testata per la stampa della pagina
altro

Registro dei provvedimenti n. 279 dell'11 ottobre 2012  [doc. web n. 2091248]
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;
Vista la richiesta di parere del Ministero della giustizia;
Visto l'articolo 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Augusta Iannini;
PREMESSO:
Il Ministero della giustizia ha chiesto il parere del Garante in ordine a uno schema di decreto dirigenziale relativo alla consultazione diretta del Sistema Informativo del Casellario (SIC) da parte delle amministrazioni pubbliche e dei gestori di pubblici servizi ai sensi dell'articolo 39 del decreto del Presidente della repubblica 14 novembre 2002, n. 313 (Testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, di seguito "T.U.").
Il predetto articolo 39 stabilisce che con decreto dirigenziale del Ministero della giustizia, sentito anche il Garante, siano individuate le modalità tecnico operative per consentire alle amministrazioni pubbliche e ai gestori di pubblici servizi, eventualmente con differenziazioni territoriali e per tipo di certificato, la consultazione del sistema ai fini delle acquisizioni d'ufficio di informazioni o dei controlli relativi alle dichiarazioni sostitutive di certificazioni di cui agli articoli 43, 46 e 71 del d.P.R. 28 dicembre 2000, n. 445 (Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa), o ai fini dell'acquisizione dei certificati del casellario giudiziale, del casellario dei carichi pendenti e dell'anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, anche da parte dell'autorità giudiziaria.
Una prima attuazione, in via parziale e transitoria, di tale articolo si è avuta con il decreto dirigenziale del Ministero della Giustizia 11 febbraio 2004 (pubblicato nella  G.U. n. 37 del 14 febbraio 2004), previo parere del Garante reso in data 28 gennaio 2004.
Successivamente, il predetto ministero con decreto dirigenziale 25 gennaio 2007 (pubblicato nella G.U. n. 32  dell' 8 febbraio 2007) ha disciplinato, più in generale, "le regole procedurali di carattere tecnico operativo" per l'attuazione del citato d.P.R.  313/2002, anche in questo caso previo parere del Garante, reso in data 18 gennaio 2007. Sul punto, tale decreto ha demandato ad un successivo provvedimento dirigenziale la definizione delle regole tecniche per la consultazione diretta del casellario, prorogando l'applicazione in via transitoria del decreto 11 febbraio 2004 (art. 30).
RILEVATO
1. Il "certificato selettivo" e il principio di pertinenza.
L'odierno schema di decreto dirigenziale disciplina le modalità tecnico operative per consentire la consultazione diretta, per via telematica, del Sistema Informativo del Casellario (SIC) da parte delle amministrazioni pubbliche e dei gestori di pubblici servizi, nonché dell'autorità giudiziaria.
Rispetto alla disciplina attualmente vigente in applicazione del citato decreto 11 febbraio 2004, la previsione più innovativa e più significativa sotto il profilo della protezione dei dati personali, recata dall'odierno schema, riguarda l'introduzione del c.d. "certificato selettivo" volto ad assicurare, nel rispetto del principio di pertinenza di cui all'articolo 11 del Codice in materia di protezione dei dati personali, che la p.a. o il gestore di pubblico servizio interessati possano acquisire dal casellario le sole iscrizioni di provvedimenti giudiziari, riferiti ad una determinata persona o ente, strettamente necessarie per lo svolgimento degli specifici accertamenti e controlli di competenza, in quanto riflettenti "le condizioni ostative indicate dall'amministrazione richiedente" (art. 1, comma 7, dello schema).
In base alla disciplina transitoria contenuta nel decreto del 2004,  invece, in assenza di interconnessione del casellario con i soggetti interessati, può essere acquisita, non in via telematica diretta, ma mediante una richiesta scritta agli uffici locali del casellario giudiziale, "la totalità delle iscrizioni riguardanti una determinata persona", con il divieto, però, per la p.a. o il gestore di pubblico servizio, di utilizzare i dati personali non indispensabili allo specifico adempimento previsto nell'ambito del procedimento amministrativo cui si riferisce la richiesta.
In base all'odierno provvedimento, permane, tuttavia, seppure eccezionalmente, la possibilità che al soggetto richiedente siano rese disponibili, temporaneamente, anche eventuali iscrizioni di provvedimenti giudiziari non strettamente correlati agli accertamenti in atto. Ciò, in particolare:
a) nel caso di mutamento del quadro normativo di riferimento delle specifiche richieste di consultazione della p.a. interessata e per il tempo strettamente necessario a disciplinare il nuovo "ambito" della consultazione nella convenzione appositamente prevista fra il ministero e l'amministrazione richiedente (su cui v. infra). In tali ipotesi, lo schema di decreto prevede espressamente che, fino alla modifica della convenzione  e della relativa procedura informatica, il certificato selettivo ex articolo 39 è sostituito con  un  certificato  denominato "certificato ex articolo 39" contenente tutte le iscrizioni presenti sul sistema (art. 1, commi 6 e 10);
b) nel caso in cui i provvedimenti giudiziari -che sono iscritti nel casellario in maniera completa- si riferiscano a più fatti di reato ascritti alla medesima persona, alcuni dei quali non pertinenti rispetto alla richiesta (cfr. art. 1, comma 8).
In tali circostanze, resta fermo, però, per la p.a. o il gestore di pubblico servizio il divieto di utilizzare eventuali dati giudiziari non indispensabili allo specifico adempimento cui si riferisce la richiesta (art. 1, commi 8 e 10). A tal riguardo, i certificati rilasciati dal sistema riportano una espressa avvertenza che richiama tale divieto, nel rispetto della normativa in materia di protezione dei dati personali (art. 4, comma 6).
2. Le convenzioni.
Come anticipato al punto 1, apposite convenzioni sono stipulate tra il Ministero della giustizia e le amministrazioni o i gestori interessati per consentire a questi ultimi l'accesso al sistema e per assicurare la fruibilità dei dati nel rispetto del principio di proporzionalità. Nelle convenzioni redatte, sentito il Garante, su schemi tipo, distinti eventualmente secondo l'ambito territoriale di competenza  dell'amministrazione richiedente (nazionale, regionale, comunale), sono stabiliti, tra l'altro, i termini, le condizioni, i vincoli normativi nonché le regole tecniche necessarie per garantire il rilascio del certificato "selettivo" (che contenga, cioè, solo dati pertinenti e coerenti con le competenze istituzionali delle amministrazioni) (art. 1, comma 5). A quest'ultimo proposito, le convenzioni disciplinano le modalità con le quali da un lato l'ufficio centrale del casellario comunica eventuali modifiche a norme del T.U, dall'altro l'amministrazione interessata comunica all'ufficio centrale del casellario eventuali modifiche delle norme alla base dell'accesso (art. 1, comma 6).
La consultazione deve avvenire nel rispetto dell'obbligo di trattare dati personali, anche giudiziari, pertinenti, completi, non eccedenti ed indispensabili rispetto alle finalità perseguite nei singoli procedimenti amministrativi, in conformità con gli articoli 11, 21 e 22 del Codice (art. 1, comma 2).
Lo schema in oggetto precisa che fino al momento in cui le predette convenzioni non saranno definite, le amministrazioni interessate potranno acquisire i certificati previsti dal T.U presso gli uffici locali del casellario secondo le disposizioni transitorie di cui al decreto dirigenziale 11 febbraio 2004, che rimangono comunque in vigore fino al 30 giugno 2014 (art. 1, commi 9 e 15). Infatti, circa le modalità di consultazione da  parte delle amministrazioni pubbliche ed ai gestori di pubblici servizi non ancora collegati al SIC, il predetto regime transitorio è confermato dall'articolo 16 secondo cui l'acquisizione del certificato avviene previa richiesta all'ufficio locale del casellario giudiziale.
Quanto alla certificazione in materia di casellario dei carichi pendenti e di anagrafe dei carichi pendenti degli illeciti amministrativi dipendenti da reato, essa permane (fino all'interconnessione telematica tra SIC e sistemi fonte) su base locale ad opera degli uffici delle Procure della Repubblica presso i Tribunali in conformità alle disposizioni del pubblico ministero, secondo le modalità finora osservate (art. 1, comma 14).
3. La consultazione del SIC e il sistema CERPA.
Il Capo II dello schema descrive e disciplina le modalità di consultazione diretta del SIC, mediante il sistema CERPA, che rappresenta il supporto alla base delle procedure di consultazione e la cui gestione è demandata all'ufficio centrale del casellario. Tale sistema attiva l'autorizzazione delle p.a. e dei gestori di pubblici servizi all'accesso ai dati; verifica le richieste di accesso; ricerca i soggetti nelle banche dati del SIC; produce i certificati con apposizione delle firme digitali (art. 3, commi 1 e 2).
Titolare del trattamento dei dati è  il Ministero della giustizia - Dipartimento per gli affari di giustizia,  nel cui ambito è istituito l'ufficio centrale (art. 3, comma 6).
La consultazione del SIC può avvenire mediante due modalità di accesso: il servizio in cooperazione applicativa tramite tecnologia web service oppure il servizio di posta elettronica certificata (PEC), di cui agli allegati tecnici, rispettivamente, A e B, che formano parte integrante dell'odierno decreto (art. 4, comma 2).
La consultazione  è possibile solo (tra l'altro) se i dati contenuti nella richiesta sono conformi a quelli registrati sul SIC; al riguardo, l'ufficio centrale del casellario registra gli estremi della convenzione stipulata con l'amministrazione interessata, le finalità istituzionali dell'amministrazione stessa e le tipologie di certificato da essa richiedibili (art. 4, comma 3).
L'accesso al SIC è subordinato all'espletamento di una procedura di registrazione dell'amministrazione sul sistema. L'amministrazione designa il responsabile del trattamento dei dati acquisiti, che può coincidere con la figura del referente nominato dall'amministrazione in sede di richiesta di accesso al SIC, insieme (limitatamente al servizio di PEC) al responsabile tecnico, i quali assumono la piena responsabilità delle modalità di gestione e utilizzo degli accessi al sistema (art. 5, comma 2 e art. 7, comma 4).
Per quanto riguarda la consultazione in cooperazione applicativa tramite la tecnologia web service, la modalità di fruizione dei servizi è definita nei relativi accordi di servizio, ai sensi del d.P.C.M. 1° aprile 2008, che riportano, tra l'altro, la definizione delle politiche di sicurezza che l'amministrazione interessata deve adottare per garantire il corretto trattamento dei dati personali; in particolare, è previsto  il tracciamento  delle operazioni compiute in cooperazione applicativa, con possibilità di identificazione dell'utente che accede ai dati,  il  timestamp,  l'indirizzo IP del  server interconnesso,  l'operazione effettuata  e i dati trattati (art. 7, comma 7).
Per la consultazione del SIC tramite PEC, rileva in particolare che i dati contenuti nei certificati trasmessi per il tramite del servizio PEC debbano essere sottoposti a cifratura mediante l'utilizzo della chiave pubblica della firma digitale in possesso dei soggetti autorizzati, per garantire la riservatezza dei dati contenuti nei certificati stessi (art. 8, comma 4).
Infine, sotto il profilo della sicurezza dei dati, relativamente al controllo  e  alla verifica  degli  accessi e delle operazioni svolte sul sistema CERPA, l'ufficio del casellario centrale  cura la registrazione dei dati necessari a garantire la tracciabilità dei collegamenti telematici fra il sistema e gli altri sistemi informatici interessati; l'individuazione degli utenti che interagiscono con il sistema; la ricostruzione di tutte le operazioni effettuate, in modo da poterle ricondurre all'operatore che le ha eseguite, anche in relazione alla data, all'ora di esecuzione e ai dati oggetto dell'accesso (art. 15, comma 1).
Per consentire all'amministrazione interessata i controlli sulle attività svolte dagli utenti, è istituito il registro informatizzato denominato "Registro degli accessi al SIC" con controlli sullo stesso a cadenza trimestrale anche a campione, verificando, in particolare, la rispondenza delle richieste dei certificati ai procedimenti amministrativi correlati; ad ogni modo,  le registrazioni contenute nei registri previsti dal presente decreto e nei log del sistema sono conservate per un periodo di  dieci anni (art. 15, comma 2).
CONSIDERATO
4. Il parere è reso su di una versione dello schema di decreto dirigenziale che tiene conto degli approfondimenti e delle indicazioni suggeriti dall'Ufficio del Garante ai competenti uffici dell'amministrazione interessata nel corso di riunioni e contatti informali, volti a perfezionare il testo e a rendere effettivo il diritto alla protezione dei dati personali degli interessati nell'ambito dei trattamenti previsti.
Le osservazioni dell'Ufficio hanno riguardato, in particolare, la necessità di individuare modalità tecniche appropriate ad assicurare un accesso selettivo ai soli dati giudiziari indispensabili per lo svolgimento degli accertamenti di competenza (e di qui l'introduzione del "certificato selettivo"), limitando il più possibile le eccezioni a tali modalità selettive e previa avvertenza sul certificato che richiami l'amministrazione al rispetto del principio di pertinenza e non eccedenza dei dati.
Ulteriori osservazioni hanno riguardato la previsione di schemi-tipo di convenzione per ambiti omogenei di attività, anche secondo l'area territoriale di competenza, al fine di agevolarne e renderne più efficace l'esame da parte del Garante in sede di parere, l'esigenza di un trattamento dei dati in linea con il principio di pertinenza e non eccedenza rispetto alle finalità istituzionali dell'amministrazione richiedente ed, infine, l'introduzione di adeguate misure di sicurezza, in particolare per quanto riguarda il controllo degli accessi.
In conclusione, lo schema di decreto dirigenziale non presenta particolari criticità sotto il profilo della protezione dei dati personali.
TUTTO CIO' PREMESSO IL GARANTE:
esprime parere favorevole sullo schema di decreto dirigenziale relativo alla consultazione diretta del Sistema Informativo del Casellario da parte delle amministrazioni pubbliche e dei gestori di pubblici servizi ai sensi dell'articolo 39 del d.P.R. 14 novembre 2002, n. 313.
Roma, 11 ottobre  2012       IL PRESIDENTE  Soro    IL RELATORE  Iannini    L SEGRETARIO GENERALE Busia:"

 
 
 
Valentini Alessio.