[doc. web n. 8997275]

Parere su uno schema di decreto interministeriale in tema di Registro nazionale delle sorgenti e dei relativi detentori - 9 maggio 2018

Registro dei provvedimenti
n. 272 del 9 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero dello sviluppo economico;

Visto l’art. 154, comma 4, del d.lgs. 30 giugno 2003, n. 196 recante Codice in materia di protezione dei dati personali (di seguito Codice);

Vista la documentazione in atti;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000; 

Relatore la dott.ssa Augusta Iannini;

PREMESSO

Il Ministero dello sviluppo economico ha richiesto il parere del Garante su uno schema di decreto interministeriale volto a dare attuazione a quanto disposto dall’articolo 9, comma 1, del decreto legislativo 6 febbraio 2007, n. 52, che istituisce il Registro nazionale delle sorgenti e dei relativi detentori (di seguito il “Registro”). 

Il registro è formato e aggiornato sulla base delle informazioni inviate dai “detentori” delle “sorgenti” (art. 9, comma 1, d. lgs. n. 52/2007). In base al predetto decreto legislativo per “sorgenti” devono intendersi le sorgenti radioattive sigillate ad alta attività e le sorgenti radioattive orfane; mentre per “detentori”, le persone fisiche o giuridiche che detengono una di dette sorgenti (v. art. 2 d. lgs. n. 52/2007).

Il presente schema di decreto è volto a individuare il Gestore del Registro nazionale (di seguito il “Gestore”) e a disciplinare le “modalità di formazione, trattamento, aggiornamento ed accesso ai dati con particolare riguardo alle esigenze operative del Corpo nazionale dei vigili del fuoco, del soccorso pubblico e della difesa civile” (art. 9, comma 1, cit.).

RILEVATO

1. Lo schema di decreto si compone di 7 articoli.

In linea con quanto richiesto dalla norma primaria cui si dà attuazione lo schema di decreto, all’articolo 2, individua il "Gestore del Registro nazionale" presso il quale è istituito il "Registro nazionale delle sorgenti e dei relativi detentori" nell’Ispettorato nazionale per la sicurezza nucleare e la radioprotezione (ISIN).

L’articolo 3 indica gli “adempimenti” cui è tenuto, “tra l’altro”, il Gestore al fine di organizzare il Registro stesso in una forma tale da poterlo costantemente aggiornare in parallelo all'evoluzione normativa e tecnologica, nonché all'esperienza operativa, prevedendo, nello specifico, la predisposizione della “banca dati del Registro nazionale”, dove archiviare le informazioni sulle sorgenti trasmesse dai detentori e l’adozione di apposite “linee guida per la trasmissione dei dati”.

Nell’articolo 4, dedicato al trattamento dei dati, si prevede che  il Gestore, per poter effettuare il trattamento dei dati presenti nella banca dati, individui il personale abilitato alla raccolta e all’aggiornamento dei dati, e predisponga precise procedure che assicurino un'adeguata protezione dei dati e il loro trattamento da parte dei soli soggetti abilitati. 

Viene inoltre espressamente disciplinato l'accesso ai dati presenti nel data-base del Registro (art. 5). Il Gestore dovrà organizzare tale accesso in modo che ogni “detentore” possa accedere alle sole informazioni necessarie per svolgere le proprie attività (comma 1).

Inoltre, vengono individuati gli enti ai quali il Gestore deve assicurare la consultazione della banca dati e viene precisato, per ogni ente, il corrispondente sistema e livello di accesso (comma 2). Particolare attenzione è rivolta alle esigenze operative del Corpo nazionale dei Vigili del Fuoco, del soccorso pubblico e della difesa civile, il cui Dipartimento presso il Ministero dell’interno può accedere secondo modalità concordate, in accordo con quanto richiesto dal comma 1, dell'articolo 9, del decreto legislativo.

Al fine di rendere più agevoli le incombenze individuate dall'articolo 8 del d.lgs. n. 52/2007 a carico del detentore delle sorgenti, l’articolo 6 dello schema consente al Gestore di predisporre un formato standard del "registro delle sorgenti detenute".

Nell’articolo dedicato alla disciplina per il periodo transitorio (art. 7) si prevedono, fra l’altro, i termini entro cui il Gestore deve emanare le linee guida di cui all'articolo 3, comma 1, lettera b) e predisporre “quanto previsto nel presente decreto”.

RITENUTO

2. Esaminato lo schema di decreto, il Garante, nel rilevare che non si rinvengono particolari profili di criticità sotto il profilo della protezione dei dati personali, ritiene necessario fornire talune precisazioni volte a perfezionare il testo.

2.1 Trattamento dei dati e “responsabilizzazione” del titolare del trattamento.

L’articolo 8 del decreto legislativo n. 52/2007 prevede che “Il detentore tiene un registro di tutte le sorgenti di cui ha la disponibilità, (…) nel quale sono riportate le informazioni, relative ad ogni sorgente indicate nell’allegato III” del medesimo decreto.

Tali informazioni si riferiscono prevalentemente ad elementi identificativi delle sorgenti radioattive (ad es. numero di identificazione, ubicazione, data dei controlli) e riguardano soltanto taluni dati personali relativi al fabbricante, al fornitore, al detentore o ad altro utilizzatore (nome, codice fiscale, indirizzo). Le copie di tali registri vengono inviate al Gestore del "Registro nazionale delle sorgenti e dei relativi detentori".

Lo schema di decreto -come abbiamo visto in premessa- individua nell’Ispettorato Nazionale per la Sicurezza Nucleare e la radioprotezione il Gestore del suddetto Registro nazionale (art. 2) e, all’articolo 3, inserisce fra gli “adempimenti” cui è tenuto il predetto organismo la predisposizione della “banca dati del Registro nazionale”, dove archiviare le informazioni sulle sorgenti trasmesse dai detentori, e “l’aggiornamento” delle informazioni stesse (cfr. anche art. 9, comma 1, secondo periodo, d. lgs. n. 52 cit.).

Si ritiene, pertanto, opportuno integrare l’articolo 2 dello schema precisando che l’Ispettorato è il titolare del trattamento dei dati conservati nel Registro, mentre i singoli detentori sono a loro volta titolari dei registri di propria pertinenza (art. 28 del Codice; cfr. anche art. 4, n. 7) del Regolamento UE 2016/679 di prossima applicazione).

Per quanto riguarda in particolare gli aspetti relativi alla sicurezza, lo schema prevede che il Gestore individui il personale abilitato ad effettuare determinati trattamenti relativi ai dati presenti sulla banca dati e, pertanto, stabilisca “apposite procedure” volte ad assicurare una “adeguata protezione dei dati” (art. 4).

Inoltre, in relazione all’accesso ai dati contenuti nel Registro da rendere disponibili ad altre Amministrazioni dello Stato, è previsto che il gestore consenta tale accesso “secondo modalità stabilite” tese a “garantire la sicurezza dell’accesso alla consultazione della banca dati attraverso sistemi di connessione protetta, di autenticazione e di abilitazione degli utenti” (art.  5, comma 3).   

Tutto ciò premesso, in considerazione del fatto che dal 25 maggio prossimo diverrà pienamente applicabile il Regolamento (UE) 2016/679, si richiama l’attenzione dell’amministrazione interessata sulla necessità di provvedere agli atti e agli adempimenti previsti per il funzionamento del registro nel rispetto delle nuove disposizioni.

2.2. Accesso ai dati e finalità del trattamento.

Secondo quanto previsto dall’articolo 5, comma 1, il Gestore organizza l’accesso ai dati del Registro in modo tale che i detentori possano accedere esclusivamente ai dati riferiti alle loro attività e limitatamente alle finalità stabilite nel richiamato articolo 9, comma 1, del decreto n. 52/2007 (“limitatamente alle finalità ivi stabilite”).

Il Gestore, inoltre, rende disponibile l’accesso ai dati del Registro alle amministrazioni dello Stato che ne facciano richiesta “conformemente alle finalità istituzionali” (art. 5, comma 3).

Al riguardo si osserva che in realtà l’articolo 9, comma 1, del decreto legislativo, cui rinvia l’articolo 5, comma 1, dello schema, non reca alcun riferimento esplicito a tali finalità; per altro verso, il mero rinvio a “finalità istituzionali” quale presupposto di legittimazione all’accesso alla banca dati da parte di altri soggetti pubblici appare generico e perciò insufficiente.

Ciò premesso, al comma 1, si ritiene necessario esplicitare le finalità in questione, mentre il comma 3 deve essere integrato tenendo conto, quanto meno, che le finalità istituzionali per le quali le amministrazioni chiedono di accedere alle informazioni devono essere compatibili con quelle per le quali i dati sono stati raccolti o è istituito il Registro (cfr. art. 11, comma 1, lett. b), del Codice e art. 5, par. 1 lett. b) del Regolamento UE 2016/679).

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere favorevole, nei termini di cui in motivazione, sullo schema di decreto del Ministro dello sviluppo economico e del Ministro dell'ambiente e della tutela del territorio e del mare, volto a dare attuazione a quanto disposto dall’articolo 9, comma 1, del decreto legislativo 6 febbraio 2007, n. 52, con le seguenti osservazioni:

a) integrare l’articolo 2 dello schema precisando che l’Ispettorato Nazionale per la Sicurezza Nucleare è il titolare del trattamento dei dati conservati nel Registro (punto 2.1.);

b) integrare i commi 1 e 3 dell’articolo 5 per quanto riguarda le finalità del trattamento, nei termini di cui in motivazione (punto 2.2.).

Roma, 9 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia