del Presidente della Repubblica 7 settembre 2010, n. 160 in materia di alle specifiche tecniche riordino della disciplina sullo sportello unico per le attività produttive - 16 settembre 2021

Registro dei provvedimenti
n. 313 del 16 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avvocato Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere del Ministero dello sviluppo economico;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, par. 4;

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

Il Ministero dello sviluppo economico ha richiesto il parere del Garante -da rendersi ai sensi degli articoli 36, paragrafo 4 e 57, paragrafo 1, lettera c) del Regolamento- su di uno schema di decreto interministeriale di adozione del nuovo Allegato tecnico - recante le modalità telematiche di comunicazione e trasferimento dei dati tra lo Sportello Unico per le Attività Produttive (S.U.A.P.) e i soggetti coinvolti nei procedimenti amministrativi - al decreto del Presidente della Repubblica 7 settembre 2010, n. 160, in materia di semplificazione e riordino della disciplina sul S.U.A.P., ai sensi dell'articolo 38, comma 3, del decreto-legge n. 112 del 2008, convertito, con modificazioni, dalla legge n. 133 del 2008.

Sullo stesso schema di decreto del Presidente della Repubblica, il Garante aveva reso parere con provvedimento del 18 giugno 2009 (doc. web n. 1630376).

L’Allegato tecnico adottato dallo schema di decreto sostituisce quello vigente- recante “Specifiche tecniche per il regolamento di cui all’art. 38 del d.l. 112/2008, “Impresa in un giorno”- allegato al decreto del Presidente della Repubblica 7 settembre 2010, n. 160, di cui il primo costituirà parte integrante.

Il nuovo testo dell’Allegato è volto ad adeguare la disciplina dei flussi informativi tra il SUAP e i soggetti coinvolti nei procedimenti amministrativi alle novità introdotte medio tempore, tra l’altro con il CAD.

Nella sua parte I, il provvedimento reca le definizioni rilevanti (tra le quali quella di “fonti dati certificate”) e individua l’oggetto e l’ambito di applicazione della disciplina introdotta. Esso indica, inoltre, i soggetti coinvolti (S.U.A.P., uffici comunali, altre amministrazioni pubbliche che intervengono nel procedimento amministrativo) e individua nell’insieme dei sistemi informatici di tali soggetti il Sistema Informatico degli Sportelli Unici. L’articolo 4 disciplina, inoltre, caratteristiche e funzioni del portale “Impresa in un giorno”.

Nella parte II dell’Allegato, all’articolo 5, sono definiti, in combinato disposto con l’articolo 2 dello schema di decreto interministeriale, oggetto e procedura di adozione delle specifiche tecniche, tese ad individuare le modalità telematiche per la comunicazione e il trasferimento dei dati tra il S.U.A.P., gli uffici comunali e gli Enti terzi coinvolti nel procedimento. Il comma 3 dell’articolo 5 sancisce inoltre, in capo al Ministero dello sviluppo economico e al Dipartimento della funzione pubblica, l’obbligo di istituire un gruppo tecnico composto da sette membri di cui uno per AglD, con funzioni di coordinamento, uno per il Dipartimento per la trasformazione digitale, due per ANCI, due per la Conferenza dei Presidenti delle Regioni e delle Province Autonome e uno per Unioncamere, ai fini della definizione delle specifiche tecniche e dei tempi della loro attuazione, 

Gli articoli 6 e 7 definiscono, invece, le modalità di applicazione delle specifiche tecniche da parte dei SUAP e degli Enti terzi.  Gli articoli da 8 a 11 disciplinano le componenti informatiche Front Office SUAP, Back Office SUAP, Enti terzi, Catalogo del Sistema Informatico degli Sportelli Unici.
La terza parte dell’Allegato (artt. 12 a 14) disciplina la gestione telematica del procedimento (con la definizione delle regole tecniche per la presentazione delle istanze al SUAP) e le modalità di interazione tra il SUAP, gli uffici comunali e le altre pubbliche amministrazioni.

Di particolare interesse, infine, la parte IV dell’Allegato, relativa al trattamento dei dati personali e alle regole di sicurezza che i SUAP e tutti i soggetti coinvolti nel procedimento sono tenuti ad adottare per garantire la riservatezza e il non ripudio delle comunicazioni.

RILEVATO

1. Nella prospettiva della piena conformità della disciplina tecnica proposta alla normativa di protezione dei dati personali, è opportuno apportare alla prima alcune integrazioni, nelle parti caratterizzate da talune carenze in termini di garanzie per i diritti degli interessati.  
Rileva in tal senso, in particolare, l’articolo 15, nella parte in cui non esplicita il ruolo e le responsabilità dei diversi soggetti coinvolti nel trattamento dei dati personali, a ciò non bastando la mera clausola di conformità alla disciplina di protezione dati (nel cui ambito, peraltro, il riferimento alle “misure tecniche ed organizzative adeguate di cui al decreto legislativo 30 giugno 2003, n.196 e s.m.i.”, andrebbe sostituito con il richiamo a quanto previsto dagli agli articoli 5, par. 1, lett. f); 24 e 32 del Regolamento).

E’ dunque opportuno individuare il titolare del trattamento svolto mediante la piattaforma, il ruolo esercitato dagli altri soggetti (SUAP, uffici comunali, camere di commercio, piattaforme regionali che offrono servizi ai SUAP, amministrazioni pubbliche diverse dai Comuni, etc.) i quali, intervenendo nei procedimenti amministrativi considerati, trattano dati personali, specificandone le rispettive responsabilità.

L’esigenza di una chiara definizione dei ruoli dei vari soggetti coinvolti nel trattamento era, del resto, già stata manifestata dal Garante, nell’ambito del parere sullo schema di d.P.R. (rimasto poi, però, invariato sul punto), seppure limitatamente alle funzioni svolte dalle camere di commercio nelle ipotesi di cui all’articolo 4, comma 11 del decreto stesso.

2. Sotto il profilo della sicurezza del trattamento, l’Allegato andrebbe integrato in alcuni aspetti di seguito esposti.

In relazione agli strumenti ammessi per l’identificazione digitale del richiedente di cui all’articolo 12, comma 1, lettera a), sarebbe opportuno fare esplicito riferimento a quanto disposto dall’articolo 64 del Codice dell’Amministrazione digitale.

All’articolo 16, comma 2, lettera d), per evitare trattamenti di dati eccedenti, andrebbero individuate – sulla base peraltro dei principi di minimizzazione e di limitazione della conservazione- le informazioni registrate nei file di log e i tempi della loro conservazione. Andrebbero, inoltre, integrate le misure di sicurezza relative agli stessi file di log, prescrivendone caratteristiche di integrità e inalterabilità, nonché il trattamento in forma anonimizzata mediante aggregazione, salvo laddove il ricorso alla forma non anonimizzata risulti indispensabile ai fini della verifica della liceità del trattamento. Degli stessi file di log andrebbe, poi, garantita la protezione da usi impropri e l’accessibilità solo da parte di personale specificamente autorizzato in ragione delle funzioni svolte.

Andrebbe, peraltro, disposto che, in caso di violazioni dei dati personali suscettibili di determinare rischi per i diritti e le libertà degli interessati, il titolare del trattamento fornisca tempestivamente, ai titolari dei trattamenti di connessi, ogni informazione utile a garantire il rispetto degli obblighi di cui agli articoli 33 e 34 del Regolamento.

Si rappresenta, infine, l’esigenza di effettuare (e periodicamente riesaminare) la valutazione d’impatto sulla protezione dei dati in caso di variazione del rischio connesso al trattamento e, comunque, in sede di approvazione delle specifiche tecniche di cui al combinato disposto degli articoli 2 dello schema di decreto e 5 dell'Allegato.

IL GARANTE

ai sensi degli articoli 36, par. 4, e 57, par. 1, lett. c), del Regolamento, esprime parere favorevole sullo schema di decreto interministeriale che adotta l’Allegato tecnico -recante le modalità telematiche di comunicazione e trasferimento dei dati tra lo Sportello Unico per le Attività Produttive (S.U.A.P.) e i soggetti coinvolti nei procedimenti amministrativi - al decreto del Presidente della Repubblica 7 settembre 2010, n. 160, con:

a) la condizione, esposta al §1 del “Rilevato”, volta a rappresentare l’esigenza di individuare il titolare del trattamento svolto mediante la piattaforma, definendo altresì il ruolo e le responsabilità dei soggetti in esso coinvolti;

b) le osservazioni, esposte al § 2 del “Rilevato”, tese a suggerire l’opportunità di:

1. effettuare, all’articolo 12, comma 1, lettera a), un riferimento a quanto disposto dall’articolo 64 del Codice dell’Amministrazione digitale;

2. individuare, all’articolo 16, comma 2, lettera d), le informazioni registrate nei file di log e i tempi della loro conservazione, integrando altresì le misure di sicurezza relative agli stessi file:

- prescrivendone caratteristiche di integrità e inalterabilità, nonché il trattamento in forma anonimizzata mediante aggregazione, salvo laddove il ricorso alla forma non anonimizzata risulti indispensabile ai fini della verifica della liceità del trattamento;

- garantendone la protezione da usi impropri e l’accessibilità solo da parte di personale specificamente autorizzato in ragione delle funzioni svolte;

3. prevedere che, in caso di violazioni dei dati personali suscettibili di determinare rischi per i diritti e le libertà degli interessati, il titolare del trattamento fornisca tempestivamente, ai titolari dei trattamenti connessi, ogni informazione utile a garantire il rispetto degli obblighi di cui agli articoli 33 e 34 del Regolamento;

c) la raccomandazione, di cui all’ultimo capoverso del “Rilevato”, relativa all’effettuazione (e al periodico riesame) della valutazione d’impatto sulla protezione dei dati in caso di variazione del rischio connesso al trattamento e, comunque, in sede di approvazione delle specifiche tecniche di cui al combinato disposto degli articoli 2 dello schema di decreto e 5 dell'Allegato.

Roma, 16 settembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9716338
Data
16/09/21

Argomenti


Tipologie

Parere del Garante