IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni,
vicepresidente, l'avv. Guido Scorza e il dott. Agostino Ghiglia,
componenti, e il cons. Fabio Mattei, segretario generale;
Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016 (di seguito «Regolamento»);
Visto il codice in materia di protezione dei dati personali,
recante disposizioni per l'adeguamento dell'ordinamento nazionale al
regolamento (UE) n. 2016/679 (decreto legislativo 30 giugno 2003, n.
196, come modificato dal decreto legislativo 10 agosto 2018, n. 101,
di seguito «Codice»);
Visto l'art. 10 del regolamento, che individua le condizioni
generali per il lecito trattamento dei dati personali degli
interessati relativi alle condanne penali, ai reati e alle connesse
misure di sicurezza;
Visto l'art. 2-octies del codice, che stabilisce i principi
relativi al trattamento dei dati sopraindicati, individuando le fonti
nazionali presupposte (norma di legge o di regolamento) che possono
legittimare il loro trattamento qualora non avvenga sotto il
controllo dell'autorita' pubblica, demandando per contro al Ministro
della giustizia, in loro assenza, il compito di identificare, tramite
decreto, le ipotesi di relativo trattamento e le connesse garanzie;
Visto il comma 6 del suddetto art. 2-octies, che attribuisce allo
stesso decreto del Ministro della giustizia - adottato, limitatamente
agli ambiti qui considerati, di concerto con il Ministro dell'interno
al fine di individuare le tipologie dei dati trattati, gli
interessati, le operazioni di trattamento eseguibili e le garanzie
appropriate - il compito di autorizzare i trattamenti dei dati
relativi a condanne penali, ai reati e alle connesse misure di
sicurezza effettuati in attuazione di protocolli di intesa stipulati
con il Ministero dell'interno o le prefetture - UTG per la
prevenzione e il contrasto dei fenomeni di criminalita' organizzata;
Visto l'art. 22, comma 12, del decreto legislativo n. 101/2018,
che, nelle more dell'adozione del predetto decreto del Ministro della
giustizia, consente il trattamento dei dati di cui all'art. 10 del
regolamento, effettuato in attuazione dei protocolli di intesa sopra
richiamati, «previo parere del Garante»;
Visto che il suddetto decreto del Ministro della giustizia,
rispetto al quale l'Autorita' ha fornito il proprio parere con il
provvedimento n. 247 del 24 giugno 2021, non risulta, ad oggi, ancora
emanato, ne' e' possibile prevedere i tempi per la relativa adozione;
Viste le richieste provenienti dal Ministero dell'interno (e le
successive interlocuzioni intercorse con quest'ultimo) con cui e'
stata sollecitata l'adozione del presente parere con riferimento ai
trattamenti di dati personali effettuati in attuazione di protocolli
d'intesa gia' stipulati dal suddetto Ministero - o in corso di
sottoscrizione - e volti ad estendere, su base volontaria,
nell'ambito delle iniziative di rafforzamento della legalita' e della
prevenzione delle infiltrazioni della criminalita' nelle attivita'
economiche, il regime di verifiche antimafia disciplinato dal decreto
legislativo 6 settembre 2011, n. 159;
Vista la risoluzione del Consiglio dell'Unione europea 2004/C
116/07 relativa a un modello di protocollo che istituisce negli Stati
membri partenariati tra il settore pubblico e quello privato per
ridurre i danni causati dalla criminalita' organizzata;
Visto il decreto legislativo 6 settembre 2011, n. 159 («Codice
delle leggi antimafia e delle misure di prevenzione, nonche' nuove
disposizioni in materia di documentazione antimafia, a norma degli
articoli 1 e 2 della legge 13 agosto 2010, n. 136»), con particolare
riferimento a quanto previsto dall'art. 83-bis («il Ministero
dell'interno puo' sottoscrivere protocolli, o altre intese comunque
denominate, per la prevenzione e il contrasto dei fenomeni di
criminalita' organizzata, anche allo scopo di estendere
convenzionalmente il ricorso alla documentazione antimafia di cui
all'art. 84. I protocolli di cui al presente articolo possono essere
sottoscritti anche con imprese di rilevanza strategica per l'economia
nazionale nonche' con associazioni maggiormente rappresentative a
livello nazionale di categorie produttive, economiche o
imprenditoriali e con le organizzazioni sindacali, e possono
prevedere modalita' per il rilascio della documentazione antimafia
anche su richiesta di soggetti privati, nonche' determinare le soglie
di valore al di sopra delle quali e' prevista l'attivazione degli
obblighi previsti dai protocolli medesimi. I protocolli possono
prevedere l'applicabilita' delle previsioni del presente decreto
anche nei rapporti tra contraenti, pubblici o privati, e terzi,
nonche' tra aderenti alle associazioni contraenti e terzi»);
Visto il decreto del Presidente del Consiglio dei ministri 30
ottobre 2014, n. 193 («Regolamento recante disposizioni concernenti
le modalita' di funzionamento, accesso, consultazione e collegamento
con il CED, di cui all'art. 8 della legge 1° aprile 1981, n. 121,
della Banca dati nazionale unica della documentazione antimafia,
istituita ai sensi dell'art. 96 del decreto legislativo 6 settembre
2011, n. 159»);
Vista la legge 6 novembre 2012, n. 190 («Disposizioni per la
prevenzione e la repressione della corruzione e dell'illegalita'
nella pubblica amministrazione»);
Visto il decreto del Presidente del Consiglio dei ministri 18
aprile 2013 («Modalita' per l'istituzione e l'aggiornamento degli
elenchi dei fornitori, prestatori di servizi ed esecutori non
soggetti a tentativo di infiltrazione mafiosa, di cui all'art. 1,
comma 52, della legge 6 novembre 2012, n. 190»);
Considerato che i protocolli di legalita', gia' contemplati
dall'ormai abrogato art. 21, comma 1-bis, del codice, si sono
rivelati, sulla base delle indicazioni fornite dal Ministero
dell'interno, strumenti utili ed efficaci nella lotta al contrasto
alle infiltrazioni mafiose e della criminalita' organizzata nel
tessuto economico ed imprenditoriale del Paese, contribuendo al
rafforzamento della legalita' in ambito privato e alla rimozione
degli ostacoli all'esercizio della libera attivita' di impresa;
Considerato che i suddetti protocolli, nelle loro diverse accezioni
terminologiche (protocolli di intesa; protocolli di legalita'; patti
di integrita'), hanno trovato espresso riconoscimento, oltre che
negli articoli della disciplina di protezione dei dati personali
sopra richiamati, anche in altre specifiche disposizioni di legge
(art. 83-bis del decreto legislativo 6 settembre 2011, n. 159, cit.;
art. 1, comma 17, della legge 6 novembre 2012, n. 190; art. 194,
comma 3, lettera d), del decreto legislativo 18 aprile 2016, n. 50);
Considerato che il citato art. 2-octies, del codice, al comma 3,
consente il trattamento dei dati relativi alle condanne penali, ai
reati e alle connesse misure di sicurezza, fermo restando quanto
previsto ai commi precedenti, se autorizzato da norme di legge o
regolamento riguardanti, tra l'altro, «l'adempimento di obblighi
previsti da disposizioni di legge in materia di comunicazioni e
informazioni antimafia o in materia di prevenzione della delinquenza
di tipo mafioso e di altre gravi forme di pericolosita' sociale, nei
casi previsti da leggi o da regolamenti, o per la produzione della
documentazione prescritta dalla legge per partecipare a gare
d'appalto»;
Considerata l'opportunita' di garantire, in un'ottica di
continuita' con il passato e nelle more dell'adozione del predetto
decreto del Ministro della giustizia, i trattamenti di dati di cui al
menzionato art. 10 del regolamento effettuati in attuazione dei
citati protocolli di intesa per la prevenzione e il contrasto dei
fenomeni di criminalita' organizzata;
Considerata altresi' l'opportunita' che i suddetti trattamenti,
fatte salve le ulteriori e/o diverse specificazioni che verranno
introdotte nel medesimo decreto in attuazione del citato art.
2-octies, comma 6, del codice, siano garantiti a valere per tutti i
protocolli di intesa (stipulati e stipulandi) fino alla data di
adozione del decreto stesso, secondo modalita' e limiti richiamati
nel presente parere;
Visto che i suddetti protocolli sono chiamati a disciplinare,
previa espressa individuazione delle tipologie dei dati trattati,
degli interessati e delle operazioni di trattamento eseguibili, i
profili di protezione dei dati personali connessi alla loro
attuazione, con particolare riferimento ai principi del trattamento,
agli obblighi del titolare e degli eventuali responsabili e
sub-responsabili, nonche' alle garanzie appropriate per i diritti e
le liberta' degli interessati;
Considerato che i titolari dei trattamenti sono competenti per il
rispetto dei suddetti, obblighi principi e misure, essendo chiamati a
mettere in atto misure tecniche e organizzative adeguate in base alla
natura, all'ambito di applicazione, al contesto e alle finalita' del
trattamento, nonche' ai relativi rischi, per garantire - ed essere in
grado di dimostrare - che il trattamento e' effettuato in conformita'
al regolamento (art. 5, par. 2, e 24 del regolamento);
Considerato che i dati relativi a condanne penali, a reati e alle
connesse misure di sicurezza, trattati in attuazione dei menzionati
protocolli di intesa, possono essere raccolti e utilizzati, sulla
base dell'art. 6, par. 1, del regolamento, in presenza dei
presupposti normativi sopra richiamati e nei limiti previsti dalle
specifiche discipline vigenti in materia (art. 5, par. 1, lettera a)
del regolamento);
Considerato che i dati raccolti e trattati in attuazione dei
suddetti protocolli devono essere adeguati, pertinenti e strettamente
necessari alle finalita' di prevenzione e contrasto dei fenomeni di
criminalita' organizzata (art. 5, par. 1, lettera c) del regolamento;
v. anche articoli 67, comma 8, e 84 del decreto legislativo n.
159/2011; art. 80 del decreto legislativo n. 50/2016);
Considerato che i dati trattati nell'ambito dei menzionati
protocolli di intesa devono essere esatti e aggiornati e non possono
essere utilizzati per finalita' diverse da quelle indicate, ne'
trattati in operazioni non compatibili con le medesime finalita'
(art. 5, par. 1, lettere b) e d) del regolamento);
Considerato che i medesimi dati devono riferirsi a
soggetti/interessati specificamente individuati (articoli 85 e 91,
comma 7, del decreto legislativo n. 159/2011; art. 1, comma 53, della
legge n. 190/2012);
Considerato che i principi di protezione dei dati, quali la
minimizzazione, devono essere attuati in modo efficace fin dalla
progettazione di applicazioni, servizi e prodotti e che possono
essere trattati, per impostazione predefinita, solo i dati necessari
per le specifiche finalita' di trattamento (art. 25 del regolamento);
Rilevato, pertanto che, in attuazione del principio di
minimizzazione sopra citato e tenuto anche conto delle indicazioni
fornite dal Ministero dell'interno nell'ambito delle interlocuzioni
che hanno preceduto l'adozione del presente provvedimento, risulta
sufficiente, ai fini del raggiungimento degli obiettivi perseguiti
dai citati protocolli di intesa, comunicare ai soggetti destinatari
dei risultati delle verifiche la sola informazione relativa
all'eventuale sussistenza (Si/No) di cause ostative al rilascio della
documentazione antimafia liberatoria e/o all'eventuale censimento
(Si/No) degli interessati nella Banca dati nazionale unica della
documentazione antimafia, senza fornire ulteriori specificazioni;
Rilevato che i dati in esame non possono essere diffusi, ne'
formare oggetto di ulteriore comunicazione, fatta eccezione per
quella effettuata in adempimento di eventuali obblighi di legge o
regolamento, ovvero per ottemperare a specifiche richieste delle
pubbliche autorita';
Considerato che i titolari dei trattamenti sono comunque tenuti a
rendere agli interessati un'idonea informativa preventiva (articoli
13 e 14 del regolamento), di norma in occasione della stipula dei
singoli rapporti contrattuali con le parti coinvolte dalle verifiche;
Considerato che i protocolli di intesa di cui al presente parere
debbano essere resi conoscibili da chiunque mediante adeguate forme
di pubblicita' (ad esempio anche mediante diffusione attraverso i
siti web delle associazioni di categoria aderenti);
Considerato che i dati raccolti in attuazione dei suddetti
protocolli devono essere conservati per il periodo di tempo
espressamente determinato nell'ambito degli stessi, comunque non
superiore a quello strettamente necessario per il conseguimento delle
finalita' specificatamente previste dagli stessi (art. 5, par. 1,
lettera e) del regolamento);
Considerato che i titolari dei trattamenti devono assicurare che
l'accesso ai dati sia riservato ai soli soggetti specificamente
autorizzati ai sensi dell'art. 29 del regolamento, prevedendo,
altresi', idonee misure di sicurezza adeguate al rischio e tenendo a
tal fine conto dello stato dell'arte, dei costi di attuazione, della
delicata natura dei dati in esame, del contesto, dell'oggetto e delle
specifiche finalita' del trattamento qui considerate, nonche' del
rischio gravante sugli interessati (art. 32 del regolamento);
Ritenuto che, nel rispetto delle condizioni sopra indicate, e nei
limiti previsti dal presente parere, possano essere consentiti, in
attesa che venga adottato il previsto decreto da parte del Ministro
della giustizia, i trattamenti dei dati personali relativi a condanne
penali, a reati o a connesse misure di sicurezza effettuati dai
titolari in attuazione dei protocolli di intesa stipulati e
stipulandi con il Ministero dell'interno o con le prefetture - UTG
per la prevenzione e il contrasto dei fenomeni di criminalita'
organizzata in ambito privato;
Esaminata la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la prof.ssa Ginevra Cerrina Feroni;
Tutto cio' premesso, il Garante:
a) ai sensi degli articoli 57, par. 1, lettere c) e v), e 58,
par. 3, lettera b), del regolamento, dell'art. 2-octies, comma 6, del
codice e dell'art. 22, comma 12, del decreto legislativo n. 101/2018,
esprime parere nei termini di cui in motivazione, ferma restando la
necessita' di adeguare i protocolli gia' stipulati alle indicazioni
di cui in narrativa;
b) dispone la pubblicazione del presente parere nella Gazzetta
Ufficiale della Repubblica italiana.
Roma, 22 luglio 2021
Il Presidente
Stanzione
Il relatore
Cerrina Feroni
Il segretario generale
Mattei