g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Parere del Garante
  4. Parere al Ministero della Giustizia sulle specifiche tecniche del Portale Albo CTU - 12 ottobre 2023 [9953490]

Parere al Ministero della Giustizia sulle specifiche tecniche del Portale Albo CTU - 12 ottobre 2023 [9953490]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9953490]

Parere al Ministero della Giustizia sulle specifiche tecniche del Portale Albo CTU - 12 ottobre 2023

Registro dei provvedimenti
n. 487 del 12 ottobre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTA la richiesta di parere del Ministero della giustizia;

VISTO il Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati, di seguito, "Regolamento");

VISTO il Decreto legislativo 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’Ufficio del Garante per la protezione dei dati personali (d’ora in avanti “Garante o l’Autorità”);

Relatore l’avv. Guido Scorza;

PREMESSO

1. Il Ministero della Giustizia (di seguito “Ministero”) ha richiesto il parere del Garante su un documento recante le specifiche tecniche del Portale Albo CTU, previste dall'articolo 16-novies, commi 4 e 5, del decreto legge 18 ottobre 2012, n. 179, convertito con modificazioni con legge 17 dicembre 2012, n. 221, il cui comma 4 è stato modificato dall’art. 16, comma 2, del decreto legislativo 10 ottobre 2022, n. 149, a decorrere dal 18 ottobre 2022.

Il predetto articolo 16-novies, commi 4 e 5, dispone, infatti, che “4. Gli albi e gli elenchi di cui ai commi 1 e 2 sono formati a norma delle disposizioni legislative che li regolano e tenuti, a cura del presidente del tribunale, con modalità esclusivamente informatiche in conformità alle specifiche tecniche di cui al comma 5. L'accesso ai dati contenuti negli albi e negli elenchi è consentito ai magistrati e al personale delle cancellerie e delle segreterie di tutti gli uffici giudiziari della giustizia ordinaria. Salvo quanto previsto dall'articolo 179-quater, terzo comma, delle disposizioni per l'attuazione del codice di procedura civile, la disposizione di cui al periodo precedente si applica anche agli elenchi previsti dagli articoli 169-ter e 179-ter delle medesime disposizioni. Resta fermo quanto previsto dagli articoli 23, secondo comma, secondo periodo, e 24-bis, secondo comma, delle disposizioni per l'attuazione del codice di procedura civile.
5. La presentazione delle domande e la tenuta degli albi ed elenchi di cui al presente articolo sono effettuate in conformità alle specifiche tecniche stabilite dal responsabile per i sistemi informativi automatizzati del Ministero della giustizia, nel rispetto della disciplina prevista dal decreto legislativo 7 marzo 2005, n. 82, entro sei mesi dalla data di entrata in vigore della presente disposizione. Le specifiche tecniche sono pubblicate nella Gazzetta Ufficiale della Repubblica italiana e sul sito internet del Ministero della giustizia”.

Al riguardo, si evidenzia preliminarmente che in data 17 maggio 2023 il Garante ha adottato il parere di competenza su uno schema di decreto del Ministro della Giustizia recante il “Regolamento relativo all’individuazione di ulteriori categorie dell’albo dei consulenti tecnici di ufficio e dei settori di specializzazione di ciascuna categoria, ai requisiti per l’iscrizione all’albo e alla formazione, tenuta e aggiornamento dell’elenco nazionale di cui all’articolo 24 bis delle disposizioni per l’attuazione del codice di procedura civile e disposizioni transitorie, ai sensi dell’articolo 13, quarto comma, delle medesime disposizioni per l’attuazione, come aggiunto dall’articolo 4, comma 2, lettera a) del decreto legislativo 10 ottobre 2022, n. 149” (parere n. 217 del 17 maggio 2023, doc. web n. 9897647). L’articolo 8 di tale decreto stabilisce coerentemente che “con provvedimento del responsabile dei sistemi informativi automatizzati del Ministero della giustizia, da adottarsi entro sei mesi dalla data di entrata in vigore del presente regolamento, sono stabilite le specifiche tecniche per la formazione, la tenuta e il costante aggiornamento in modalità informatica degli albi e dell’elenco”.

L’Autorità -nell’ambito del procedimento istruttorio- con nota prot. n. 28940 del 17 febbraio 2023, ha trasmesso al Ministero delle osservazioni preliminari su una prima bozza di provvedimento, restando in attesa di una versione aggiornata delle specifiche tecniche in esame, poi trasmessa dal Ministero con nota 107489 del 12 luglio 2023, asseritamente rispondente alle indicazioni rese dall’Autorità.

RILEVATO

2. Nel documento all’esame viene descritta la base giuridica, gli obiettivi e il funzionamento di un servizio on-line volto all’informatizzazione delle operazioni di formazione e tenuta degli albi dei consulenti tecnici e dei periti presso i tribunali. Il documento descrive il sistema informativo in via di realizzazione offrendone nel complesso una rappresentazione chiara e dettagliata, da cui si evince che la fase di analisi e definizione delle funzionalità che il sistema offrirà, ha già raggiunto un buon livello di maturazione.

Per quanto è dato di ricostruire dalla lettura del documento, il sistema sottende un complesso trattamento di dati personali articolato, in sintesi, in tre macro-parti: 

- la raccolta on-line delle domande dei canditati che vogliano iscriversi negli albi, corredata dei curricula e delle prove di pagamento delle tasse previste;

- la gestione, presso i tribunali, delle istruttorie relative alle domande ricevute;

- le attività di amministrazione del sistema informativo (ad es. per la gestione delle utenze) che prevede, a sua volta, una componente amministrativa presso il ministero e componenti di amministrazione presso i tribunali.

CONSIDERATO

3. Il Garante, esaminato lo schema di provvedimento trasmesso, formula le seguenti considerazioni, volte a rendere conforme alla normativa vigente in materia di protezione dei dati personali il testo in esame.

3.1. Aspetti tecnici e sicurezza dei dati e del sistema.

La nuova versione del provvedimento, con particolare riferimento alle Modalità Operative, chiarisce che l’accesso al sistema informativo da parte dei soggetti esterni al Dominio Giustizia sarà possibile solo con CNS e SPID (cfr. par. 5 e par. 8.2, già 6.2); precisa che il servizio sarà erogato con il protocollo di sicurezza TLS (cfr. par. 8); conferma che sono previste politiche di backup (cfr. par. 11); afferma la presenza di ulteriori misure di sicurezza, elencandole succintamente (cfr. il par. 12).

Nell’insieme, le misure di sicurezza tecniche e organizzative prospettate nella più recente versione delle Modalità Operative risultano idonee ad assicurare ai dati personali un livello di sicurezza adeguato al rischio presentato dal trattamento, se correttamente realizzate.

Restano, comunque, valide le raccomandazioni, già formulate dall’Autorità nel corso dell’istruttoria relativamente  alla precedente versione del documento, di adottare politiche di periodica e tempestiva applicazione delle patch di sicurezza del software, compreso il software di base, e di tenere un atteggiamento vigile nei confronti delle emergenti minacce di sicurezza, come ad esempio in tema di ransomware, attraverso l’idonea formazione del personale e il controllo periodico dei bollettini di sicurezza pubblicati dallo CSIRT (Agenzia per la cybersicurezza nazionale).

3.2. Titolarità del trattamento dei dati e linee di responsabilità.

Il documento non reca indicazioni sotto il profilo della titolarità del trattamento dei dati trattati tramite gli albi da parte del Ministero della giustizia, benché un’integrazione dello schema di provvedimento fosse stata richiesta in tal senso da questa Autorità con la nota istruttoria del febbraio scorso; né è stata fornita alcuna giustificazione al riguardo dal Ministero nella nota di trasmissione della versione aggiornata del provvedimento (cfr. par. 10 del documento, attualmente non compilato).

In proposito si osserva che ai sensi dell’art. 16-novies in attuazione, gli albi dei CTU in materia civile (artt. 13 e ss. disp. att. c.p.c.) e dei periti in materia penale (artt. 67 e ss. norme att. c.p.p.), istituiti presso ogni tribunale, sono “tenuti, a cura del presidente del tribunale” e l’accesso ai dati contenuti negli albi e negli elenchi è consentito “ai magistrati e al personale delle cancellerie e delle segreterie di tutti gli uffici giudiziari della giustizia ordinaria”. Inoltre, si evidenzia che l’art. 8 dello schema di regolamento già citato (su cui il Garante ha reso parere) stabilisce che “i tribunali sono i titolari del trattamento dei dati personali utilizzati per la formazione e la tenuta dell’albo”.

Tuttavia, il provvedimento in esame descrive “cicli di vita” e “workflow”, offrendo una descrizione concettuale focalizzata sul servizio informatico piuttosto che sui trattamenti di dati personali. Sulla base di tale descrizione si deduce che, sebbene gli albi siano molteplici e normativamente incardinati presso i singoli tribunali, il Ministero abbia previsto che il servizio di presentazione delle domande e di tenuta di tali albi sia unico, ed erogato dal medesimo Ministero, direttamente o tramite fornitori esterni.

Le scelte del Ministero sul profilo della progettazione (cfr. art. 25 del Regolamento) e in tema di misure di sicurezza tecniche e organizzative (cfr. art. 32 del Regolamento), certamente hanno delle conseguenze sul profilo della protezione dei dati personali e della loro sicurezza in particolare (cfr., tra le altre, la lett. f) del paragrafo 1 dell’art. 5 del Regolamento). Si ritiene dunque plausibile che, ferma restando la titolarità dei trattamenti concernenti la tenuta dei propri albi da parte dei singoli Tribunali, il Ministero della Giustizia abbia comunque un ruolo in termini di protezione dei dati personali trattati per il tramite di tali albi, in particolare per quanto attiene alla sicurezza dei dati.

Un chiarimento al riguardo resta pertanto necessario, mediante adeguata integrazione del documento.

TUTTO CIÒ PREMESSO, IL GARANTE

in considerazione della descritta carenza strutturale del documento, e in particolare per la mancanza di indicazioni circa il ruolo e le responsabilità assunte dal Ministero nel trattamento dei dati e in particolare rispetto alla loro sicurezza e integrità, nonché della segnalata esigenza di integrare lo schema di provvedimento in tal senso, ritiene che il presente parere – reso sul documento volto a definire le specifiche tecniche del Portale Albo CTU previste dall'articolo 16-novies, commi 4 e 5, del decreto legge 18 ottobre 2012, n. 179, convertito con modificazioni con legge 17 dicembre 2012, n. 221 – non possa essere positivo.

Roma, 12 ottobre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9953490
Data
12/10/23

Argomenti

Giustizia Consulenti tecnici

Tipologie

Parere del Garante

Vedi anche (2)