| Garante per la protezione dei dati personali Parere del Garante: schema didecreto ministeriale sulla comunicazione alle autorità di P.S. dell'arrivo dipersone alloggiate in strutture ricettive PROVVEDIMENTO DEL 18 OTTOBRE 2012 Registro dei provvedimenti n. 295 del 18 ottobre 2012 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale; Vistala richiesta di parere del Ministero dell'interno; Vistol'articolo 154, commi 4 e 5, del Codice in materia di protezione dei datipersonali (d.lg. 30 giugno 2003, n. 196); Vistala documentazione in atti; Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; Relatoreil dott. Antonello Soro; PREMESSO: IlMinistero dell'interno ha richiesto il parere del Garante in ordine a unoschema di decreto ministeriale riguardante la comunicazione alle autorità dipubblica sicurezza dell'arrivo di persone alloggiate in strutture ricettive. Ilregio decreto 18 giugno 1931, n. 773, recante il testo unico delle leggi dipubblica sicurezza (di seguito T. U.), prevede all'articolo 109 – piùvolte modificato nel tempo -l'obbligo per i gestori delle strutture ricettivedi comunicare le generalità delle persone alloggiate alle questure competentientro 24 ore, in base a modalità predisposte con decreto del Ministrodell'interno, sentito il Garante. Inattuazione della predetta disposizione, è stato adottato il decretoministeriale 11 dicembre 2000, in assenza del parere del Garante;successivamente, in relazione ad uno schema di decreto sostitutivo solodell'articolo 3 del predetto decreto, il Garante, con il parere del 1° giugno2005, rilevava, tra le altre cose, l'esigenza che fosse adottato un più ampiodecreto ministeriale interamente sostitutivo del precedente adottato in assenzadel parere del Garante, anche al fine di evitare incertezze applicative tra glioperatori e di consentire l'uso di nuove tecnologie. Inossequio alle osservazioni svolte dall'Autorità nel parere del 1° giugno 2005,l'odierno schema di decreto ministeriale risulta interamente sostitutivo delprecedente e tiene conto delle novità legislative nel frattempo sopravvenute,sia in materia di protezione dei dati personali (con il Codice in materia diprotezione dei dati personali infra "Codice") che in ulteriorisettori (d. lgs. 23 maggio 2011, n. 79, c. d. "Codice del turismo" ed. lgs. 7 marzo 2005, n. 82, c. d. "Codice dell'amministrazionedigitale"). Inparticolare, l'articolo 109 del T. U., a seguito dell'ultima modificaapportatavi dall'articolo 40, comma 1, del decreto legge 6 dicembre 2011, n.201, come sostituito dalla legge di conversione 22 dicembre 2011, n. 214,prevede che il flusso di informazioni possa avvenire con mezzi informatici otelematici o mediante fax. RILEVATO Loschema di decreto ministeriale prevede una comunicazione giornaliera dellegeneralità delle persone alloggiate nelle strutture ricettive da parte deigestori delle stesse alle questure competenti (art. 1). Previaabilitazione- mediante certificazione digitale - della questura della provinciain cui hanno sede, i gestori delle strutture ricettive inseriscono in unapposito "sistema web oriented esposto su rete internet" del predettoufficio di pubblica sicurezza i dati degli alloggiati, con successivo rilasciodi apposita ricevuta digitale; la struttura ricettiva può anche trasferiredirettamente nell'applicazione i dati già digitalizzati utilizzando programmiapplicativi e secondo le modalità indicate nell'allegato tecnico (art. 2). Qualorail predetto sistema web risulti non funzionante per motivi di natura tecnica, idati sono inviati mediante fax o posta elettronica certificata, con rilascioanche nella fattispecie di apposita ricevuta (art. 3). Idati che devono essere trasmessi sono le generalità degli alloggiati (nome,cognome, sesso, data di nascita, luogo di nascita, cittadinanza), il tipo didocumento di identità, il numero e il luogo di rilascio, la data di arrivo e ilnumero di giorni di permanenza (art. 2 che richiama il punto 1 dell'allegatotecnico). Idati in questione sono conservati (logicamente separati per questura) in unastruttura informatica del Centro Elettronico Nazionale della Polizia di Stato(art. 4, comma 1). Titolaredel trattamento dei dati è il Ministero dell'interno - Dipartimento dellapubblica sicurezza; responsabile del trattamento è la Direzione centrale pergli affari generali della Polizia di Stato del predetto Dipartimento (art. 4,comma 2). Leinformazioni sono tenute in linea per soli 15 giorni e sono consultabili daparte degli agenti ed ufficiali della Polizia di Stato espressamenteautorizzati per finalità di prevenzione, accertamento e repressione dei reati,nonché di tutela dell'ordine e della sicurezza pubblica; decorso il predetto periodotemporale, l'accesso ai dati è permesso ai soli ufficiali della Polizia diStato addetti ai servizi investigativi con profilo di accesso a livellonazionale (art. 4, comma 3). Infine,i gestori delle strutture ricettive cancellano o distruggono i dati digitali ocartacei trasmessi dopo aver ricevuto le relative ricevute, e conservano questeultime per 5 anni; coerentemente, "i dati raccolti nel sistema sonodefinitivamente distrutti dopo 5 anni dall'inserimento" (art. 4, commi 4 e5). Lemodalità tecniche per la trasmissione dei dati e le relative garanzie disicurezza sono descritte nell'allegato tecnico. CONSIDERATO Ilparere è reso su di una versione dello schema di decreto che tiene conto degliapprofondimenti e delle indicazioni suggeriti dall'Ufficio del Garante aicompetenti uffici dell'Amministrazione interessata nel corso di riunioni econtatti informali, volti a perfezionare il testo e a rendere conformi alladisciplina in materia di protezione dei dati personali i trattamenti previstidal decreto. Leosservazioni dell'Ufficio hanno riguardato, in particolare, la pertinenza e noneccedenza dei dati trasmessi, la selettività degli accessi, le garanzie disicurezza nella trasmissione dei dati e l'obbligo di cancellazione degli stessidopo il decorso di un termine congruo. Leosservazioni sono state integralmente recepite dall'Amministrazione interessatae pertanto lo schema di decreto non presenta criticità sotto il profilo dellaprotezione dei dati personali. TUTTO CIO' PREMESSO IL GARANTE: Roma, 18 ottobre 2012
|