IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott. ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;
Visti i quesiti sottoposti dal Ministero della difesa;
Visto il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Antonello Soro;
PREMESSO
Con nota dell'Ufficio legislativo del Ministero della difesa sono stati sottoposti al Garante alcuni quesiti in ordine alla legittimità del trattamento di dati personali correlato alle operazioni militari svolte all'estero, che coinvolgono militari italiani. In particolare, il trattamento prospettato dovrebbe riguardare anche dati personali biometrici (impronte digitali e iride) di detti soggetti, nonché di militari stranieri e di altre persone fisiche, per finalità di identificazione delle persone, nonché di controllo degli accessi alle installazioni militari.
1. L'ambito di applicazione del Codice in materia di protezione dei dati personali.
Il primo profilo da chiarire concerne l'ambito di applicazione del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196 (di seguito: "Codice"). In proposito, l'articolo 5, comma 1, dispone che il Codice "disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato" (criterio del luogo di stabilimento del titolare del trattamento, di cui all'articolo 4 della direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali).
A mente delle menzionate previsioni, il Codice troverà applicazione non solo nel territorio dello Stato italiano, ma anche in quei luoghi che, a norma del diritto internazionale pubblico, sono comunque soggetti al diritto nazionale.
Pertanto, in linea di principio e salvo i necessari distinguo, il trattamento a bordo delle navi militari italiane potrà ricadere nel campo di applicazione del Codice, atteso che ai sensi del diritto internazionale pubblico, di norma, le navi militari sono soggette alla sovranità dello Stato di bandiera (cfr. la Convenzione di Montego Bay del 1982 sui diritti del mare).
Per quanto riguarda le basi militari, si può comunque sostenere- in virtù della summenzionata interpretazione estensiva del termine "sovranità dello Stato"- che in tali luoghi al trattamento dei dati personali si applicherà il Codice ove non siano sottoposti alla giurisdizione dello Stato di sede (o alla giurisdizione di qualsiasi altro Stato ovvero, in caso di missioni internazionali, alle specifiche regole dell'organizzazione internazionale cui la missione fa capo).
Naturalmente ciò vale- si ribadisce- solamente in linea di massima, poiché quanto affermato potrà essere diversamente disciplinato dal diritto internazionale consuetudinario e da quello pattizio, sia per individuare l'ambito di autonomia riconosciuto agli Stati partecipanti alla missione, sia per stabilire il regime giuridico applicabile ai militari impiegati (eventuali accordi bilaterali esistenti tra lo Stato titolare della base militare e lo Stato di sede; normativa internazionale che disciplina la specifica missione, anche sotto il profilo della partecipazione di militari italiani a contingenti ricomprendenti forze appartenenti ad altri Paesi: si pensi agli accordi sullo status delle missioni, i c.d. Sofa).
Dal punto di vista soggettivo, il Codice potrà trovare applicazione allorché il trattamento dei dati personali faccia capo- in via esclusiva o non- alle autorità militari italiane, sia nel caso in cui detto trattamento sia riconducibile al Ministero della difesa, sia nell'ipotesi in cui lo stesso sia riferibile ad una unità organizzativa dello stesso stabilita all'estero.
Sotto il profilo, invece, dell'ubicazione dello stabilimento e dell'esercizio dell'attività correlata al trattamento dei dati personali, rileva la nozione ampia di "contesto delle attività" ricavabile dalla giurisprudenza della Corte di giustizia relativa alla libertà di stabilimento. Alla stregua di tale nozione, rilevano le operazioni di trattamento riconducibili comunque al contesto delle attività svolte negli ambiti assoggettati alla sovranità nazionale, poste in essere da soggetti la cui attività sia compiuta- ai sensi del diritto internazionale- sotto il comando e il controllo dello Stato italiano (rispetto al quesito in esame, si pensi alla raccolta di dati nei pressi della base militare o nei posti di controllo).
In conclusione, in punto di applicabilità delle disposizioni del Codice, dal momento che i trattamenti cui fa riferimento il quesito (almeno la raccolta) dovrebbero realizzarsi al di fuori dei confini nazionali, la normativa italiana, e in particolare il Codice, potrà ad essi applicarsi se e nella misura in cui le fattispecie in esame siano realizzate in luoghi che si possano considerare soggetti – in virtù del diritto internazionale – alla sovranità dello Stato italiano. Tali sono generalmente considerati, nel diritto internazionale consuetudinario e convenzionale, le basi militari e le navi battenti bandiera dello Stato interessato: se dunque, come prospettato nel quesito, la raccolta dei dati sarà realizzata in tali luoghi (o nei pressi della base militare o nei posti di controllo, nei termini di cui sopra), essa sarà soggetta alla disciplina del Codice, salva ovviamente diversa previsione in particolare negli accordi internazionali istitutivi o regolatori della missione.
2. Il trattamento dei dati personali effettuato da soggetti pubblici.
Ove trovi applicazione la normativa italiana in materia di protezione dei dati personali, al trattamento di dati effettuato nell'ambito di missioni all'estero dal Ministero della difesa o da sue articolazioni, a livello centrale o periferico, dovrebbe applicarsi la disciplina prevista, in generale, per tutti i soggetti pubblici (Parte I, Titolo III, Capo II, del Codice), salvo che si rinvengano i presupposti normativi per ricondurre, invece, i trattamenti in questione nell'ambito di applicazione dell'articolo 58 del Codice.
Rispetto ai quesiti sottoposti all'attenzione dell'Autorità, nell'ambito della disciplina generale per i soggetti pubblici, rileva particolarmente il regime normativo della comunicazione di dati ad altri soggetti pubblici e del trasferimento di dati all'estero.
La comunicazione di dati ad altri soggetti pubblici è ammessa quando è prevista da una norma di legge o di regolamento, o quando è comunque necessaria per lo svolgimento delle funzioni istituzionali attribuite al soggetto pubblico previa, in questo caso, comunicazione al Garante e in assenza di una diversa determinazione dell'Autorità (artt. 18, 19 e 39 del Codice). Tale aspetto è importante ai fini della soluzione dello specifico quesito posto dal Ministero circa la possibilità che le forze armate impegnate all'estero "immettano" dati in banche dati nazionali.
Sotto l'altro profilo, preme sottolineare che il "rendere i dati conoscibili alla forze armate alleate" (come riportato nel quesito) implica, di regola, un trasferimento di dati all'estero e, diversamente da quanto sembra prospettare l'Amministrazione, nel caso in cui il trattamento consista in un trasferimento di dati personali fuori dal "territorio nazionale" (ovvero fuori dall'ambito spaziale di applicazione della disciplina nazionale, così come individuato alla luce delle considerazioni che precedono) verso un Paese non appartenente all'Unione europea, troverebbe applicazione il Titolo VII, Parte I del Codice (artt. 42-45)
Diversamente dovrebbe concludersi, su entrambi gli aspetti appena descritti, ove al trattamento di dati in questione trovi applicazione il regime "speciale" dell'articolo 58 del Codice, riguardante i trattamenti effettuati per "finalità di difesa o di sicurezza dello Stato".
Premesso che tale regime può applicarsi esclusivamente se il trattamento dei dati personali è effettuato "in base ad espresse disposizioni di legge che prevedono specificamente il trattamento" (norme di legge che spetta all'Amministrazione individuare), in caso di adeguata copertura normativa ai sensi dell'articolo 58, i flussi informativi, anche verso l'estero, non sarebbero assoggettati ai medesimi criteri previsti dal Codice per i trattamenti effettuati da soggetti pubblici per altre finalità, in quanto non avrebbero rilevanza le specifiche disposizioni sopra citate (artt. 18, 19, 39 e 42-45 del Codice, non richiamati dall'articolo 58).
Così, in particolare, rispetto al quesito se i dati biometrici raccolti possano essere immessi nelle banche dati delle Forze di polizia italiane e, in particolare, nel CED-SDI del Dipartimento della pubblica sicurezza e nella banca dati "AFIS" (e ciò realizzerebbe, di fatto, una comunicazione di dati), non sarebbe indispensabile individuare una specifica norma di legge o di regolamento che preveda tale flusso informativo.
Va in ogni caso segnalato, però, che deve essere rispettata la normativa di settore. A tal riguardo si fa notare, ad esempio, che per quanto a conoscenza di questa Autorità, l'immissione di dati nel CED del Dipartimento della pubblica sicurezza é prevista solo per le Forze di polizia (art. 6, primo comma, lett. a) e 8, legge 1 aprile 1981, n. 121).
Infine, nel caso in cui risulti una adeguata copertura normativa ai sensi dell'articolo 58 del Codice, non troverebbe applicazione la disciplina del Codice in tema di verifica preliminare di cui all'articolo 17 (cfr. al riguardo par. 3).
3. Il trattamento dei dati biometrici. Il provvedimento generale del Garante in tema di biometria.
In applicazione dei principi e delle disposizioni del Codice concernenti il trattamento operato da soggetti pubblici (anche eventualmente ai sensi dell'articolo 58), il trattamento dei dati biometrici è consentito, purché nel rispetto dei principi di finalità, necessità e proporzionalità, evitando cioè ogni eccesso nell'utilizzo degli stessi, onde impedire un uso sproporzionato ed eccedente rispetto alle finalità per le quali i dati sono legittimamente raccolti (artt. 3 e 11, comma 1, lett. b) e d) del Codice).
Tali principi sono stati richiamati dal Garante nel recente provvedimento generale prescrittivo adottato in materia di biometria (provv. 12 novembre 2014, pubblicato in G.U. n. 280 del 2 dicembre 2014, reperibile sul sito del Garante garanteprivacy.it; doc. web n. 3556992) con annesse Linee guida (doc. web n. 3563006), al quale occorre fare integralmente riferimento.
Nel provvedimento il Garante ha individuato alcune tipologie di trattamento che, per le specifiche finalità perseguite, presentano un livello ridotto di rischio e non necessitano più della verifica preliminare da parte dell'Autorità ai sensi dell'articolo 17 del Codice (alle condizioni ivi indicate).
A tal proposito, si richiama l'attenzione del Ministero sul fatto che in caso di adeguata copertura normativa ai sensi dell'articolo 58 del Codice, ai trattamenti di dati biometrici effettuati dai militari all'estero non troverebbe applicazione la disciplina in tema di verifica preliminare di cui all'articolo 17.
Ove, invece, si applichi la disciplina generale per tutti i soggetti pubblici, i predetti trattamenti sarebbero assoggettabili ad una verifica del Garante, non surrogabile dal semplice inoltro all'Autorità di note relative a progetti di installazione di impianti di rilevazione di dati biometrici. Si sottolinea come tale verifica sia richiesta nel caso di realizzazione di archivi biometrici centralizzati, come è chiarito espressamente dal predetto provvedimento generale (punto 4.2. lett. h); Linee guida, par. 4.5.3).
Anche in caso di esenzione dalla verifica preliminare, però, il trattamento dovrà in ogni caso essere effettuato nel rispetto dei presupposti di legittimità previsti dal Codice e adottando rigorose misure di sicurezza individuate dal Garante, fra le quali, in particolare, quella che obbliga a cifrare il riferimento biometrico con tecniche crittografiche, con una lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati (Linee guida, par. 8). Si rammenta altresì che ai fini di una corretta conservazione dei dati, dovranno essere individuati termini di conservazione dei dati biometrici, scaduti i quali si dovrà procedere alla loro cancellazione (art. 11, comma 1, lett. e), del Codice). In tal senso, appare ragionevole che i dati raccolti siano cancellati al termine della missione, secondo quanto prospettato dal Ministero.
Di particolare interesse, in relazione al quesito in esame, sono le indicazioni rese dal Garante nel provvedimento citato sulle procedure di riconoscimento biometrico, rispetto alle diverse possibili finalità e modalità del trattamento (Linee guida, par. 5: identificazione biometrica o verifica biometrica; confronto "uno a molti" o "uno a uno"). Il Ministero potrà tenerne conto ai fini dell'individuazione di modalità del trattamento di dati biometrici proporzionate rispetto alle specifiche finalità del trattamento.
In questo senso, potrà essere valutata l'opportunità di ricorrere, piuttosto che alla raccolta centralizzata dei dati biometrici, alla sola verifica, in loco, dell'identità delle persone previamente dotate di appositi dispositivi posti nella loro esclusiva disponibilità (smart card), quanto meno rispetto a coloro che accedono alla base militare per espletare la propria attività lavorativa e comunque in tutti gli altri casi in cui ciò possa essere sufficiente a garantire la sicurezza delle infrastrutture militari (ad esempio per il controllo degli accessi alle basi/navi militari di persone che abbiano un rapporto di tipo "continuativo" con l'unità militare).
Si richiama l'attenzione, inoltre, sulle indicazioni rese in tema di utilizzo dell'immagine dell'iride (v. par. 4, provvedimento; par. 3.6, Linee guida).
Da ultimo, si segnala, in relazione ad eventuali furti di identità biometrica, come tutte le violazioni dei dati ("data breaches") o gli incidenti informatici (accessi abusivi, azione di malware…) che possano avere un impatto significativo sui sistemi biometrici o sui dati personali custoditi, dovranno essere comunicati dal titolare del trattamento al Garante entro 24 ore dalla scoperta, così da consentire di adottare opportuni interventi a tutela delle persone interessate, mentre rimane in vigore l'obbligo di notificazione al Garante (art. 37, comma 1, lett. a, del Codice).
IL GARANTE
esprime nei termini di cui in premessa il proprio avviso sui quesiti sottoposti dal Ministero della difesa in ordine al trattamento di dati personali correlato alle operazioni militari svolte all'estero che coinvolgono militari italiani e stranieri, nonché altre persone fisiche che accedono ad installazioni militari ubicate all'estero.
Roma, 18 dicembre 2014
FONTE GARANTE PRIVACY