Parere su uno schema di decreto per laconsultazione del Sistema Informativo Casellario (SIC) da parte di Pa e gestoripubblici servizi

PROVVEDIMENTO DEL 11 OTTOBRE 2012

Registro dei provvedimenti
n. 279 dell'11 ottobre 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale;

Vistala richiesta di parere del Ministero della giustizia;

Vistol'articolo 154, commi 4 e 5, del Codice in materia di protezione dei datipersonali (d.lg. 30 giugno 2003, n. 196);

Vistala documentazione in atti;

Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatorela dott.ssa Augusta Iannini;

PREMESSO:

IlMinistero della giustizia ha chiesto il parere del Garante in ordine a unoschema di decreto dirigenziale relativo alla consultazione diretta del SistemaInformativo del Casellario (SIC) da parte delle amministrazioni pubbliche e deigestori di pubblici servizi ai sensi dell'articolo 39 del decreto delPresidente della repubblica 14 novembre 2002, n. 313 (Testo unico delledisposizioni legislative e regolamentari in materia di casellario giudiziale,di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativicarichi pendenti, di seguito "T.U.").

Ilpredetto articolo 39 stabilisce che con decreto dirigenziale del Ministerodella giustizia, sentito anche il Garante, siano individuate le modalitàtecnico operative per consentire alle amministrazioni pubbliche e ai gestori dipubblici servizi, eventualmente con differenziazioni territoriali e per tipo dicertificato, la consultazione del sistema ai fini delle acquisizioni d'ufficiodi informazioni o dei controlli relativi alle dichiarazioni sostitutive dicertificazioni di cui agli articoli 43, 46 e 71 del d.P.R. 28 dicembre 2000, n.445 (Testo unico delle disposizioni legislative e regolamentari in materia didocumentazione amministrativa), o ai fini dell'acquisizione dei certificati delcasellario giudiziale, del casellario dei carichi pendenti e dell'anagrafe dellesanzioni amministrative dipendenti da reato e dei relativi carichi pendenti,anche da parte dell'autorità giudiziaria.

Unaprima attuazione, in via parziale e transitoria, di tale articolo si è avutacon il decreto dirigenziale del Ministero della Giustizia 11 febbraio 2004(pubblicato nella  G.U. n. 37 del 14 febbraio 2004), previo parere delGarante reso in data 28 gennaio 2004.

Successivamente,il predetto ministero con decreto dirigenziale 25 gennaio 2007 (pubblicatonella G.U. n. 32  dell' 8 febbraio 2007) ha disciplinato, più in generale,"le regole procedurali di carattere tecnico operativo" perl'attuazione del citato d.P.R.  313/2002, anche in questo caso previoparere del Garante, reso in data 18 gennaio 2007. Sul punto, tale decreto hademandato ad un successivo provvedimento dirigenziale la definizione delleregole tecniche per la consultazione diretta del casellario, prorogandol'applicazione in via transitoria del decreto 11 febbraio 2004 (art. 30).

RILEVATO

1. Il "certificato selettivo" e ilprincipio di pertinenza.
L'odierno schema di decreto dirigenzialedisciplina le modalità tecnico operative per consentire la consultazionediretta, per via telematica, del Sistema Informativo del Casellario (SIC) daparte delle amministrazioni pubbliche e dei gestori di pubblici servizi, nonchédell'autorità giudiziaria.

Rispettoalla disciplina attualmente vigente in applicazione del citato decreto 11febbraio 2004, la previsione più innovativa e più significativa sotto ilprofilo della protezione dei dati personali, recata dall'odierno schema,riguarda l'introduzione del c.d. "certificato selettivo" volto adassicurare, nel rispetto del principio di pertinenza di cui all'articolo 11 delCodice in materia di protezione dei dati personali, che la p.a. o il gestore dipubblico servizio interessati possano acquisire dal casellario le soleiscrizioni di provvedimenti giudiziari, riferiti ad una determinata persona oente, strettamente necessarie per lo svolgimento degli specifici accertamenti econtrolli di competenza, in quanto riflettenti "le condizioni ostativeindicate dall'amministrazione richiedente" (art. 1, comma 7, delloschema).

Inbase alla disciplina transitoria contenuta nel decreto del 2004,  invece,in assenza di interconnessione del casellario con i soggetti interessati, puòessere acquisita, non in via telematica diretta, ma mediante una richiestascritta agli uffici locali del casellario giudiziale, "la totalità delleiscrizioni riguardanti una determinata persona", con il divieto, però, perla p.a. o il gestore di pubblico servizio, di utilizzare i dati personali nonindispensabili allo specifico adempimento previsto nell'ambito del procedimentoamministrativo cui si riferisce la richiesta.

Inbase all'odierno provvedimento, permane, tuttavia, seppure eccezionalmente, lapossibilità che al soggetto richiedente siano rese disponibili,temporaneamente, anche eventuali iscrizioni di provvedimenti giudiziari nonstrettamente correlati agli accertamenti in atto. Ciò, in particolare:

a) nelcaso di mutamento del quadro normativo di riferimento delle specificherichieste di consultazione della p.a. interessata e per il tempo strettamentenecessario a disciplinare il nuovo "ambito" della consultazione nellaconvenzione appositamente prevista fra il ministero e l'amministrazionerichiedente (su cui v. infra). In tali ipotesi, lo schema di decreto prevedeespressamente che, fino alla modifica della convenzione  e della relativaprocedura informatica, il certificato selettivo ex articolo 39 è sostituito con un  certificato  denominato "certificato ex articolo 39"contenente tutte le iscrizioni presenti sul sistema (art. 1, commi 6 e 10);

b) nelcaso in cui i provvedimenti giudiziari –che sono iscritti nel casellarioin maniera completa- si riferiscano a più fatti di reato ascritti alla medesimapersona, alcuni dei quali non pertinenti rispetto alla richiesta (cfr. art. 1,comma 8).

Intali circostanze, resta fermo, però, per la p.a. o il gestore di pubblicoservizio il divieto di utilizzare eventuali dati giudiziari non indispensabiliallo specifico adempimento cui si riferisce la richiesta (art. 1, commi 8 e10). A tal riguardo, i certificati rilasciati dal sistema riportano unaespressa avvertenza che richiama tale divieto, nel rispetto della normativa inmateria di protezione dei dati personali (art. 4, comma 6).

2. Le convenzioni.
Come anticipato alpunto 1, apposite convenzioni sono stipulate tra il Ministero della giustizia ele amministrazioni o i gestori interessati per consentire a questi ultimi l'accessoal sistema e per assicurare la fruibilità dei dati nel rispetto del principiodi proporzionalità. Nelle convenzioni redatte, sentito il Garante, su schemitipo, distinti eventualmente secondo l'ambito territoriale di competenza dell'amministrazione richiedente (nazionale, regionale, comunale), sonostabiliti, tra l'altro, i termini, le condizioni, i vincoli normativi nonché leregole tecniche necessarie per garantire il rilascio del certificato"selettivo" (che contenga, cioè, solo dati pertinenti e coerenti conle competenze istituzionali delle amministrazioni) (art. 1, comma 5). Aquest'ultimo proposito, le convenzioni disciplinano le modalità con le quali daun lato l'ufficio centrale del casellario comunica eventuali modifiche a normedel T.U, dall'altro l'amministrazione interessata comunica all'ufficio centraledel casellario eventuali modifiche delle norme alla base dell'accesso (art. 1,comma 6).

Laconsultazione deve avvenire nel rispetto dell'obbligo di trattare datipersonali, anche giudiziari, pertinenti, completi, non eccedenti edindispensabili rispetto alle finalità perseguite nei singoli procedimentiamministrativi, in conformità con gli articoli 11, 21 e 22 del Codice (art. 1,comma 2).

Loschema in oggetto precisa che fino al momento in cui le predette convenzioninon saranno definite, le amministrazioni interessate potranno acquisire icertificati previsti dal T.U presso gli uffici locali del casellario secondo ledisposizioni transitorie di cui al decreto dirigenziale 11 febbraio 2004, cherimangono comunque in vigore fino al 30 giugno 2014 (art. 1, commi 9 e 15).Infatti, circa le modalità di consultazione da  parte delleamministrazioni pubbliche ed ai gestori di pubblici servizi non ancoracollegati al SIC, il predetto regime transitorio è confermato dall'articolo 16secondo cui l'acquisizione del certificato avviene previa richiesta all'ufficiolocale del casellario giudiziale.

Quantoalla certificazione in materia di casellario dei carichi pendenti e di anagrafedei carichi pendenti degli illeciti amministrativi dipendenti da reato, essapermane (fino all'interconnessione telematica tra SIC e sistemi fonte) su baselocale ad opera degli uffici delle Procure della Repubblica presso i Tribunaliin conformità alle disposizioni del pubblico ministero, secondo le modalitàfinora osservate (art. 1, comma 14).

3. La consultazione del SIC e il sistema CERPA.
IlCapo II dello schema descrive e disciplina le modalità di consultazione direttadel SIC, mediante il sistema CERPA, che rappresenta il supporto alla base delleprocedure di consultazione e la cui gestione è demandata all'ufficio centraledel casellario. Tale sistema attiva l'autorizzazione delle p.a. e dei gestoridi pubblici servizi all'accesso ai dati; verifica le richieste di accesso;ricerca i soggetti nelle banche dati del SIC; produce i certificati conapposizione delle firme digitali (art. 3, commi 1 e 2).

Titolaredel trattamento dei dati è  il Ministero della giustizia –Dipartimento per gli affari di giustizia,  nel cui ambito è istituitol'ufficio centrale (art. 3, comma 6).

Laconsultazione del SIC può avvenire mediante due modalità di accesso: ilservizio in cooperazione applicativa tramite tecnologia web service oppure ilservizio di posta elettronica certificata (PEC), di cui agli allegati tecnici,rispettivamente, A e B, che formano parte integrante dell'odierno decreto (art.4, comma 2).

Laconsultazione  è possibile solo (tra l'altro) se i dati contenuti nellarichiesta sono conformi a quelli registrati sul SIC; al riguardo, l'ufficiocentrale del casellario registra gli estremi della convenzione stipulata conl'amministrazione interessata, le finalità istituzionali dell'amministrazionestessa e le tipologie di certificato da essa richiedibili (art. 4, comma 3).

L'accessoal SIC è subordinato all'espletamento di una procedura di registrazionedell'amministrazione sul sistema. L'amministrazione designa il responsabile deltrattamento dei dati acquisiti, che può coincidere con la figura del referentenominato dall'amministrazione in sede di richiesta di accesso al SIC, insieme(limitatamente al servizio di PEC) al responsabile tecnico, i quali assumono lapiena responsabilità delle modalità di gestione e utilizzo degli accessi alsistema (art. 5, comma 2 e art. 7, comma 4).

Perquanto riguarda la consultazione in cooperazione applicativa tramite latecnologia web service, la modalità di fruizione dei servizi è definita neirelativi accordi di servizio, ai sensi del d.P.C.M. 1∞ aprile 2008, cheriportano, tra l'altro, la definizione delle politiche di sicurezza chel'amministrazione interessata deve adottare per garantire il correttotrattamento dei dati personali; in particolare, è previsto  il tracciamento delle operazioni compiute in cooperazione applicativa, con possibilità diidentificazione dell'utente che accede ai dati,  il  timestamp, l'indirizzo IP del  server interconnesso,  l'operazione effettuata e i dati trattati (art. 7, comma 7).

Perla consultazione del SIC tramite PEC, rileva in particolare che i daticontenuti nei certificati trasmessi per il tramite del servizio PEC debbanoessere sottoposti a cifratura mediante l'utilizzo della chiave pubblica dellafirma digitale in possesso dei soggetti autorizzati, per garantire lariservatezza dei dati contenuti nei certificati stessi (art. 8, comma 4).

Infine,sotto il profilo della sicurezza dei dati, relativamente al controllo  e alla verifica  degli  accessi e delle operazioni svolte sul sistemaCERPA, l'ufficio del casellario centrale  cura la registrazione dei datinecessari a garantire la tracciabilità dei collegamenti telematici fra ilsistema e gli altri sistemi informatici interessati; l'individuazione degliutenti che interagiscono con il sistema; la ricostruzione di tutte leoperazioni effettuate, in modo da poterle ricondurre all'operatore che le haeseguite, anche in relazione alla data, all'ora di esecuzione e ai dati oggettodell'accesso (art. 15, comma 1).

Perconsentire all'amministrazione interessata i controlli sulle attività svoltedagli utenti, è istituito il registro informatizzato denominato "Registrodegli accessi al SIC" con controlli sullo stesso a cadenza trimestraleanche a campione, verificando, in particolare, la rispondenza delle richiestedei certificati ai procedimenti amministrativi correlati; ad ogni modo, le registrazioni contenute nei registri previsti dal presente decreto e nei logdel sistema sono conservate per un periodo di  dieci anni (art. 15, comma2).

CONSIDERATO

4.Il parere è reso su di una versione dello schema di decreto dirigenziale chetiene conto degli approfondimenti e delle indicazioni suggeriti dall'Ufficiodel Garante ai competenti uffici dell'amministrazione interessata nel corso diriunioni e contatti informali, volti a perfezionare il testo e a rendereeffettivo il diritto alla protezione dei dati personali degli interessatinell'ambito dei trattamenti previsti.
Le osservazioni dell'Ufficio hannoriguardato, in particolare, la necessità di individuare modalità tecnicheappropriate ad assicurare un accesso selettivo ai soli dati giudiziariindispensabili per lo svolgimento degli accertamenti di competenza (e di quil'introduzione del "certificato selettivo"), limitando il piùpossibile le eccezioni a tali modalità selettive e previa avvertenza sulcertificato che richiami l'amministrazione al rispetto del principio dipertinenza e non eccedenza dei dati.

Ulterioriosservazioni hanno riguardato la previsione di schemi-tipo di convenzione per ambitiomogenei di attività, anche secondo l'area territoriale di competenza, al finedi agevolarne e renderne più efficace l'esame da parte del Garante in sede diparere, l'esigenza di un trattamento dei dati in linea con il principio dipertinenza e non eccedenza rispetto alle finalità istituzionalidell'amministrazione richiedente ed, infine, l'introduzione di adeguate misuredi sicurezza, in particolare per quanto riguarda il controllo degli accessi.

Inconclusione, lo schema di decreto dirigenziale non presenta particolaricriticità sotto il profilo della protezione dei dati personali.

TUTTO CIO' PREMESSO IL GARANTE:

esprimeparere favorevole sullo schema di decreto dirigenziale relativo allaconsultazione diretta del Sistema Informativo del Casellario da parte delleamministrazioni pubbliche e dei gestori di pubblici servizi ai sensidell'articolo 39 del d.P.R. 14 novembre 2002, n. 313.

Roma, 11 ottobre  2012

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia