Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Parere del Garante su uno schema di regolamento della Provincia autonoma di Trento concernente il trattamento dei dati personali nell’ambito del Registro unico dei controlli provinciali (RUCP) - 5 marzo 2020 [9309418]

[doc. web n. 9309418]

Parere del Garante su uno schema di regolamento della Provincia autonoma di Trento concernente il trattamento dei dati personali nell’ambito del Registro unico dei controlli provinciali (RUCP) - 5 marzo 2020

Registro dei provvedimenti
n. 51 del  5 marzo 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere della Provincia autonoma di Trento;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento).

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Licia Califano;

PREMESSO

1. La Provincia autonoma di Trento ha richiesto il parere del Garante ai sensi dell’articolo 36, par. 4, del Regolamento (UE) 2016/679, su uno schema di regolamento concernente il trattamento dei dati personali nell’ambito del Registro unico dei controlli provinciali (RUCP).  Lo schema si propone di disciplinare il trattamento dei dati personali nell’ambito del registro (RUCP) istituito dall’articolo 4, comma 4-bis, della legge provinciale 31 maggio 2012, n. 2, attuando il sistema informatizzato dei controlli di competenza della Provincia e dei suoi enti strumentali, dell’Azienda provinciale per i servizi sanitari, delle comunità e dei comuni sulle imprese che operano sul territorio provinciale. Esso si compone di 10 articoli e 3 allegati: all. A recante l’indicazione delle “banche dati consultabili dal RUCP”; all. B contenente l’indicazione dei “dati personali che possono essere contenuti e trattati dal RUCP” e all. C, recante l’indicazione degli “Elementi minimi del verbale di accertamento”.

RILEVATO

2. Lo schema di regolamento prevede che, nell’ambito dell’attività di controllo sulle imprese, la Provincia Autonoma di Trento e i suoi enti strumentali utilizzino i dati e le informazioni contenuti nel RUCP per attività di vigilanza, tra cui ispezioni, verifiche, monitoraggio, e altri controlli, nonché per l’esercizio di eventuali poteri di sanzione o autotutela (art. 2).

Nello schema vengono indicate le tipologie di dati personali contenute nel RUCP. In particolare, all’articolo 3 viene specificato che nel RUCP sono contenute informazioni “emergenti dall’attività di vigilanza” nei settori di competenza della Provincia e che, qualora si proceda al trattamento di dati giudiziari, tale trattamento verrà anticipato dalla puntuale specificazione dei “motivi di rilevante interesse pubblico, le tipologie di dati, le operazioni effettuate, nonché le misure di sicurezza appropriate e specifiche”.

L’articolo 6 rubricato “Gestore del RUCP”, al fine di meglio inquadrarne la figura, stabilisce poi che il “gestore informatico dei documenti, dei flussi documentali e degli archivi per conto della Provincia autonoma di Trento, sia la società che gestisce il sistema informativo elettronico provinciale” e ne definisce i compiti. Il gestore del RUCP viene definito quale “responsabile del trattamento dei dati personali” (art. 5).

All’articolo 4 dello schema vengono definite le modalità di trattamento dei dati contenuti nel Registro, mentre l’articolo 7 detta le regole per la conservazione dei dati presenti nel RUCP, individuando quale responsabile della conservazione “la struttura provinciale responsabile per la conservazione documentale dei dati di archivio della Provincia”, e indicando quale termine di conservazione “un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

Vengono stabilite poi le modalità di accesso al registro (art. 8) e individuate le misure di sicurezza tecniche e organizzative ritenute necessarie per garantire l’integrità, la conservazione e la sicurezza dei dati raccolti, nonché la minimizzazione dei dati personali, in conformità alla normativa sulla protezione dei dati personali (art. 9).

L’ultimo articolo dello schema, infine, è dedicato all’esercizio dei diritti.

RITENUTO

3. Base giuridica del trattamento dei dati.

Esaminato lo schema di regolamento, il Garante ritiene necessario svolgere le considerazioni di seguito riportate, volte a rendere pienamente conforme il decreto ai principi e alle regole poste in materia di protezione dei dati personali dal Regolamento e dal Codice.

Premesso che la finalità del Registro è razionalizzare l’attività di controllo sulle imprese, coordinare e programmare l’attività di vigilanza, da parte della Provincia e dei suoi enti strumentali, dell’Azienda provinciale per i servizi sanitari, delle comunità e dei comuni, preliminarmente si rileva che la base giuridica che legittima il trattamento dei dati per tale finalità, anche con riferimento alla fase della loro consultazione, è da rinvenirsi nell’articolo 6, comma 1, lett. e) del Regolamento e nell’articolo 2-ter del Codice.

3.1. Contenuti del RUCP.

Come è noto, la normativa in materia di protezione dei dati personali si fonda sul concetto di “dato personale”, da intendersi come “qualunque informazione relativa a persona fisica” (art. 4, n. 1), Reg.), “interessato” del trattamento. Da questo punto di vista, quindi, non trovano protezione nella disciplina contenuta nel Regolamento e nel Codice i dati identificativi e di contatto delle imprese dotate di personalità giuridica (cfr. considerando 14, Reg.), mentre vi restano assoggettati i piccoli imprenditori e le imprese individuali.

Premesso quindi che la protezione dei dati è accordata solo alle persone fisiche, si rappresenta che non risultano chiaramente individuate le tipologie di dati personali trattati nel RUCP.

Lo schema prevede che nel registro siano destinati a confluire “i risultati di controlli”, anche effettuati dall’apposito Nucleo preposto ai controlli, svolti nei confronti delle imprese, oltre agli “estremi dei verbali” di accertamento (cfr. art. 1, comma 3 e art. 3, comma 2). Secondo quanto è possibile desumere dagli allegati B e C allo schema – che peraltro non sono richiamati espressamente nello schema – tali informazioni possono riguardare anche “eventuali osservazioni a verbale” (cfr. allegato B) nonché “dichiarazioni spontanee e osservazioni” (cfr. allegato C) che sono destinate ad essere inserite nel registro. Si tratta di informazioni che possono presentare profili di criticità, in quanto suscettibili di contenere anche dati personali che, essendo riferiti a soggetti terzi, sono irrilevanti rispetto alle finalità previste dalla legge. Al riguardo si richiama l’attenzione della Provincia sull’opportunità di individuare più dettagliatamente le informazioni di carattere personale destinate a confluire nel Registro e di prevedere nello schema che, nel rispetto del principio di minimizzazione, “nel RUCP sono trattati i soli dati personali necessari al perseguimento della finalità individuata dalla legge” (art. 5, par. 1, lett. c) del Reg).

Inoltre, l’articolo 1, comma 2, dello schema prevede che nel registro affluiscano anche “i dati contenuti nelle banche dati elencate nell’allegato A”. Nell’evidenziare l’impossibilità di escludere a priori che tali dati siano riconducibili esclusivamente a enti o persone giuridiche, anche al fine di garantire il rispetto del principio di trasparenza per gli interessati (art. 5, par. 1 lett. a), Reg.), si ritiene opportuno integrare lo schema di Regolamento individuando in modo più preciso e puntuale i dati personali, eventualmente trattati e contenuti nelle predette banche dati. 

3.2.  Dati “giudiziari”.

Lo schema di regolamento prevede al suo articolo 3, comma 3, un “eventuale” trattamento dei dati giudiziari, disponendo che “qualora venissero trattati nel RUCP dati giudiziari, saranno specificati i motivi di rilevante interesse pubblico, le tipologie di dati, le operazioni effettuate, nonché le misure di sicurezza appropriate e specifiche”.

Al riguardo, si rileva che il trattamento di dati concernenti “condanne penali e reati” (locuzione che ai sensi del Regolamento tiene luogo di quella - “dati giudiziari” -prevista dalla precedente normativa) è consentito solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati (art. 10 Reg. e art. 2-octies Codice).

Tanto premesso, si richiama l’attenzione della Provincia sulla necessità di individuare una disposizione normativa di rango primario quale base giuridica che legittimi il richiamato trattamento, posto che la previsione di cui all’articolo 3, comma 3, dello schema risulta inadeguata a tale scopo, se non almeno richiamata in una norma di legge.

3.3. Trattamento automatizzato di dati.

Quale specifica attività di utilizzo delle informazioni contenute nel registro l’articolo 2, comma 2, lett. d), dello schema indica la “formazione del profilo di rischio dell’impresa anche attraverso indici automatizzati e algoritmi, per orientare l’individuazione di quantità e modalità dei controlli”. Tale previsione configura un trattamento automatizzato di dati che, se riferito esclusivamente a persone giuridiche, nel senso esplicitato al punto 3.1, non è assoggettato ai limiti e alle garanzie previste dal Regolamento. Diversamente, ove il trattamento riguardi persone fisiche o imprese individuali potrebbe essere effettuato solo nel rigoroso rispetto di quanto previsto all’articolo 22 del Regolamento sul “processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”, che quindi andrebbe richiamato nel testo.

3.4. Titolare e responsabile del trattamento.

Si è già visto come l’articolo 5 dello schema definisca il gestore del RUCP quale “responsabile del trattamento dei dati personali nell’ambito del sistema”, ai sensi dell’articolo 28 del Regolamento, mentre per quanto riguarda la titolarità del trattamento, dalle locuzioni utilizzate dall’articolo 4, comma 4-bis della legge (ossia “la titolarità autonoma di ciascun ente con riguardo ai singoli trattamenti di dati personali”),  e dall’articolo 9, comma 6, dello schema (“... i singoli titolari del trattamento curano...”) la titolarità del trattamento sembrerebbe essere attribuita a ciascun ente deputato allo svolgimento di attività di vigilanza e  controllo.

Al riguardo si richiama l’attenzione della Provincia sulla necessità di valutare attentamente l’attribuzione della titolarità del trattamento dei dati raccolti nel registro anche in considerazione del ruolo di indirizzo che la Provincia stessa svolge in merito ai controlli a cui sono assoggettate le imprese (cfr. art. 4, comma 2, della legge n. 12/2012), nonché dei poteri che la stessa esercita, in conformità all’art. 6 dello schema, nei confronti del gestore del registro individuato, appunto, come responsabile del trattamento.

3.5. Accesso ai dati e misure tecniche e di sicurezza.

Al fine di assicurare il massimo livello di sicurezza con riferimento al profilo dell’accesso alle informazioni contenute nel RUCP, si ritiene opportuno modificare l’articolo 8, comma 6, dello schema, sostituendo la frase “per l’adeguata tracciabilità delle operazioni compiute sui dati” con la più pertinente “per garantire l’accesso selettivo ai dati”.

Con riferimento invece all’articolo 9, si rileva che sarebbe opportuno integrare le misure di sicurezza previste al comma 3 con una apposita disposizione che disciplini i file di log che devono registrare le operazioni di accesso ai sistemi ai fini della verifica della liceità del trattamento dei dati. In particolare andrebbero individuate le informazioni in essi contenute (a titolo esemplificativo e non esaustivo: il soggetto [codice identificativo] che ha effettuato l’accesso, la data e l’ora dell’accesso, l’operazione effettuata) e i tempi di conservazione degli stessi, al termine dei quali i file di log devono essere immediatamente cancellati. Andrebbe precisato altresì che i file di log devono possedere caratteristiche di integrità e inalterabilità, devono essere protetti con idonee misure contro ogni uso improprio, e resi accessibili a personale opportunamente incaricato e autorizzato. Al di fuori dall’utilizzo per finalità di verifica della liceità del trattamento in singoli casi, i dati contenuti nei file di log possono essere trattati solo in forma anonima, mediante aggregazione.

Infine con riferimento a quanto previsto all’articolo 9, comma 4, in materia di notifiche di eventuali violazioni di dati, si rammenta che gli obblighi in materia ricadono sul titolare del trattamento ai sensi degli articoli 33 e 34 del Regolamento, che andrebbero perciò appositamente richiamati nel testo quali norme cui conformarsi.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini di cui in motivazione sullo schema di "Regolamento di attuazione dell’articolo 4, comma 4-bis, della legge provinciale 31 maggio 2012, n. 10 concernente il trattamento dei dati personali nell’ambito del registro unico dei controlli provinciali (RUCP)", con le osservazioni di cui ai punti da 3.1 a 3.6.

Roma, 5 marzo 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia