g-docweb-display Portlet

Parere sullo schema di Accordo per la fruizione dei dati ANPR da parte delle Pubbliche Amministrazioni - 24 giugno 2020 [9445130]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9445130]

Parere sullo schema di Accordo per la fruizione dei dati ANPR da parte delle Pubbliche Amministrazioni - 24 giugno 2020

Registro dei provvedimenti
n. 110 del  24 giugno 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

Visto il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE”, così come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito “Codice”);

Visto il decreto legislativo 7 marzo 2005, n. 82, recante il Codice dell'amministrazione digitale, e successive modificazioni (di seguito “CAD”);

Visto il D.P.C.M. 23 agosto 2013, n. 109, “Regolamento recante disposizioni per la prima attuazione dell'articolo 62 del decreto legislativo 7 marzo 2005, n. 82, come modificato dall'articolo 2, comma 1, del decreto-legge 18 ottobre 2012, n. 179, convertito dalla legge 17 dicembre 2012, n. 221, che istituisce l'Anagrafe Nazionale della Popolazione Residente (ANPR)”;

Visto il D.P.C.M. 10 novembre 2014, n. 194, “Regolamento recante modalità di attuazione e di funzionamento dell'Anagrafe nazionale della popolazione residente (ANPR) e di definizione del piano per il graduale subentro dell'ANPR alle anagrafi della popolazione residente”;

Vista la richiesta di parere del Ministero dell’Interno;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

1. Premessa

Il Ministero dell’Interno, con nota del 10 aprile 2020, ha trasmesso al Garante per il parere uno schema di “Accordo per la fruizione dei dati ANPR da parte delle le Pubbliche Amministrazioni”, unitamente ai documenti di “Analisi del Rischio e Valutazione di Impatto”, “Casi d'uso per le Pubbliche Amministrazioni” e “Gestione automatizzata accordi di fruizione tra ANPR ed enti/PA”.

Il Ministero ha, altresì inviato la documentazione relativa agli aspetti tecnici e di sicurezza del sistema proposto, in particolare i documenti relativi a “Misure di sicurezza e privacy del servizio ict min-sa-0032 applicazione web accordi di fruizione” e “Misure di sicurezza e privacy del servizio ict min-sa-0033 accesso ai dati di ANPR da parte di PA/Enti”.

Con nota del 14 aprile 2020, la predetta documentazione è stata ulteriormente integrata con il testo dell’informativa sul trattamento dei dati personali da rendere agli interessati, ai sensi degli artt. 13 e 14 del Regolamento.

2. Il quadro normativo di riferimento

L’art. 62 del CAD prevede che è istituita, presso il Ministero dell'interno, l’Anagrafe della popolazione residente (di seguito “ANPR”), quale base di dati di interesse nazionale, ai sensi dell'articolo 60, che assicura, alle pubbliche amministrazioni e agli organismi che erogano pubblici servizi, l’accesso ai dati contenuti nella banca dati. La norma citata, prevede che, con uno o più decreti del Presidente del Consiglio dei Ministri, su proposta del Ministro dell'interno, del Ministro per la pubblica amministrazione e la semplificazione e del Ministro delegato all'innovazione tecnologica, di concerto con il Ministro dell'economia e delle finanze, d'intesa con l'Agenzia per l'Italia digitale, la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano nonché con la Conferenza Stato - città, sentito l'ISTAT e acquisito il parere del Garante, sono stabiliti i tempi e le modalità di attuazione dell’ANPR, anche con riferimento “alle garanzie e alle misure di sicurezza da adottare nel trattamento dei dati personali, alle modalità e ai tempi di conservazione dei dati e all'accesso ai dati da parte delle pubbliche amministrazioni per le proprie finalità istituzionali secondo le modalità di cui all'articolo 50” del CAD (art. 62, comma 6).

In attuazione dell’art. 62 sopra citato, il D.P.C.M. 23 agosto 2013, n. 109 stabilisce che le modalità di accesso, da parte delle pubbliche amministrazioni e degli organismi che erogano pubblici servizi, ai dati e servizi resi disponibili dall’ANPR sono disciplinate da apposite convenzioni aperte all'adesione di tutte le amministrazioni interessate (art. 3), mentre il D.P.C.M. 10 novembre 2014, n. 194, ha disciplinato le modalità di attuazione e di funzionamento di ANPR e i servizi resi disponibili ai Comuni e alle pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165. In particolare, l’art. 5 del decreto, prevede che le predette amministrazioni fruiscono dei servizi – descritti nell’allegato D - per l'espletamento dei propri compiti istituzionali, e che il Ministero dell'interno - Direzione Centrale per i Servizi Demografici verifica i presupposti e le condizioni di legittimità dell'accesso ai servizi da parte delle pubbliche amministrazioni.

3. Descrizione del sistema proposto per la fruizione dei dati dell’ANPR da parte delle pubbliche amministrazioni. Accordi di fruizione mediante “casi d’uso”

Lo schema di Accordo proposto è finalizzato a disciplinare la fruizione dei dati dell’Anagrafe Nazionale della Popolazione Residente (di seguito “ANPR”) da parte di Enti o Pubbliche Amministrazioni, attraverso una gestione automatizzata e standardizzata delle richieste di accesso alla banca dati mediante “casi d’uso”.

Per l’accesso ai dati presenti nell’ANPR il Ministero mette a disposizione degli Enti/amministrazioni una Piattaforma basata su cosiddetti “casi d’uso” che consente di gestire l’accreditamento alla Piattaforma, la gestione degli Accordi, la gestione delle utenze, il monitoraggio degli accessi, la gestione dei casi d’uso.

Ogni “caso d’uso” è caratterizzato da:

- presupposti normativi che legittimano le pubbliche amministrazioni alla fruizione di specifiche informazioni presenti su ANPR;

- categorie di amministrazioni che possono utilizzarlo;

- dati forniti da ANPR (output) a fronte di una particolare interrogazione (input) dell’Ente Fruitore.

L’accesso di un ente o una Pubblica amministrazione avviene, quindi, previa sottoscrizione dell’Accordo di fruizione con il Ministero e individuazione e selezione dei “casi d’uso” tra quelli previsti e corrispondenti all’ambito normativo applicabile all’Ente/amministrazione interessata.

Nel caso in cui una specifica esigenza di accesso non sia prevista fra i “casi d’uso” disponibili, l’accordo disciplina la procedura per la creazione di un nuovo “caso d’uso”, che, all’esito di un processo di verifica normativa da parte del Ministero, viene aggiunto all’elenco di quelli disponibili. Analogamente, in caso di modifica normativa o delle competenze istituzionali dell’Ente che impatti anche sull’accesso ai dati di ANPR, il Ministero può disattivare uno o più “casi d’uso” da un accordo di fruizione e, in questo caso, il processo comporta l’inibizione all’ente/PA dell’accesso ai dati relativi al caso o ai casi d’uso che non rientrano più nelle proprie competenze.

Le funzionalità e gli aspetti tecnici e di sicurezza del sistema predisposto sono illustrati nei documenti e “Gestione automatizzata accordi di fruizione tra ANPR ed enti/PA” e “Misure di sicurezza e privacy del servizio ict min-sa-0032 applicazione web accordi di fruizione”.

Ciò premesso, si evidenzia che la soluzione prospettata con lo schema di Accordo e la documentazione sopra menzionata, che pure ha il pregio di rendere  omogenei gli Accordi di fruizione dei diversi Enti e di standardizzare le modalità di accesso, sebbene faccia seguito agli approfondimenti effettuati insieme con l’Ufficio del Garante nel corso di riunioni e contatti informali, presenta ancora numerose criticità da superare al fine di ridurre i rischi per le libertà e i diritti degli interessati.

Si evidenziano, pertanto, di seguito le osservazioni e le misure da adottare al fine di rendere la soluzione prospettata pienamente conforme alla disciplina in materia di protezione dei dati personali.

4. Osservazioni dell’Ufficio

4.1. Lo schema di Accordo per la fruizione dei dati dell’Anagrafe Nazionale della Popolazione Residente (ANPR)

- Con riferimento allo schema di “Accordo per la fruizione dei dati dell’Anagrafe Nazionale della Popolazione Residente (ANPR)”, in relazione all’art. 1 (“Definizioni”), si osserva che dalla definizione di “servizi” (lett. r), andrebbe eliminato il periodo “ogni altro servizio reso disponibile per il tramite della Piattaforma”, privo di capacità definitoria. Al riguardo, infatti, si evidenzia che l’Accordo non riguarda tutti i servizi erogati da ANPR (come descritti dall’allegato D del DPCM 194/2014), ma disciplina solo i servizi (di accreditamento, gestione degli accordi, delle utenze, dei casi d’uso e di monitoraggio degli accessi) connessi al servizio di consultazione di ANPR da parte delle pubbliche amministrazioni, secondo il meccanismo dei “casi d’uso” (in particolare quindi, una parte dei servizi indicati alla lett. B dell’allegato D citato, solo la consultazione, e non l’estrazione, da parte delle pubbliche amministrazioni, e non dei gestori di pubblici servizi).

Con riferimento agli obblighi e responsabilità delle Parti, si osserva che alcuni punti dell’art. 5 dell’Accordo, necessitano di essere migliorati o integrati. In particolare:

- il punto 1, lett. f), andrebbe integrato con il riferimento agli all’artt. 33 e 34 del Regolamento, considerata la funzionalità  dell’obbligo per l’ente fruitore di segnalare al Ministero “qualsiasi malfunzionamento o violazione della Piattaforma e ogni altro evento che possa essere anche potenzialmente riconducibile a un malfunzionamento o violazione della stessa e/o dei suoi sistemi di sicurezza”, con l’eventuale notifica all’Autorità e, ove necessario, la comunicazione agli interessati, delle violazioni da parte del Ministero o degli enti fruitori quali titolari dei trattamenti di rispettiva competenza;

- il punto 2, lett. h) prevede l’obbligo per l’ente fruitore di “sorvegliare e tracciare gli Utenti abilitati all’utilizzo della Piattaforma e dei relativi Servizi e controllare l’accesso alla medesima Piattaforma e ai relativi Servizi tramite le credenziali ad esso associate informando tempestivamente il Ministero in caso di accesso non autorizzato”. Il testo andrebbe riformulato e armonizzato con quanto previsto relativamente al tracciamento applicativo degli accessi e delle operazioni effettuate sulla piattaforma svolto dal Ministero dell’Interno (che raccoglie e conserva on line per un periodo di 6 mesi, e per successivi 10 anni off line quanto raccolto dal sistema di controllo e tracciatura). Relativamente a tale ultimo sistema, che è gestito dal Ministero dell’Interno e non dall’Ente fruitore, devono essere definite chiaramente le finalità del trattamento - tenendo conto del fatto che si tratta di informazioni relative all’attività svolta dal personale dipendente - e individuati tempi di conservazione che siano congrui rispetto alle finalità della raccolta dei dati. Al riguardo, considerato che il tracciamento degli accessi e delle attività effettuate dai dipendenti autorizzati all’accesso (art. 29 del Regolamento; art. 2-quattordecies del Codice) è attuato nell’ambito dell’adozione di misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato ai rischi, di diversa natura, presentati dai trattamenti disciplinati dall’accordo, la disposizione dovrebbe essere opportunamente integrata specificando che i dati relativi al tracciamento degli accessi e delle attività effettuate sul sistema dal personale autorizzato, potranno essere utilizzati dall’Amministrazione, titolare del trattamento, al solo fine di tutelare la riservatezza dei dati personali (artt. 5, § 1, lett. f), 25, 29 e 32 del Regolamento) e non per altre finalità, integrando, al riguardo, anche l’informativa da rendere al predetto personale (artt. 13 e 14 del Regolamento)

Con riferimento all’art. 8 dell’Accordo andrebbe chiarito il contenuto e l’ambito di applicativo dell’obbligo posto a carico dell’Ente fruitore (“garantire la corretta esecuzione degli adempimenti prescritti a carico del Titolare del trattamento dalla normativa vigente in materia di protezione dei dati personali”). Il terzo comma, inoltre, deve essere integrato aggiungendo il riferimento, oltre che all’art. 4, par. 1, n. 8, all’art. 28 del Regolamento.

4.2. Casi d’uso per le pubbliche amministrazioni

In base alla descrizione del sistema proposto, per ciascun “caso d’uso” potrebbero essere specificati i seguenti elementi: categoria di ente/PA associato; tipo di servizio; riferimenti normativi; set di dati associati; finalità del trattamento dei dati; ambito (es. residenti in Italia- iscritti all’AIRE- tutti) (cfr. documento “Gestione automatizzata accordi di fruizione tra ANPR ed enti/PA”).

L’allegato sui “Casi d’uso per le pubbliche amministrazioni”, presenta un primo insieme di casi d’uso, integrabile nel tempo a fronte di nuove comprovate e specifiche esigenze espresse dalle pubbliche amministrazioni.

In particolare, sono allo stato individuate quattro tipologie di servizio/finalità (cluster: notificazione, comunicazione, verifica dichiarazioni sostitutive di certificazioni, accertamenti d’ufficio), corrispondenti a complessivi n. 33 casi d’uso.

Per soddisfare le proprie esigenze istituzionali, gli Enti/amministrazioni selezionano i casi d’uso disponibili, assumendosi la responsabilità dell’utilizzo, con la possibilità di aggregare i singoli casi d’uso per soddisfare esigenze più complesse.

A fronte di tale meccanismo si osserva che la gran parte dei “casi d’uso” presentati nel documento necessita di una più puntuale definizione degli elementi descrittivi caratterizzanti (normativa di riferimento, categorie di amministrazioni interessate, dati presenti in ANPR utilizzabili, caso d’uso). Considerato il numero considerevole delle amministrazioni che potranno richiedere di essere abilitate all’accesso – potenzialmente tutte le amministrazioni di cui all’art. 1, comma 2, del d.lgs. n. 165/2001 - occorre garantire un accesso selettivo alle informazioni necessarie in relazione alle specifiche finalità e compiti previsti dalla legge in relazione a ciascuna tipologia di Ente/PA.

Con riferimento alle sezioni “Normativa di riferimento”, si osserva che la citazione della normativa anagrafica in tutti i servizi/finalità (dpr 223/1989; dpcm 194/2014) risulta ridondante ai fini della loro definizione e potrebbe essere omessa a vantaggio della leggibilità e chiarezza del documento. Ciò che caratterizza il caso d’uso è, infatti, la normativa che disciplina l’attività istituzionale che legittima l’accesso ad ANPR da parte dell’Ente fruitore. Parimenti, la citazione, per tutti i servizi/finalità del “L’intero Allegato B Campi relativi ai dati contenuti in ANPR” del DPCM 194/2014, non solo è priva di valenza definitoria, ma può costituire fonte di incertezza, richiamando – come potenzialmente accessibile - l’intero set di informazioni contenute nella banca dati, e non soltanto quelle pertinenti al “caso d’uso” per le specifiche finalità individuate.
Relativamente alla sezione descrittiva dei servizi/finalità che riguarda i set di dati che vengono resi disponibili per i “casi d’uso”, in generale, è necessario specificare con maggiore dettaglio le informazioni minime da inserire per effettuare l’interrogazione di una posizione (input) e le informazioni restituite (output). Tale specificazione non appare, infatti, sempre soddisfacente, neppure nella tabella sinottica alla fine del documento sui “casi d’uso”.

Per quanto riguarda i “Servizi di notificazione” - caso d’uso “C001: Servizio notifica”, ai fini della notificazione degli atti, non risulta documentata la necessità di accesso ai dati dei “componenti famiglia/convivenza rappresentata da: elenco delle generalità dei componenti” né all’informazione relativa alla “data di decorrenza della residenza”. Allo stato, pertanto, l’accesso a tali informazioni, risulta eccedente. Nel ritenere, al riguardo, necessaria una revisione, o un chiarimento sul punto – che documenti la necessità dei dati dei componenti la famiglia anagrafica o della convivenza - si evidenzia che “agli effetti anagrafici per convivenza s'intende un insieme di persone normalmente coabitanti per motivi religiosi, di cura, di assistenza, militari, di pena e simili, aventi dimora abituale nello stesso comune” (art. 5, d.P.R. 223/1989).

Con riferimento ai “Servizi di Comunicazione”, l’indicazione della legge 150/2000 sulla disciplina delle attività di informazione e comunicazione delle pubbliche amministrazioni deve essere espunta, perché non è pertinente rispetto a una verifica puntuale su singole posizioni anagrafiche. Si osserva, inoltre, che il riferimento alla legge 241/1990 – utile a richiamare le esigenze di effettuare comunicazioni in ambito procedimentale (es. avviso di avvio, comunicazione dei motivi ostativi all’accoglimento dell’istanza, notifica ai controinteressati, etc.), risulta per altro verso estremamente generico ai fini della definizione di un autonomo “caso d’uso”, qualora non associato alle norme relative ai procedimenti di competenza dell’Ente fruitore (es. gestione del personale, sanzioni, etc.), considerato altresì che la “Categoria di amministrazioni interessate”, individuata per il servizio è “Tutte le pubbliche amministrazioni di cui all’art. 1, comma del d.lgs. 165/2001”.

Nelle more di una definizione più puntuale dei servizi di comunicazione (normativa di riferimento, tipologia di amministrazione, ambito territoriale, set di dati del caso d’uso, etc.), qualora la finalità del servizio sia esclusivamente quella di consentire agli Enti di effettuare correttamente le comunicazioni in ambito procedimentale, si potrebbe valutare la possibilità che i servizi di notificazione e comunicazione siano accorpati in unico “caso d’uso”.

Si osserva, inoltre, che, al fine di effettuare correttamente una comunicazione (caso d’uso 002), non risulta documentata – come già osservato per il servizio notifiche - la necessità di accesso ai dati dei “componenti famiglia/convivenza rappresentata da: elenco delle generalità dei componenti” e all’informazione “data di decorrenza della residenza”, essendo sufficiente la verifica in ANPR della correttezza delle generalità, residenza, esistenza in vita del destinatario della stessa.

Tali ultime osservazioni sembrano potersi estendere anche ai “Servizi di prima notificazione all’imputato non detenuto” (caso d’uso 003), nei quali l’accesso ai dati dei “componenti famiglia/convivenza rappresentata da: elenco delle generalità dei componenti” e “data di decorrenza della residenza” non sembrano giustificati dal diverso quadro giuridico di riferimento (art. 157 c.p.p.).

Per quanto riguarda i “Servizi di verifica dichiarazioni sostitutive di certificazioni”, sottoscritte e presentate dagli interessati alle pubbliche amministrazioni, il documento specifica che, al fine di “rispettare il principio di non eccedenza previsto dal regolamento (UE) n. 2016/679”, sono previsti 15 “casi d’uso” differenziati per dati anagrafici atomici (generalità, residenza, matrimonio, etc.) e ciascuna pubblica amministrazione usa solo i casi d’uso necessari a verificare i dati dichiarati.

Si osserva, preliminarmente, che il servizio in esame deve consentire di controllare la veridicità di una dichiarazione sostitutiva resa a una certa data, o relativa a “stati, qualità personali e fatti” sussistenti a una certa data (artt. 46 e 71 del d.P.R. n. 445/2000), e non l’attualità delle informazioni alla data della consultazione della banca dati. Si evidenzia, pertanto, la necessità di tener conto di tale circostanza, prevedendo l’inserimento obbligatorio anche della data alla quale riferire la verifica, tra gli elementi di input per l‘interrogazione.

Con riferimento, invece alla base normativa indicata, l’art. 46 del d.P.R. 445/2000 prevede che “Sono comprovati con dichiarazioni … in sostituzione delle normali certificazioni i seguenti stati, qualità personali e fatti: a. data e il luogo di nascita; b. residenza; c. cittadinanza; ...omissis... godimento dei diritti civili e politici; e. stato di celibe, coniugato, vedovo o stato libero; f. stato di famiglia; g. esistenza in vita”.

Al riguardo, la sezione descrittiva del servizio riporta un lungo elenco di dati e informazioni consultabili (“si prende a riferimento l’allegato B del DPCM 194/2014 in cui sono contenuti i campi relativi ai dati contenuti in ANPR”).

Si osserva però che non tutte le informazioni contenute nell’allegato B, ed elencate nella predetta sezione tra quelle consultabili, possono essere oggetto di “certificazione” in base alla normativa anagrafica (art. 33 e 35, d.P.R. n. 223/1989) e non potrebbero quindi, per tale ragione, essere attestate dall’interessato, ai sensi dell’art. 46 sopra citato, con “dichiarazione sostitutiva di certificazione” (tra queste si cita, ad esempio, la “carta d’identità rappresentata da: identificativo, luogo e data rilascio, interdizione all’espatrio e data di scadenza”).

A tal proposito,  si evidenzia che l’art. 62, comma 4, del CAD, prevede che  “le modalità di integrazione nell'ANPR dei dati relativi al numero e alla data di emissione e di scadenza della carta di identità della popolazione residente”, sono disciplinate secondo modalità di integrazione da definire con i decreti indicati al successivo comma 6, che stabiliranno “i tempi e le modalità di attuazione (…) anche con riferimento: a) alle garanzie e alle misure di sicurezza da adottare nel trattamento dei dati personali, alle modalità e ai tempi di conservazione dei dati e all'accesso ai dati da parte delle pubbliche amministrazioni per le proprie finalità istituzionali secondo le modalità di cui all'articolo 50”. Considerato che allo stato, per quanto riguarda l’attuazione della predetta disposizione, con riferimento alla carta di identità elettronica, i sopra citati decreti non sono stati ancora adottati, si rileva la criticità di prevedere, prima del completamento del quadro regolatorio, la verifica di tali informazioni in ANPR.

Si invita, pertanto, il Ministero a rivedere l’elenco delle informazioni che possono essere verificate con i “Servizi di verifica dichiarazioni sostitutive di certificazioni”, rendendo disponibili gli “stati, qualità personali e fatti” che possono essere certificati in base alla normativa anagrafica, e la cui verifica può quindi essere già effettuata attraverso ANPR.

Tali rilievi riguardano, in via generale, anche i “Servizi di accertamenti d’ufficio” finalizzati a verificare informazioni anagrafiche su stati, qualità e fatti al fine di completare iter procedimentali.

Si ritiene, pertanto, necessario rimodulare il numero e il set di informazioni relative ai “casi d’uso” previsti per i predetti servizi.
Con specifico riferimento ai singoli “casi d’uso”, non risulta chiaro l’input dei casi denominati C010 (“dati anagrafici relativi allo stato di famiglia/convivenza”) e C011 (“dati anagrafici relativi allo stato civile”), l’output per quelli individuati come C20 e C21 (occorre specificare se il sistema restituisce un risultato di tipo “booleano”, vero/falso, ovvero la data del matrimonio o della morte), mentre per quelli denominati C015 e C016, per la verifica dichiarazioni di paternità e maternità, dovrà tenersi conto  di quanto previsto dagli artt. 1 e 2 della legge 31 ottobre 1955, n. 1064, in relazione alla necessaria connessione della verifica di dichiarazioni sostitutive di certificazione per finalità legate “all’esercizio di doveri o diritti derivanti dallo stato di legittimità o di filiazione”

Considerato che i predetti servizi sono disponibili per “tutte le pubbliche amministrazioni” si osserva che l’ampiezza delle informazioni che possono essere verificate ai sensi degli artt. 43, 46 e 71 del D.P.R. 445/2000 - anche al netto della rimodulazione richiesta al Ministero nei termini sopra esposti – rischia di vanificare la logica selettiva e di standardizzazione della gestione sottesa alla previsione dei servizi e dei “casi d’uso”, consentendo, di fatto, a tutte le amministrazioni di consultare praticamente qualsiasi informazione, a fronte della possibile associazione di qualsiasi “caso d’uso” all’accordo, senza alcuna selezione a monte della pertinenza del “caso d’uso” con la tipologia di ente, in considerazione delle sue specifiche competenze per materia e dell’ambito territoriale.

A tal proposito, invero, si rileva che la procedura di gestione degli Accordi correttamente prevede che, in sede di inserimento di una richiesta di adesione, l’Ente fruitore selezioni la categoria di appartenenza, sulla base di una classificazione predisposta dal Ministero, con livelli successivi di voci selezionabili preimpostate in funzione della selezione nella lista precedente (tipologia; categoria; categoria specifica). A fronte della sottoscrizione dell’accordo è poi previsto che sia effettuata “una prima associazione dell’accordo con uno o più casi d’uso tra quelli previsti per la tipologia di riferimento dell’ente” e compilata una sezione dichiarativa delle finalità di utilizzo per ciascuno caso d’uso selezionato (cfr. par. 2.1.3, documento “Gestione automatizzata accordi di fruizione tra ANPR ed enti/PA”).).

Risulta, tuttavia, necessario articolare in modo maggiormente selettivo il documento sui “casi d’uso” che, allo stato, consente l’associazione di tutti i casi d’uso finora predisposti (fatta eccezione per il quello denominato C003) agli accordi sottoscritti da qualsiasi amministrazione (“tutte le pubbliche amministrazioni”) In applicazione dei principi di «liceità, correttezza e trasparenza», e «minimizzazione» «integrità e riservatezza» (art. 5, par. 1, lett. a), c) e f) del Regolamento), nonché di protezione fin dalla progettazione e per impostazione predefinita, e dei conseguenti adempimenti previsti dal Regolamento (art. 25 e 32 del Regolamento), risulta infatti necessario effettuare una valutazione puntuale degli ambiti di competenza, per materia e ambito territoriale, delle diverse tipologie e categorie di enti, al fine di individuare e limitare a monte, in modo selettivo, i cc.dd. “casi d’uso” che possono essere associati agli accordi di fruizione per ciascuna categoria di ente in modo che la selezione sia il più possibile guidata e non sia rimessa alla scelta dell’Ente documentata con la mera compilazione della “sezione dichiarativa delle finalità di utilizzo”.

Nella stessa ottica, la descrizione dei diversi “casi d’uso” dovrebbe essere integrata, con l’indicazione anche degli specifici profili utente che possono accedere ai dati nell’ambito del caso d’uso in relazione alla tipologia di Ente considerato.

Al fine di garantire la rispondenza delle interrogazioni alla finalità amministrativa individuata nel “caso d’uso”, in considerazione dell’elevato numero di enti e di soggetti che saranno abilitati alla consultazione della banca dati, oltre all’inserimento di un campo per l’indicazione obbligatoria del numero di riferimento della pratica per quale è effettuata l’interrogazione (es. numero di protocollo, fascicolo, verbale, etc.), al fine di prevenire possibili accessi indebiti, è necessario prevedere anche una procedura di verifica periodica, anche a campione, del rispetto dei presupposti stabiliti nelle convenzioni che autorizzano l’accesso.

4.3. Procedura di gestione automatizzata accordi di fruizione

Per quanto riguarda, invece, la procedura di gestione dei “casi d’uso non censiti”, la funzionalità “definizione di un nuovo caso d’uso” consente a un Ente/PA di proporre un set di dati desiderato tra quelli disponibili in ANPR; la richiesta deve riportare gli estremi del riferimento normativo su cui si basa, ed essere approvata dal Ministero. In caso di esito positivo, il nuovo caso d’uso viene associato al catalogo dei casi d’uso disponibili per quella categoria di enti. Nel caso in cui, invece, la valutazione del Ministero comporti un esito negativo, la procedura prevede che sia richiesto un parere al Garante.

Al riguardo, come già evidenziato nel corso delle precedenti interlocuzioni, si rappresenta che la mancanza della base giuridica che legittima l’accesso ad ANPR non può essere superata dal parere del Garante o dal silenzio assenso trascorsi 45 giorni dalla richiesta, in quanto l’individuazione di un nuovo “caso d’uso” è finalizzata ad attivare un flusso di dati permanente e non occasionale.

La fattispecie prevista dall’art. 2-ter, comma 2, del Codice, che prevede la comunicazione di dati personali tra autonomi titolari anche in mancanza di una norma, è un’ipotesi residuale, ha carattere eccezionale e potrebbe non essere adeguata, come nel caso in esame, a legittimare in via ordinaria un flusso di dati in assenza dei presupposti individuati dalle norme.

Pertanto, si invita il Ministero a tenere in considerazione tale circostanza, rientrando nella competenza del Ministero medesimo, anche in applicazione del principio di responsabilizzazione (artt. 5, par. 2, e 24 del Regolamento), la verifica della validità dei riferimenti normativi previsti per i singoli “casi d’uso”.  Al riguardo si ritiene necessario prevedere anche che il Ministero proceda a effettuare una verifica periodica almeno annuale, dell’attualità dei presupposti normativi e delle finalità per le quali è stato concesso l’accesso agli enti fruitori sulla base dei “casi d’uso” elegibili.

4.4. Informativa sul trattamento dei dati personali

Con riferimento all’informativa predisposta, che riguarda in generale il trattamento dei personali dei soggetti residenti contenuti in ANPR (da integrare e rendere disponibile agli interessati, ai sensi degli artt. 13 e 14 del Regolamento e delle indicazioni contenute nelle Linee guida in materia di trasparenza, elaborate dal Gruppo Art. 29 - WP 260), si richiama l’attenzione del Ministero, sulla necessità di predisporre anche una specifica informativa in relazione ai trattamenti di dati personali degli operatori, dipendenti del Ministero o degli Enti/PA fruitori, abilitati all’accesso ad ANPR, nel contesto della consultazione della banca dati disciplinata dall’Accordo (con particolare riferimento al  tracciamento degli accessi e delle attività effettuate).

4.5. Profili tecnici e di sicurezza

Come accennato, la soluzione prospettata, che introduce il concetto di caso d’uso e si prefigge di rendere quanto più omogenei gli Accordi di fruizione dei diversi Enti fruitori, ha indubbiamente il pregio di standardizzare le modalità di accesso e di ridurre le casistiche consentite, a fronte di una platea molto ampia di enti astrattamente legittimati all’accesso, dando così modo al Ministero di verificare e gestire un limitato numero di profili di accesso ad ANPR, potendo concentrare le risorse sulle verifiche di sicurezza e sulla gestione della banca dati vera e propria.

Al fine di semplificare le procedure di adesione, è messa a disposizione degli Enti Fruitori una piattaforma che offre servizi di: i) accreditamento e gestione delle utenze; ii) gestione dell’Accordo; iii) gestione dei casi d’uso; iv) monitoraggio degli accessi.

La piattaforma ha un’area ad accesso libero, in cui è possibile consultare il catalogo dei casi d’uso già censiti nel sistema e avviare le procedure di accreditamento degli Enti fruitori, inserendo l’indirizzo PEC dell’Ente, che viene verificato sull’Indice delle Pubbliche amministrazioni (IPA) dal Ministero dell’Interno.

Accedendo invece all’area riservata, l’utente definito “operatore accreditato” di un Ente fruitore può iniziare il processo di adesione a un accordo di fruizione.

Le misure di sicurezza per l’accesso ad ANPR da parte degli Enti fruitori sono quelle stabilite nell’allegato C del d.P.C.M. 194/2014.

Considerato che tali misure sono state stabilite ormai alcuni anni fa, si evidenzia la necessità che le stesse siano riviste e aggiornate sulla base dell’evoluzione della normativa di settore.

Il tracciamento applicativo degli accessi e delle operazioni effettuate è svolto dal Ministero dell’Interno, che raccoglie e conserva on line, per un periodo di 6 mesi, e, per successivi 10 anni, off line, le informazioni indicate nell’allegato dedicato alle misure di sicurezza.

Il Ministero dell’Interno, inoltre, con il supporto di SOGEI, responsabile del trattamento, ha svolto la valutazione di impatto sulla protezione dei dati personali, allegata alla documentazione presentata.

Il titolare ha valutato il rischio come “medio” per il trattamento “Accordo di fruizione” non ravvisando quindi la necessità di adottare una gestione specifica del rischio, tramite misure di contenimento.

Il titolare ha invece valutato come “alto” il rischio intrinseco per il trattamento “Accesso ai dati di ANPR da parte di enti/PA”, con particolare riguardo alle minacce: accesso non autorizzato e/o trattamento illecito di dati; divulgazione non autorizzata o accidentale di dati; modifica non autorizzata o accidentale di dati. Per quanto riguarda la minaccia relativa all’accesso non autorizzato o al trattamento illecito di dati, nella valutazione di impatto il titolare dichiara di voler ridurre il rischio intrinseco attraverso l’adozione delle diverse misure di sicurezza indicate nell’allegata valutazione d’impatto come “Applicata? SI”. 

Sulla base di quanto riportato nella documentazione esaminata e all’esito delle interlocuzioni con il Ministero dell’interno e con AgID – Team digitale, si può osservare quanto segue.

In primo luogo, si ritiene che, con particolare riguardo alla gestione delle modalità di autenticazione e di autorizzazione degli operatori degli Enti fruitori, permangano alcune criticità che, al fine di ridurre i rischi per le libertà e i diritti degli interessati, dovrebbero essere meglio esaminate integrando opportunamente il testo proposto.

Il Ministero dell’interno, pur lasciando la gestione del sistema di autorizzazione e autenticazione agli Enti fruitori, come previsto dal d.P.C.M. 194/2014, dovrebbe infatti individuare almeno i requisiti minimi di sicurezza delle identità digitali utilizzate per l’accesso, indicando il livello minimo richiesto, in accordo alle definizioni presenti nella norma tecnica ISO-IEC 29115. Si ritiene in questa sede, tenuto conto della tipologia di dati cui viene fatto accesso (che, in base a quanto indicato nella documentazione fornita, comprendono anche informazioni relative allo stato di salute, all’assistenza sanitaria e all’orientamento sessuale degli interessati), che sia preferibile l’utilizzo di identità con LoA –level of assurance – elevato, pari a 3 o 4.

Tale precauzione è tanto più opportuna tenendo conto del rischio, valutato intrinsecamente come “alto” nella valutazione di impatto, per la minaccia “Accesso non autorizzato e/o trattamento illecito di dati personali ipersensibili”. Si ritiene, infatti, che l’adozione di un sistema di accesso basato su identità digitali di elevato livello di sicurezza possa contribuire in modo significativo alla riduzione del rischio prospettato.

Il Ministero dovrebbe poi indicare le tipologie dei profili autorizzativi utilizzabili dagli Enti fruitori minimizzando i dati resi accessibili e le operazioni consentite sui dati per ciascun profilo. A tal fine, la descrizione dei diversi casi d’uso dovrebbe essere integrata, anche sotto il profilo delle misure tecniche e organizzative, con l’indicazione degli specifici profili utente che possono accedere ai dati nell’ambito dei singoli “casi d’uso”, oltre alle integrazioni indicate in precedenza.

Per quanto riguarda, poi, l’attività di tracciamento applicativo degli accessi e delle operazioni da parte del Ministero dell’Interno, deve essere previsto, già in sede di Accordo di fruizione, che gli eventi imprevisti o i comportamenti anomali da parte di operatori degli Enti fruitori, registrati nei sistemi di business intelligence di Sogei, Responsabile del trattamento, siano comunicati dal Ministero dell’interno al referente per l’Ente fruitore, mediante specifiche comunicazioni e che lo stesso fornisca riscontro al Ministero l’esito delle verifiche effettuate.

Il Ministero dovrà, a sua volta, effettuare un’attività periodica di audit volta a verificare come i diversi Enti fruitori abbiano verificato, ed eventualmente sanato, eventuali situazioni di accesso improprio ad ANPR da parte di propri operatori.

Per quanto riguarda il rischio, descritto nella valutazione di impatto, relativo alla minaccia di modifica non autorizzata o accidentale di dati, tale possibilità non sembra prevista da un punto di vista normativo, in quanto l’accesso ad ANPR da parte di altre amministrazioni dovrebbe consentire esclusivamente operazioni di lettura o ricerca dei dati.

Si ritiene infine che la valutazione di impatto debba essere rivista – con particolare riguardo alle misure di sicurezza poste a contenimento dei rischi intrinseci – con lo scopo di focalizzare il documento sui trattamenti in esame relativi ai dati contenuti in ANPR, con particolare riguardo alle specifiche misure adottate per minimizzare i rischi che devono riportare l’indicazione del soggetto in capo al quale ricade l’adozione della misura (titolare, responsabile o ente fruitore) ed essere limitate alle sole misure afferenti al perimetro del sistema in esame. Si invita inoltre a rivedere con maggior cura le informazioni riportate complessivamente sulla valutazione di impatto, alcune delle quali non sembrano pertinenti (per es. l’indicazione, tra le categorie di trattamento a rischio elevato, di dati relativi a opinioni politiche, credo religioso, dati di geolocalizzazione, o tra i dati comuni, dati contabili, fiscali, inerenti possidenze e riscossione, etc.).

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi e per gli effetti degli artt. 36, § 5, e 58, § 3, lett. c), del Regolamento e dell'art. 2-quinquiesdecies del Codice, esprime parere favorevole sullo schema di “Accordo per la fruizione dei dati ANPR da parte delle le Pubbliche Amministrazioni” e sulle modalità di attuazione descritte nella documentazione allegata, e autorizza il trattamento, a condizione che siano attuate le prescrizioni ed effettuate le  modifiche e le integrazioni indicate nei paragrafi 4.1, 4.2, 4.3, 4.4., 4.5 del presente provvedimento

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 24 giugno 2020

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia