VEDI ANCHE Newsletter del 28 novembre 2022

[doc. web n. 9826453]

Parere sullo schema di decreto legislativo recante attuazione della delega di cui all’articolo 2 della legge 5 agosto 2022 n. 118, per la mappatura e la trasparenza dei regimi concessori di beni pubblici - 10 novembre 2022

Registro dei provvedimenti
n. 364 del 10 novembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei ministri;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, paragrafo 4;

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Agostino Ghiglia;

PREMESSO

La Presidenza del Consiglio dei Ministri ha richiesto il parere del Garante su di uno schema di decreto legislativo recante l’attuazione della delega legislativa di cui all’articolo 2 della legge n. 118 del 2022 (“Legge annuale per il mercato e la concorrenza 2021”).

L’opportunità dell’acquisizione del parere del Garante sullo schema di decreto legislativo era stata rappresentata, dall’Autorità, già nell’ambito dell’istruttoria legislativa svolta dalla 10^ Commissione del Senato sul relativo disegno di legge (cfr. memoria del Garante sul d.d.l. A.S. n. 2469, XVIII legislatura), in ragione della segnalata necessità di coniugare nel modo migliore esigenze di trasparenza e diritto alla protezione dei dati personali.

L’oggetto della delega legislativa concerne la costituzione e il coordinamento di un sistema informativo di rilevazione delle concessioni di beni pubblici, funzionale alla promozione della massima pubblicità e trasparenza, anche in forma sintetica, dei principali dati e delle informazioni relativi a tutti i rapporti concessori, “tenendo conto delle esigenze di difesa e sicurezza”.

Tra i criteri direttivi per l’esercizio della delega, figurano anche quelli relativi: alla previsione della “piena conoscibilità” della durata dei rinnovi in favore del medesimo concessionario o di una società dallo stesso controllata o ad esso collegata ai sensi dell'articolo 2359 del codice civile, del canone, dei beneficiari e della natura della concessione, dell'ente proprietario e, se diverso, dell'ente gestore, nonché “di ogni altro dato utile a verificare la proficuità dell'utilizzo economico del bene in una prospettiva di tutela e valorizzazione del bene stesso nell'interesse pubblico”; all’ obbligo di trasmissione e gestione dei dati esclusivamente in modalità telematica; alla previsione di adeguate forme di trasparenza dei suddetti dati, anche in modalità telematica, “nel rispetto della normativa in materia di tutela dei dati personali”; al coordinamento e all’interoperabilità con gli  altri sistemi informativi e di trasparenza esistenti in materia di concessione di beni pubblici.

RILEVATO

Mutuando dalla legge di delegazione la definizione dell’obiettivo sotteso all’intervento normativo, l’articolo 1 del provvedimento dispone la costituzione di un sistema informativo di rilevazione delle concessioni di beni pubblici, denominato SICONBEP, realizzato e gestito dal Ministero dell’economia e delle finanze avvalendosi della società SOGEI, per promuovere “la massima pubblicità e trasparenza, anche in forma sintetica, dei principali dati e delle informazioni relativi alle concessioni di beni pubblici”.

Tale sistema è alimentato con le informazioni detenute dalle amministrazioni pubbliche che abbiano la proprietà ovvero la gestione del bene oggetto di concessione, garantendo il coordinamento (e ricorrendo all’interoperabilità) con gli altri sistemi informativi esistenti in materia di concessione di beni pubblici.

Riguardo alle informazioni oggetto di comunicazione -da effettuarsi, come prescritto dalla legge di delegazione, solo in modalità telematica- l’articolo 3 indica espressamente quelle relative a tutti i beni appartenenti al demanio e al patrimonio indisponibile di cui agli articoli 822 ss c.c., che siano oggetto di atti, contratti e convenzioni i quali implichino l’attribuzione, a soggetti privati o pubblici, dell’utilizzo in via esclusiva dei beni stessi. Tra le informazioni “minime” con le quali è alimentato il sistema figurano anche quelle relative all’ente proprietario, alle generalità del concessionario, all’identificativo dell’atto, del contratto ovvero della convenzione che regola la concessione, alla durata e ai rinnovi in favore del medesimo concessionario, nonché, da ultimo, “ogni altro dato utile a verificare la proficuità dell’utilizzo economico del bene in una prospettiva di tutela e valorizzazione del bene stesso nell’interesse pubblico” (art. 3, c. 2).

L’articolo 4 disciplina le modalità di trasmissione dei dati al sistema informativo da parte delle amministrazioni pubbliche, demandando al Ministero dell’economia e delle finanze, mediante linee guida, la definizione delle specifiche tecniche, delle modalità e della tempistica per l’invio dei dati al SICONBEP.

Al comma 3 dell’articolo 4 viene indicato quale “responsabile delle comunicazioni dei dati e delle informazioni al sistema informativo” il responsabile per la trasparenza, la cui omessa comunicazione integra gli estremi di illecito disciplinare.

Si prevede inoltre, all’articolo 5, che laddove specifiche esigenze conoscitive non siano soddisfatte con i patrimoni informativi disponibili, il Ministero dell’economia e delle finanze possa promuovere la costituzione di banche dati settoriali o locali, per l’alimentazione del sistema.

Gli articoli 6 e 7 - rubricati rispettivamente “Trasparenza” e “Difesa, sicurezza e tutela dei dati personali” – prevedono infine che i dati comunicati e rilevati dalle amministrazioni vengano pubblicati – nel rispetto della normativa in materia di tutela dei dati personali e anche in forma aggregata - su apposita sezione dedicata del sito web del Ministero dell’economia e delle finanze, salvo si tratti di beni destinati alla difesa nazionale o siano rappresentate, da parte dell’Amministrazione competente, motivate esigenze di tutela della sicurezza pubblica e dell’ordine pubblico.

RITENUTO

L’articolato merita talune, puntuali, integrazioni, volte a garantire un congruo bilanciamento tra diritto alla protezione dei dati personali ed esigenze di trasparenza, già indicato - tra i rilievi formulati dal Garante nell’ambito della citata istruttoria legislativa sul disegno di legge “concorrenza” - quale obiettivo da perseguire.

L’alimentazione del sistema informativo e gli obblighi di pubblicità di cui all’articolo 6 del provvedimento presuppongono, infatti, un flusso informativo comprendente anche (sebbene in misura non prevalente) dati personali, quali ad esempio quelli relativi alle persone fisiche beneficiarie di concessioni ai sensi dell’articolo 3, comma 2.

Per quanto concerne l’alimentazione del sistema informativo, l’articolo 2 definisce unicamente la categoria d’informazioni “minime” oggetto di comunicazione, con l’incertezza, che inevitabilmente ne consegue, in ordine al flusso informativo funzionale alla gestione della banca dati. E’dunque opportuno definire nel suo complesso, in maniera tassativa (almeno rispetto alla categoria dei dati personali), il novero delle informazioni oggetto di comunicazione al sistema informativo, non limitandosi all’indicazione del solo contenuto minimo.

Il provvedimento non esplicita, peraltro, il ruolo svolto dai soggetti coinvolti, a vario titolo, nel trattamento dei dati personali sotteso al funzionamento del sistema informativo e ai correlativi obblighi di pubblicità. E’, pertanto, necessaria un’integrazione, in questi termini, dell’articolato.

Con riguardo agli obblighi di pubblicità, va peraltro considerato che, tra i dati relativi a determinate concessioni, possono esservene alcuni, seppur rari, dai quali s’inferisca lo stato di salute o la situazione di disagio economico-sociale degli interessati. Per impedire che gli obblighi di pubblicità comportino la rivelazione, sia pur indiretta, di dati, quali quelli considerati, cui l’ordinamento accorda una tutela rafforzata, l’articolo 26, comma 4, d.lgs. 33 del 2013 ha previsto – recependo un’indicazione resa dal Garante stesso – una specifica esclusione dal dovere di pubblicazione altrimenti sancito, per gli atti ampliativi, dal primo comma del medesimo articolo. Coerentemente con la ratio sottesa a tale ultima norma, anche per gli obblighi di pubblicità di cui all’articolo 6 del provvedimento in esame andrebbe pertanto introdotta un’analoga, espressa, esclusione.

Con riferimento, infine, alla definizione (demandata dall’articolo 4 a mere linee Guida) delle specifiche tecniche, delle modalità e della tempistica per l’invio dei dati al sistema informativo, si valuti l’opportunità di individuare in un decreto, sia pur di natura non regolamentare, l’atto cui rinviare tale disciplina. Tale ultima categoria di atti amministrativi generali consente, infatti, di garantire- in virtù della vincolatività delle sue previsioni- maggiore uniformità alle garanzie e agli stessi standard tecnici di sicurezza, rilevanti soprattutto ai fini del rispetto del principio di integrità e riservatezza di cui all’articolo 5, par.1, lett.f) del Regolamento. Su tale atto si dovrà peraltro, per le suesposte ragioni, acquisire il parere del Garante.

IL GARANTE

ai sensi dell’articolo 36, paragrafo 4, del Regolamento, esprime parere favorevole sul proposto schema di decreto legislativo recante attuazione della delega di cui all’articolo 2 della legge 5 agosto 2022 n. 118, per la mappatura e la trasparenza dei regimi concessori di beni pubblici, con:

a) le condizioni, esposte nel “Ritenuto”, volte a rappresentare l’esigenza di:

1) definire in maniera tassativa, all’articolo 2, il novero delle informazioni oggetto di comunicazione al sistema informativo SICOMBEP, non limitandosi all’indicazione del solo contenuto minimo;

2) esplicitare il ruolo svolto dai soggetti coinvolti, a vario titolo, nel trattamento dei dati personali sotteso al funzionamento del sistema informativo e ai correlativi obblighi di pubblicità;

3) introdurre, all’articolo 6, un’espressa esclusione, dagli obblighi di pubblicità, dei dati identificativi delle persone fisiche beneficiarie di concessioni, dalle quali possa evincersi lo stato di salute o la situazione di disagio economico-sociale degli interessati;

b) l’osservazione, esposta nel “Ritenuto”, volta a rappresentare l’opportunità di demandare a un decreto, sia pur di natura non regolamentare e su cui acquisire il parere del Garante, la definizione (demandata dall’articolo 4 a mere linee Guida) delle specifiche tecniche, delle modalità e della tempistica per l’invio dei dati al sistema informativo.

Roma, 10 novembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei