Registro dei provvedimenti
n. 33 del 4 febbraio 2016
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;
Vista la richiesta di parere del Ministero dei beni e delle attività culturali e del turismo;
Visto l'articolo 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito Codice);
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Antonello Soro;
PREMESSO
1. Il Ministero dei beni e delle attività culturali e del turismo, con nota del 20 novembre 2015, ha richiesto il parere del Garante sullo schema di decreto ministeriale recante regolamento di attuazione dell'articolo 85 del d.lgs. 22 gennaio 2004, n. 42 (Codice dei beni culturali e del paesaggio).
L'articolo 85, prevede che "Presso il Ministero è istituita la banca dati dei beni culturali illecitamente sottratti, secondo modalità stabilite con decreto ministeriale".
RILEVATO
2. Il testo si compone di undici articoli e di tre allegati (A, B e C). Gli articoli disciplinano le definizioni (art. 1); l'ambito di applicazione (beni illecitamente sottratti a persona fisica o giuridica, privata o pubblica; art. 2); le finalità della banca dati (prevenzione e contrasto dei reati in danno del patrimonio culturale; art. 3); il titolare e il responsabile del trattamento (il Ministero dei beni e delle attività culturali e del turismo e il Comando Generale dell'Arma dei Carabinieri, come contitolari del trattamento; il Comando Carabinieri Tutela Patrimonio Culturale, in qualità di responsabile del trattamento; art. 4); i soggetti che alimentano la banca dati (gli uffici e i comandi delle forze di polizia nazionali e quelli della polizia municipale, che svolgono anche in parte servizio di polizia giudiziaria, nonché i responsabili degli uffici esportazione; art. 5) e i dati da comunicare (gli elementi identificativi dei beni illecitamente sottratti o esportati, della denuncia o della segnalazione, dell'evento, del danno ai beni mobili, delle coperture assicurative; art. 5); le principali operazioni in cui si articola il trattamento dei dati (raccolta, registrazione, consultazione, etc.; art. 7); i soggetti abilitati alla consultazione (organi giudiziari, uffici e comandi di polizia, pubbliche amministrazioni competenti, chiunque intenda verificare la lecita provenienza di un bene culturale; art. 8); la tracciatura delle operazioni di trattamento (art. 9). Allo schema di decreto sono, inoltre, allegati (all. A, B e C) tre modelli, concernenti, rispettivamente, la comunicazione dei dati relativi al bene sottratto o esportato illecitamente; la comunicazione di variazioni, cancellazioni dei dati riferiti al bene sottratto, esportato o recuperato; e la richiesta di consultazione avanzata da privati.
3. Lo schema di decreto ministeriale intende disciplinare le modalità di realizzazione della banca dati dei beni culturali illecitamente sottratti.
La presente versione dello schema è stata elaborata all'esito di interlocuzioni con l'Ufficio del Garante, il quale ha fornito indicazioni volte a rafforzare le garanzie per la protezione dei dati personali trattati nell'ambito della banca dati.
Le indicazioni rese dall'Autorità hanno riguardato, in particolare, i profili inerenti la titolarità del trattamento; la pertinenza e non eccedenza dei dati suscettibili di trattamento; le misure di sicurezza da adottarsi; la definizione dei tempi di conservazione dei dati personali trattati. Molti di tali rilievi sono stati recepiti; residuano tuttavia ulteriori aspetti suscettibili di ulteriore perfezionamento, secondo le indicazioni che di seguito si forniranno.
4. Va, in via preliminare, chiarito che il presente parere è reso sul presupposto che il decreto in oggetto abbia natura regolamentare (come deporrebbe la stessa qualificazione utilizzata dall'Amministrazione richiedente), sebbene nel preambolo manchi il riferimento all'acquisizione del parere del Consiglio di Stato e all'articolo 17, comma 3, della legge n. 400 del 1988. Tale circostanza riveste particolare importanza in quanto, agli effetti del Codice, il trattamento disciplinato dallo schema di decreto è funzionale ad attività di polizia. Ciò se si considerano le finalità (prevenzione e contrasto di reati; cfr. l'art. 3), il tipo di informazioni raccolte (che parrebbero configurare denunce o notizie di reato; cfr. l'art. 5) e il riferimento allo SDI (i.e. "Sistema di indagine"; cfr. ancora l'art. 5). Tale caratteristica del trattamento esige quindi una disciplina di rango regolamentare.
Secondo il Codice, infatti, i trattamenti effettuati per finalità di polizia debbono essere previsti da disposizioni di legge, di regolamento, nonché individuati dal decreto di cui al comma 3 dell'articolo 53 del Codice.
Il trattamento in parola non trova compiuta disciplina nella legge, poiché l'articolo 85 citato si limita ad istituire la relativa banca dati, non individuando in modo specifico le caratteristiche essenziali (ad esempio i tipi di dati e di operazioni eseguibili) del trattamento stesso. La fonte cui il citato articolo 85 demanda la disciplina della banca dati non può, dunque, che avere rango regolamentare, al fine di legittimare tale trattamento, ai sensi e per gli effetti dell'art. 53 del Codice.
RITENUTO
5. Il trattamento di dati personali che la banca dati in discorso implica è giustificato dalle finalità di prevenzione e contrasto dei reati in danno del patrimonio culturale (art. 3 dello schema). I dati personali oggetto di trattamento sono rappresentati segnatamente dal nominativo del denunciante, dalle informazioni relative al soggetto presso cui si trovano le opere che si intendono acquistare e da altre informazioni che potrebbero avere indirettamente carattere personale (si vedano l'allegato A, sezione A; l'allegato A, sezione B; l'allegato B e l'allegato C), finanche giudiziario (come è possibile arguire dalla circostanza che l'art. 5, co. 2, lett. a) e l'allegato A, sezione A recano la voce "protocollo SDI".
5.1. Lo schema di decreto reca nel preambolo una serie di riferimenti concernenti la normativa internazionale ed europea relativa ai beni culturali rubati o illecitamente sottratti. Ciononostante, il decreto non contiene specifiche disposizioni volte a disciplinare le modalità di un eventuale scambio di informazioni al di fuori dal territorio nazionale, verso altre Autorità competenti di Paesi dell'Unione europea o di Paesi Terzi. Nelle premesse, viene richiamato, per il trasferimento di dati in ambito UE, il sistema IMI, sistema in vigore, secondo quanto previsto dal regolamento Ue 1024/2012, per lo scambio di informazioni tra amministrazioni competenti nei settori specificamente indicati come rilevanti nell'ambito del mercato interno, Il regolamento è stato peraltro modificato dalla direttiva 2014/60/UE relativa alla restituzione dei beni culturali usciti illecitamente dal territorio di uno stato membro, citata nel preambolo del presente decreto, attuata in Italia con il decreto legislativo 7 gennaio 2016, n. 2, proprio al fine di intensificare la cooperazione amministrativa tra gli Stati membri dell'Unione, creando un modulo del sistema IMI specificamente concepito per i beni culturali..
Nulla è previsto, nello schema di regolamento, per il trasferimento di dati fuori dal territorio UE.
Al riguardo, si ritiene opportuno inserire una specifica previsione che disciplini la comunicazione dei dati personali contenuti nella banca dati ad altre autorità italiane e/o dell'Unione europea, nonché condizioni e limiti dell' eventuale trasferimento di tali dati ad autorità competenti di paesi terzi.
5.2. L'articolo 1, comma 1, dello schema è dedicato alle definizioni, tra le quali figura quella di "Comando CC TPC" (lett. c). Secondo la norma tale sarebbe il reparto specializzato dell'Arma dei Carabinieri, "responsabile unico" del patrimonio informativo della banca dati. L'articolo 4 dello schema, inoltre, qualifica tale comando quale responsabile del trattamento e degli aspetti connessi alla sicurezza. In proposito, si ritiene che la definizione di cui all'articolo 1, comma 1, dello schema vada resa coerente con quanto previsto dal menzionato articolo 4, che attribuisce al Ministero dei beni e delle attività culturali e al Comando generale dell'Arma dei Carabinieri il ruolo di (con)titolari del trattamento, riservando al Comando CC TPC quello di responsabile. Viceversa, la responsabilità "unica" del patrimonio informativo della banca dati, a cui fa riferimento l'articolo 1, comma 1, non risulta compatibile con l'individuazione dei ruoli effettuata all'articolo 4, tenuto conto che i (con)titolari del trattamento non possono spogliarsi delle responsabilità che derivano dal trattamento medesimo, attraverso la nomina del soggetto di cui all'articolo 29 del Codice (per l'appunto, il responsabile del trattamento dei dati personali).
5.3. L'articolo 7 concerne la raccolta, convalida e registrazione dei dati. In particolare, la norma prevede che, ove la comunicazione di dati avvenga in modo difforme da quanto previsto dal decreto oppure in difformità dalle finalità previste, va attivata una procedura che sani ove possibile le carenze tecnico descrittive riscontrate. Peraltro, la norma nulla dispone nel caso in cui non sia possibile sanare tali carenze. In tale eventualità, andrebbe prevista la restituzione delle informazioni al mittente, in quanto non inseribili nella banca dati.
5.3.1. La norma prevede, inoltre, al comma 4 che i dati siano registrati nella banca dati sino al recupero del bene o alla data di definizione del procedimento giudiziario o amministrativo, ai sensi dell'articolo 11 del Codice. In proposito, si osserva come non sia chiaro (operando la norma un rinvio generale all'articolo 11 del Codice) che sorte seguano le informazioni memorizzate e se dopo la definizione del procedimento giudiziario o amministrativo i dati siano cancellati o altrimenti trattati.
5.4. L'articolo 9 disciplina la tracciatura delle consultazioni. A ben vedere la norma si riferisce a tutte le operazioni di trattamento condotte sulla banca dati (si pensi, per tutte, alla registrazione). Ne consegue che la rubrica della norma, così come- e soprattutto- il comma 1 della stessa (laddove si fa riferimento alla data e l'ora della consultazione) vadano riferiti anche alle ulteriori operazioni di trattamento (una per tutte, la registrazione).
5.4.1. In merito agli allegati, si osserva come la nota (1) dell'allegato A sezione A ometta di indicare gli uffici di esportazione, che sono viceversa indicati nell'articolo 5 dello schema, a cui l'allegato va riferito.
5.4.2. Con riguardo all'allegato B, il testo riformulato dello stesso non reca più (diversamente dal testo iniziale) il riferimento alle informazioni relative alla persona fisica nella cd. "scheda recupero – Dati persona fisica". E' necessario quindi espungere dall'allegato B la nota (1), ancora presente nel testo e che rinvia alla "Scheda Persona Fisica", non più presente.
IL GARANTE
esprime parere sullo schema di decreto concernente la disciplina delle modalità di realizzazione della banca dati dei beni culturali illecitamente sottratti, con la seguente osservazione:
a) valuti l'Amministrazione l'opportunità di apportare allo schema di regolamento le modificazioni indicate nei paragrafi 5.1.; 5.2; 5.3.1.;
e con la seguente raccomandazione:
b) abbia cura l'Amministrazione di verificare l'opportunità di apportare allo schema di regolamento le modificazioni suggerite nei paragrafi 5.3.; 5.4; 5.4.1; 5.4.2.
Roma, 4 febbraio 2016
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia