Vedi anche newsletter del 30 maggio 2014

[doc. web n. 3105794]

Parere del Garante su uno schema di regolamento in materia di Anagrafe Nazionale della Popolazione Residente - 17 aprile 2014

Registro dei provvedimenti
n. 202 del 17 aprile 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott. ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTA la richiesta di parere del Ministero dell´interno;

VISTO l´art. 154, comma 4 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

Il Ministero dell´interno ha richiesto il parere del Garante in ordine a uno schema di regolamento recante modalità di attuazione e di funzionamento dell´Anagrafe Nazionale della Popolazione Residente (di seguito: ANPR) e definizione del piano per il graduale subentro dell´ANPR alle anagrafi della popolazione residente.

L´ANPR, quale base di dati di interesse nazionale (art. 60 del decreto legislativo 7 marzo 2005, n. 82, recante il Codice dell´amministrazione digitale, infra: CAD), subentra all´Indice Nazionale delle Anagrafi (INA), istituito ai sensi dell´articolo 1, comma quinto, della legge 24 dicembre 1954, n. 1228 e all´Anagrafe degli Italiani Residenti all´Estero (AIRE), istituita ai sensi della legge 27 ottobre 1988, n. 470 (art. 62 CAD, come integralmente sostituito dall´articolo 2, comma 1, del decreto-legge 18 ottobre 2012, n. 179, convertito dalla legge 17 dicembre 2012, n. 221).

Inoltre, "…l´ANPR subentra altresì alle anagrafi della popolazione residente e dei cittadini italiani residenti all´estero tenute dai comuni. Con il decreto di cui al comma 6 è definito un piano per il graduale subentro dell´ANPR alle citate anagrafi, da completare entro il 31 dicembre 2014…" (art. 62, comma 2, CAD).

A quest´ultimo proposito, con uno o più decreti del Presidente del Consiglio dei Ministri, acquisito il parere del Garante, sono stabiliti i tempi e le modalità di attuazione, anche con riferimento alle garanzie e alle misure di sicurezza da adottare nel trattamento dei dati personali, alle modalità e ai tempi di conservazione dei dati e all´accesso ai dati da parte delle pp. aa. per le proprie finalità istituzionali secondo le modalità di cui all´articolo 58 del medesimo CAD (art. 62, comma 6, CAD).

Il Garante ha già espresso, in data 24 aprile 2013, il parere di competenza su uno schema di d.P.C.M. recante disposizioni "di prima attuazione" di quanto sancito dal predetto articolo 62 del CAD. Tale schema precisava che con successivi decreti (da adottarsi ai sensi del medesimo articolo 62, comma 6), si sarebbero disciplinate le ulteriori modalità di attuazione della disposizione normativa in questione, anche con riferimento al subentro dell´ANPR alle anagrafi comunali, alle relative misure di sicurezza e alle specifiche tecniche concernenti l´organizzazione e il flusso dei dati. Il Garante, nell´esprimere il parere sullo schema (poi approvato: d.P.C.M. 23 agosto 2013, n. 109), si è riservato di valutare i sistemi e le misure di sicurezza relativi alle successive fasi del progetto di attuazione dell´ANPR in occasione dei pareri dell´Autorità sugli schemi di decreto previsti per la disciplina di tali fasi e dei relativi profili di sicurezza dei dati.

Lo schema di decreto in esame rappresenta un passo ulteriore verso la completa attuazione della normativa in materia di ANPR, in particolare per quanto riguarda il subentro della anagrafe nazionale alle anagrafi comunali.

RILEVATO

Oggetto del regolamento è, secondo il dettato dell´articolo 1, comma 1, il piano per il graduale subentro dell´ANPR alle anagrafi della popolazione residente e dei cittadini italiani residenti all´estero tenute dai Comuni, le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali, i criteri per l´interoperabilità dell´ANPR con le altre banche dati di rilevanza nazionale e regionale, le modalità di conservazione dei dati e l´accesso ai dati da parte delle pp. aa. per le proprie finalità istituzionali.

Lo schema trasmesso si compone di un articolato e di quattro allegati che costituiscono parte integrante del decreto.

L´articolo 2 disciplina il subentro dell´ANPR alle anagrafi tenute dai Comuni secondo un piano e le modalità stabilite dall´allegato A; si precisa che il subentro riguarda anche le situazioni anagrafiche pregresse. Al riguardo, il Ministero dell´interno e l´Istat definiscono "standard e indicatori finalizzati a monitorare la qualità dei dati registrati nell´ANPR" (comma 3).

L´articolo 3 individua i dati contenuti nell´ANPR, mediante rinvio alle pertinenti disposizioni del regolamento anagrafico (d.P.R. 30 maggio 1989, n. 223), nei dati del cittadino, della famiglia anagrafica e della convivenza, nonché nei dati dei cittadini residenti all´estero e nel domicilio fiscale; il medesimo articolo  rinvia poi all´allegato B dello schema per l´individuazione dei "campi" relativi ai predetti dati. Ulteriori campi potranno essere individuati con apposito decreto del Ministro dell´interno, sentito il Garante.

L´articolo 4 riguarda il trattamento dei dati contenuti nell´ANPR che –si specifica– deve avvenire secondo le modalità e le misure di sicurezza descritte nell´allegato C (comma 1).

Titolare del trattamento dei dati personali contenuti nell´ANPR è il Ministero dell´interno, nonché il sindaco, per le attribuzioni di propria competenza di cui all´articolo 54 del decreto legislativo 18 agosto 2000, n. 267, seppur limitatamente alla registrazione dei dati (commi 2 e 3). Responsabile del trattamento è, invece, la società di cui all´articolo 1, comma 306, della legge n. 228 del 2012 (comma 4).

Lo schema precisa, infine, che l´ANPR rende disponibili ai Comuni per i quali è completato il subentro e alle altre pubbliche amministrazioni, nonché agli organismi che erogano pubblici servizi, per l´espletamento delle rispettive funzioni, determinati servizi specificati nell´allegato D (artt. 5 e 6). Ulteriori servizi potranno essere resi disponibili dall´ANPR mediante successivi decreti (art. 1, comma 2).

Infine, l´articolo 7 prevede che il cittadino possa esercitare il diritto di accesso ai propri dati personali e gli altri diritti di cui all´articolo 7 del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 (di seguito: Codice), presso gli uffici anagrafici ovvero tramite sito web dedicato, previa identificazione informatica e con modalità sicure.

RITENUTO

Con l´istituzione dell´Anagrafe nazionale della popolazione residente, banca dati di interesse nazionale (art. 60 del CAD), si è determinata la centralizzazione presso il Ministero dell´interno di un numero cospicuo di informazioni personali, attualmente registrate in distinte banche dati (anagrafi comunali).

Le finalità che appaiono sottese a tale progetto rispondono a riconosciute finalità istituzionali; nondimeno, occorre assicurare un equo bilanciamento di tali esigenze con i diritti delle persone, assicurando un´adeguata protezione delle informazioni registrate nell´anagrafe nazionale, anche sotto il profilo della sicurezza dei dati e dei sistemi.

In ragione della rilevanza che tale data base assume sotto il profilo della protezione dei dati personali, il Garante riconnette particolare importanza al processo di attuazione dell´ANPR. Non a caso il legislatore, nell´istituirla, ha previsto la sottoposizione di tale banca dati ad un audit di sicurezza, da effettuare con cadenza annuale e le cui risultanze devono essere inserite nella relazione annuale del Garante (art. 62, comma 1, CAD).

L´articolato risponde, in larga parte, alle indicazioni rese, in via collaborativa, dall´Autorità all´esito di riunioni e contatti informali avuti con le amministrazioni interessate. Tuttavia, restano da perfezionare alcuni aspetti, in modo da rendere il testo pienamente  conforme alla disciplina in materia di protezione dei dati personali, secondo quanto appresso indicato.

1. I dati registrati nell´ANPR.

1.1. Il regolamento anagrafico.

Come già rilevato sopra, l´articolo 3 dello schema individua i dati contenuti nell´ANPR, fra gli altri, nei dati del cittadino, della famiglia anagrafica e della convivenza, mediante rinvio alle pertinenti disposizioni del regolamento anagrafico (artt. 20, 21 e 22, d.P.R n. 223 del 1989).

Al riguardo l´Autorità si riserva di fornire eventuali indicazioni circa il trattamento di tali dati in occasione del parere che dovrà rendere sullo schema di decreto per l´aggiornamento del predetto regolamento anagrafico, in fase di elaborazione presso il Ministero dell´interno.

1.2. Standard di qualità dei dati.

Si è già visto come in relazione alla fase di subentro il Ministero dell´interno e l´Istat definiscano "standard e indicatori finalizzati a monitorare la qualità dei dati registrati nell´ANPR" (art. 2, comma 3).

La qualità dei dati registrati nell´ANPR è di estrema importanza per gli interessati, considerati i riflessi che il trattamento dei dati "anagrafici" possono avere sull´identità e l´intera personalità dei cittadini, e tenuto conto della enorme mole di informazioni che è contenuta nella banca dati nazionale. Si ritiene, perciò, opportuno prevedere nello schema che la definizione di tali standard di qualità del dato siano definiti dal ministero e dall´Istat sentito il Garante, che assicura sin d´ora la più ampia collaborazione al riguardo.

1.3. Controlli.

L´articolo 2 dello schema prevede che i dati anagrafici inviati dai Comuni ai fini del subentro siano sottoposti ad una serie di controlli formali, quali, da un lato, la validazione del codice fiscale previo confronto con l´anagrafe tributaria e, dall´altra, una verifica di congruità con i dati contenuti nell´ANPR.

La disposizione è pienamente condivisibile, essendo volta ad assicurare l´esattezza dei dati e la loro congruità rispetto alle informazioni già registrate nell´ANPR. Tuttavia va perfezionata, individuando espressamente il soggetto o i soggetti cui sono rimessi tali controlli (ministero, comuni o altri soggetti).

1.4. Diritti dell´interessato.

L´articolo 7 prevede che il cittadino possa esercitare il diritto di accesso ai propri dati personali e gli altri diritti di cui all´articolo 7 del Codice presso gli uffici anagrafici ovvero tramite sito web dedicato, previa identificazione informatica e con modalità sicure.

La disposizione va perfezionata chiarendo se il sito web cui si fa riferimento sia quello dei singoli comuni oppure un sito "dedicato" dell´ANPR o di altri soggetti.

2. Banche dati dei Comuni.

L´articolo 2, comma 4, dello schema prevede che, "a seguito del subentro"  la "banca dati eventualmente conservata dai comuni per l´esercizio delle funzioni di competenza deve essere  automaticamente aggiornata con i dati registrati nell´ANPR".

La disposizione, per come è formulata, desta forti perplessità tenuto conto che non risulta consentita una "duplicazione" della anagrafe della popolazione residente presso il singolo comune, seppure "allineata" con l´ANPR: ciò, infatti sarebbe in evidente contraddizione con la logica stessa del subentro dell´Anagrafe nazionale della popolazione residente alle anagrafi comunali, oggetto del presente decreto.

Una precisazione in tal senso, del resto, è contenuta nell´allegato al d.P.C.M. 23 agosto 2013, n. 109, dove, nell´ambito della descrizione delle fasi transitorie dell´attuazione dell´ANPR, si chiarisce che "effettuata la migrazione delle anagrafi comunali nell´ANPR, le banche dati relative alle anagrafi comunali vengono dismesse" (dPCM n. 109/2013, all. par. 4.6.2. Fase 2). Inoltre, l´eventuale "ultrattività" delle anagrafi comunali nella loro interezza si porrebbe in contrasto con il principio di economicità dell´erogazione dei servizi in rete e di collaborazione delle amministrazioni per integrare i procedimenti di rispettiva competenza previsti dal codice dell´amministrazione digitale (art. 63 CAD).

Si invita pertanto l´amministrazione a sopprimere il comma 4 dell´articolo 2 dello schema oppure a sostituirlo con una disposizione compatibile con il dettato del codice dell´amministrazione digitale. Occorre infatti considerare che l´articolo 62, comma 3, del CAD stabilisce che l´ANPR assicura al singolo comune la disponibilità dei dati anagrafici della popolazione residente e degli strumenti per lo svolgimento delle funzioni di competenza statale attribuite al sindaco, nonché la disponibilità dei dati anagrafici e dei servizi per l´interoperabilità con le banche dati tenute dai comuni per lo svolgimento delle funzioni di competenza.

In tal senso, possono disciplinarsi nel regolamento le modalità di attuazione del predetto articolo 62 del CAD, affinché il comune possa disporre dei dati anagrafici necessari all´esercizio delle proprie funzioni, senza tuttavia detenere, a seguito del "subentro", copie della banca dati della popolazione residente. Tali dati anagrafici dovranno, peraltro, essere allineati rispetto a quelli detenuti nell´ANPR.

3. Servizi resi disponibili dall´ANPR alle pubbliche amministrazioni.

3.1. Come già evidenziato sopra, l´ANPR rende disponibili alle pubbliche amministrazioni, nonché agli organismi che erogano pubblici servizi, per l´espletamento delle rispettive funzioni istituzionali, determinati servizi, specificati nell´allegato D. In particolare si tratta dei seguenti servizi: "consultazione ed estrazione", che consente di interrogare i dati dell´ANPR di competenza, secondo specifici parametri di ricerca; "comunicazione dati e variazioni anagrafiche"; "servizi accessori" (all. D, lett. B).

L´articolo 6, comma 2, dello schema specifica che l´accesso a tali servizi è consentito previa stipula di una convenzione ai sensi dell´articolo 58, comma 2, del CAD.

Com´è noto il predetto articolo 58 del CAD prevede che per agevolare la fruibilità dei dati nonché l´acquisizione d´ufficio e il controllo sulle dichiarazioni sostitutive riguardanti informazioni relative a stati, qualità personali e fatti ai sensi del dPR n. 445 del 2000, le amministrazioni titolari di banche dati accessibili per via telematica sulla base di Linee guida redatte da Digit-PA (ora Agenzia per l´Italia digitale), sentito il Garante, predispongono apposite convenzioni aperte all´adesione di tutte le pp.aa. interessate.

La predetta Agenzia (AGID) ha recentemente approvato tali linee guida (Det. Comm. n. 126/2013 DIG del 24 luglio 2013), recependo integralmente le indicazioni rese da questa Autorità nel parere (adottato il 4 luglio 2013), ivi comprese le prescrizioni in merito alle misure che i destinatari delle predette linee guida ("erogatore" e fruitore" dei dati) devono adottare, a pena di sanzione amministrativa, al fine di ridurre al minimo i rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta dei dati (paragrafo 5 delle linee guida). Peraltro, l´articolo 35, comma 3, del decreto legislativo n. 33 del 2013, in materia di pubblicità, trasparenza e diffusione di informazioni, fa espresso riferimento a tali convenzioni, denominandole "convenzioni-quadro" e disponendo che siano pubblicate sul sito istituzionale.

Si richiama l´attenzione, al riguardo, sui presupposti per l´accesso alle banche dati descritti nel provvedimento dell´AGID, quali l´esistenza di una idonea base normativa che legittimi il fruitore ad accedere alla banca dati, alla stregua dell´articolo 19, comma 2, del Codice: il carattere istituzionale della finalità perseguita dal fruitore; la selezione dei dati personali oggetto di accesso, che deve avvenire nel rispetto dei principi di pertinenza e non eccedenza delle informazioni in relazione alla predetta (legittima) finalità perseguita (paragrafo 5.5.1.1. delle linee guida). In particolare, è di notevole importanza la previsione del divieto di acquisizione dalla banca dati detenuta dall´amministrazione "erogatrice" di elenchi di soggetti, salvo eccezioni motivate e documentate nella convenzione (par. 5.5.1.2).

3.2. E´ altresì necessario integrare il medesimo articolo 6 individuando il soggetto o l´ufficio preposto alla verifica dei presupposti e delle condizioni di legittimità dell´accesso alla banca dati da parte delle amministrazioni e degli organismi che erogano pubblici servizi, sulla falsariga di quanto previsto dal regolamento di gestione dell´Indice nazionale delle anagrafi (art. 5, comma 2, d.m. 19 gennaio 2012, n. 32).

3.3. Si richiama, inoltre, sin d´ora l´attenzione dell´Amministrazione sulla necessità che l´articolo 6 sia coordinato con il disposto dell´articolo 34 del regolamento anagrafico (oggetto peraltro, come già anticipato sopra, di revisione), a norma del quale alle pp.aa.  che ne facciano motivata richiesta, per esclusivo uso di pubblica utilità, l´ufficiale di anagrafe rilascia elenchi degli iscritti nell´anagrafe.

3.4. L´articolo 5 prevede che l´ANPR renda disponibili determinati servizi –indicati nell´allegato D- ai Comuni per i quali è completato il subentro. Fra tali servizi è previsto anche l´invio telematico delle attestazioni e delle dichiarazioni di nascita e dei certificati di cui all´articolo 74 del d.P.R. n. 396 del 2000 (regolamento sullo stato civile) che pervengono ai comuni (punto A-4 dell´allegato D), con le modalità tecniche stabilite con il decreto del Ministro dell´interno previsto dall´articolo 2, comma 3, del decreto-legge n. 179 del 2012.

Al riguardo questa Autorità si riserva di fornire le indicazioni di competenza su tali modalità, per i profili inerenti alla sicurezza dei dati personali, nel parere sullo schema di decreto che dovrà essere richiesto ai sensi dell´articolo 154, comma 4, del Codice.

Infine, si richiama l´attenzione su quello che sembra essere un mero refuso, vale a dire il mancato richiamo, nell´articolo 5, dell´allegato C dello schema recante le modalità e le misure di sicurezza per l´accesso all´ANPR (il richiamo è invece opportunamente contenuto nell´omologo articolo 6, comma 1, che riguarda i servizi resi alle pp.aa.).

4. Misure di sicurezza.

4.1. Si è già sottolineata la rilevanza che tale banca dati assume sotto il profilo della protezione dei dati personali e quindi l´importanza di un equo bilanciamento delle esigenze istituzionali ad essa sottese con i diritti delle persone. Ciò rende necessario assicurare un´adeguata protezione delle informazioni registrate nell´ANPR anche per quanto riguarda la sicurezza dei dati e dei sistemi.

Sotto il profilo della sicurezza, si ritiene perciò necessario integrare lo schema con la previsione che le misure di sicurezza da adottare non sono solo quelle di cui allegato C) dello schema (come potrebbe far ritenere l´attuale formulazione dell´articolo 4, comma 1), ma innanzitutto le garanzie di sicurezza previste dal Codice. In tal senso si potrebbe perfezionare il comma 1 dell´articolo 4, aggiungendo alla fine queste parole: "adottate dal titolare del trattamento nel quadro delle più ampie misure di cui agli articoli da 31 a 36 e allegato B) del Codice".

4.2. Si ritiene poi necessario prevedere nell´allegato C) che l´istituenda ANPR sia dotata di un sistema di log analysis per l´analisi periodica dei file di log, in grado di individuare, sulla base di regole predefinite e formalizzate, eventi potenzialmente anomali e di segnalarli tramite funzionalità di alert. Tale sistema dovrebbe periodicamente generare report sintetici sulla stato di sicurezza del sistema.

Inoltre, con riferimento ai "sistemi e servizi di backup" e ai "sistemi e servizi di Disaster recovery", già previsti, l´allegato specifichi che le relative procedure devono essere esplicitate con il massimo dettaglio possibile nel piano di continuità operativa di cui all´articolo 50-bis del CAD.

4.3. L´articolo 1, comma 1, dello schema stabilisce che oggetto del regolamento sono, fra l´altro, "i criteri per l´interoperabilità dell´ANPR con le altre banche dati di rilevanza nazionale e regionale".

Al riguardo, si rileva che lo schema accenna a tali criteri mediante rinvio all´allegato tecnico del d.P.C.M. n. 109 del 2013 (all. C, punto 1) e con la previsione che nell´ANPR sono contenuti anche "gli ulteriori campi relativi ai dati di servizio necessari a garantire l´interoperabilità con le banche dati di rilevanza nazionale e regionale" (all. B, punto E)).

In questo quadro, l´Autorità auspica che regole tecniche più dettagliate in materia di interoperabilità siano adottate e rese conoscibili dalla Amministrazione competente, con le modalità ritenute più idonee, al fine di agevolare il tempestivo e puntuale adeguamento dei sistemi e delle applicazioni informatiche delle altre amministrazioni interessate, in conformità alle misure di sicurezza previste dal Codice e dall´allegato C) al presente schema di regolamento.

IL GARANTE

esprime parere favorevole sullo schema di regolamento recante modalità di attuazione e di funzionamento dell´Anagrafe Nazionale della Popolazione Residente (ANPR) e definizione del piano per il graduale subentro dell´ANPR alle anagrafi della popolazione residente, con le seguenti condizioni:

a) all´articolo 2, comma 3, si preveda che la definizione degli standard di qualità del dato siano definiti dal Ministero dell´interno e dall´Istat sentito il Garante (punto 1.2);

b) all´articolo 2, comma 2, siano individuati espressamente il soggetto o i soggetti cui sono rimessi i controlli ivi previsti (punto 1.3.);

c) l´articolo 2, comma 4, sia soppresso o sostituito con una disposizione in linea con quanto previsto dall´articolo 62, comma 3, del CAD, nei termini di cui in motivazione (punto 2.);

d) all´articolo 4, comma 1, siano aggiunte in fine le seguenti parole: "adottate dal titolare del trattamento nel quadro delle più ampie misure di cui agli articoli da 31 a 36 e allegato B) del Codice" (punto 4.1.);

e) l´articolo 6 sia integrato individuando il soggetto o l´ufficio preposto alla verifica dei presupposti e delle condizioni di legittimità dell´accesso alla banca dati, nei termini di cui in motivazione (punto 3.2.) e sia coordinato con il disposto dell´articolo 34 del regolamento anagrafico (punto 3.3.);

f) all´articolo 7, si chiarisca se il sito web cui si fa riferimento sia quello dei singoli comuni oppure un sito "dedicato" dell´ANPR o di altri soggetti (punto 1.4.);

g) l´allegato C), concernente le misure di sicurezza, sia integrato nei termini di cui al punto 4.2.;

e con le seguenti raccomandazioni:

h) valuti l´Amministrazione di adottare regole tecniche più dettagliate in materia di interoperabilità, nei termini di cui in motivazione (punto 4.3.);

i) nell´articolo 5, sia richiamato l´allegato C) (punto 3.4.).

Roma, 17 aprile 2014

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia