(856) Documentazione antimafia, il rilascio è semplificato (ItaliaOggi 7/3/2014)

Link: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2924878

 

 

[vedi anche newsletter del 6 marzo 2014]

[doc. web n. 2924878]

Parere su uno schema di regolamento recante disposizioni sulle modalità di funzionamento, accesso, consultazione e collegamento con il CED della Banca dati nazionale unica della documentazione antimafia - 30 gennaio 2014

Registro dei provvedimenti
n. 39 del 30 gennaio 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott. ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero dell'interno;

Visto l'articolo 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Il Ministero dell'interno ha richiesto il parere del Garante in ordine a uno schema di regolamento recante "Disposizioni concernenti le modalità di funzionamento, accesso, consultazione e collegamento con il CED di cui all'articolo 8 della legge 1 aprile 1981, n. 121, della Banca dati nazionale unica della documentazione antimafia, istituita ai sensi dell'art. 96 del decreto legislativo 6 settembre 2011, n. 159".

Il regolamento è emanato in attuazione dell'articolo 99, comma 1, del decreto legislativo 6 settembre 2011, n. 159 (infra "codice antimafia"), il quale rimette ad uno o più regolamenti la disciplina delle modalità di funzionamento della predetta banca dati, dell'accesso da parte del personale delle Forze di polizia e dell'amministrazione civile dell'interno, nonché della Direzione nazionale antimafia (infra DNA) per l'esercizio dei propri compiti istituzionali (art. 371-bis c.p.p.), dell'autenticazione, autorizzazione e registrazione degli accessi e delle operazioni effettuate, della consultazione ad opera dei soggetti previsti dalla legge e del collegamento con il Centro elaborazione dati interforze del  Dipartimento della pubblica sicurezza (infra CED).

RILEVATO

1. La struttura della banca dati.

La banca dati nazionale unica della documentazione antimafia (infra "banca dati") è istituita per facilitare e razionalizzare il sistema di rilascio della documentazione antimafia, cioè le "comunicazioni" e le "informazioni" antimafia, liberatorie e interdittive (artt. 96 e 98, comma 1, codice antimafia).

L'articolo 4 dello schema descrive le informazioni contenute nella banca dati. In particolare, oltre al numero di codice fiscale, di partita IVA e agli elementi identificativi dell'impresa, la banca dati contiene, tra le altre cose, la specificazione della tipologia e della natura della documentazione antimafia, nonché la data di rilascio di ciascun provvedimento e la prefettura competente. E' importante sottolineare che la disposizione normativa precisa che i dati sono sottoposti a cifratura (art. 4, comma 5).

Lo schema di regolamento disciplina anche la conservazione dei dati contenuti nel data base, individuando specifici termini di conservazione differenziati per tipologie di informazioni (art. 5, comma 1). Di particolare importanza sotto il profilo della protezione dei dati personali è la previsione in base alla quale, decorso il relativo periodo di conservazione, i dati sono cancellati dalla prefettura competente, all'esito delle necessarie verifiche, laddove previste (art. 5, comma 2).

Titolare del trattamento dei dati contenuti nella banca dati è il Ministero dell'interno- Dipartimento per le politiche del personale dell'amministrazione civile, presso cui è istituita, che ne assicura la gestione tecnica e informatica attraverso una sezione centrale e sezioni provinciali istituite presso ogni Prefettura. La sezione centrale ha il compito di garantire la gestione tecnica ed informatica del sistema, assicurando, al contempo, la continuità operativa. La medesima sezione provvede inoltre a rilasciare le credenziali di autenticazione. Nell'ambito dei predetti compiti, il dirigente dell'ufficio in cui è istituita la sezione centrale è il responsabile del trattamento dei dati personali (art. 8).

La Banca dati è strutturata in due archivi magnetici, uno contenente la documentazione antimafia e l'altro gli accertamenti. Le operazioni di trattamento elettronico dei dati possono essere effettuate solo attraverso terminali di collegamento alla banca dati attivati presso le Prefetture  e presso i soggetti legittimati all'accesso e alla consultazione (art. 10).

2. Collegamenti con altre banche dati.

Sulla base di quanto previsto dalla normativa primaria (artt. 98, commi 2 e 3, e 99 codice antimafia) l'articolo 6 dello schema disciplina la connessione, mediante collegamenti telematici, della banca dati con altre banche dati.

Sono previsti collegamenti, in particolare, con il CED, ai fini della verifica dei dati necessari all'accertamento nei confronti dell'impresa dei requisiti per il rilascio della documentazione antimafia previsti dalla legge; con il sistema informatico costituito presso la DIA, relativamente ai dati acquisiti nel corso degli accessi e degli accertamenti nei cantieri (comma 1); con il casellario informatico istituito presso l'osservatorio dei contratti pubblici all'interno dell'Autorità per la vigilanza sui contratti pubblici di lavori, servizi e forniture nonché con la banca dati nazionale dei contratti pubblici e con i sistemi informativi delle Camere di commercio, ai fini del rilascio della documentazione antimafia e in relazione ai dati e alle informazioni specificamente indicate (comma 2).

E' inoltre prevista la possibilità di attivare collegamenti telematici con il sistema informativo del casellario giudiziale del Ministero della giustizia e con l'Anagrafe nazionale della popolazione residente, limitatamente, in quest'ultimo caso, al riscontro e all'accertamento delle generalità dei familiari conviventi residenti nel territorio dello Stato dei soggetti sottoposti alla verifica antimafia (comma 3).

Il collegamento tra la Banca dati nazionale e il CED avviene attraverso web services messi a disposizione da quest'ultimo (art. 11).

Il collegamento al sistema informatico costituito presso la DIA avviene secondo le modalità di cui all'allegato 1 (art. 12, comma 1).

Infine, il collegamento con gli altri sistemi informativi avviene sulla base della stipula di apposita convenzione con i soggetti pubblici preso cui sono istituiti. La convenzione, adottata in conformità al parere del Garante, anche su schema-tipo, deve definire anche le misure di sicurezza per la realizzazione e il mantenimento in esercizio dei collegamenti, nel rispetto della disciplina recata in materia dal Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 (infra Codice) (art. 12, comma 2, dello schema).

3. Le interrogazioni della banca dati.

Le interrogazioni della banca dati possono essere effettuate per finalità di accesso, consultazione, immissione e aggiornamento dei dati. Ciascun tipo di interrogazione (ad opera di soggetti determinati ai quali sono state rilasciate credenziali di autenticazione) corrisponde a uno specifico profilo di autorizzazione ad operare sul sistema (art. 14 e all.3).

Lo schema di regolamento opportunamente prevede che i responsabili degli organi o uffici legittimati a interrogare la banca dati o le sezioni della stessa banca dati provvedano a verificare periodicamente che le operazioni di interrogazione siano effettuate dal personale abilitato per le finalità previste dalla legge e dal regolamento, e nel rispetto dei compiti specificamente assegnati (art. 27).

3.1. L'alimentazione della banca dati.

La banca dati è alimentata mediante l'"immissione" in essa dei dati pertinenti e non eccedenti rispetto alle finalità per le quali la stessa è istituita (art. 2, comma 2, lett. c)), a cura del personale addetto agli uffici delle prefetture competenti al rilascio della documentazione antimafia autorizzato dal prefetto, o su sua delega, dal viceprefetto vicario (art. 16).

Si prevede espressamente che le credenziali di autenticazione rilasciate devono consentire la registrazione delle singole operazioni eseguite (art. 16, comma 2).

3.2. La consultazione della banca dati e il rilascio della documentazione antimafia.

Per  "consultazione" si intende l'operazione che consente ai soggetti a ciò legittimati dal codice antimafia (pubbliche amministrazioni, enti pubblici, enti vigilati, società controllate, concessionari di opere pubbliche, contraenti generali, camere di commercio e ordini professionali) di richiedere e ottenere il rilascio della documentazione antimafia, senza il dettaglio dei dati contenuti nella banca dati (art. 2, comma 2, lett. b)).

Lo schema di regolamento individua, in dettaglio, il personale dei soggetti legittimati a effettuare operazioni di consultazione e le relative modalità di collegamento alla banca dati. Si tratta dei dipendenti dei predetti soggetti preventivamente individuati dai responsabili di uffici, legali rappresentanti di imprese o associazioni, ovvero dai presidenti delle Camere di Commercio e degli ordini professionali (art. 17). I soggetti interessati devono richiedere  l'attivazione di appositi collegamenti con la banca dati, che sono attivati con le modalità e le garanzie di cui allegati 2 e 3 (art. 13, commi 1 e 2).

Il capo V del regolamento disciplina le procedure per il rilascio della documentazione antimafia tramite la banca dati a richiesta dell'operatore il quale, dopo aver superato la procedura di verifica delle credenziali di autenticazione, deve indicare la tipologia di documentazione antimafia richiesta (art. 23).

Con riferimento alla comunicazione antimafia, sulla base dei dati immessi dall'operatore che effettua la consultazione, il sistema informativo della banca dati, se l'impresa è censita, verifica i dati esistenti nella stessa banca dati o in altre banche dati collegate. Il sistema rilascia quella liberatoria ai sensi dell'art. 88, comma 1, del codice antimafia, qualora non rilevino a carico dell'impresa censita cause di divieto, sospensione o decadenza di cui all'articolo 67 del medesimo codice (art. 24, comma 1).

Qualora, invece, emergano a carico dell'impresa censita cause di divieto, sospensione o decadenza ovvero una documentazione antimafia interdittiva valida, la prefettura accerta la situazione aggiornata per emanare il provvedimento finale ossia a seconda dei casi la comunicazione antimafia interdittiva o liberatoria (art. 24, commi 2 e 4). Allo stesso modo, se l'impresa non è censita dal sistema, la Prefettura provvede alle predette verifiche (art. 24, comma 5).

Corrispondentemente, l'informazione antimafia liberatoria è rilasciata ai sensi dell'articolo 92, comma 1, del codice antimafia, qualora non emergano i motivi ostativi previsti dal codice antimafia o dal regolamento (tentativi di infiltrazione mafiosa di cui all'art. 84, comma 4, lettere a) e b) del codice antimafia; art. 4, comma 3, lettere a), b), c) e d) del presente schema) (art. 25, comma 1).

Qualora, invece, emergano a carico dell'impresa censita i predetti dati, la prefettura, esperiti i necessari accertamenti, adotta il provvedimento finale (art. 25, commi 3 e 5). Parimenti, se l'impresa non è censita dal sistema, la Prefettura provvede alle predette verifiche (art. 25, comma 6).

Ai fini di aggiornamento, la banca dati comunica, per via telematica, giornalmente alle Prefetture il riepilogo di comunicazioni e informazioni antimafia liberatorie, nonché l'elenco delle imprese nei cui confronti gli accertamenti sono stati effettuati da più di un anno dal rilascio automatico della documentazione antimafia. La Prefettura rinnova quindi le verifiche nei confronti delle predette imprese e eventualmente adotta provvedimenti interdittivi (art. 26).

3.3. L'accesso alla banca dati.

I dati conservati nella banca dati possono essere trattati per finalità di rilascio della documentazione antimafia (art. 3, comma 1).

Inoltre, possono essere trattati anche per finalità di applicazione della normativa antimafia ovvero per scopi statistici, ma solo da determinati soggetti espressamente individuati dal regolamento e nell'ambito delle rispettive attribuzioni  (art. 3, comma 2). Tali soggetti sono: alcuni uffici del Dipartimento della pubblica sicurezza del Ministero dell'interno, le prefetture, gli uffici delle Forze di polizia, la struttura tecnica del Comitato di coordinamento per l'alta sorveglianza delle grandi opere (CCASGO).

Infine, tali dati possono essere trattati dalla DNA per le finalità di cui all'art. 371-bis c.p.p. sulle attività di coordinamento del procuratore nazionale antimafia.
Per consentire tali trattamenti lo schema di regolamento disciplina l"accesso" alla banca dati, vale a dire l'operazione che consente ai soggetti legittimati di acquisire conoscenza dei dati conservati nella banca dati (art. 2, comma 2, lett. a)).

L'articolo 15 individua poi con maggior dettaglio il personale dei predetti uffici abilitato all'accesso. In particolare, il personale delle Forze di polizia ha accesso attraverso il collegamento con il CED secondo le modalità di cui all'allegato 4 recante la relativa procedura (art. 15, comma 2).

Lo schema disciplina infine le modalità dei collegamenti alla banca dati dei soggetti legittimati a effettuare operazioni di accesso, prevedendo un'apposita richiesta di attivazione alle sezioni della banca dati (art. 13, comma 3); anche nella fattispecie, per l'effettuazione delle predette operazioni è necessario possedere le credenziali di autenticazione secondo le modalità previste dall'allegato 2 a cui è associato un determinato profilo di autorizzazione (art. 18, commi 1 e 3).

E' importante sottolineare che, al fine di verificare la liceità dei predetti accessi e trattamenti, la banca dati conserva la registrazione delle interrogazioni identificando l'operatore (art. 3, comma 4).

4. La sicurezza dei dati e del sistema.

Come già anticipato sopra tutti i dati conservati nella banca dati sono sottoposti a procedura di cifratura.

La sezione II del capo IV dello schema disciplina, poi, le caratteristiche e le modalità di rilascio delle credenziali di autenticazione al sistema.

Per effettuare le operazioni di consultazione, accesso, immissione e aggiornamento dei dati i soggetti legittimati devono preventivamente munirsi delle credenziali di autenticazione e del certificato abilitante l'attivazione del collegamento alla VPN in modo da connettersi in sicurezza alla banca dati (art. 18).

Le specifiche caratteristiche dei collegamenti sono individuate nei disciplinari tecnici di cui agli allegati 2 e 3.

La banca dati, infine, conserva la registrazione delle interrogazioni eseguite.

5. L'aggiornamento della banca dati a cura dell'impresa.

L'articolo 28 dello schema di regolamento disciplina la procedura di aggiornamento delle informazioni conservate nella banca dati a cura della stessa impresa interessata.

Si prevede, in particolare, che l'impresa alla quale si riferiscono i dati possa chiedere alla sezione centrale della banca dati se esistano informazioni che la riguardano, la loro comunicazione in forma intellegibile e, ove risultino trattati in violazione di disposizioni di legge o di regolamento, la loro cancellazione.

Una apposita commissione istituita presso la sezione centrale della banca dati, esperiti i necessari accertamenti, comunica al richiedente le determinazioni adottate; può omettere di provvedere sulla richiesta se ciò può pregiudicare operazioni a tutela della sicurezza pubblica o di prevenzione e repressione dei reati.  In tal caso, la disposizione normativa prevede che la commissione ne dia informazione al Garante.

CONSIDERATO

Il parere è reso su di una versione dello schema di regolamento che tiene conto degli approfondimenti e delle indicazioni suggeriti dall'Ufficio del Garante ai competenti uffici dell'Amministrazione interessata nel corso di più riunioni e contatti informali, volti a perfezionare il testo e a renderlo pienamente conforme alla disciplina in materia di protezione dei dati personali.

Le osservazioni dell'Ufficio hanno riguardato, in particolare, le finalità del trattamento dei dati (art. 3), la specificazione delle banche dati oggetto di collegamento (art. 6), una maggiore selettività degli accessi alla banca dati (artt. 3 e 15), l'obbligo di cancellazione dei dati alla scadenza del termine di conservazione (art. 5), la previsione espressa del conforme parere del Garante sulle convenzioni destinate a disciplinare i collegamenti con alcuni sistemi informativi (art. 12, comma 2,), l'aggiornamento della banca dati a cura dell'impresa (art. 28). Le indicazioni rese sono state sostanzialmente recepite nell'articolato.

Lo schema di regolamento sottoposto a parere non presenta, quindi, criticità sotto il profilo della protezione dei dati personali e, pertanto, il Garante non ha osservazioni da formulare.

IL GARANTE

esprime parere favorevole sullo schema di regolamento recante "Disposizioni concernenti le modalità di funzionamento, accesso, consultazione e collegamento con il CED di cui all'art. 8 della legge 1 aprile 1981, n. 121, della Banca dati nazionale unica della documentazione antimafia, istituita ai sensi dell'art. 96 del decreto legislativo 6 settembre 2011, n. 159".

Roma, 30 gennaio 2014

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia