g-docweb-display Portlet

Parere sullo schema di decreto del ministro dell’interno, concernente le modalità tecniche dei collegamenti attraverso cui sono effettuate le comunicazioni dei dati identificativi riportati nei documenti di identità esibiti dai soggetti che richiedono il noleggio di autoveicoli e le relative modalità di conservazione - 14 ottobre 2021 [9717525]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9717525]

Parere sullo schema di decreto del ministro dell’interno, concernente le modalità tecniche dei collegamenti attraverso cui sono effettuate le comunicazioni dei dati identificativi riportati nei documenti di identità esibiti dai soggetti che richiedono il noleggio di autoveicoli e le relative modalità di conservazione - 14 ottobre 2021

Registro dei provvedimenti
n. 366 del 14 ottobre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere del Ministero dell’interno;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”);

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Visto il decreto legislativo 18 maggio 2018, n. 51, recante attuazione della direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento dei reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e, in particolare, l’articolo 24, comma 2;

Visto l’articolo 17, comma 3, del decreto legge n. 113 del 2018, convertito con modificazioni, dalla legge 1^ dicembre 2018, n. 132;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

Il Ministero dell’interno ha richiesto il parere del Garante in ordine a uno schema di decreto, di natura non regolamentare, adottato ai sensi dell’art. 17, comma 3, del decreto legge n. 113 del 2018, convertito con modificazioni, dalla legge 1° dicembre 2018, n. 132. 

L’articolo 17 del decreto-legge ha sancito, in capo agli esercenti imprese di noleggio di veicoli senza conducente, l’obbligo di comunicare i dati identificativi riportati nel documento di identità esibito dal soggetto richiedente il noleggio di autoveicoli, ai fini del loro raffronto automatico, da parte del CED (art. 8 l. n. 121 del 1981), con quelli in esso conservati concernenti provvedimenti dell'autorità giudiziaria o dell'autorità di pubblica sicurezza, ovvero segnalazioni inserite dalle forze di polizia, a fini di prevenzione e repressione del terrorismo.  La “prevenzione del terrorismo” è, infatti, la finalità cui espressamente la legge (art. 17, c.1, citato) funzionalizza le comunicazioni in analisi. Ove dal raffronto emergano “situazioni potenzialmente rilevanti” per tali finalità, il CED invia una segnalazione di allerta ai competenti organi della Polizia di Stato per le attività di controllo prescritte dalla legge, tra le quali anche i rilievi segnaletici previsti dal Testo unico delle leggi di pubblica sicurezza, di cui al regio decreto 18 giugno 1931, n. 773.

Il comma 3 dell’art. 17, nello stabilire che i dati identificativi comunicati sono conservati per un periodo non superiore a 7 giorni, demanda ad un decreto del Ministro dell'interno di natura non regolamentare - sentito il Garante - la definizione delle modalità tecniche dei collegamenti attraverso i quali sono effettuate le comunicazioni suddette, nonché di quelle concernenti la conservazione dei dati acquisiti. L’odierno schema di decreto attua, pertanto, tale previsione.

RILEVATO

Lo schema di decreto - corredato di un allegato tecnico (Allegato A) che ne costituisce parte integrante – nel definire il proprio oggetto, esclude anzitutto dall’obbligo di comunicazione i contratti di noleggio di autoveicoli per servizi di mobilità condivisa e di car sharing (art. 1).

L’articolo 3 prevede inoltre l’istituzione, presso il Centro Elettronico Nazionale della Polizia di Stato di una apposita piattaforma informatica esposta sulla rete internet, denominata CaRGOS, utilizzata per supportare le suddette comunicazioni da parte degli esercenti i servizi di autonoleggio, previa acquisizione di specifica abilitazione rilasciata dalla Questura. Le credenziali di accesso rilasciate dalla Questura, da utilizzarsi personalmente dagli esercenti, potranno tuttavia essere consegnate da questi ultimi a un soggetto identificato previo conferimento di apposito incarico per l’inserimento dei dati, secondo modalità indicate nell’Allegato A).

La comunicazione dei dati identificativi alla Questura avverrà mediante la piattaforma CaRGOS- contestualmente alla stipula del contratto di noleggio e comunque prima della consegna del veicolo- con obbligo, per l’esercente, di conservare copia della ricevuta digitale della comunicazione effettuata. In presenza di impedimento tale da impedire la trasmissione dei dati identificativi mediante inserimento diretto sulla piattaforma, la comunicazione avviene mediante posta elettronica certificata indirizzata alla Questura territorialmente competente, previa conservazione della ricevuta dell’avvenuta spedizione e del ricevimento.

I dati identificativi sono conservati nel sistema informatico CaRGOS- con obbligo di garanzia di sicurezza in termini di riservatezza, integrità e disponibilità dei dati – e sono accessibili solo per il raffronto automatico – con meccanismi di cooperazione applicativa, secondo le modalità indicate nell’Allegato - con quelli conservati presso il CED.

Il titolare del trattamento dei dati è il Ministero dell'interno - Dipartimento della Pubblica Sicurezza, il quale, ai sensi dell’art. 19 del decreto legislativo 18 marzo 2018 n. 51, autorizza per iscritto coloro che agiscono sotto la propria autorità, a compiere le operazioni di trattamento, specificandone l’ambito (art. 6).

Ai sensi dell’articolo 7, i dati identificativi raccolti nel sistema CaRGOS sono cancellati dopo sette giorni dalla data di consegna del veicolo e gli esercenti sono tenuti alla loro cancellazione e alla distruzione della relativa copia cartacea non appena ottenute le relative ricevute.

L’Allegato A contiene le prescrizioni tecniche relative alle modalità di realizzazione dei collegamenti informatici attraverso i quali sono effettuate le comunicazioni dei dati identificativi, le procedure attraverso le quali operarne il raffronto automatico con le informazioni conservate presso il Centro Elaborazione Dati Interforze di cui all’art. 8 della legge 1 aprile 1981, n. 121, nonché le modalità e i tempi di conservazione dei dati da parte del Dipartimento della pubblica sicurezza e dei gestori tenuti alla comunicazione.

RITENUTO

Lo schema di decreto non presenta particolari criticità sotto il profilo della protezione dati, benché sia suscettibile di alcuni perfezionamenti di seguito esposti, essenzialmente al fine di garantire un maggiore livello di sicurezza dei dati trattati. 

In primo luogo la previsione, da parte dell’articolo 3, comma 5, di consegna delle credenziali per l’accesso alla piattaforma a soggetti, diversi dagli esercenti, da essi incaricati dell’inserimento dei dati, andrebbe affiancata da alcune cautele ulteriori, volte a minimizzare il rischio di accessi indebiti e a consentirne la tracciabilità.

In tal senso, la disposizione andrebbe integrata imponendo la designazione del soggetto incaricato quale autorizzato ai sensi e per gli effetti degli articoli 29 del Regolamento e 2-quaterdecies del Codice. Andrebbe inoltre precisato che le credenziali di accesso alla piattaforma non sono cedibili e, in caso di sostituzione, temporanea o definitiva, del soggetto incaricato, quelle assegnategli devono essere bloccate e successivamente rigenerate.

E’, inoltre, opportuno specificare con maggiore dettaglio, nell’Allegato A, la modalità attraverso cui il soggetto incaricato riceve i codici OTP, da utilizzare per la sessione di lavoro, in caso di inserimento dei dati tramite portale web.

In linea generale, è opportuno disciplinare con maggiore dettaglio le misure poste a protezione della piattaforma CaRGOS, rispetto ai rischi di accessi abusivi e attacchi informatici basati, ad esempio, sul privilege escalation e sull’injection di codice malevolo.

IL GARANTE

ai sensi degli articoli 24, comma 2, del d.lgs. 18 maggio 2018, n. 51 e 17, comma 3, del decreto legge n. 113 del 2018, convertito con modificazioni, dalla legge 1° dicembre 2018, n. 132, esprime parere favorevole sul proposto schema di decreto del Ministro dell’interno, con le seguenti osservazioni (esposte nel “Ritenuto”), volte a suggerire l’opportunità di:

1. integrare il disposto di cui all’articolo 3, comma 5, imponendo la designazione del soggetto incaricato quale autorizzato ai sensi e per gli effetti degli articoli 29 del Regolamento e 2-quaterdecies del Codice, la non cedibilità delle credenziali di accesso alla piattaforma e l’obbligo del blocco e successiva rigenerazione delle stesse, in caso di sostituzione, temporanea o definitiva, del soggetto incaricato;

2. specificare con maggiore dettaglio, nell’Allegato A, la modalità attraverso cui il soggetto incaricato riceve i codici OTP, da utilizzare per la sessione di lavoro, in caso di inserimento dei dati tramite portale web;

3. disciplinare con maggiore dettaglio le misure poste a protezione della piattaforma CaRGOS, rispetto ai rischi di accessi abusivi e attacchi informatici basati, ad esempio, sul privilege escalation e sull’injection di codice malevolo.

Roma, 14 ottobre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9717525
Data
14/10/21

Argomenti


Tipologie

Parere del Garante