[doc. web n. 10026254]

Parere su uno schema di convenzione tra il Dipartimento della pubblica sicurezza e il Dipartimento affari interni e territoriali del Ministero dell’interno volta a disciplinare l’accesso  alla banca dati A.N.P.R. da parte delle Forze di polizia tramite il sistema informativo del CED Interforze - 9 maggio 2024

Registro dei provvedimenti
n. 291 del 9 maggio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del prof. Pasquale Stanzione, presidente, della prof.ssa Ginevra Cerrina Feroni, vicepresidente, dell’avv. Guido Scorza e del dott. Agostino Ghiglia, componenti e del cons. Fabio Mattei, segretario generale;

VISTA la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (di seguito: “Direttiva”);

VISTO il decreto legislativo 18 maggio 2018, n. 51, recante l’attuazione della direttiva (UE) 2016/680 (di seguito: “Decreto”);

VISTO, in particolare, l’articolo 47, comma 1, del Decreto, ai sensi del quale nei casi in cui le autorità di pubblica sicurezza o le forze di polizia possono acquisire, in conformità alle vigenti disposizioni di legge o di regolamento, dati, informazioni, atti e documenti da altri soggetti, l'acquisizione può essere effettuata anche per via telematica. A tal fine gli organi o uffici interessati possono avvalersi di convenzioni volte ad agevolare la consultazione da parte dei medesimi organi o uffici, mediante reti di comunicazione elettronica, di pubblici registri, elenchi, schedari e banche di dati, nel rispetto delle pertinenti disposizioni e dei principi di cui agli articoli da 3 a 8 del Decreto. Le convenzioni-tipo sono adottate dal Ministero dell'interno, su conforme parere del Garante, e stabiliscono le modalità dei collegamenti e degli accessi anche al fine di assicurare l'accesso selettivo ai soli dati necessari al perseguimento delle finalità di cui all'articolo 1, comma 2.

VISTO il Regolamento UE 2016/679, del Parlamento Europeo e del Consiglio, di seguito Regolamento;

VISTO il decreto legislativo 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali, di seguito Codice;

VISTO il decreto del Presidente della Repubblica 15 gennaio 2018 n. 15, recante il Regolamento a norma dell'articolo 57 del Codice, di individuazione delle modalità di attuazione dei principi del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalità di polizia, da organi, uffici e comandi di polizia;

Vista la richiesta del Ministero dell’interno con nota prot. 20636 del 20 febbraio 2024;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Con nota del 10 gennaio 2023, l‘Ufficio del Garante formulava osservazioni preliminari su uno schema di convenzione tra il Dipartimento della pubblica sicurezza e il Dipartimento affari interni e territoriali del Ministero dell’interno volta a disciplinare l’accesso  alla banca dati A.N.P.R. - Anagrafe Nazionale della Popolazione Residente da parte delle Forze di polizia tramite il sistema informativo del CED Interforze del predetto dipartimento della p.s., che il Ministero aveva trasmesso in via informale per posta elettronica. 

Nella nota l’Ufficio forniva alcune indicazioni volte a perfezionare il testo per renderlo conforme ai principi e alle regole di protezione dati, suggerendo in particolare le seguenti modifiche e integrazioni, di carattere sia normativo, sia tecnico-informatico:

a) all’articolo 2 si richiamava l'attenzione sulla necessità di prevedere una separata disciplina per gli accessi relativi a quelle attività o finalità che non trovano la propria base normativa nel Decreto (cfr. art. 1), come ad esempio quelli necessari allo svolgimento di compiti di natura amministrativa;

b) si richiedeva una maggiore chiarezza nell’individuazione dei casi di accesso, sia rispetto alle tipologie di dati oggetto di consultazione, sia rispetto alle relative modalità di interrogazione (verifica puntuale, ricerca dati, elenchi, etc.), con particolare riferimento ai c.d. “casi d’uso”;

c) all’articolo 4, comma 8, dedicato alle violazioni di dati personali (“data breach”), per evitare inutili duplicazioni e pericolose discrasie fra norme, si riteneva sufficiente fare un rinvio all’applicazione delle pertinenti disposizioni di legge (artt. 26 e 27 del Decreto e 33 e 34 del Regolamento;

d) si fornivano indicazioni atte a rendere più chiaro il disposto dell’articolo 6, comma 3, il quale prevedeva, nella stesura iniziale, che l’accesso ai dati ed alle informazioni potesse avvenire anche mediante “servizi di cooperazione applicativa” o “per elenchi predeterminati”;

e) all’articolo 8, da leggersi in combinato con il paragrafo 4, lettera C, dell’allegato tecnico, si suggeriva di integrare la disciplina del tracciamento degli accessi con una efficace policy di “allerta” (al momento solo accennata), soprattutto per quanto riguarda le operazioni eventualmente svolte in misura sproporzionata da qualche operatore, in sinergica collaborazione fra i due dipartimenti interessati;

f) all’articolo 15 e a pag. 9 dell’Allegato, si richiedeva di prevedere espressamente il coinvolgimento del Garante sulle previste successive modifiche alla convenzione o sui suoi aggiornamenti;

g)    infine, posto che a pag. 9 dell’Allegato si prevedeva che: “Qualora, al verificarsi di una o più delle circostanze sopra richiamate, sia necessario apportare revisioni alla Convenzione e nelle more della formalizzazione del nuovo testo, il D.A.I.T. garantirà la continuità del servizio quale risultante all’esito delle revisioni apportate”, l’Ufficio del Garante ha segnalato la necessità che tale “continuità del servizio” fosse limitata nel tempo, al fine di scongiurare eccessive dilazioni dei necessari aggiornamenti formali.

2. Con nota del 20 febbraio 2024, il Ministero dell’Interno ha trasmesso un nuovo testo della convenzione, allo scopo di recepire le indicazioni formulate dall’Ufficio.

In particolare, il Ministero ha chiarito, nella nota di trasmissione che l’accesso alla banca dati ANPR potrà avvenire esclusivamente per le finalità di polizia di cui al decreto legislativo n. 51/2018; ed infatti è stato espunto ogni riferimento all’eventuale accesso per attività di “polizia amministrativa” le quali, non rientrando nel quadro normativo del decreto citato, restano escluse dal trattamento disciplinato dal presente schema di Convenzione.

Anche il “tracciamento delle attività” è stato disciplinato nel senso di riservarlo al Dipartimento della P.S. – Servizio per i Sistemi Informativi Interforze della Direzione Centrale della Polizia Criminale – ed al Dipartimento degli Affari Interni e Territoriali.

E’ stata poi aggiunta la previsione di un necessario coinvolgimento dell’Autorità in caso di aggiornamenti o modifiche sostanziali al testo della stipulata Convenzione, così come pure è stato definito il periodo temporale entro cui viene garantita la continuità del servizio in occasione delle eventuali modifiche apportate alla Convenzione.

Successivamente all’inoltro di tale nuovo testo aggiornato, in data 18 aprile 2024, si è tenuto un incontro di lavoro conclusivo dell’istruttoria nel corso del quale, da un lato, sono stati forniti dai rappresentanti del Ministero alcuni chiarimenti, fra l’altro sulla titolarità del trattamento, aspetto questo che resta necessario presupposto rispetto all’oggetto della Convenzione -che riguarda fondamentalmente le modalità e gli aspetti tecnici dell’accesso ai dati dell’ANPR – e, dall’altro, sono state risolte alcune residue imperfezioni dello schema di convenzione, di ordine per lo più formale.

Il testo trasmesso da ultimo dal Ministero con nota del 23 aprile 2024 tiene conto anche dei citati richiesti perfezionamenti, sicché il Garante, in conclusione, non ha osservazioni da formulare sullo schema di convenzione in esame.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’articolo 47, comma 1, del decreto legislativo 18 maggio 2018, n. 51, esprime parere favorevole, nei termini di cui in motivazione, sullo schema di Convenzione fra il Dipartimento della Pubblica Sicurezza e il Dipartimento per gli Affari Interni e Territoriali del Ministero dell’interno per l’accesso delle Forze di polizia, tramite il CED Interforze del Dipartimento p.s., alla banca dati A.N.P.R. – Anagrafe della popolazione residente.

Roma, 9 maggio 2024

IL PRESIDENTE
Stanzione

 
IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei