Parere sullo schema di decreto recante le modalità di accesso al Ced del Dipartimento della PS da parte della polizia municipale per la consultazione dei dati e delle informazioni relativi ai documenti di identità rubati o smarriti e ai permessi di soggiorno rilasciati e rinnovati - 6 giugno 2018 [9022276]
[doc. web n. 9022276]
Parere sullo schema di decreto recante le modalità di accesso al Ced del Dipartimento della PS da parte della polizia municipale per la consultazione dei dati e delle informazioni relativi ai documenti di identità rubati o smarriti e ai permessi di soggiorno rilasciati e rinnovati - 6 giugno 2018
Registro dei provvedimenti
n. 375 del 6 giugno 2018
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;
Visto l’articolo 24, comma 2, del decreto legislativo 18 maggio 2018, n. 51;
Vista la richiesta di parere pervenuta dal Ministero dell’interno;
Vista la documentazione in atti;
Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Antonello Soro;
1. Il competente Ministero ha richiesto il parere del Garante su uno schema di decreto del Ministro dell’interno predisposto di concerto con il Ministro dell'economia e delle finanze, sentita l'Associazione nazionale dei Comuni italiani (ANCI), attuativo dell'articolo 8, comma 1-bis, del decreto legge 23 maggio 2008, n. 92, convertito dalla legge n. 125 del 2008, il quale prevede che siano stabiliti i collegamenti con il Centro elaborazioni dati (CED) del Dipartimento della pubblica sicurezza del Ministero dell’interno, anche a mezzo della rete informativa telematica dell'ANCI, per l'accesso del personale della polizia municipale alle informazioni relative ai documenti d’identità rubati o smarriti e ai permessi di soggiorno rilasciati e rinnovati.
Infatti l’articolo 16-quater, comma 1, del decreto legge 18 gennaio 1993, n. 8, convertito, con modificazioni, dalla legge 19 marzo 1993, n. 68, stabilisce che il personale della polizia municipale “addetto ai servizi di polizia stradale (…) può accedere, in deroga all'articolo 9 della legge 1° aprile 1981, n. 121, e successive modificazioni, qualora in possesso della qualifica di agente di pubblica sicurezza, allo schedario dei veicoli rubati e allo schedario dei documenti d'identità rubati o smarriti operanti presso il Centro elaborazione dati di cui all'articolo 8 della predetta legge n. 121. Il personale della polizia municipale in possesso della qualifica di agente di pubblica sicurezza può altresì accedere alle informazioni concernenti i permessi di soggiorno rilasciati e rinnovati”; il medesimo articolo, al comma 1-bis, stabilisce, inoltre, che il suddetto personale “addetto ai servizi di polizia stradale ed in possesso della qualifica di agente di pubblica sicurezza può essere, altresì, abilitato all'inserimento, presso il Centro elaborazione dati ivi indicato, dei dati relativi ai veicoli rubati e ai documenti rubati o smarriti”.
Con riferimento alla medesima materia, è stato trasmesso all’Autorità un altro schema di decreto recante “le modalità di accesso al Centro elaborazione dati del Dipartimento della pubblica sicurezza da parte della polizia municipale per la consultazione dei dati e delle informazioni relativi ai veicoli rubati, nonché per l’inserimento dei dati e delle informazioni relative ai veicoli rubati e ai documenti rubati o smarriti acquisiti autonomamente”, su cui il Garante rende separato parere.
Da questo punto di vista si rileva che andrebbero espunti dal presente schema, ovunque ricorrano, i riferimenti all’”inserimento” dei dati nel CED del Dipartimento della pubblica sicurezza, trattandosi, appunto, di materia oggetto dell’altro schema di decreto (v. ad esempio, il titolo della rubrica dell’articolo 5 dello schema, e al paragrafo 2.2, dell’allegato A, il riferimento al “comma 1-bis” dell’ articolo 16-quater).
RILEVATO
2. Lo schema di decreto si compone di 8 articoli e di 3 allegati (A, B e C) contenenti rispettivamente le regole connesse al collegamento diretto tra il CED del Dipartimento della pubblica sicurezza e i Corpi di polizia municipale (all. A), tra il CED del Dipartimento della pubblica sicurezza e il CED di ANCITEL (all. B) e, infine, l’indicazione delle informazioni minime per procedere alle consultazioni (all. C).
L’articolo 1 dello schema disciplina le modalità di accesso per via telematica al Centro elaborazione dati del Dipartimento della pubblica sicurezza, da parte della polizia municipale di cui alla legge n. 65 del 1986, nonché i livelli di accesso del personale addetto al servizio di polizia municipale, per la consultazione dei dati e delle informazioni relativi ai documenti d'identità rubati o smarriti e ai permessi di soggiorno rilasciati e rinnovati.
Al suo articolo 2, lo schema detta le definizioni fra cui quelle di «ANCITEL», quale società che gestisce i servizi telematici e la rete telematica dell'ANCI e di «CED ANCITEL», quale Centro elaborazione dati di ANCITEL.
Si precisa inoltre cosa debba intendersi per «amministratore locale», definendo quest’ultimo, “l'incaricato del trattamento dei dati personali, autorizzato dal responsabile del trattamento a effettuare le operazioni di gestione tecnica, di supporto di primo livello e formazione degli utenti, secondo le indicazioni del responsabile del trattamento”.
L’art. 3 dello schema definisce quali siano le modalità di accesso telematico agli archivi.
In esso viene precisato che la consultazione dei dati e delle informazioni relativi ai documenti d'identità rubati o smarriti e ai permessi di soggiorno, avviene attraverso accessi diretti oppure attraverso la rete telematica di ANCITEL.
I suddetti accessi diretti possono essere attivati attraverso una connessione in modalità sicura tra il CED del Dipartimento della pubblica sicurezza e i Corpi della polizia municipale, secondo le modalità tecniche definite nell'allegato A dello schema di decreto (comma 2), ma possono anche essere attivati attraverso la rete telematica di ANCITEL, tramite una connessione in modalità sicura tra il CED del Dipartimento della pubblica sicurezza e il CED ANCITEL, che collega gli uffici della polizia municipale dei Comuni, secondo le modalità tecniche definite nell'allegato B del medesimo schema (comma 3).
L’articolo 4 dello schema di decreto provvede ad indicare espressamente quali siano i soggetti titolari, responsabili e “incaricati” del trattamento dei dati personali. In particolare, in esso viene indicato il Dipartimento della pubblica sicurezza quale titolare del trattamento, mentre si prevede che siano responsabili del trattamento il Direttore del Servizio per il sistema informativo interforze del Dipartimento e anche i Comandanti dei Corpi di polizia municipale nei casi di accesso diretto, o ANCITEL, quando l'accesso avvenga attraverso la rete telematica ad essa dedicata.
L’articolo 5 indica i soggetti legittimati alla consultazione dei dati e delle informazioni relativi ai documenti d'identità rubati o smarriti oltre che di quelli relativi ai permessi di soggiorno rilasciati e rinnovati.
In particolare è legittimato alla consultazione, rispettivamente, il personale della polizia municipale avente la qualifica di agente di pubblica sicurezza, addetto al servizio di polizia stradale (art. 5, comma 1) e il personale della polizia municipale avente la qualifica di agente di pubblica sicurezza, debitamente autorizzato.
Gli ultimi articoli dello schema oltre ad indicare quali siano i dati e le informazioni oggetto di consultazione presso il CED del Dipartimento della pubblica sicurezza (operando il rinvio all’allegato C dello schema), prevedono anche, ai fini di una loro massima tutela, “l'adozione di misure di sicurezza, idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta” (artt. 6 e 7).
RITENUTO
3. Esaminato lo schema di decreto, il Garante, nel rilevare che non si rinvengono particolari profili di criticità sotto il profilo della protezione dei dati personali, ritiene necessario fornire talune precisazioni volte a perfezionare il testo.
3.1. I riferimenti normativi e le figure soggettive del trattamento dei dati personali.
Nel rilevare preliminarmente l’esigenza di citare nel preambolo il decreto legislativo 18 maggio 2018, n. 51, di attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016, recentemente pubblicato e in vigore dall’8 giugno 2018, si osserva che è necessario espungere dallo schema ogni riferimento ad articoli del Codice in materia di protezione dei dati personali (d. lg. n. 196 del 2003).
A prescindere dalla circostanza che tale Codice è oggetto di revisione in attuazione della legge 25 ottobre 2017, n. 163 (legge di delegazione europea) che al suo articolo 13 delega il Governo ad adeguarne le disposizioni al Regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, la materia oggetto del presente schema trova i suoi parametri di riferimento normativo nella Direttiva (UE) 2016/680 e nel citato decreto legislativo di attuazione.
In conseguenza di ciò, si richiama l’attenzione dell’Amministrazione sulla necessità di utilizzare le categorie soggettive di riferimento (titolare del trattamento, responsabile del trattamento, o chiunque agisca sotto l’autorità del titolare o del responsabile del trattamento e abbia accesso ai dati personali) in linea con le definizioni e i compiti previsti dal rinnovato quadro normativo.
In particolare, tenuto conto del complesso degli obblighi e delle responsabilità che incombono sul responsabile del trattamento a norma della Direttiva e del decreto legislativo di attuazione (cfr. artt. 22, 24, commi 2 e 3, 25, comma 4, 26, 28, 29, Dir. e artt. 18, 20, commi 2 e 3, 21, comma 4, 22, 24, 25, 41 e 42, comma 2, d. lg. n. 51/2018), si invita l’Amministrazione ad una valutazione attenta della designazione a responsabili del trattamento del Direttore del Servizio per il sistema informativo interforze e dei Comandanti dei Corpi di polizia municipale (cfr. art. 4, commi 2 e 3 e i riferimenti presenti nell’allegato A dello schema). Ciò, in particolare, alla luce della reale configurazione del rapporto e dei rispettivi compiti del titolare e del responsabile, tenendo in considerazione che quest’ultimo effettua il trattamento “per conto” del titolare (art. 3, punto 9, Dir. e art. 2, comma 1, lett. i) d. lg. n. 51/2018) e che, rispetto ai Comandanti, che operano sotto l’autorità dei rispettivi Corpi di polizia, un’autonoma titolarità del trattamento andrebbe riconosciuta agli enti locali cui questi fanno capo (cfr. art. 23 Dir. e art. 19 d. lg. n. 51/2018).
Quanto alla figura dell’incaricato del trattamento (cui lo schema fa riferimento, oltre che nell’art. 4, anche nella definizione di “amministratore locale”, come abbiamo visto), se è vero che tale locuzione non si riscontra né nella Direttiva, né nel Regolamento, tuttavia il Regolamento fa riferimento espressamente alle “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” quali soggetti diversi dal “terzo” (art. 4, punto 10), mentre entrambi gli atti normativi sovranazionali prevedono che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento (…)” (art. 23 Dir. e art. 19 d. lg. n. 51/2018; art. 29 Reg.).
3.2. L’“amministratore locale”.
L’articolo 2 dello schema definisce amministratore locale “l'incaricato del trattamento dei dati personali, autorizzato dal responsabile del trattamento a effettuare le operazioni di gestione tecnica, di supporto di primo livello e formazione degli utenti, secondo le indicazioni del responsabile del trattamento”. Un altro riferimento a tale figura si trova al paragrafo 2 dell’allegato A ove si dispone che il Comandante del Corpo di polizia municipale nomina, nell'ambito del personale appartenente ai comandi di polizia municipale, gli “amministratori locali”, quali incaricati del trattamento dei dati personali, autorizzati dal responsabile del trattamento a effettuare le operazioni di gestione tecnica, di supporto di primo livello e formazione degli utenti, secondo le indicazioni del responsabile del trattamento". In tale paragrafo si precisa inoltre che le mansioni di "amministratore locale" e di "incaricato" non possono essere attribuite alla stessa persona. Analoga previsione si riscontra al paragrafo 2 dell’allegato B.
Alla luce di quanto osservato al punto 3.1., a prescindere dalle considerazioni appena svolte circa l’utilizzo della locuzione corretta (non più “incaricati”, ma più opportunamente “autorizzati” al trattamento dei dati), si richiama l’attenzione dell’Amministrazione sulla necessità di valutare in concreto se lo svolgimento dei compiti assegnati agli amministratori locali comporti o meno il trattamento di dati personali, applicando di conseguenza le regole pertinenti alle reali funzioni svolte.
3.3. Ulteriori osservazioni sugli allegati A e B.
Al paragrafo 2, dell’allegato B, pur prevedendosi che ANCITEL sia tenuta al mantenimento dei dati inerenti la trasmissione ai fini della verifica della qualità del dato, nel limite temporale di due anni, non risultano specificati i suddetti “dati inerenti la trasmissione”, pertanto si invita l’Amministrazione ad integrare il paragrafo, indicando espressamente quali siano i dati che ANCITEL deve acquisire e conservare.
Al paragrafo 2.6. dell’allegato B, è opportuno precisare cosa si intenda per “monitoraggio delle attività svolte dagli utenti” (rispetto alla successiva previsione di controlli sulle autorizzazioni e sulla loro scadenza), anche sotto il profilo della conformità al quadro di garanzie previste per i dipendenti.
TUTTO CIÒ PREMESSO IL GARANTE
esprime parere favorevole sullo schema di decreto del Ministro dell’interno, recante le modalità di accesso per via telematica al Centro elaborazione dati del Dipartimento della pubblica sicurezza, da parte della polizia municipale, per la consultazione dei dati e delle informazioni relativi ai documenti d'identità rubati o smarriti e ai permessi di soggiorno rilasciati e rinnovati, con le osservazioni di cui ai punti da 3.1 a 3.3.
Roma, 6 giugno 2018
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia
[doc. web n. 9022276]
Parere sullo schema di decreto recante le modalità di accesso al Ced del Dipartimento della PS da parte della polizia municipale per la consultazione dei dati e delle informazioni relativi ai documenti di identità rubati o smarriti e ai permessi di soggiorno rilasciati e rinnovati - 6 giugno 2018
Registro dei provvedimenti
n. 375 del 6 giugno 2018
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;
Visto l’articolo 24, comma 2, del decreto legislativo 18 maggio 2018, n. 51;
Vista la richiesta di parere pervenuta dal Ministero dell’interno;
Vista la documentazione in atti;
Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Antonello Soro;
PREMESSO
1. Il competente Ministero ha richiesto il parere del Garante su uno schema di decreto del Ministro dell’interno predisposto di concerto con il Ministro dell'economia e delle finanze, sentita l'Associazione nazionale dei Comuni italiani (ANCI), attuativo dell'articolo 8, comma 1-bis, del decreto legge 23 maggio 2008, n. 92, convertito dalla legge n. 125 del 2008, il quale prevede che siano stabiliti i collegamenti con il Centro elaborazioni dati (CED) del Dipartimento della pubblica sicurezza del Ministero dell’interno, anche a mezzo della rete informativa telematica dell'ANCI, per l'accesso del personale della polizia municipale alle informazioni relative ai documenti d’identità rubati o smarriti e ai permessi di soggiorno rilasciati e rinnovati.
Infatti l’articolo 16-quater, comma 1, del decreto legge 18 gennaio 1993, n. 8, convertito, con modificazioni, dalla legge 19 marzo 1993, n. 68, stabilisce che il personale della polizia municipale “addetto ai servizi di polizia stradale (…) può accedere, in deroga all'articolo 9 della legge 1° aprile 1981, n. 121, e successive modificazioni, qualora in possesso della qualifica di agente di pubblica sicurezza, allo schedario dei veicoli rubati e allo schedario dei documenti d'identità rubati o smarriti operanti presso il Centro elaborazione dati di cui all'articolo 8 della predetta legge n. 121. Il personale della polizia municipale in possesso della qualifica di agente di pubblica sicurezza può altresì accedere alle informazioni concernenti i permessi di soggiorno rilasciati e rinnovati”; il medesimo articolo, al comma 1-bis, stabilisce, inoltre, che il suddetto personale “addetto ai servizi di polizia stradale ed in possesso della qualifica di agente di pubblica sicurezza può essere, altresì, abilitato all'inserimento, presso il Centro elaborazione dati ivi indicato, dei dati relativi ai veicoli rubati e ai documenti rubati o smarriti”.
Con riferimento alla medesima materia, è stato trasmesso all’Autorità un altro schema di decreto recante “le modalità di accesso al Centro elaborazione dati del Dipartimento della pubblica sicurezza da parte della polizia municipale per la consultazione dei dati e delle informazioni relativi ai veicoli rubati, nonché per l’inserimento dei dati e delle informazioni relative ai veicoli rubati e ai documenti rubati o smarriti acquisiti autonomamente”, su cui il Garante rende separato parere.
Da questo punto di vista si rileva che andrebbero espunti dal presente schema, ovunque ricorrano, i riferimenti all’”inserimento” dei dati nel CED del Dipartimento della pubblica sicurezza, trattandosi, appunto, di materia oggetto dell’altro schema di decreto (v. ad esempio, il titolo della rubrica dell’articolo 5 dello schema, e al paragrafo 2.2, dell’allegato A, il riferimento al “comma 1-bis” dell’ articolo 16-quater).
RILEVATO
2. Lo schema di decreto si compone di 8 articoli e di 3 allegati (A, B e C) contenenti rispettivamente le regole connesse al collegamento diretto tra il CED del Dipartimento della pubblica sicurezza e i Corpi di polizia municipale (all. A), tra il CED del Dipartimento della pubblica sicurezza e il CED di ANCITEL (all. B) e, infine, l’indicazione delle informazioni minime per procedere alle consultazioni (all. C).
L’articolo 1 dello schema disciplina le modalità di accesso per via telematica al Centro elaborazione dati del Dipartimento della pubblica sicurezza, da parte della polizia municipale di cui alla legge n. 65 del 1986, nonché i livelli di accesso del personale addetto al servizio di polizia municipale, per la consultazione dei dati e delle informazioni relativi ai documenti d'identità rubati o smarriti e ai permessi di soggiorno rilasciati e rinnovati.
Al suo articolo 2, lo schema detta le definizioni fra cui quelle di «ANCITEL», quale società che gestisce i servizi telematici e la rete telematica dell'ANCI e di «CED ANCITEL», quale Centro elaborazione dati di ANCITEL.
Si precisa inoltre cosa debba intendersi per «amministratore locale», definendo quest’ultimo, “l'incaricato del trattamento dei dati personali, autorizzato dal responsabile del trattamento a effettuare le operazioni di gestione tecnica, di supporto di primo livello e formazione degli utenti, secondo le indicazioni del responsabile del trattamento”.
L’art. 3 dello schema definisce quali siano le modalità di accesso telematico agli archivi.
In esso viene precisato che la consultazione dei dati e delle informazioni relativi ai documenti d'identità rubati o smarriti e ai permessi di soggiorno, avviene attraverso accessi diretti oppure attraverso la rete telematica di ANCITEL.
I suddetti accessi diretti possono essere attivati attraverso una connessione in modalità sicura tra il CED del Dipartimento della pubblica sicurezza e i Corpi della polizia municipale, secondo le modalità tecniche definite nell'allegato A dello schema di decreto (comma 2), ma possono anche essere attivati attraverso la rete telematica di ANCITEL, tramite una connessione in modalità sicura tra il CED del Dipartimento della pubblica sicurezza e il CED ANCITEL, che collega gli uffici della polizia municipale dei Comuni, secondo le modalità tecniche definite nell'allegato B del medesimo schema (comma 3).
L’articolo 4 dello schema di decreto provvede ad indicare espressamente quali siano i soggetti titolari, responsabili e “incaricati” del trattamento dei dati personali. In particolare, in esso viene indicato il Dipartimento della pubblica sicurezza quale titolare del trattamento, mentre si prevede che siano responsabili del trattamento il Direttore del Servizio per il sistema informativo interforze del Dipartimento e anche i Comandanti dei Corpi di polizia municipale nei casi di accesso diretto, o ANCITEL, quando l'accesso avvenga attraverso la rete telematica ad essa dedicata.
L’articolo 5 indica i soggetti legittimati alla consultazione dei dati e delle informazioni relativi ai documenti d'identità rubati o smarriti oltre che di quelli relativi ai permessi di soggiorno rilasciati e rinnovati.
In particolare è legittimato alla consultazione, rispettivamente, il personale della polizia municipale avente la qualifica di agente di pubblica sicurezza, addetto al servizio di polizia stradale (art. 5, comma 1) e il personale della polizia municipale avente la qualifica di agente di pubblica sicurezza, debitamente autorizzato.
Gli ultimi articoli dello schema oltre ad indicare quali siano i dati e le informazioni oggetto di consultazione presso il CED del Dipartimento della pubblica sicurezza (operando il rinvio all’allegato C dello schema), prevedono anche, ai fini di una loro massima tutela, “l'adozione di misure di sicurezza, idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta” (artt. 6 e 7).
RITENUTO
3. Esaminato lo schema di decreto, il Garante, nel rilevare che non si rinvengono particolari profili di criticità sotto il profilo della protezione dei dati personali, ritiene necessario fornire talune precisazioni volte a perfezionare il testo.
3.1. I riferimenti normativi e le figure soggettive del trattamento dei dati personali.
Nel rilevare preliminarmente l’esigenza di citare nel preambolo il decreto legislativo 18 maggio 2018, n. 51, di attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016, recentemente pubblicato e in vigore dall’8 giugno 2018, si osserva che è necessario espungere dallo schema ogni riferimento ad articoli del Codice in materia di protezione dei dati personali (d. lg. n. 196 del 2003).
A prescindere dalla circostanza che tale Codice è oggetto di revisione in attuazione della legge 25 ottobre 2017, n. 163 (legge di delegazione europea) che al suo articolo 13 delega il Governo ad adeguarne le disposizioni al Regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, la materia oggetto del presente schema trova i suoi parametri di riferimento normativo nella Direttiva (UE) 2016/680 e nel citato decreto legislativo di attuazione.
In conseguenza di ciò, si richiama l’attenzione dell’Amministrazione sulla necessità di utilizzare le categorie soggettive di riferimento (titolare del trattamento, responsabile del trattamento, o chiunque agisca sotto l’autorità del titolare o del responsabile del trattamento e abbia accesso ai dati personali) in linea con le definizioni e i compiti previsti dal rinnovato quadro normativo.
In particolare, tenuto conto del complesso degli obblighi e delle responsabilità che incombono sul responsabile del trattamento a norma della Direttiva e del decreto legislativo di attuazione (cfr. artt. 22, 24, commi 2 e 3, 25, comma 4, 26, 28, 29, Dir. e artt. 18, 20, commi 2 e 3, 21, comma 4, 22, 24, 25, 41 e 42, comma 2, d. lg. n. 51/2018), si invita l’Amministrazione ad una valutazione attenta della designazione a responsabili del trattamento del Direttore del Servizio per il sistema informativo interforze e dei Comandanti dei Corpi di polizia municipale (cfr. art. 4, commi 2 e 3 e i riferimenti presenti nell’allegato A dello schema). Ciò, in particolare, alla luce della reale configurazione del rapporto e dei rispettivi compiti del titolare e del responsabile, tenendo in considerazione che quest’ultimo effettua il trattamento “per conto” del titolare (art. 3, punto 9, Dir. e art. 2, comma 1, lett. i) d. lg. n. 51/2018) e che, rispetto ai Comandanti, che operano sotto l’autorità dei rispettivi Corpi di polizia, un’autonoma titolarità del trattamento andrebbe riconosciuta agli enti locali cui questi fanno capo (cfr. art. 23 Dir. e art. 19 d. lg. n. 51/2018).
Quanto alla figura dell’incaricato del trattamento (cui lo schema fa riferimento, oltre che nell’art. 4, anche nella definizione di “amministratore locale”, come abbiamo visto), se è vero che tale locuzione non si riscontra né nella Direttiva, né nel Regolamento, tuttavia il Regolamento fa riferimento espressamente alle “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” quali soggetti diversi dal “terzo” (art. 4, punto 10), mentre entrambi gli atti normativi sovranazionali prevedono che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento (…)” (art. 23 Dir. e art. 19 d. lg. n. 51/2018; art. 29 Reg.).
3.2. L’“amministratore locale”.
L’articolo 2 dello schema definisce amministratore locale “l'incaricato del trattamento dei dati personali, autorizzato dal responsabile del trattamento a effettuare le operazioni di gestione tecnica, di supporto di primo livello e formazione degli utenti, secondo le indicazioni del responsabile del trattamento”. Un altro riferimento a tale figura si trova al paragrafo 2 dell’allegato A ove si dispone che il Comandante del Corpo di polizia municipale nomina, nell'ambito del personale appartenente ai comandi di polizia municipale, gli “amministratori locali”, quali incaricati del trattamento dei dati personali, autorizzati dal responsabile del trattamento a effettuare le operazioni di gestione tecnica, di supporto di primo livello e formazione degli utenti, secondo le indicazioni del responsabile del trattamento". In tale paragrafo si precisa inoltre che le mansioni di "amministratore locale" e di "incaricato" non possono essere attribuite alla stessa persona. Analoga previsione si riscontra al paragrafo 2 dell’allegato B.
Alla luce di quanto osservato al punto 3.1., a prescindere dalle considerazioni appena svolte circa l’utilizzo della locuzione corretta (non più “incaricati”, ma più opportunamente “autorizzati” al trattamento dei dati), si richiama l’attenzione dell’Amministrazione sulla necessità di valutare in concreto se lo svolgimento dei compiti assegnati agli amministratori locali comporti o meno il trattamento di dati personali, applicando di conseguenza le regole pertinenti alle reali funzioni svolte.
3.3. Ulteriori osservazioni sugli allegati A e B.
Al paragrafo 2, dell’allegato B, pur prevedendosi che ANCITEL sia tenuta al mantenimento dei dati inerenti la trasmissione ai fini della verifica della qualità del dato, nel limite temporale di due anni, non risultano specificati i suddetti “dati inerenti la trasmissione”, pertanto si invita l’Amministrazione ad integrare il paragrafo, indicando espressamente quali siano i dati che ANCITEL deve acquisire e conservare.
Al paragrafo 2.6. dell’allegato B, è opportuno precisare cosa si intenda per “monitoraggio delle attività svolte dagli utenti” (rispetto alla successiva previsione di controlli sulle autorizzazioni e sulla loro scadenza), anche sotto il profilo della conformità al quadro di garanzie previste per i dipendenti.
TUTTO CIÒ PREMESSO IL GARANTE
esprime parere favorevole sullo schema di decreto del Ministro dell’interno, recante le modalità di accesso per via telematica al Centro elaborazione dati del Dipartimento della pubblica sicurezza, da parte della polizia municipale, per la consultazione dei dati e delle informazioni relativi ai documenti d'identità rubati o smarriti e ai permessi di soggiorno rilasciati e rinnovati, con le osservazioni di cui ai punti da 3.1 a 3.3.
Roma, 6 giugno 2018
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia
https://www.garanteprivacy.it