Parere del Garante su uno schema di Convenzione tra il Ministero dell'Interno e l'INPS per l'accesso delle forze di polizia, tramite il C.e.d., alla banca dati dell'Istituto, attraverso l'utilizzo di specifiche applicazioni informatiche

Parere del Garante suuno schema di Convenzione tra il Ministero dell'Interno e l'INPS perl'accesso delle forze di polizia, tramite il C.e.d., alla banca datidell'Istituto, attraverso l'utilizzo di specifiche applicazioni informatiche

PROVVEDIMENTO DEL 2FEBBRAIO 2012

Registro dei provvedimenti n. 45 del 2febbraio 2011

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale;

Vista la richiesta di parere del Ministero dell'interno-Dipartimentodella pubblica sicurezza;

Visto il Codice in materia di protezione dei dati personali (d. lg. 30giugno 2003, n. 196), in particolare l'art. 54;

Esaminata la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

Il Ministero dell'interno-Dipartimento della pubblica sicurezza hachiesto il parere del Garante in ordine a uno schema di Convenzione, e agliAllegati che ne costituiscono parte integrante, da stipularsi tra il Ministeroe l'Istituto nazionale della previdenza sociale avente a oggetto l'accesso daparte delle forze di polizia, tramite il Centro elaborazione dati (C.e.d.) delDipartimento, alla banca dati dell'Istituto, attraverso l'utilizzo dispecifiche applicazioni informatiche.

Il parere è richiesto ai sensi dell'art. 54, comma 1, del Codice nellaparte in cui prevede la stipula da parte del Ministero dell'interno, previoparere conforme del Garante, di convenzioni-tipo volte ad agevolare laconsultazione di pubblici registri, elenchi, schedari e banche di dati da partedi autorità di pubblica sicurezza e di forze di polizia nei casi in cui essepossono acquisire da altri soggetti informazioni, atti e documenti, inconformità a vigenti disposizioni di legge o di regolamento, anche per viatelematica.

Il parere è reso tenendo conto delle informazioni e degli elementiforniti dal Ministero e dall'Istituto, che hanno fornito piena collaborazione,anche nel corso di alcuni incontri tecnici tenuti presso questa Autorità e siriferisce a una versione aggiornata dello schema di Convenzione e degliAllegati redatti all'esito degli approfondimenti svolti nell'ambito di dettiincontri, che hanno permesso di chiarire e specificare numerosi aspetti dellaConvenzione.

é stata, in primo luogo, introdotta nell'art. 1 la definizione di"dato personale" tra le informazioni cui è possibile accedere. Sirende, peraltro, necessario riformulare tale definizione alla luce dellemodifiche introdotte all'art. 4 del Codice dall'art. 40, comma 2, del d.l. 6dicembre 2011, n. 201 (conv.to dalla legge 22 dicembre 2011, n. 214), che hasottratto dall'ambito di applicazione della disciplina in materia di protezionedei dati personali le persone giuridiche, enti e associazioni.

Nello stesso articolo sono state definite le figure dei soggettiresponsabili della corretta applicazione della Convenzione ("responsabilidella Convenzione") e della sua gestione operativa ("referentitecnici") per il C.e.d. e per l'I.n.p.s.; tali figure vengono individuatenell'art. 9.

Nell'art. 2 sono state indicate le applicazioni informatiche chepermettono l'accesso degli operatori delle forze di polizia ai dati detenutidall'Istituto; la disposizione rinvia all'Allegato B per la compiutaelencazione di tali informazioni.

Nella Convenzione sono individuate le specifiche finalità per le qualiè consentito l'accesso (art. 4), in coerenza con la normativa, citata nellaPremessa, che prevede le attività che legittimano l'acquisizione dei datidetenuti dall'I.n.p.s. da parte delle forze di polizia.

é stato previsto che l'Istituto svolga attività di formazione neiconfronti del personale delle forze di polizia sull'utilizzo del servizio (art.7, comma 3).

Sono stati, altresì, introdotti l'obbligo per l'Istituto di fornire alC.e.d. strumenti volti a consentire al Centro il monitoraggio e il controllodelle operazioni effettuate dagli utenti (art. 7, comma 4), e per il C.e.d. disottoporre gli accessi degli operatori di polizia alla banca dati dell'Istitutoai sistemi di monitoraggio degli accessi e di alert su anomalie in uso alCentro (art. 8, comma 4); i dirigenti degli uffici (nella Convenzionedenominati "supervisori locali") devono essere appositamente istruitisull'obbligo di verifica degli alert (art. 8, comma 6).

In conformità ai provvedimenti concernenti l'adozione di misure disicurezza in materia di trattamento dei dati personali presso il C.e.d. (provv.17 novembre 2005 e 11 ottobre 2006), si è reso opportuno chiarire che il Centroverifica ogni sessanta giorni le abilitazioni degli utenti autorizzati adaccedere alla banca dati dell'I.n.p.s. (art. 8, comma 3).

Disposizioni sull'obbligo per il C.e.d. di attuare al proprio internoalcune necessarie regole di sicurezza (registrazione e identificazione degliutenti, adozione di credenziali di autenticazione, utilizzo di meccanismicrittografici nelle procedure di autenticazione) sono state introdottenell'art. 10, comma 5, della Convenzione.

OSSERVA

1. Le attività delle forze di polizia Lalegge 31 maggio 1965, n. 575 prevede che nei confronti degli "indiziati diappartenere ad associazioni di tipo mafioso, alla camorra, alla 'ndrangheta oad altre associazioni (ä) che perseguono finalità o agiscono con metodicorrispondenti a quelli delle associazioni di tipo mafioso", nonché deisoggetti indiziati di particolari reati, possono essere proposte dal questoreterritorialmente competente "le misure di prevenzione della sorveglianzaspeciale di pubblica sicurezza e dell'obbligo di soggiorno nel comune diresidenza o di dimora abituale" (artt. 1 e 2).

A tal fine, l'articolo 2-bis della legge stabilisce che il questoreprocede "anche a mezzo della guardia di finanza o della poliziagiudiziaria, ad indagini sul tenore di vita, sulle disponibilità finanziarie esul patrimonio" di tali soggetti, nonché "ad indagini sull'attivitàeconomica facente capo agli stessi soggetti allo scopo anche di individuarefonti di reddito" (comma 1). In particolare, può essere accertata latitolarità "di licenze, autorizzazioni, concessioni o abilitazioniall'esercizio di attività imprenditoriali e commerciali, comprese le iscrizioniad albi professionali e pubblici registri" nonché il beneficio di"contributi, finanziamenti o mutui agevolati" concessi "da partedello Stato, degli enti pubblici o delle Comunità europee" (comma 2).

Le indagini possono essere effettuate anche nei confronti del coniuge,dei figli e di conviventi, nonché "delle persone fisiche ogiuridiche, società consorzi od associazioni, del cui patrimonio i soggettimedesimi risultano poter disporre in tutto o in parte, direttamente oindirettamente" (comma 3).

Per svolgere tali accertamenti il questore può richiedere"direttamente o a mezzo di ufficiali o agenti di polizia giudiziaria, adogni ufficio della pubblica amministrazione, ad ogni ente creditizio nonchéalle imprese, società ed enti di ogni tipo, informazioni e copia delladocumentazione ritenuta utile ai fini delle indagini" (comma 6).

L'art. 55 c.p.p., da parte sua, prevede che la polizia giudiziaria,oltre che svolgere "ogni indagine e attività disposta o delegatadall'autorità giudiziaria" (comma 2), deve, "anche di propriainiziativa, prendere notizia dei reati, impedire che vengano portati a conseguenzeulteriori, ricercarne gli autori, compiere gli atti necessari per assicurare lefonti di prova e raccogliere quant'altro possa servire per l'applicazione dellalegge penale" (comma 1).

2. Accesso alla banca datidell'I.n.p.s. in ottica di identità federata L'accessoalla banca dati dell'I.n.p.s., tramite il C.e.d., da parte degli operatoriabilitati delle forze di polizia avviene in ottica di identità federata.

L'identità federata presuppone una relazione di fiducia tra le parti,secondo la quale la parte che detiene la banca dati – nella specie,l'I.n.p.s. – ripone fiducia nell'assunzione di responsabilità di unidentity provider – nella specie, il Ministero –, che individua egestisce l'utente abilitato all'accesso, ne conosce l'identità e ne controllal'attività.  Come il Garante ha già ritenuto per l'accesso deglioperatori di polizia, tramite il C.e.d., alla banca dati dell'Anagrafetributaria, gestita dall'Agenzia delle entrate (provvedimento del 26 marzo2009; parere del 26 maggio 2011), tale modalità di accesso deve ritenersiadeguata per il C.e.d., trattandosi di una struttura già oggetto di specificiaccertamenti da parte del Garante – definiti con i provvedimenti 17novembre 2005 e 11 ottobre 2006 – concernenti l'adozione di più robustemisure di sicurezza nel trattamento dei dati personali effettuato presso ilCentro.

In particolare, sulla base delle prescrizioni impartite dall'Autoritàil Dipartimento ha introdotto, in tempi diversi, riguardo agli utenti delleforze di polizia abilitati all'accesso al Centro, tra le altre misure, lacertificazione digitale e il censimento delle postazioni da cui vengonoeffettuati gli accessi al C.e.d. (e, attraverso il Centro, alle banche datiesterne con cui questo è interconnesso); specifiche procedure di creazione,gestione e controllo delle utenze, con aggiornamento periodico ogni sessantagiorni della corrispondenza, per ciascun utente, tra le abilitazioniall'accesso e le funzioni effettivamente svolte; strumenti di monitoraggiodegli accessi e sistemi di alert su anomalia rispetto a parametripredeterminati – in quanto effettuati in un orario o in un giorno nonconsentito dal profilo applicativo dell'utente, oppure da una postazione dilavoro assegnata ad un ufficio diverso da quello di appartenenza dell'utente –.

3.La Convenzione

3.1. Tipologie di dati e finalità dell'accesso LaConvenzione nell'art. 2 individua specificamente le tipologie di dati oggettodella Convenzione (attinenti a posizioni assicurative, pensionistiche eprestazioni a sostegno del reddito), accessibili attraverso le relativeapplicazioni informatiche, pure indicate, rinviando all'Allegato B perl'analitica elencazione dei dati consultabili (anagrafici, retributivi,contributivi, pensionistici), ivi compresi dati sensibili – quali leprestazioni pensionistiche dovute a forme di invalidità –.

Si rende, peraltro, necessario integrare il comma 3 dell'art. 2 conl'indicazione che l'Allegato B costituisce parte integrante della Convenzione.

L'accesso alla banca dati da parte delle forze di polizia èespressamente limitato alle finalità connesse allo svolgimento delle attivitàpreviste dalla normativa indicata nella Premessa (art. 4), relativeall'applicazione delle misure di prevenzione ai sensi della legge n. 575/1965 ealle indagini di polizia giudiziaria di cui all'art. 55 c.p.p., effettuate nelrispetto delle condizioni e dei limiti posti dalle disposizioni chedisciplinano tali attività.

3.2. Utenti abilitati all'accesso Possonoaccedere alla banca dati gli operatori delle forze di polizia con qualifica diufficiale o agente di polizia giudiziaria cui sono attribuiti dal C.e.d., infunzione dell'incarico svolto, specifici profili di abilitazione (art. 6), chevengono sottoposti a verifica ogni sessanta giorni (art. 8, comma 3), e credenzialidi autenticazione personali (art. 10, comma 5). Il C.e.d. adotta procedure diregistrazione che prevedono il riconoscimento diretto e l'identificazione certadell'utente.

L'accesso è consentito esclusivamente dalle postazioni di lavorocertificate delle forze di polizia; al fine di consentire il controllo degliaccessi alla banca dati, il C.e.d. rilascia agli utenti codici identificativipersonali (art. 5, comma 1).

Nella Convenzione vengono specificati gli obblighi a carico degliutenti di utilizzare le informazioni acquisite per le sole finalità di cuiall'art. 4, e di osservare la normativa del Codice in tema di rispetto deiprincipi di pertinenza nel trattamento delle informazioni e di osservanza dellenecessarie misure di sicurezza (art. 10, commi 1 e 2).

E' posto l'obbligo per il C.e.d. di impartire al personale abilitatodirettive relative alle responsabilità connesse all'accesso improprio allabanca dati, all'uso illegittimo delle informazioni e alla loro indebitadivulgazione, comunicazione e cessione a terzi (art. 10, comma 3); è, altresì,previsto per entrambe le parti l'obbligo di formazione di detto personaleall'utilizzo della banca dati (artt. 6 e 7, comma 3).

Sono stati, inoltre, previsti specifici divieti a carico del C.e.d., eil correlativo obbligo di impartire direttive al riguardo agli utenti, inmateria di duplicazione delle informazioni acquisite per la creazione diautonome banche dati e di utilizzo di dispositivi automatici (robot) checonsentono la consultazione in forma massiva dei dati personali (art. 11).

3.3. Sicurezza nel flusso dei dati Nell'Allegatotecnico A, che costituisce parte integrante della Convenzione (art. 3), vienespecificato che in relazione alla sicurezza nel flusso dei dati, considerato ilparticolare contesto di identità federata che caratterizza i rapporti fra leparti, è previsto "l'utilizzo del protocollo SSL (Secure Sockets Layer)per garantire le funzionalità di crittografia dei dati trasferiti da client eserver. Dal punto di vista tecnico il servizio sfrutta le misure di sicurezzadei protocolli previsti dallo standard WS-Security ed in particolare per lafase di autenticazione al servizio, in conformità a quanto previsto daglistandard vengono utilizzate asserzioni SAML (Security Assertion Markup Language).In particolare, ogni richiesta di accesso al servizio viene firmatadigitalmente dall'Ente richiedente ed elaborata solo dopo la verifica dellafirma apposta. L'utilizzo di SAML consente il trasferimento, in maniera sicurae conforme agli standard, dell'identità dell'utente finale che usufruirà delleinformazioni fornite dai servizi di consultazione online e permette il correttotracciamento delle operazioni effettuate dall'utente finale sui sistemidell'INPS".

3.4 Tracciamento degli accessi e delle operazioni effettuate IlC.e.d. provvede al tracciamento degli accessi alla banca dati e l'I.n.p.s.provvede al tracciamento anche dell'accesso ai dati ivi detenuti, che consentedi verificare le operazioni eseguite da ciascun utente (art. 12). Gli utenti sonoinformati di tali attività di tracciamento (art. 6).

3.5 Reportistica e sistemi di alert LaConvenzione prevede l'obbligo per l'I.n.p.s. di fornire al C.e.d. strumentiidonei a consentire al Centro – ad esempio, attraverso unareportistica mensile – di effettuare il monitoraggio e, conseguentemente,il controllo delle operazioni svolte dagli utenti (art. 7, comma 4).

Il C.e.d. sottopone l'accesso alla banca dati dell'Istituto ai sistemiper il monitoraggio degli accessi e di alert su anomalia in uso al Centro. Irisultati dell'attività di monitoraggio e di alert sono resi disponibili pertrenta giorni ai supervisori locali. Questi ultimi ricevono dal C.e.d.istruzioni per la tempestiva verifica degli alert (art. 8, commi 4, 5 e 6).

3.6 Responsabili della Convenzione e modalità di modifica della stessa Loschema di Convenzione individua, per ciascuna parte, le figure dei responsabilidella corretta applicazione e delle attività di gestione della medesima (art.1), giuridicamente preposti, rispettivamente, alla gestione dei rapporti edelle comunicazioni tra le parti, e all'avvio e alla gestione operativa delservizio di accesso alla banca dati (art. 9). Lo schema indica inoltre lanecessità della consultazione del Garante nell'ipotesi di modifiche o integrazionialla Convenzione (art. 15).

4. Osservazioni

L'accesso da parte delle forze di polizia alla banca datidell'I.n.p.s., tenuto conto della tipologia delle informazioniconservate, risulta pertinente alle attività attinenti all'applicazione dellemisure di prevenzione previste dalla legge n. 575/1965 e alle indagini dipolizia giudiziaria di cui all'art. 55 c.p.p.. Le disposizioni contenutenella Convenzione, sopra riportate, non presentano profili di criticità in rapportoal rispetto della disciplina in materia di protezione dei dati personali, ivicompreso il profilo della sicurezza.

Si rende, peraltro, necessario:

- riformulare la definizione di "dato personale" contenutanell'art. 1, lett. a) della Convenzione, alla luce delle modifiche introdotteall'art. 4 del Codice dall'art. 40, comma 2, del d.l. 6 dicembre 2011, n. 201(conv.to dalla legge 22 dicembre 2011, n. 214), che ha sottratto dall'ambito diapplicazione della disciplina in materia di protezione dei dati personali lepersone giuridiche, enti e associazioni;

- integrare il comma 3 dell'art. 2 con l'indicazione che l'Allegato Bivi indicato costituisce parte integrante della Convenzione.

TUTTO CI“ PREMESSO ILGARANTE

esprime, ai sensi dell'art. 54 del Codice, parere favorevole sulloschema di Convenzione da stipularsi fra il Ministero dell'interno-Dipartimentodella pubblica sicurezza e l'Istituto nazionale della previdenza sociale aventea oggetto l'accesso da parte delle forze di polizia, tramite il Centroelaborazione dati del Dipartimento, alla banca dati dell'Istituto, a condizioneche:

a) venga riformulata la definizione di "dato personale"contenuta nell'art. 1, lett. a) della Convenzione, alla luce delle modificheintrodotte all'art. 4 del Codice dall'art. 40, comma 2, del d.l. 6 dicembre2011, n. 201 (conv.to dalla legge 22 dicembre 2011, n. 214), che ha sottrattodall'ambito di applicazione della disciplina in materia di protezione dei datipersonali le persone giuridiche, enti e associazioni;

b) nell'art. 2, comma 3, della Convenzione l'Allegato B vengaesplicitamente definito parte integrante della Convenzione stessa.

Roma, 2 febbraio 2012

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
De Paoli