IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del prof. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Viste le segnalazioni pervenute in ordine all'utilizzazione illecita di dati personali estratti da banche dati anagrafiche del Comune di Roma;
Viste le osservazioni formulate dal segretario generale, ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
PREMESSO:
Il Garante ha eseguito alcuni accertamenti ispettivi a seguito di segnalazioni concernenti accessi illeciti a dati anagrafici detenuti presso il Comune di Roma, nonché il rispetto delle misure di sicurezza nel trattamento dei dati, in correlazione ad un caso di falsa sottoscrizione di candidature alle elezioni regionali del 3 e 4 aprile 2005.
Gli accertamenti effettuati anche nell'esercizio di funzioni di polizia giudiziaria hanno fatto emergere notizie di reato che sono state comunicate alla competente autorità giudiziaria.
La violazione degli obblighi e delle garanzie richiamate dal Codice in materia di protezione dei dati personali risulta già accertata in base agli atti acquisiti dal Garante, a prescindere da ogni eventuale responsabilità penale per gli illeciti configurabili.
Tra il 9 e il 14 marzo di quest'anno, presso Laziomatica S.p.A. (società per azioni a prevalente capitale regionale istituita dalla Regione Lazio, che le ha affidato la gestione del Sistema informativo regionale-S.I.R.: v. l.r. 3 agosto 2001, n. 20), risultano infatti effettuati alcuni accessi illeciti –per finalità e con modalità non consentite- ad un data-base anagrafico del Comune di Roma che la Regione era stata autorizzata a consultare solo per alcune finalità sanitarie, sulla base di un protocollo di intesa.
Le persone che hanno agito presso tale società hanno provveduto, senza averne titolo, ad accogliere la richiesta di un avvocato (che avrebbe potuto essere presentata solo al Comune), con la quale si chiedeva di applicare la disciplina sulle c.d. indagini difensive (art. 391-quater c.p.p.).
Gli accessi in grande quantità, effettuati in singolari circostanze (utilizzo di password altrui; consultazioni in orari non di servizio, notturni e festivi; asseriti interventi di manutenzione straordinaria che hanno determinato la cancellazione di dati di tracciamento di accessi), hanno permesso di consultare ed utilizzare illecitamente vari dati personali inerenti anche a documenti di identità, per finalità diverse da quelle per le quali i dati anagrafici erano stati resi accessibili alla Regione.
Gli accertamenti effettuati dal Garante sulla base di una segnalazione sono stati estesi anche alla sicurezza dei dati presso i data-base anagrafici del Comune di Roma, ove è emerso il mancato aggiornamento del documento programmatico di sicurezza (di cui è stata data notizia, anche in questo caso, all'autorità giudiziaria con denuncia di reato nei riguardi dei competenti dirigenti), unitamente ad alcune inosservanze della disciplina applicabile alla gestione dell'anagrafe della popolazione residente.
A conclusione del complesso procedimento, il Garante dichiara accertate con il presente provvedimento le violazioni intercorse relativamente ai profili di propria competenza, e prescrive alla predetta società e agli enti direttamente interessati le misure necessarie per conformare i trattamenti di dati personali alle disposizioni vigenti. Analoghe prescrizioni vengono impartite in termini generali a tutti i comuni per quanto riguarda la consultazione diretta degli atti anagrafici.
1. Regione Lazio e Laziomatica S.p.A.
A prescindere dai fatti sopra riassunti, è risultato accertato che Laziomatica S.p.A. abbia comunque trattato illecitamente, nell'ambito dell'attività svolta per conto della Regione, i dati personali provenienti dai data-base anagrafici del Comune di Roma.
Come premesso, il rapporto Regione-Comune si è basato su un "Protocollo di intesa per la cooperazione nello sviluppo dei servizi al cittadino" stipulato il 12 maggio 2004, che prevede uno scambio di dati tra i due enti per verifiche attinenti solo a prestazioni sanitarie (ticket, scelta del medico), inclusivo di un accesso diretto anche a dati anagrafici detenuti dal Comune.
Tali verifiche sono state affidate dalla Regione a Laziomatica S.p.A. sulla base di una convenzione stipulata nel 2003, con la quale si è conferito alla società il compito di consultare on-line i predetti dati anagrafici.
I profili di illiceità emersi sono i seguenti:
a) sono risultate comprovate, anzitutto, alcune inosservanze della convenzione stessa: la società ha infatti violato la clausola che la impegna a non rivelare od utilizzare notizie, informazioni e dati messi a disposizione dalla Regione per finalità diverse da quelle stabilite nella convenzione medesima, e non ha altresì rispettato il distinto impegno contrattuale ad osservare le disposizioni in materia di trattamento dei dati personali;
b) in secondo luogo, sono state violate le disposizioni normative sul responsabile del trattamento. All'apparente designazione in tal senso della società -pur menzionata nella convenzione- non ha fatto seguito, come necessario, né l'elencazione scritta dei compiti affidati rispetto al trattamento dei dati, né l'indicazione delle istruzioni operative (art. 29 del Codice). La società ha anche legittimato all'accesso diretto ulteriori utenti esterni presso altri organismi come le aziende sanitarie locali.
Pertanto, la Regione Lazio (che aveva adottato solo un documento di carattere generale sulle misure di sicurezza presso le strutture della giunta regionale, applicabile ai responsabili del trattamento) potrà continuare ad avvalersi lecitamente della collaborazione della società a condizione che alla designazione di quest'ultima quale responsabile (designazione che in passato è stata al più puramente nominale), conseguano prontamente sia la specificazione analitica dei predetti compiti e istruzioni, sia una vigilanza sulla loro osservanza anche in ordine alla sicurezza dei dati.
Nessuna persona fisica, operante presso la società o la Regione, potrà trattare i dati personali comunicati dal Comune di Roma senza essere stata previamente designata quale incaricato, in conformità al Codice, anche per quanto riguarda l'individuazione del trattamento consentito e le istruzioni da impartire (art. 30 del Codice);
c) la Regione ha avuto accesso ai dati anagrafici provenienti dal Comune di Roma con modalità non consentite. Unitamente all'interrogazione on-line di alcuni servizi (documenti; carte di identità, leva militare, vaccinazioni), il predetto Protocollo di intesa ha infatti previsto che la Regione, direttamente o per il tramite della società, possa accedere on-line ai dati di origine comunale che la disciplina anagrafica consente invece di ottenere solo con le modalità e con le cautele illustrate più avanti.
Il Protocollo di intesa deve essere quindi rivisto, prevedendo nel congruo termine di cui al seguente dispositivo una diversa modalità di comunicazione dei dati di provenienza comunale, analogamente a quanto dovrà essere disposto, a cura del Comune di Roma, nei riguardi di altri enti ed amministrazioni. Tale revisione, unitamente a quella concernente il rapporto con Laziomatica S.p.a., dovrà essere eseguita nel termine di cui al dispositivo dandone esaustiva comunicazione a questa Autorità.
2. La gestione del sistema informativo anagrafico del Comune di Roma
In base alle disposizioni dell'ordinamento anagrafico, l'ufficiale d'anagrafe può rilasciare attestazioni o certificazioni relativamente al contenuto delle schede che compongono l'anagrafe della popolazione residente, ed entro certi limiti può anche rilasciare elenchi. Ad eccezione del personale autorizzato delle forze di polizia, le medesime schede non possono essere invece consultate direttamente da parte di chiunque, anche facente parte del personale comunale, sia estraneo all'ufficio di anagrafe (artt. 1, 33, 34 e 37 d.P.R. 30 maggio 1989, n. 223).
Più specificamente, gli ufficiali d'anagrafe rilasciano a chiunque ne faccia richiesta "certificati concernenti la residenza e lo stato di famiglia", mentre le altre notizie desumibili dagli atti anagrafici (ad eccezione di quelle riportate nelle schede anagrafiche concernenti, ad esempio, la professione, arte o mestiere, la condizione non professionale, il titolo di studio), possono essere oggetto di attestazione o certificazione, d'ordine del sindaco, "qualora non vi ostino gravi o particolari esigenze di pubblico interesse" (art. 33, commi 1 e 2, del d.P.R. n. 223/1989). L'ufficiale di anagrafe rilascia elenchi degli iscritti nell'anagrafe della popolazione residente, ma solo ad "amministrazioni pubbliche che ne facciano motivata richiesta, per esclusivo uso di pubblica utilità". Tale utilizzo è consentito anche da parte del comune che detiene i dati, per fini di comunicazione istituzionale, ma sempre su motivata richiesta questa volta "interna" all'ente (art. 177, comma 1, del Codice). Altri soggetti anche privati possono ottenere solo dati anagrafici resi anonimi ed aggregati, su richiesta per fini statistici e di ricerca (art. 34, commi 1 e 2, d.P.R. n. 223/1989).
Queste disposizioni riguardano il particolare contesto degli atti anagrafici, i quali giustificano soluzioni specifiche per quanto riguarda le modalità della loro consultazione. Tale specificità mantiene attualità in un quadro di sistema che prevede opportunamente misure generali di semplificazione dell'azione amministrativa mediante flussi di dati, trasmissioni o consultazioni telematiche di dati ed archivi (artt. 2, comma 5, l. 15 maggio 1997, n. 127; art. 43 d.P.R. 28 dicembre 2000, n. 445).
In termini generali, il Codice non ha inciso sulla portata delle predette disposizioni sull'anagrafe della popolazione. Il Codice ha però ribadito la necessità del perdurante rispetto delle vigenti norme che regolano la conoscibilità e la pubblicità di taluni atti (cfr., ad es., gli artt. 19, comma 3, 24, comma 1, lett. c), 59 e 61 del Codice), che subordinano la consultazione di materiale documentale al rispetto di determinati limiti temporali (ad es., con esclusione dei periodi in cui un elenco è in fase di aggiornamento), soggettivi, oppure di talune modalità (ad es., documentazione dell'identità del soggetto che intende consultare un registro) o finalità (es.: fini statistici e di ricerca).
Gli accertamenti effettuati hanno evidenziato che nella prassi amministrativa osservata presso il Comune di Roma nei rapporti con numerosi enti, inclusa la Regione, tale quadro normativo non è stato invece preso nella dovuta considerazione, essendosi consentita la consultazione diretta per via telematica di dati anagrafici mediante lo stesso meccanismo di "anagrafe aperta" impropriamente utilizzato per la Regione Lazio.
Riportando i dati anagrafici in una "data base popolazione" contenente anche numerose altre informazioni (relative anche a "vaccinazioni, elettorale, leva militare", dati relativi alla carta d'identità ed al codice fiscale), si è realizzato un sistema telematico che prevede, anzitutto, un'impropria consultazione diretta di dati anagrafici da parte di altro personale comunale non facente parte dei servizi di anagrafe e di stato civile (centrali e dei municipi).
La consultazione diretta dei dati anagrafici per via telematica viene inoltre consentita a numerosi soggetti esterni al Comune di Roma (amministrazioni centrali, militari e sanitarie; uffici giudiziari ed enti locali; ecc.), senza peraltro verificare sempre e compiutamente né la concreta motivazione di pubblica utilità in base alla quale viene richiesto di conoscere i dati, né le singole utilizzazioni dei dati consentite a regime presso enti a struttura complessa che perseguono differenti finalità. Le procedure di abilitazione all'accesso non soddisfano compiutamente l'esigenza di ottenere la comunicazione dei dati in rapporto solo ad una specifica attività funzionale svolta dal soggetto richiedente. Un ampio numero di utenti è stato infine abilitato in base ad un'istruttoria non approfondita o per utenze per diverso tempo inattive oppure disponibili a soggetti non agevolmente contattabili. Tali criticità sussistono anche nei riguardi di utenti abilitati soltanto alla consultazione dei dati e non anche a modificarli, e sono più marcate nei confronti di soggetti posti in condizione di operare diversi tipi di interrogazione del sistema, oppure di abilitare a loro volta -senza titolo- all'accesso ulteriori utenti.
In sostituzione di tali procedure, il Comune di Roma dovrà pertanto individuare entro il congruo termine di cui al seguente dispositivo un diverso meccanismo che, pur permettendo di comunicare i dati richiesti anche con strumenti automatizzati e per via telematica (e, quindi, di perseguire le finalità di snellimento ed efficienza dell'azione amministrativa a supporto del cittadino). Le richieste di certificazione o attestazione, oppure di rilascio di elenchi ad amministrazioni pubbliche motivato da ragioni accertate di pubblica utilità, potranno essere inoltrate e riscontrate anche automaticamente, per via telematica, escludendo però la consultazione diretta, anche on-line, degli atti di provenienza anagrafica da parte di soggetti interni ed esterni diversi da quelli preposti all'ufficio anagrafe. Dovrà altresì aversi cura di:
a) verificare più attentamente la qualifica soggettiva dei richiedenti e la motivazione di pubblica utilità da essi perseguita;
b) porre maggiore attenzione a presupposti, limiti e modalità previste dalla disciplina che riguarda singoli atti e documenti (cfr., per i dati sulle vaccinazioni, art. 4 della legge 4 febbraio 1966, n. 51; art. 3 della legge 5 marzo 1963, n. 292; per il servizio elettorale, art. 51 del d.P.R. 20 marzo 1967, n. 223; per la carta d'identità, art. 289 del r.d. 6 maggio 1940, n. 635; per le liste di leva, artt. 37 e 48 del d.P.R. 14 febbraio 1964, n. 237);
c) individuare soluzioni più idonee per consentire il tracciamento di operazioni di richiesta e di comunicazione di dati presso postazioni di lavoro individuate e da parte di utenti parimenti identificati, monitorando utilizzi impropri e prevenendo accessi multipli realizzati utilizzando una stessa chiave di accesso presso più postazioni di lavoro.
Nel conformare a norma i trattamenti di dati anagrafici, il Comune dovrà altresì:
d) escludere soggetti privati esterni dalla facoltà di consultare direttamente i dati, di acquisirne elenchi su richiesta e di abilitare all'accesso altri soggetti. Nel caso in cui tali soggetti privati comprovino la qualità di effettivi responsabili del trattamento per conto di soggetti pubblici, il rilascio anche informatico di elenchi dovrà essere regolato in primo luogo con il soggetto pubblico, verificando anche l'effettivo rispetto delle modalità richiamate a proposito del rapporto tra titolare e responsabile del trattamento;
e) rivedere l'attuale configurazione della gestione in outsourcing del servizio anagrafico, attualmente affidata ad associazioni temporanee di imprese di ampie dimensioni. Dovranno essere adeguate al Codice le prassi seguite per la specificazione dei compiti, per impartire istruzioni riguardo al trattamento dei dati e per la vigilanza anche tramite verifiche periodiche, coordinata con mezzi e soluzioni adeguate alla delicatezza e alla complessità delle questioni trattate e dei flussi di dati.
Le misure da adottare per ottemperare alle predette prescrizioni dovranno essere eseguite nel termine di cui al dispositivo dandone esaustiva comunicazione a questa Autorità.
3. Il trattamento di dati anagrafici da parte delle amministrazioni comunali
Il Garante ritiene necessario prescrivere a tutte le amministrazioni comunali di conformare il trattamento dei dati anagrafici ai principi ed ai limiti richiamati in questa sede. Si sottolinea, in particolare, la necessità di escludere che, nel fornire ad amministrazioni pubbliche elenchi di dati anagrafici per motivi di pubblica utilità, anche telematicamente o attuando mediante convenzioni flussi di dati verso altri soggetti pubblici (art. 2, comma 5, legge n. 127/1997), si permetta di consultare direttamente i dati dell'anagrafe della popolazione, riportati sia nelle schede anagrafiche informatiche, sia in eventuali elenchi duplicati in data-base di "lavoro".
TUTTO CIÒ PREMESSO, IL GARANTE
ai sensi dell'art. 154, comma 1, lett. c), del Codice, prescrive:
a) alla Regione Lazio, a Laziomatica S.p.a. e al Comune di Roma di conformare, ove non vi abbiano già provveduto in termini conformi a quanto indicato, i trattamenti di dati personali alle disposizioni e ai princìpi sopra richiamati, procedendo all'attuazione delle misure indicate in motivazione entro centottanta giorni dalla data di ricezione del presente provvedimento;
b) a tutti i comuni di adottare tali misure parimenti necessarie per conformare i trattamenti di dati anagrafici ai principi richiamati nel presente provvedimento;
c) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell'art. 143, comma 2, del Codice.
Roma, 6 ottobre 2005
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
Buttarelli
fonte Garante Privacy