IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l'avv. Guido Scorza e il dott. Agostino Ghiglia, componenti, e il cons. Fabio Mattei, segretario generale; Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito «Regolamento»); Visto il codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 (decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito «Codice»); Visto l'art. 10 del regolamento, che individua le condizioni generali per il lecito trattamento dei dati personali degli interessati relativi alle condanne penali, ai reati e alle connesse misure di sicurezza; Visto l'art. 2-octies del codice, che stabilisce i principi relativi al trattamento dei dati sopraindicati, individuando le fonti nazionali presupposte (norma di legge o di regolamento) che possono legittimare il loro trattamento qualora non avvenga sotto il controllo dell'autorita' pubblica, demandando per contro al Ministro della giustizia, in loro assenza, il compito di identificare, tramite decreto, le ipotesi di relativo trattamento e le connesse garanzie; Visto il comma 6 del suddetto art. 2-octies, che attribuisce allo stesso decreto del Ministro della giustizia - adottato, limitatamente agli ambiti qui considerati, di concerto con il Ministro dell'interno al fine di individuare le tipologie dei dati trattati, gli interessati, le operazioni di trattamento eseguibili e le garanzie appropriate - il compito di autorizzare i trattamenti dei dati relativi a condanne penali, ai reati e alle connesse misure di sicurezza effettuati in attuazione di protocolli di intesa stipulati con il Ministero dell'interno o le prefetture - UTG per la prevenzione e il contrasto dei fenomeni di criminalita' organizzata; Visto l'art. 22, comma 12, del decreto legislativo n. 101/2018, che, nelle more dell'adozione del predetto decreto del Ministro della giustizia, consente il trattamento dei dati di cui all'art. 10 del regolamento, effettuato in attuazione dei protocolli di intesa sopra richiamati, «previo parere del Garante»; Visto che il suddetto decreto del Ministro della giustizia, rispetto al quale l'Autorita' ha fornito il proprio parere con il provvedimento n. 247 del 24 giugno 2021, non risulta, ad oggi, ancora emanato, ne' e' possibile prevedere i tempi per la relativa adozione; Viste le richieste provenienti dal Ministero dell'interno (e le successive interlocuzioni intercorse con quest'ultimo) con cui e' stata sollecitata l'adozione del presente parere con riferimento ai trattamenti di dati personali effettuati in attuazione di protocolli d'intesa gia' stipulati dal suddetto Ministero - o in corso di sottoscrizione - e volti ad estendere, su base volontaria, nell'ambito delle iniziative di rafforzamento della legalita' e della prevenzione delle infiltrazioni della criminalita' nelle attivita' economiche, il regime di verifiche antimafia disciplinato dal decreto legislativo 6 settembre 2011, n. 159; Vista la risoluzione del Consiglio dell'Unione europea 2004/C 116/07 relativa a un modello di protocollo che istituisce negli Stati membri partenariati tra il settore pubblico e quello privato per ridurre i danni causati dalla criminalita' organizzata; Visto il decreto legislativo 6 settembre 2011, n. 159 («Codice delle leggi antimafia e delle misure di prevenzione, nonche' nuove disposizioni in materia di documentazione antimafia, a norma degli articoli 1 e 2 della legge 13 agosto 2010, n. 136»), con particolare riferimento a quanto previsto dall'art. 83-bis («il Ministero dell'interno puo' sottoscrivere protocolli, o altre intese comunque denominate, per la prevenzione e il contrasto dei fenomeni di criminalita' organizzata, anche allo scopo di estendere convenzionalmente il ricorso alla documentazione antimafia di cui all'art. 84. I protocolli di cui al presente articolo possono essere sottoscritti anche con imprese di rilevanza strategica per l'economia nazionale nonche' con associazioni maggiormente rappresentative a livello nazionale di categorie produttive, economiche o imprenditoriali e con le organizzazioni sindacali, e possono prevedere modalita' per il rilascio della documentazione antimafia anche su richiesta di soggetti privati, nonche' determinare le soglie di valore al di sopra delle quali e' prevista l'attivazione degli obblighi previsti dai protocolli medesimi. I protocolli possono prevedere l'applicabilita' delle previsioni del presente decreto anche nei rapporti tra contraenti, pubblici o privati, e terzi, nonche' tra aderenti alle associazioni contraenti e terzi»); Visto il decreto del Presidente del Consiglio dei ministri 30 ottobre 2014, n. 193 («Regolamento recante disposizioni concernenti le modalita' di funzionamento, accesso, consultazione e collegamento con il CED, di cui all'art. 8 della legge 1° aprile 1981, n. 121, della Banca dati nazionale unica della documentazione antimafia, istituita ai sensi dell'art. 96 del decreto legislativo 6 settembre 2011, n. 159»); Vista la legge 6 novembre 2012, n. 190 («Disposizioni per la prevenzione e la repressione della corruzione e dell'illegalita' nella pubblica amministrazione»); Visto il decreto del Presidente del Consiglio dei ministri 18 aprile 2013 («Modalita' per l'istituzione e l'aggiornamento degli elenchi dei fornitori, prestatori di servizi ed esecutori non soggetti a tentativo di infiltrazione mafiosa, di cui all'art. 1, comma 52, della legge 6 novembre 2012, n. 190»); Considerato che i protocolli di legalita', gia' contemplati dall'ormai abrogato art. 21, comma 1-bis, del codice, si sono rivelati, sulla base delle indicazioni fornite dal Ministero dell'interno, strumenti utili ed efficaci nella lotta al contrasto alle infiltrazioni mafiose e della criminalita' organizzata nel tessuto economico ed imprenditoriale del Paese, contribuendo al rafforzamento della legalita' in ambito privato e alla rimozione degli ostacoli all'esercizio della libera attivita' di impresa; Considerato che i suddetti protocolli, nelle loro diverse accezioni terminologiche (protocolli di intesa; protocolli di legalita'; patti di integrita'), hanno trovato espresso riconoscimento, oltre che negli articoli della disciplina di protezione dei dati personali sopra richiamati, anche in altre specifiche disposizioni di legge (art. 83-bis del decreto legislativo 6 settembre 2011, n. 159, cit.; art. 1, comma 17, della legge 6 novembre 2012, n. 190; art. 194, comma 3, lettera d), del decreto legislativo 18 aprile 2016, n. 50); Considerato che il citato art. 2-octies, del codice, al comma 3, consente il trattamento dei dati relativi alle condanne penali, ai reati e alle connesse misure di sicurezza, fermo restando quanto previsto ai commi precedenti, se autorizzato da norme di legge o regolamento riguardanti, tra l'altro, «l'adempimento di obblighi previsti da disposizioni di legge in materia di comunicazioni e informazioni antimafia o in materia di prevenzione della delinquenza di tipo mafioso e di altre gravi forme di pericolosita' sociale, nei casi previsti da leggi o da regolamenti, o per la produzione della documentazione prescritta dalla legge per partecipare a gare d'appalto»; Considerata l'opportunita' di garantire, in un'ottica di continuita' con il passato e nelle more dell'adozione del predetto decreto del Ministro della giustizia, i trattamenti di dati di cui al menzionato art. 10 del regolamento effettuati in attuazione dei citati protocolli di intesa per la prevenzione e il contrasto dei fenomeni di criminalita' organizzata; Considerata altresi' l'opportunita' che i suddetti trattamenti, fatte salve le ulteriori e/o diverse specificazioni che verranno introdotte nel medesimo decreto in attuazione del citato art. 2-octies, comma 6, del codice, siano garantiti a valere per tutti i protocolli di intesa (stipulati e stipulandi) fino alla data di adozione del decreto stesso, secondo modalita' e limiti richiamati nel presente parere; Visto che i suddetti protocolli sono chiamati a disciplinare, previa espressa individuazione delle tipologie dei dati trattati, degli interessati e delle operazioni di trattamento eseguibili, i profili di protezione dei dati personali connessi alla loro attuazione, con particolare riferimento ai principi del trattamento, agli obblighi del titolare e degli eventuali responsabili e sub-responsabili, nonche' alle garanzie appropriate per i diritti e le liberta' degli interessati; Considerato che i titolari dei trattamenti sono competenti per il rispetto dei suddetti, obblighi principi e misure, essendo chiamati a mettere in atto misure tecniche e organizzative adeguate in base alla natura, all'ambito di applicazione, al contesto e alle finalita' del trattamento, nonche' ai relativi rischi, per garantire - ed essere in grado di dimostrare - che il trattamento e' effettuato in conformita' al regolamento (art. 5, par. 2, e 24 del regolamento); Considerato che i dati relativi a condanne penali, a reati e alle connesse misure di sicurezza, trattati in attuazione dei menzionati protocolli di intesa, possono essere raccolti e utilizzati, sulla base dell'art. 6, par. 1, del regolamento, in presenza dei presupposti normativi sopra richiamati e nei limiti previsti dalle specifiche discipline vigenti in materia (art. 5, par. 1, lettera a) del regolamento); Considerato che i dati raccolti e trattati in attuazione dei suddetti protocolli devono essere adeguati, pertinenti e strettamente necessari alle finalita' di prevenzione e contrasto dei fenomeni di criminalita' organizzata (art. 5, par. 1, lettera c) del regolamento; v. anche articoli 67, comma 8, e 84 del decreto legislativo n. 159/2011; art. 80 del decreto legislativo n. 50/2016); Considerato che i dati trattati nell'ambito dei menzionati protocolli di intesa devono essere esatti e aggiornati e non possono essere utilizzati per finalita' diverse da quelle indicate, ne' trattati in operazioni non compatibili con le medesime finalita' (art. 5, par. 1, lettere b) e d) del regolamento); Considerato che i medesimi dati devono riferirsi a soggetti/interessati specificamente individuati (articoli 85 e 91, comma 7, del decreto legislativo n. 159/2011; art. 1, comma 53, della legge n. 190/2012); Considerato che i principi di protezione dei dati, quali la minimizzazione, devono essere attuati in modo efficace fin dalla progettazione di applicazioni, servizi e prodotti e che possono essere trattati, per impostazione predefinita, solo i dati necessari per le specifiche finalita' di trattamento (art. 25 del regolamento); Rilevato, pertanto che, in attuazione del principio di minimizzazione sopra citato e tenuto anche conto delle indicazioni fornite dal Ministero dell'interno nell'ambito delle interlocuzioni che hanno preceduto l'adozione del presente provvedimento, risulta sufficiente, ai fini del raggiungimento degli obiettivi perseguiti dai citati protocolli di intesa, comunicare ai soggetti destinatari dei risultati delle verifiche la sola informazione relativa all'eventuale sussistenza (Si/No) di cause ostative al rilascio della documentazione antimafia liberatoria e/o all'eventuale censimento (Si/No) degli interessati nella Banca dati nazionale unica della documentazione antimafia, senza fornire ulteriori specificazioni; Rilevato che i dati in esame non possono essere diffusi, ne' formare oggetto di ulteriore comunicazione, fatta eccezione per quella effettuata in adempimento di eventuali obblighi di legge o regolamento, ovvero per ottemperare a specifiche richieste delle pubbliche autorita'; Considerato che i titolari dei trattamenti sono comunque tenuti a rendere agli interessati un'idonea informativa preventiva (articoli 13 e 14 del regolamento), di norma in occasione della stipula dei singoli rapporti contrattuali con le parti coinvolte dalle verifiche; Considerato che i protocolli di intesa di cui al presente parere debbano essere resi conoscibili da chiunque mediante adeguate forme di pubblicita' (ad esempio anche mediante diffusione attraverso i siti web delle associazioni di categoria aderenti); Considerato che i dati raccolti in attuazione dei suddetti protocolli devono essere conservati per il periodo di tempo espressamente determinato nell'ambito degli stessi, comunque non superiore a quello strettamente necessario per il conseguimento delle finalita' specificatamente previste dagli stessi (art. 5, par. 1, lettera e) del regolamento); Considerato che i titolari dei trattamenti devono assicurare che l'accesso ai dati sia riservato ai soli soggetti specificamente autorizzati ai sensi dell'art. 29 del regolamento, prevedendo, altresi', idonee misure di sicurezza adeguate al rischio e tenendo a tal fine conto dello stato dell'arte, dei costi di attuazione, della delicata natura dei dati in esame, del contesto, dell'oggetto e delle specifiche finalita' del trattamento qui considerate, nonche' del rischio gravante sugli interessati (art. 32 del regolamento); Ritenuto che, nel rispetto delle condizioni sopra indicate, e nei limiti previsti dal presente parere, possano essere consentiti, in attesa che venga adottato il previsto decreto da parte del Ministro della giustizia, i trattamenti dei dati personali relativi a condanne penali, a reati o a connesse misure di sicurezza effettuati dai titolari in attuazione dei protocolli di intesa stipulati e stipulandi con il Ministero dell'interno o con le prefetture - UTG per la prevenzione e il contrasto dei fenomeni di criminalita' organizzata in ambito privato; Esaminata la documentazione in atti; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore la prof.ssa Ginevra Cerrina Feroni;
Tutto cio' premesso, il Garante:
a) ai sensi degli articoli 57, par. 1, lettere c) e v), e 58, par. 3, lettera b), del regolamento, dell'art. 2-octies, comma 6, del codice e dell'art. 22, comma 12, del decreto legislativo n. 101/2018, esprime parere nei termini di cui in motivazione, ferma restando la necessita' di adeguare i protocolli gia' stipulati alle indicazioni di cui in narrativa; b) dispone la pubblicazione del presente parere nella Gazzetta Ufficiale della Repubblica italiana. Roma, 22 luglio 2021
Il Presidente Stanzione
Il relatore Cerrina Feroni
Il segretario generale Mattei |