VEDI ANCHE Newsletter del 10 settembre 2025

[doc. web n. 10165349]

Provvedimento del 4 agosto 2025

Registro dei provvedimenti
n. 455 del 4 agosto 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del professor Pasquale Stanzione, presidente, della professoressa Ginevra Cerrina Feroni, vicepresidente, dell’avvocato Guido Scorza e del dottor Agostino Ghiglia, componenti e del cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito: “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”);

VISTA la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio;

VISTO il Decreto legislativo 18 maggio 2018, n. 51, di attuazione della predetta direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016;

VISTA l’istanza di consultazione preventiva del Dipartimento della pubblica sicurezza del Ministero dell’interno, presentata ai sensi dell’articolo 24 del d.lgs. n. 51 del 2018;

VISTA la documentazione in atti;

VISTE le osservazioni del Segretario generale reggente, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore professoressa Ginevra Cerrina Feroni;

PREMESSO

1. L’istanza di consultazione preventiva.

Il Ministero dell’Interno-Dipartimento della pubblica sicurezza ha trasmesso a questa Autorità in data 17 giugno 2024 un’istanza di consultazione preventiva, ai sensi dell’articolo 24 del D.lgs. n. 51/2018, relativa ad una valutazione di impatto (breviter DPIA) su di un “Sistema di analisi ed elaborazione dati a supporto delle indagini patrimoniali”, denominato “CEREBRO”.

RILEVATO

2. Descrizione del sistema e sue funzionalità.

Il sistema CEREBRO costituisce una piattaforma software centralizzata, progettata per fornire supporto alle “indagini patrimoniali” svolte, [OMISSIS] Direzione centrale anticrimine della Polizia di Stato (DAC) e dalle [OMISSIS] Questure.

Le “indagini patrimoniali” costituiscono uno strumento investigativo ritenuto imprescindibile per individuare e sottrarre alla criminalità, comune e organizzata, risorse illecitamente ottenute. La raccolta e l’analisi automatizzata dei dati acquisiti da specifiche fonti istituzionali “esterne” – contenenti informazioni riguardanti la situazione finanziaria e patrimoniale e le attività economiche facenti capo a persone fisiche, giuridiche e ad enti di ogni tipo – fornisce, pertanto, agli investigatori un prezioso strumento per velocizzare e rendere maggiormente accurata la rappresentazione dell’effettiva situazione economica e finanziaria degli indagati o delle persone suscettibili di misure di prevenzione patrimoniali, per individuare beni o cespiti non direttamente ricollegabili ai medesimi e anche per valutare la “sproporzione” delle disponibilità rilevate rispetto alle fonti di reddito dichiarate.

Il progetto prevede che [OMISSIS] Previa apertura di uno specifico “fascicolo digitale d’indagine”, al personale della Polizia di Stato, preventivamente autorizzato e abilitato, [OMISSIS] verrà dato accesso alle funzionalità del sistema CEREBRO al fine di condurre le suddette indagini patrimoniali.

Il sistema CEREBRO opera, in particolare, attraverso le due funzionalità principali di acquisizione e elaborazione dei dati, come di seguito descritte.

a) Acquisizione dei dati da fonti istituzionali “esterne”.  Si accede per via telematica a dati di interesse per le indagini disponibili presso pubblici registri e banche dati di altri soggetti istituzionali, ai quali il titolare è già legittimato ad accedere sulla base di normativa di settore ed apposite convenzioni stipulate con i soggetti detentori di tali basi dati. Si prevede inoltre l’immissione nel sistema di ulteriori dati strutturati (anagrafici, giudiziari, bancari, fiscali, ecc.) di interesse investigativo, relativi al “fascicolo” e inseriti dagli operatori autorizzati e abilitati all’indagine. Al riguardo ai fini di alimentazione del sistema CEREBRO, nel documento di DPIA vengono dichiarate le seguenti banche dati distinte per modalità di accesso.

Acquisizione automatizzata dei dati tramite Web service:

• [OMISSIS]

Acquisizione automatizzata dei dati tramite Web scraping:

• [OMISSIS]

Importazione manuale (tramite attività dell’operatore):

• [OMISSIS]

b) Elaborazione dei dati acquisiti.  Il sistema elabora i dati acquisiti sia dalle fonti istituzionali “esterne” che quelli immessi via operatore al fine di evidenziare possibili disponibilità finanziarie e patrimoniali “sproporzionate” e pertanto potenzialmente riconducibili ad attività illecite. Nel dettaglio il sistema applica modelli di “calcolo sperequativo” con riferimento ai beni posseduti e ai movimenti finanziari correlati al soggetto di interesse, producendo reportistica di indagine specifica.

3. Finalità e basi legali del trattamento.

Nella DPIA si rappresenta che i trattamenti di dati personali dei soggetti coinvolti nelle indagini patrimoniali attraverso il sistema CEREBRO è effettuato dal Ministero dell’Interno-Dipartimento della pubblica sicurezza a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica. Il sistema CEREBRO prevede, inoltre, l’impiego di particolari tecniche di elaborazione delle informazioni, nonché il trattamento per esigenze temporanee, che sono direttamente correlate all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell'ordine e della sicurezza pubblica nonché di polizia giudiziaria. In particolare le finalità del trattamento rientrano tra i compiti attribuiti agli organi della Polizia di Stato previsti dalla legge 1° aprile 1981, n. 121, recante il “Nuovo ordinamento dell'Amministrazione della pubblica sicurezza” e dal “Testo unico delle leggi di pubblica sicurezza” di cui al R.D. 18 giugno 1931, n. 773. La specifica legittimità dei trattamenti di dati personali relativi alle indagini patrimoniali viene riferita inoltre a quanto disposto dal d.lgs. 6 settembre 2011, n. 159 – Codice Antimafia - ed alle attività di indagine della Polizia giudiziaria per le finalità di cui all’art.  321 c.p.p. recante la disciplina del «sequestro preventivo».

4. Rispetto del principio di limitazione della conservazione dei dati personali trattati.

Nel documento di DPIA si rappresenta la natura “temporanea” dei trattamenti legati ad uno specifico “ciclo di vita” del trattamento, segnato dalle fasi funzionali all’attività di indagine, in particolare: apertura del “fascicolo digitale d’indagine”, acquisizione, elaborazione informatica e conservazione sino alla fase in cui i dati sono cancellati o resi anonimi. In particolare la “chiusura del fascicolo digitale” corrisponde alla «cessazione dell’esigenza», di cui all’articolo 8, comma 3, del d.P.R. n. 15 del 2018 (recante regolamento per l’individuazione delle modalità di attuazione dei principi del Codice protezione dati relativamente al trattamento dei dati effettuato, per finalità di polizia, da organi, uffici e comandi di polizia) e pertanto da quel momento viene fatto decorrere il termine massimo di conservazione di dieci anni, al cui termine i dati personali conservati nel fascicolo sono automaticamente cancellati.

5. Le osservazioni dell’Ufficio.

In data 27 settembre 2024 l’Ufficio ha inviato delle osservazioni preliminari al titolare del trattamento chiedendo un riscontro al fine di perfezionare la valutazione di impatto in conformità alla normativa in materia di protezione dei dati personali. Inoltre, vista la complessità del sistema CEREBRO e con spirito di collaborazione, l’Ufficio ha proposto al Dipartimento della pubblica sicurezza una riunione di lavoro dove discutere le questioni emerse.

In particolare si è chiesto:

a) vista l’acquisizione di una molteplicità di informazioni registrate in banche dati esterne all’Amministrazione della pubblica sicurezza, ai fini degli approfondimenti necessari per comprendere appieno il funzionamento del sistema e le relative implicazioni sotto il profilo della protezione dati, è stato richiesto di acquisire copia delle convenzioni in atto, anche in relazione al disposto di cui all’articolo 47 del D.lgs. n. 51/2018; in particolare la specificazione delle tipologie [OMISSIS] che si vorrebbero raccogliere e le modalità di imputazione agli interessati tenendo conto di quanto già indicato dal Garante in relazione all’individuazione presuntiva degli elementi indicativi di capacità contributiva e alle garanzie individuate al riguardo nel provvedimento n. 515 del 21 novembre 2013 (doc. web n. 2765110), da ultimo ribadite anche con il provvedimento n. 239 del 24 aprile 2024 (doc. web n. 10018219) al fine di assicurare la qualità dei dati e di individuare misure volte a mitigare l’inesattezza potenzialmente conseguente all’applicazione automatica di regole inferenziali predefinite, che può comportare rischi significativi per i diritti e le libertà individuali;

b) chiarimenti sulla compatibilità delle modalità di acquisizione dei dati - mediante tecniche di Web scraping - dagli applicativi [OMISSIS] con il divieto di utilizzo di bot previsto nelle convenzioni, succedutesi nel tempo, che disciplinano l’accesso alle banche dati dell’Agenzia delle entrate, nonché le misure eventualmente adottate per garantire l’esattezza dei dati acquisiti con tali modalità;

c) chiarimenti sulle conseguenze in capo agli interessati derivanti dai trattamenti effettuati attraverso il sistema “CEREBRO”, anche al fine di verificare le misure adottate per impedire decisioni basate unicamente su trattamenti automatizzati e di valutare le caratteristiche dell’intervento umano nel procedimento in esame e le modalità con le quali è eventualmente assicurato il diritto di richiederlo.

6. Le interlocuzioni con il titolare e l’aggiornamento del documento di DPIA.

6.1. Alla richiesta di chiarimenti del 27 settembre 2024, il Dipartimento della p.s. ha fornito riscontro allegando ad una mail di trasmissione la relazione tecnica del competente ufficio (nota interna al Ministero del 23 novembre 2024) ed alcune delle convenzioni richieste.

In data 13 febbraio 2025 si è tenuta la riunione di lavoro presso la sede del Garante, all’esito della quale il Dipartimento della p.s. ha avviato i lavori per l’aggiornamento della DPIA. Successivamente, lo stesso Dipartimento ha confermato, dietro espressa richiesta dell’Ufficio, anche gli elementi emersi nella riunione e ha trasmesso una versione aggiornata della DPIA (nota dell’Ufficio del 4 giugno 2025 e riscontro del Ministero del 6 giugno).

All’esito delle predette interlocuzioni, il Dipartimento della p.s. ha fornito i seguenti chiarimenti.

Relativamente alle logiche di “calcolo sperequativo” di, cui al punto a) della nota dell’Ufficio del 4 giugno, concernenti le «spese di sostentamento del nucleo familiare», ai fini delle garanzie richieste è stato precisato che i «dati Istat» saranno riferiti alle “soglie di povertà assoluta” ed alle “spese minime”, laddove presenti e utilizzabili o, in alternativa, alle “spese medie mensili"». In particolare, circa i parametri per le «spese» di cui sopra, tali valori sono ottenuti in via automatica dai servizi WEB resi disponibili dal sistema ISTAT, attraverso una funzione di ricerca che consente di indirizzare la ricerca specificando in input il numero dei componenti del nucleo familiare, l’età, il territorio e la tipologia di Comune;  il servizio dell’ISTAT restituirà  in output i dati pertinenti ai parametri di ricerca inseriti, consentendo di ricollegare a ciascun individuo il valore delle predette «spese» con margini di errore minimi, fornendo quindi un criterio di massima garanzia per l’interessato.

Riguardo al punto b) della nota dell’Ufficio del 4 giugno, il titolare ha rappresentato che l’acquisizione dei dati tramite c.d. “Web scraping” dalle banche dati  [OMISSIS], in realtà costituisce l’unica modalità resa al momento disponibile per l’acquisizione automatica dei dati necessari all’attività di indagine. Tale processo, si evidenzia, riguarda le “pagine” a cui hanno accesso gli operatori di polizia abilitati inserendo il codice fiscale del soggetto attenzionato. Si tratta pertanto di attività di ricerca “mirate” dove l’esattezza del dato è tra l’altro garantita attraverso un processo di controllo da parte dell’operatore che verificherà eventuali “difformità” dei dati estrapolati rispetto a quelli resi disponibili dagli applicativi di origine. Solo dopo aver effettuato tale verifica l’operatore avvierà la fase di analisi dei dati. A tutela dei soggetti interessati viene in aggiunta precisato che le persone attenzionate nelle indagini sono identificate esclusivamente a seguito di una indagine preliminare, sotto la direzione della Autorità proponente/Autorità giudiziaria, all’esito della quale emergano elementi in merito a disponibilità economiche e finanziare “sproporzionate”. I soggetti comunque coinvolti in tali attività di indagine sono contenuti in qualche centinaio di unità, annualmente e su scala nazionale. Il Titolare ha inoltre tenuto a precisare che saranno adottate, quando rese disponibili, modalità di accesso alle banche dati alternative basate su tecnologie di cooperazione applicativa.

Circa il punto c) della nota dell’Ufficio del 4 giugno, è stato evidenziato che i report generati da CEREBRO non sono idonei a produrre direttamente effetti negativi nella sfera giuridica dell’interessato: i provvedimenti che incidono direttamente sul “patrimonio” di quest’ultimo, infatti, sono adottati dall’Autorità giudiziaria all’esito di un successivo procedimento, in contraddittorio con la “difesa”; nel processo in esame, dunque, l’intervento umano è preminente.  

6.2. Esaminata la documentazione disponibile all’esito delle predette interlocuzioni, l’Ufficio, con nota del 21 luglio 2025 ha evidenziato al Dipartimento della p.s. che  il sistema CEREBRO nell’offrire supporto alle indagini patrimoniali attraverso la raccolta di informazioni da diverse banche dati e l’utilizzo di algoritmi di “calcolo sperequativo” -al fine di evidenziare possibili disponibilità finanziarie e patrimoniali “sproporzionate” e come tali potenzialmente riconducibili ad attività illecite - comporta un rischio comunque elevato per i diritti e le libertà degli individui oggetto di indagine, anche in ragione dell’utilizzo di particolari tecnologie, come osservato dalla stessa Amministrazione richiedente. In particolare è stato rilevato quanto segue:

a) la DPIA si riferisce a trattamenti che prevedono raccolta dati mediante Web scraping, termine, questo, che risulta alquanto ambiguo.  In particolare, nel documento di DPIA, con tale termine si fa riferimento a modalità di accesso ad un numero limitato di banche dati istituzionali da parte di soggetti autorizzati alle indagini (e che accedono attraverso una procedura di controllo accessi Web che garantisce l’identificazione, l’autenticazione e l’autorizzazione di accesso ai dati secondo profili assegnati). Tuttavia, non viene esplicitamente esclusa ogni altra possibile attività di Web scraping consistente in una raccolta di dati personali indiscriminata, c.d. “a strascico” dalla rete Web condotte tipicamente peraltro senza verifiche circa l’esattezza dei dati raccolti. (Cfr.: Provvedimento del 21 dicembre 2023 “Web scraping ed intelligenza artificiale generativa - nota informativa e possibili azioni di contrasto” - G.U. n. 14 del 18.01.2024 [Doc-Web 10020316]);

b) la DPIA risulta carente sotto il profilo della individuazione delle misure che contribuiscono alla tutela piena dei diritti degli interessati, con particolare riferimento ai diritti di accesso, di rettifica e di cancellazione, alla stregua della normativa di settore e a quanto previsto nei criteri per una valutazione d’impatto accettabile del Gruppo di lavoro art. 29 - European Data Protection Board (Cfr.: WP 248 rev.01 del 4 ottobre 2017 - Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679 - Allegato 2 - Criteri per una valutazione d'impatto sulla protezione dei dati accettabile).

Alla luce di detti rilievi, con la nota sopra indicata, è stato quindi chiesto al Dipartimento della p.s. di procedere ad una rivalutazione della DPIA rendendo disponibile un nuovo documento volto a:

a) rendere esplicito che, per le finalità di analisi ed elaborazione dati a supporto delle indagini patrimoniali, il sistema CEREBRO non ricorre a raccolta dati attraverso attività c.d. di Web scraping, laddove con tale termine si intende attività di raccolta massiva ed indiscriminata di dati personali dalla rete;

b) individuare nella DPIA misure idonee a garantire l’esercizio dei diritti degli interessati, con particolare riferimento ai diritti di accesso, rettifica e cancellazione dei dati personali.

A riscontro, il Dipartimento della p.s. ha fatto avere un documento aggiornato della DPIA conforme a quanto rilevato nella nota interlocutoria (nota del Dipartimento del 22 luglio 2025).

RITENUTO

7. La valutazione del Garante in sede di consultazione preventiva.

7.1. La base normativa.

Il trattamento in oggetto risulta finalizzato alla prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali da parte di autorità competenti e rientra, pertanto, nel capo di applicazione del Decreto legislativo n. 51 del 2018.

Tra le fonti normative citate nella DPIA idonee a legittimare il titolare al trattamento per le finalità dichiarate, viene fatto riferimento alla legge 1° aprile 1981, n. 121, recante il “Nuovo ordinamento dell'Amministrazione della pubblica sicurezza”, al “Testo unico delle leggi di pubblica sicurezza” di cui al R.D. 18 giugno 1931, n. 773, al D.lgs. 6 settembre 2011, n. 159 – Codice Antimafia- e all’art. 321 C.p.p. recante la disciplina del «sequestro preventivo».

Le fonti normative sopra indicate appaiono idonee a legittimare il trattamento oggetto della DPIA, sicché da questo punto di vista non vi sono osservazioni da formulare.

7.2. L’analisi dei rischi alla luce del dettato dell’articolo 24 del d. lgs. 51/2018.

Nella richiesta di consultazione il Dipartimento della pubblica sicurezza ha rappresentato che “la fase del trattamento del rischio ha fatto emergere un quadro complessivo di “rischio normalizzato” di livello basso/molto basso; tuttavia, si ritiene opportuno consultare codesto Garante in ordine alla VIPD” proprio in considerazione dell’impiego di tecnologie, procedure o meccanismi nuovi.

Al riguardo occorre tenere presente, infatti, che l’articolo 24, comma 1, lettera b), del predetto decreto stabilisce che il titolare del trattamento consulta il Garante prima del trattamento quando “il tipo di trattamento presenta un rischio elevato per i diritti e le libertà degli interessati anche in ragione dell'utilizzo di tecnologie, procedure o meccanismi nuovi ovvero di dati genetici o biometrici”.

Al di là di quanto rappresentato dal Dipartimento della pubblica sicurezza in sede di consultazione preventiva, esaminate le informazioni di dettaglio e le analisi condotte nel documento di valutazione d’impatto, si osserva quanto segue.

Nell’ambito delle analisi per il calcolo del rischio, la DPIA dapprima riporta una descrizione dell’infrastruttura tecnologica che caratterizza il sistema CEREBRO nelle sue componenti di architettura fisica, architettura applicativa, la struttura delle basi dati, della rete di comunicazione, gli standard architetturali adottati, nonché le misure di sicurezza fisica, le procedure di recupero (backup) e quelle per la gestione dei possibili disservizi (fault management).

Viene quindi calcolato il rischio in relazione alle possibili minacce gravanti sulla integrità, disponibilità e riservatezza dei dati, identificando oltre cinquanta misure di sicurezza di natura tecnica ed organizzativa che conducono ad un calcolo del rischio complessivo valutato di livello “basso/molto basso”.

Risultano, inoltre valutati ulteriori rischi definiti come connessi “all’esercizio dei diritti dell’interessato” ed in particolare: a) rischio di decisioni automatizzate assunte dal sistema che possano produrre effetti negativi sugli interessati, b) rischio che i dati vengano elaborati da un soggetto che non sia stato previamente autorizzato al trattamento dei dati personali, c) rischio che i dati vengono conservati più a lungo del necessario,  d) rischio di inesattezza dei dati importati da banche dati esterne mediante tecniche di Web-scraping, con identificazione delle relative misure di contenimento del rischio.

Con l’ultima versione del documento di DPIA trasmessa all’Ufficio in data 22 luglio 2025, a riscontro della nota interlocutoria inviata il 21 luglio 2025 circa gli elementi di rischio ancora presenti, si ritiene che il Dipartimento della p.s. abbia conclusivamente elaborato una DPIA conforme ai principi e alle regole in materia di protezione dei dati personali, escludendo, in particolare, ogni possibile attività di Web scraping -  intesa come raccolta massiva ed indiscriminata di dati personali dalla rete – e  identificando misure idonee a garantire l’esercizio dei diritti degli interessati, con particolare riferimento all’informativa e ai diritti di accesso, rettifica e cancellazione dei dati personali (cfr. paragrafi 2.5. e 2.7. del documento finale).

In particolare, per quanto riguarda il Web scraping, il documento ora precisa, conclusivamente, che questa costituisce “[l’] unica modalità resa disponibile per l’estrapolazione automatica delle informazioni dalle banche dati di seguito elencate, poiché allo stato le stesse non offrono servizi Web in modalità di cooperazione applicativa..:” e che “..lo scraping in parola non configura un’attività di “Web Scraping” e pertanto non dà luogo a una raccolta di dati personali massiva e indiscriminata, c.d. “a strascico”, dalla rete Web” (par. 2.5).

Quanto alle garanzie per i diritti, si prevede che:” L’informativa ai sensi dell’art. 10, comma 1, del d.lgs. 18 maggio 2018, n. 51, prima di procedere al trattamento sarà messa a disposizione degli interessati mediante la pubblicazione nel sito istituzionale della Polizia di Stato (https://www.poliziadistato.it), sezione «privacy» relativa al «Sistema CEREBRO di analisi a supporto delle indagini patrimoniali». L’informativa – nell’evidenziare la sussistenza dei diritti di accesso, rettifica, cancellazione e limitazione dei dati personali – preciserà che i medesimi diritti potranno essere esercitati presentando istanza, anche mediante mezzi elettronici (PEC), al “punto di contatto” rappresentato dall’Ufficio affari generali della Direzione centrale anticrimine della Polizia di Stato, che osserverà specifiche misure tecniche e organizzative volte a dare riscontro agli interessati nei tempi stabiliti” (par. 2.7).

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’articolo 24 del decreto legislativo n. 51 del 2018, esprime parere favorevole sulla valutazione di impatto sulla protezione dei dati personali del “Sistema di analisi ed elaborazione dati a supporto delle indagini patrimoniali”, denominato “CEREBRO”, trasmessa dal Dipartimento della pubblica sicurezza del Ministero dell’Interno.

Roma, 4 agosto 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Fanizza