IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del prof. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del
dott. Giovanni Buttarelli, segretario generale;
Viste le segnalazioni pervenute in ordine all'utilizzazione
illecita di dati personali estratti da banche dati anagrafiche del
comune di Roma;
Viste le osservazioni formulate dal segretario generale, ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
Premesso:
Il Garante ha eseguito alcuni accertamenti ispettivi a seguito di
segnalazioni concernenti accessi illeciti a dati anagrafici detenuti
presso il comune di Roma, nonche' il rispetto delle misure di
sicurezza nel trattamento dei dati, in correlazione ad un caso di
falsa sottoscrizione di candidature alle elezioni regionali del 3 e
4 aprile 2005.
Gli accertamenti effettuati anche nell'esercizio di funzioni di
polizia giudiziaria hanno fatto emergere notizie di reato che sono
state comunicate alla competente autorita' giudiziaria.
La violazione degli obblighi e delle garanzie richiamate dal Codice
in materia di protezione dei dati personali risulta gia' accertata in
base agli atti acquisiti dal Garante, a prescindere da ogni eventuale
responsabilita' penale per gli illeciti configurabili.
Tra il 9 e il 14 marzo di quest'anno, presso Laziomatica S.p.a.
(societa' per azioni a prevalente capitale regionale istituita dalla
regione Lazio, che le ha affidato la gestione del Sistema informativo
regionale - S.I.R.: vedasi legge regionale 3 agosto 2001, n. 20),
risultano infatti effettuati alcuni accessi illeciti - per finalita'
e con modalita' non consentite - ad un data-base anagrafico del
Comune di Roma che la regione era stata autorizzata a consultare solo
per alcune finalita' sanitarie, sulla base di un protocollo di
intesa.
Le persone che hanno agito presso tale societa' hanno provveduto,
senza averne titolo, ad accogliere la richiesta di un avvocato (che
avrebbe potuto essere presentata solo al Comune), con la quale si
chiedeva di applicare la disciplina sulle c.d. indagini difensive
(art. 391-quater c.p.p.).
Gli accessi in grande quantita', effettuati in singolari
circostanze (utilizzo di password altrui; consultazioni in orari non
di servizio, notturni e festivi; asseriti interventi di manutenzione
straordinaria che hanno determinato la cancellazione di dati di
tracciamento di accessi), hanno permesso di consultare ed utilizzare
illecitamente vari dati personali inerenti anche a documenti di
identita', per finalita' diverse da quelle per le quali i dati
anagrafici erano stati resi accessibili alla regione.
Gli accertamenti effettuati dal Garante sulla base di una
segnalazione sono stati estesi anche alla sicurezza dei dati presso i
data-base anagrafici del Comune di Roma, ove e' emerso il mancato
aggiornamento del documento programmatico di sicurezza (di cui e'
stata data notizia, anche in questo caso, all'autorita' giudiziaria
con denuncia di reato nei riguardi dei competenti dirigenti),
unitamente ad alcune inosservanze della disciplina applicabile alla
gestione dell'anagrafe della popolazione residente.
A conclusione del complesso procedimento, il Garante dichiara
accertate con il presente provvedimento le violazioni intercorse
relativamente ai profili di propria competenza, e prescrive alla
predetta societa' e agli enti direttamente interessati le misure
necessarie per conformare i trattamenti di dati personali alle
disposizioni vigenti. Analoghe prescrizioni vengono impartite in
termini generali a tutti i comuni per quanto riguarda la
consultazione diretta degli atti anagrafici.
1. Regione Lazio e Laziomatica S.p.a.
A prescindere dai fatti sopra riassunti, e' risultato accertato che
Laziomatica S.p.a. abbia comunque trattato illecitamente, nell'ambito
dell'attivita' svolta per conto della regione, i dati personali
provenienti dai data-base anagrafici del Comune di Roma.
Come premesso, il rapporto regione-comune si e' basato su un
«Protocollo di intesa per la cooperazione nello sviluppo dei servizi
al cittadino» stipulato il 12 maggio 2004, che prevede uno scambio di
dati tra i due enti per verifiche attinenti solo a prestazioni
sanitarie (ticket, scelta del medico), inclusivo di un accesso
diretto anche a dati anagrafici detenuti dal Comune.
Tali verifiche sono state affidate dalla regione a Laziomatica
S.p.a. sulla base di una convenzione stipulata nel 2003, con la quale
si e' conferito alla societa' il compito di consultare on-line i
predetti dati anagrafici.
I profili di illiceita' emersi sono i seguenti:
a) sono risultate comprovate, anzitutto, alcune inosservanze
della convenzione stessa: la societa' ha infatti violato la clausola
che la impegna a non rivelare od utilizzare notizie, informazioni e
dati messi a disposizione dalla regione per finalita' diverse da
quelle stabilite nella convenzione medesima, e non ha altresi'
rispettato il distinto impegno contrattuale ad osservare le
disposizioni in materia di trattamento dei dati personali;
b) in secondo luogo, sono state violate le disposizioni normative
sul responsabile del trattamento. All'apparente designazione in tal
senso della societa' - pur menzionata nella convenzione - non ha
fatto seguito, come necessario, ne' l'elencazione scritta dei compiti
affidati rispetto al trattamento dei dati, ne' l'indicazione delle
istruzioni operative (art. 29 del Codice). La societa' ha anche
legittimato all'accesso diretto ulteriori utenti esterni presso altri
organismi come le aziende sanitarie locali.
Pertanto, la regione Lazio (che aveva adottato solo un documento di
carattere generale sulle misure di sicurezza presso le strutture
della giunta regionale, applicabile ai responsabili del trattamento)
potra' continuare ad avvalersi lecitamente della collaborazione della
societa' a condizione che alla designazione di quest'ultima quale
responsabile (designazione che in passato e' stata al piu' puramente
nominale), conseguano prontamente sia la specificazione analitica dei
predetti compiti e istruzioni, sia una vigilanza sulla loro
osservanza anche in ordine alla sicurezza dei dati.
Nessuna persona fisica, operante presso la societa' o la regione,
potra' trattare i dati personali comunicati dal comune di Roma senza
essere stata previamente designata quale incaricato, in conformita'
al Codice, anche per quanto riguarda l'individuazione del trattamento
consentito e le istruzioni da impartire (art. 30 del Codice);
c) la regione ha avuto accesso ai dati anagrafici provenienti dal
Comune di Roma con modalita' non consentite. Unitamente
all'interrogazione on-line di alcuni servizi (documenti; carte di
identita', leva militare, vaccinazioni), il predetto Protocollo di
intesa ha infatti previsto che la regione, direttamente o per il
tramite della societa', possa accedere on-line ai dati di origine
comunale che la disciplina anagrafica consente invece di ottenere
solo con le modalita' e con le cautele illustrate piu' avanti.
Il Protocollo di intesa deve essere quindi rivisto, prevedendo nel
congruo termine di cui al seguente dispositivo una diversa modalita'
di comunicazione dei dati di provenienza comunale, analogamente a
quanto dovra' essere disposto, a cura del Comune di Roma, nei
riguardi di altri enti ed amministrazioni. Tale revisione, unitamente
a quella concernente il rapporto con Laziomatica S.p.a., dovra'
essere eseguita nel termine di cui al dispositivo dandone esaustiva
comunicazione a questa Autorita'.
2. La gestione del sistema informativo anagrafico del comune di Roma.
In base alle disposizioni dell'ordinamento anagrafico, l'ufficiale
d'anagrafe puo' rilasciare attestazioni o certificazioni
relativamente al contenuto delle schede che compongono l'anagrafe
della popolazione residente, ed entro certi limiti puo' anche
rilasciare elenchi. Ad eccezione del personale autorizzato delle
forze di polizia, le medesime schede non possono essere invece
consultate direttamente da parte di chiunque, anche facente parte del
personale comunale, sia estraneo all'ufficio di anagrafe (articoli 1,
33, 34 e 37 del decreto del Presidente della Repubblica 30 maggio
1989, n. 223).
Piu' specificamente, gli ufficiali d'anagrafe rilasciano a chiunque
ne faccia richiesta «certificati concernenti la residenza e lo stato
di famiglia», mentre le altre notizie desumibili dagli atti
anagrafici (ad eccezione di quelle riportate nelle schede anagrafiche
concernenti, ad esempio, la professione, arte o mestiere, la
condizione non professionale, il titolo di studio), possono essere
oggetto di attestazione o certificazione, d'ordine del sindaco,
«qualora non vi ostino gravi o particolari esigenze di pubblico
interesse» (art. 33, commi 1 e 2, del decreto del Presidente della
Repubblica n. 223/1989). L'ufficiale di anagrafe rilascia elenchi
degli iscritti nell'anagrafe della popolazione residente, ma solo ad
«amministrazioni pubbliche che ne facciano motivata richiesta, per
esclusivo uso di pubblica utilita». Tale utilizzo e' consentito anche
da parte del comune che detiene i dati, per fini di comunicazione
istituzionale, ma sempre su motivata richiesta questa volta «interna»
all'ente (art. 177, comma 1, del Codice). Altri soggetti anche
privati possono ottenere solo dati anagrafici resi anonimi ed
aggregati, su richiesta per fini statistici e di ricerca (art. 34,
commi 1 e 2 del decreto del Presidente della Repubblica n. 223/1989).
Queste disposizioni riguardano il particolare contesto degli atti
anagrafici, i quali giustificano soluzioni specifiche per quanto
riguarda le modalita' della loro consultazione. Tale specificita'
mantiene attualita' in un quadro di sistema che prevede
opportunamente misure generali di semplificazione dell'azione
amministrativa mediante flussi di dati, trasmissioni o consultazioni
telematiche di dati ed archivi (articoli 2, comma 5, della legge
15 maggio 1997, n. 127; art. 43 del decreto del Presidente della
Repubblica 28 dicembre 2000, n. 445).
In termini generali, il Codice non ha inciso sulla portata delle
predette disposizioni sull'anagrafe della popolazione. Il Codice ha
pero' ribadito la necessita' del perdurante rispetto delle vigenti
norme che regolano la conoscibilita' e la pubblicita' di taluni atti
(cfr., ad es., gli articoli 19, comma 3, 24, comma 1, lettera c), 59
e 61 del Codice), che subordinano la consultazione di materiale
documentale al rispetto di determinati limiti temporali (ad es., con
esclusione dei periodi in cui un elenco e' in fase di aggiornamento),
soggettivi, oppure di talune modalita' (ad es., documentazione
dell'identita' del soggetto che intende consultare un registro) o
finalita' (es.: fini statistici e di ricerca).
Gli accertamenti effettuati hanno evidenziato che nella prassi
amministrativa osservata presso il comune di Roma nei rapporti con
numerosi enti, inclusa la regione, tale quadro normativo non e' stato
invece preso nella dovuta considerazione, essendosi consentita la
consultazione diretta per via telematica di dati anagrafici mediante
lo stesso meccanismo di «anagrafe aperta» impropriamente utilizzato
per la regione Lazio.
Riportando i dati anagrafici in una «data-base popolazione»
contenente anche numerose altre informazioni (relative anche a
«vaccinazioni, elettorale, leva militare», dati relativi alla carta
d'identita' ed al codice fiscale), si e' realizzato un sistema
telematico che prevede, anzitutto, un'impropria consultazione diretta
di dati anagrafici da parte di altro personale comunale non facente
parte dei servizi di anagrafe e di stato civile (centrali e dei
municipi).
La consultazione diretta dei dati anagrafici per via telematica
viene inoltre consentita a numerosi soggetti esterni al Comune di
Roma (amministrazioni centrali, militari e sanitarie; uffici
giudiziari ed enti locali; ecc.), senza peraltro verificare sempre e
compiutamente ne' la concreta motivazione di pubblica utilita' in
base alla quale viene richiesto di conoscere i dati, ne' le singole
utilizzazioni dei dati consentite a regime presso enti a struttura
complessa che perseguono differenti finalita'. Le procedure di
abilitazione all'accesso non soddisfano compiutamente l'esigenza di
ottenere la comunicazione dei dati in rapporto solo ad una specifica
attivita' funzionale svolta dal soggetto richiedente. Un ampio numero
di utenti e' stato infine abilitato in base ad un'istruttoria non
approfondita o per utenze per diverso tempo inattive oppure
disponibili a soggetti non agevolmente contattabili. Tali criticita'
sussistono anche nei riguardi di utenti abilitati soltanto alla
consultazione dei dati e non anche a modificarli, e sono piu' marcate
nei confronti di soggetti posti in condizione di operare diversi tipi
di interrogazione del sistema, oppure di abilitare a loro volta -
senza titolo - all'accesso ulteriori utenti.
In sostituzione di tali procedure, il Comune di Roma dovra'
pertanto individuare entro il congruo termine di cui al seguente
dispositivo un diverso meccanismo che, pur permettendo di comunicare
i dati richiesti anche con strumenti automatizzati e per via
telematica (e, quindi, di perseguire le finalita' di snellimento ed
efficienza dell'azione amministrativa a supporto del cittadino). Le
richieste di certificazione o attestazione, oppure di rilascio di
elenchi ad amministrazioni pubbliche motivato da ragioni accertate di
pubblica utilita', potranno essere inoltrate e riscontrate anche
automaticamente, per via telematica, escludendo pero' la
consultazione diretta, anche on-line, degli atti di provenienza
anagrafica da parte di soggetti interni ed esterni diversi da quelli
preposti all'ufficio anagrafe. Dovra' altresi' aversi cura di:
a) verificare piu' attentamente la qualifica soggettiva dei
richiedenti e la motivazione di pubblica utilita' da essi perseguita;
b) porre maggiore attenzione a presupposti, limiti e modalita'
previste dalla disciplina che riguarda singoli atti e documenti
(cfr., per i dati sulle vaccinazioni, art. 4 della legge 4 febbraio
1966, n. 51; art. 3 della legge 5 marzo 1963, n. 292; per il servizio
elettorale, art. 51 del decreto del Presidente della Repubblica
20 marzo 1967, n. 223; per la carta d'identita', art. 289 del regio
decreto 6 maggio 1940, n. 635; per le liste di leva, articoli 37 e 48
del decreto del Presidente della Repubblica 14 febbraio 1964, n.
237);
c) individuare soluzioni piu' idonee per consentire il
tracciamento di operazioni di richiesta e di comunicazione di dati
presso postazioni di lavoro individuate e da parte di utenti
parimenti identificati, monitorando utilizzi impropri e prevenendo
accessi multipli realizzati utilizzando una stessa chiave di accesso
presso piu' postazioni di lavoro.
Nel conformare a norma i trattamenti di dati anagrafici, il comune
dovra' altresi':
d) escludere soggetti privati esterni dalla facolta' di
consultare direttamente i dati, di acquisirne elenchi su richiesta e
di abilitare all'accesso altri soggetti. Nel caso in cui tali
soggetti privati comprovino la qualita' di effettivi responsabili del
trattamento per conto di soggetti pubblici, il rilascio anche
informatico di elenchi dovra' essere regolato in primo luogo con il
soggetto pubblico, verificando anche l'effettivo rispetto delle
modalita' richiamate a proposito del rapporto tra titolare e
responsabile del trattamento;
e) rivedere l'attuale configurazione della gestione in
outsourcing del servizio anagrafico, attualmente affidata ad
associazioni temporanee di imprese di ampie dimensioni. Dovranno
essere adeguate al Codice le prassi seguite per la specificazione dei
compiti, per impartire istruzioni riguardo al trattamento dei dati e
per la vigilanza anche tramite verifiche periodiche, coordinata con
mezzi e soluzioni adeguate alla delicatezza e alla complessita' delle
questioni trattate e dei flussi di dati.
Le misure da adottare per ottemperare alle predette prescrizioni
dovranno essere eseguite nel termine di cui al dispositivo dandone
esaustiva comunicazione a questa Autorita'.
3. Il trattamento di dati anagrafici da parte delle amministrazioni
comunali.
Il Garante ritiene necessario prescrivere a tutte le
amministrazioni comunali di conformare il trattamento dei dati
anagrafici ai principi ed ai limiti richiamati in questa sede. Si
sottolinea, in particolare, la necessita' di escludere che, nel
fornire ad amministrazioni pubbliche elenchi di dati anagrafici per
motivi di pubblica utilita', anche telematicamente o attuando
mediante convenzioni flussi di dati verso altri soggetti pubblici
(art. 2, comma 5, della legge n. 127/1997), si permetta di consultare
direttamente i dati dell'anagrafe della popolazione, riportati sia
nelle schede anagrafiche informatiche, sia in eventuali elenchi
duplicati in data-base di «lavoro».
Tutto cio' premesso,
IL GARANTE
ai sensi dell'art. 154, comma 1, lettera c), del Codice, prescrive:
a) alla regione Lazio, a Laziomatica S.p.a. e al comune di Roma
di conformare, ove non vi abbiano gia' provveduto in termini conformi
a quanto indicato, i trattamenti di dati personali alle disposizioni
e ai principi sopra richiamati, procedendo all'attuazione delle
misure indicate in motivazione entro centottanta giorni dalla data di
ricezione del presente provvedimento;
b) a tutti i comuni di adottare tali misure parimenti necessarie
per conformare i trattamenti di dati anagrafici ai principi
richiamati nel presente provvedimento;
c) dispone che copia del presente provvedimento sia trasmessa al
Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per
la sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana ai sensi dell'art. 143, comma 2, del Codice.
Roma, 6 ottobre 2005
Il presidente e relatore
Pizzetti
Il segretario generale
Buttarelli