domenica 2 giugno 2019

Il Garante da l'OK per l'accesso al CED alla Polizia Locale

Il Garante da parere favorevole allo schema di decreto per l'accesso al CED della P.L. ma il personale dovrà essere individuato per iscritto stabilendo anche  l’ambito di trattamento consentito per ogni persona assegnata
Sotto il parere (su telegram il pdf del parere):

Parere su una nuova versione dello schema di decreto del Presidente della Repubblica recante Regolamento concernente la disciplina delle procedure di raccolta, accesso, comunicazione, correzione, cancellazione ed integrazione dei dati e delle informazioni registrati nel Centro elaborazione dati - 6 maggio 2019

Registro dei provvedimenti
n. 110 del 6 maggio 2019


IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI


Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;


Vista la richiesta di parere del Ministero dell’interno;


Visti gli articoli 24, comma 2, e 49, del decreto legislativo del 2018, n. 51, recante l’”Attuazione della direttiva (UE) 2016/680 del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio”, adottato in base alla legge 25 ottobre 2017, n. 163, recante la delega al Governo per il recepimento delle direttive europee e l’attuazione degli atti dell’Unione europea;


Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice);


Vista la documentazione in atti;


Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;


Relatore il dott. Antonello Soro;


PREMESSO


1. Il Ministero dell’interno ha chiesto il parere del Garante in ordine ad una nuova versione dello schema di decreto del Presidente della Repubblica recante “Regolamento concernente la disciplina delle procedure di raccolta, accesso, comunicazione, correzione, cancellazione ed integrazione dei dati e delle informazioni registrati nel Centro elaborazione dati di cui all’articolo 8 della legge 1 aprile 1981, n. 121, in attuazione dell’articolo 57 del decreto legislativo 30 giugno 2003, n. 196”, che sostituisce il precedente schema sul quale l’Autorità ha espresso parere il 26 luglio 2017 (doc. web n. 6826534).


La nuova versione dello schema si è resa necessaria al fine di aggiornare il provvedimento rispetto ai recenti sviluppi normativi in tema di protezione dei dati personali e, in particolare, alla disciplina introdotta dal decreto legislativo 18 maggio 2018, n. 51, nonché a talune disposizioni del decreto-legge 4 ottobre 2018, n. 113 (convertito, con modificazioni, dalla legge 1 dicembre 2018, n. 132, c.d. “decreto sicurezza”), che ha introdotto l’accesso al Centro elaborazione dati interforze del Dipartimento della pubblica sicurezza da parte del personale dei Corpi e servizi di polizia municipale, per verificare eventuali provvedimenti di ricerca o di rintraccio nei riguardi delle persone controllate.


Com’è noto l’articolo 57 del Codice prevede, al comma 1, che “con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei ministri, su proposta del Ministro dell'interno, di concerto con il Ministro della giustizia, sono individuate le modalità di attuazione dei principi del presente codice relativamente al trattamento dei dati effettuato per le finalità di cui all´articolo 53 dal Centro elaborazioni dati e da organi, uffici o comandi di polizia .…”.


Tale norma è ancora vigente, alla stregua del disposto dell’articolo 49 del predetto decreto legislativo n. 51 del 2018 con il quale è stata data attuazione alla direttiva (UE) 2016/680 del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.


Il citato decreto legislativo ha inteso fornire una disciplina organica del trattamento di dati personali per finalità di giustizia nel campo penale o di polizia, che ha sostituito quella già contemplata nei titoli I e II della parte seconda del Codice. Si è scelto di ridisegnare la regolamentazione del trattamento dei dati personali con riguardo alla sua finalità, piuttosto che in relazione all’autorità competente al trattamento, in ogni caso assicurando le distinzioni rese necessarie dalle diverse caratteristiche e dalla differente natura delle autorità interessate: giudiziaria e di polizia.


Lo schema di regolamento richiama in più punti la disciplina introdotta dal D.P.R. 15 gennaio 2018 n. 15, con cui è stata data una prima attuazione all’articolo 57 del Codice in relazione al trattamento di dati effettuato per finalità di polizia da organi, uffici e comandi di polizia. Anche sullo schema di tale decreto il Garante ha reso parere il 2 marzo 2017 (doc. web. n. 6197365).


RITENUTO


2. Lo schema in esame, articolato in cinque Capi e ventiquattro articoli, tiene conto in larga parte delle indicazioni fornite dal Garante nel parere del 26 luglio 2017 e dei descritti aggiornamenti normativi in materia.


Nondimeno, al fine di rendere il regolamento pienamente conforme ai principi in materia di protezione dei dati personali e ai presupposti di liceità previsti dal decreto legislativo n. 51/2018, si svolgono di seguito le seguenti osservazioni.


2.1. L’articolo 4, recante disposizioni in materia di titolare del trattamento, soggetti autorizzati al trattamento e responsabile della protezione dei dati, in attuazione dell’articolo 19 del decreto legislativo n. 51 del 2018, prevede diverse forme di autorizzazione al trattamento dei dati del personale che agisce sotto l’autorità del titolare, mutuate in parte dall’abrogato articolo 30 del Codice. In particolare si prevede che tale autorizzazione sia disposta, di regola, “per iscritto….specificandone puntualmente l’ambito consentito, dopo aver impartito ….le opportune istruzioni” (comma 2); ma possa avvenire anche attraverso una “documentata assegnazione all’unità organizzativa di uffici o comandi per la quale è analogamente individuato, per iscritto, l’ambito di trattamento consentito al personale”, (comma 3) oppure possa “basarsi su un’attestazione del responsabile dell’ufficio o del comando nella quale sono definite le esigenze di trattamento” (comma 4).


Al fine di rendere le prescrizioni contenute nel predetto articolo pienamente conformi a quanto previsto dal d.lgs. n. 51/2018 ed omogenee fra di loro, si ritiene opportuno precisare, al comma 4, che : “l’ambito di trattamento consentito al personale è comunque individuato per iscritto” e, più in generale (magari aggiungendo un apposito comma), che: “A prescindere dalle modalità di autorizzazione al trattamento dei dati, il titolare del trattamento deve fornire a tutti i soggetti autorizzati le opportune istruzioni in merito alle modalità del trattamento”. Conseguentemente, per un miglior coordinamento delle disposizioni, al comma 2 andrebbero soppresse le parole “dopo avere impartito alle stesse le opportune istruzioni”.


Sempre in tema di autorizzazioni, si evidenzia la necessità di integrare l’articolo 22 dello schema (Compiti del Servizio per il sistema informativo interforze), il cui comma 2, lettera b), prevede che il servizio gestisce, tra l’altro, le attività di istruzione e autorizzazione degli operatori incaricati del trattamento dati direttamente dal titolare (cfr. art. 4, comma 2), senza tuttavia definire a chi spetti la gestione delle medesime attività nel caso in cui gli incaricati siano autorizzati per assegnazione a specifica unità (comma 3) ovvero per attestazione dei responsabili degli uffici (comma 4). Inoltre, non vi è nessuna indicazione in ordine alla gestione delle procedure di autorizzazione per il personale del Corpo delle capitanerie di porto e dei Corpi e servizi di polizia municipale.


Infine, con riferimento alla figura del responsabile della protezione dei dati (comma 5), disciplinata dagli articoli 28, 29 e 30 del d.lgs, n. 51/2018, nel rammentare che la direttiva (UE) 2016/680, al considerando 63, prevede che “i responsabili della protezione dei dati dovrebbero poter adempiere le funzioni e ai loro incombenti in maniera indipendente conformemente al diritto dello Stato membro”, si ritiene opportuno inserire alla fine del relativo comma la seguente locuzione: “che svolge le sue funzioni in maniera indipendente.”.


2.2. L’articolo 9 (“Trattamento dei dati nell’ambito della cooperazione internazionale di polizia”) disciplina, al primo comma, lo scambio dei dati e delle informazioni registrati nel CED con le autorità competenti degli Stati membri dell’Unione europea e con gli organismi dell’Unione europea e, al secondo comma, lo scambio dei dati registrati nel CED con le autorità competenti degli Stati terzi o di organizzazioni internazionali.


In entrambi i casi, lo schema prevede che il trattamento di dati sia effettuato in conformità non solo alle pertinenti disposizioni – espressamente richiamate - del Capo IV del d. lgs. n. 51 del 2018 e del regolamento n. 15 del 2018, ma anche all’articolo 7, quarto e quinto comma, della legge n. 121 del 1981. Si richiama l’attenzione dell’Amministrazione sull’opportunità del rinvio a tale articolo, anteriore a ogni disposizione in materia di protezione dei dati personali, il quale, per la genericità e la vetustà dei riferimenti ivi contenuti, appare privo di prescrizioni normative sui flussi di dati da e con l’estero, specie rispetto a Paesi extra UE, che non siano già contemplate nelle altre disposizioni richiamate.


2.3. Con riferimento all’articolo 14 (Comunicazione dei dati a pubbliche amministrazioni o enti pubblici) si ritiene necessario sopprimere il secondo periodo, in quanto l’ambito delle informazioni acquisibili dal CED da parte di soggetti pubblici può essere solo quello espressamente individuato dalle pertinenti norme di riferimento, come del resto prevede lo stesso articolo 14 (“nei casi in cui è previsto dalla legge”) e non può essere lasciata al richiedente la definizione dei “criteri di selezione dei dati”. Resta fermo che i dati potranno essere comunicati e, una volta legittimamente acquisiti, trattati dai soggetti richiedenti nel rispetto dei principi applicabili al trattamento dei dati personali (artt. 3, d.lgs. n. 51/2018 e 5 Regolamento UE 2016/679).


2.4. L’articolo 17 in tema di diritti dell’interessato prevede, al comma 1, che “Ferme restando le disposizioni di cui all’articolo 10, commi 3, 4 e 5, della legge n. 121 del 1981, all’interessato si applicano gli articoli 8, 11, 12, 13 e 14 del decreto legislativo n. 51 del 2018”. Il rinvio non comprende gli articoli 9 e 10 del medesimo decreto legislativo che disciplinano, rispettivamente, le comunicazioni e le modalità per l’esercizio dei diritti e le informazioni da rendere all’interessato da parte del titolare del trattamento.


Sul punto si precisa che la direttiva (UE) 2016/680, prevede che i diritti dell’interessato possano essere limitati soltanto in presenza di specifiche esigenze puntualmente individuate (si tratta, in sostanza, di non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari; non compromettere la prevenzione, l'indagine, l'accertamento e il perseguimento di reati o l'esecuzione di sanzioni penali; proteggere la sicurezza pubblica; proteggere la sicurezza nazionale; proteggere i diritti e le libertà altrui).


Ne consegue che la disposizione di cui al comma 1 dell’articolo 17 dello schema non appare conforme ai principi della richiamata direttiva in quanto, per come è formulata, riduce i diritti dell’interessato in modo generalizzato ed a prescindere dalla ricorrenza dei presupposti chiaramente individuati.


Si ritiene pertanto opportuno che venga richiamato l’intero capo II del d. lgs. n. 51 del 2018, così da ricomprendere nel rinvio anche i citati articoli 9 e 10, con i diritti e le limitazioni ivi previsti.


2.5. Con riferimento all’articolo 18 (reclamo al Garante e ricorso giurisdizionale), al comma 2, per maggiore chiarezza, si suggerisce di specificare che il ricorso giurisdizionale è esperito ai sensi dell’articolo 152 del Codice, invece che ai sensi dell’articolo 39, comma 3, del d. lgs. n. 51 del 2018 (che contiene, a sua volta, un generico rimando alla parte del Codice relativa alla tutela dell’interessato).


2.6. Infine, con riferimento a quanto previsto agli articoli 23 (disposizioni transitorie e finali) e 19, comma 2, dello schema, in tema di accesso a dati afferenti ad atti coperti da segreto ai sensi degli articoli 114 e 329 del codice di procedura penale, si richiama l’attenzione sull’opportunità di individuare espressamente le vigenti procedure in materia che restano applicabili in attesa della completa attuazione dell’articolo 21, comma 4, della legge n. 128 del 2001 (che al riguardo prevede un decreto del Ministro dell’interno che non risulta ancora adottato).


TUTTO CIO' PREMESSO IL GARANTE:


esprime parere nei termini di cui in motivazione sullo schema di decreto del Presidente della Repubblica recante “Regolamento concernente la disciplina delle procedure di raccolta, accesso, comunicazione, correzione, cancellazione ed integrazione dei dati e delle informazioni registrati nel Centro elaborazione dati di cui all’articolo 8 della legge 1 aprile 1981, n. 121, in attuazione dell’articolo 57 del decreto legislativo 30 giugno 2003, n. 196”, con le osservazioni formulate ai punti da 2.1. a 2.6.


Roma, 6 maggio 2019


IL PRESIDENTE
Soro


IL RELATORE
Soro


IL SEGRETARIO GENERALE
Busia


https://www.garanteprivacy.it