Gazzetta n. 248 del 2005-10-24 GARANTE PER LA PROTEZIONE DEI DATI PERSONALI PROVVEDIMENTO 6 ottobre 2005 Trattamento dei dati anagrafici detenuti presso il Comune di Roma. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del prof. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale; Viste le segnalazioni pervenute in ordine all'utilizzazione illecita di dati personali estratti da banche dati anagrafiche del comune di Roma; Viste le osservazioni formulate dal segretario generale, ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Francesco Pizzetti; Premesso: Il Garante ha eseguito alcuni accertamenti ispettivi a seguito di segnalazioni concernenti accessi illeciti a dati anagrafici detenuti presso il comune di Roma, nonche' il rispetto delle misure di sicurezza nel trattamento dei dati, in correlazione ad un caso di falsa sottoscrizione di candidature alle elezioni regionali del 3 e 4 aprile 2005. Gli accertamenti effettuati anche nell'esercizio di funzioni di polizia giudiziaria hanno fatto emergere notizie di reato che sono state comunicate alla competente autorita' giudiziaria. La violazione degli obblighi e delle garanzie richiamate dal Codice in materia di protezione dei dati personali risulta gia' accertata in base agli atti acquisiti dal Garante, a prescindere da ogni eventuale responsabilita' penale per gli illeciti configurabili. Tra il 9 e il 14 marzo di quest'anno, presso Laziomatica S.p.a. (societa' per azioni a prevalente capitale regionale istituita dalla regione Lazio, che le ha affidato la gestione del Sistema informativo regionale - S.I.R.: vedasi legge regionale 3 agosto 2001, n. 20), risultano infatti effettuati alcuni accessi illeciti - per finalita' e con modalita' non consentite - ad un data-base anagrafico del Comune di Roma che la regione era stata autorizzata a consultare solo per alcune finalita' sanitarie, sulla base di un protocollo di intesa. Le persone che hanno agito presso tale societa' hanno provveduto, senza averne titolo, ad accogliere la richiesta di un avvocato (che avrebbe potuto essere presentata solo al Comune), con la quale si chiedeva di applicare la disciplina sulle c.d. indagini difensive (art. 391-quater c.p.p.). Gli accessi in grande quantita', effettuati in singolari circostanze (utilizzo di password altrui; consultazioni in orari non di servizio, notturni e festivi; asseriti interventi di manutenzione straordinaria che hanno determinato la cancellazione di dati di tracciamento di accessi), hanno permesso di consultare ed utilizzare illecitamente vari dati personali inerenti anche a documenti di identita', per finalita' diverse da quelle per le quali i dati anagrafici erano stati resi accessibili alla regione. Gli accertamenti effettuati dal Garante sulla base di una segnalazione sono stati estesi anche alla sicurezza dei dati presso i data-base anagrafici del Comune di Roma, ove e' emerso il mancato aggiornamento del documento programmatico di sicurezza (di cui e' stata data notizia, anche in questo caso, all'autorita' giudiziaria con denuncia di reato nei riguardi dei competenti dirigenti), unitamente ad alcune inosservanze della disciplina applicabile alla gestione dell'anagrafe della popolazione residente. A conclusione del complesso procedimento, il Garante dichiara accertate con il presente provvedimento le violazioni intercorse relativamente ai profili di propria competenza, e prescrive alla predetta societa' e agli enti direttamente interessati le misure necessarie per conformare i trattamenti di dati personali alle disposizioni vigenti. Analoghe prescrizioni vengono impartite in termini generali a tutti i comuni per quanto riguarda la consultazione diretta degli atti anagrafici. 1. Regione Lazio e Laziomatica S.p.a. A prescindere dai fatti sopra riassunti, e' risultato accertato che Laziomatica S.p.a. abbia comunque trattato illecitamente, nell'ambito dell'attivita' svolta per conto della regione, i dati personali provenienti dai data-base anagrafici del Comune di Roma. Come premesso, il rapporto regione-comune si e' basato su un «Protocollo di intesa per la cooperazione nello sviluppo dei servizi al cittadino» stipulato il 12 maggio 2004, che prevede uno scambio di dati tra i due enti per verifiche attinenti solo a prestazioni sanitarie (ticket, scelta del medico), inclusivo di un accesso diretto anche a dati anagrafici detenuti dal Comune. Tali verifiche sono state affidate dalla regione a Laziomatica S.p.a. sulla base di una convenzione stipulata nel 2003, con la quale si e' conferito alla societa' il compito di consultare on-line i predetti dati anagrafici. I profili di illiceita' emersi sono i seguenti: a) sono risultate comprovate, anzitutto, alcune inosservanze della convenzione stessa: la societa' ha infatti violato la clausola che la impegna a non rivelare od utilizzare notizie, informazioni e dati messi a disposizione dalla regione per finalita' diverse da quelle stabilite nella convenzione medesima, e non ha altresi' rispettato il distinto impegno contrattuale ad osservare le disposizioni in materia di trattamento dei dati personali; b) in secondo luogo, sono state violate le disposizioni normative sul responsabile del trattamento. All'apparente designazione in tal senso della societa' - pur menzionata nella convenzione - non ha fatto seguito, come necessario, ne' l'elencazione scritta dei compiti affidati rispetto al trattamento dei dati, ne' l'indicazione delle istruzioni operative (art. 29 del Codice). La societa' ha anche legittimato all'accesso diretto ulteriori utenti esterni presso altri organismi come le aziende sanitarie locali. Pertanto, la regione Lazio (che aveva adottato solo un documento di carattere generale sulle misure di sicurezza presso le strutture della giunta regionale, applicabile ai responsabili del trattamento) potra' continuare ad avvalersi lecitamente della collaborazione della societa' a condizione che alla designazione di quest'ultima quale responsabile (designazione che in passato e' stata al piu' puramente nominale), conseguano prontamente sia la specificazione analitica dei predetti compiti e istruzioni, sia una vigilanza sulla loro osservanza anche in ordine alla sicurezza dei dati. Nessuna persona fisica, operante presso la societa' o la regione, potra' trattare i dati personali comunicati dal comune di Roma senza essere stata previamente designata quale incaricato, in conformita' al Codice, anche per quanto riguarda l'individuazione del trattamento consentito e le istruzioni da impartire (art. 30 del Codice); c) la regione ha avuto accesso ai dati anagrafici provenienti dal Comune di Roma con modalita' non consentite. Unitamente all'interrogazione on-line di alcuni servizi (documenti; carte di identita', leva militare, vaccinazioni), il predetto Protocollo di intesa ha infatti previsto che la regione, direttamente o per il tramite della societa', possa accedere on-line ai dati di origine comunale che la disciplina anagrafica consente invece di ottenere solo con le modalita' e con le cautele illustrate piu' avanti. Il Protocollo di intesa deve essere quindi rivisto, prevedendo nel congruo termine di cui al seguente dispositivo una diversa modalita' di comunicazione dei dati di provenienza comunale, analogamente a quanto dovra' essere disposto, a cura del Comune di Roma, nei riguardi di altri enti ed amministrazioni. Tale revisione, unitamente a quella concernente il rapporto con Laziomatica S.p.a., dovra' essere eseguita nel termine di cui al dispositivo dandone esaustiva comunicazione a questa Autorita'. 2. La gestione del sistema informativo anagrafico del comune di Roma. In base alle disposizioni dell'ordinamento anagrafico, l'ufficiale d'anagrafe puo' rilasciare attestazioni o certificazioni relativamente al contenuto delle schede che compongono l'anagrafe della popolazione residente, ed entro certi limiti puo' anche rilasciare elenchi. Ad eccezione del personale autorizzato delle forze di polizia, le medesime schede non possono essere invece consultate direttamente da parte di chiunque, anche facente parte del personale comunale, sia estraneo all'ufficio di anagrafe (articoli 1, 33, 34 e 37 del decreto del Presidente della Repubblica 30 maggio 1989, n. 223). Piu' specificamente, gli ufficiali d'anagrafe rilasciano a chiunque ne faccia richiesta «certificati concernenti la residenza e lo stato di famiglia», mentre le altre notizie desumibili dagli atti anagrafici (ad eccezione di quelle riportate nelle schede anagrafiche concernenti, ad esempio, la professione, arte o mestiere, la condizione non professionale, il titolo di studio), possono essere oggetto di attestazione o certificazione, d'ordine del sindaco, «qualora non vi ostino gravi o particolari esigenze di pubblico interesse» (art. 33, commi 1 e 2, del decreto del Presidente della Repubblica n. 223/1989). L'ufficiale di anagrafe rilascia elenchi degli iscritti nell'anagrafe della popolazione residente, ma solo ad «amministrazioni pubbliche che ne facciano motivata richiesta, per esclusivo uso di pubblica utilita». Tale utilizzo e' consentito anche da parte del comune che detiene i dati, per fini di comunicazione istituzionale, ma sempre su motivata richiesta questa volta «interna» all'ente (art. 177, comma 1, del Codice). Altri soggetti anche privati possono ottenere solo dati anagrafici resi anonimi ed aggregati, su richiesta per fini statistici e di ricerca (art. 34, commi 1 e 2 del decreto del Presidente della Repubblica n. 223/1989). Queste disposizioni riguardano il particolare contesto degli atti anagrafici, i quali giustificano soluzioni specifiche per quanto riguarda le modalita' della loro consultazione. Tale specificita' mantiene attualita' in un quadro di sistema che prevede opportunamente misure generali di semplificazione dell'azione amministrativa mediante flussi di dati, trasmissioni o consultazioni telematiche di dati ed archivi (articoli 2, comma 5, della legge 15 maggio 1997, n. 127; art. 43 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445). In termini generali, il Codice non ha inciso sulla portata delle predette disposizioni sull'anagrafe della popolazione. Il Codice ha pero' ribadito la necessita' del perdurante rispetto delle vigenti norme che regolano la conoscibilita' e la pubblicita' di taluni atti (cfr., ad es., gli articoli 19, comma 3, 24, comma 1, lettera c), 59 e 61 del Codice), che subordinano la consultazione di materiale documentale al rispetto di determinati limiti temporali (ad es., con esclusione dei periodi in cui un elenco e' in fase di aggiornamento), soggettivi, oppure di talune modalita' (ad es., documentazione dell'identita' del soggetto che intende consultare un registro) o finalita' (es.: fini statistici e di ricerca). Gli accertamenti effettuati hanno evidenziato che nella prassi amministrativa osservata presso il comune di Roma nei rapporti con numerosi enti, inclusa la regione, tale quadro normativo non e' stato invece preso nella dovuta considerazione, essendosi consentita la consultazione diretta per via telematica di dati anagrafici mediante lo stesso meccanismo di «anagrafe aperta» impropriamente utilizzato per la regione Lazio. Riportando i dati anagrafici in una «data-base popolazione» contenente anche numerose altre informazioni (relative anche a «vaccinazioni, elettorale, leva militare», dati relativi alla carta d'identita' ed al codice fiscale), si e' realizzato un sistema telematico che prevede, anzitutto, un'impropria consultazione diretta di dati anagrafici da parte di altro personale comunale non facente parte dei servizi di anagrafe e di stato civile (centrali e dei municipi). La consultazione diretta dei dati anagrafici per via telematica viene inoltre consentita a numerosi soggetti esterni al Comune di Roma (amministrazioni centrali, militari e sanitarie; uffici giudiziari ed enti locali; ecc.), senza peraltro verificare sempre e compiutamente ne' la concreta motivazione di pubblica utilita' in base alla quale viene richiesto di conoscere i dati, ne' le singole utilizzazioni dei dati consentite a regime presso enti a struttura complessa che perseguono differenti finalita'. Le procedure di abilitazione all'accesso non soddisfano compiutamente l'esigenza di ottenere la comunicazione dei dati in rapporto solo ad una specifica attivita' funzionale svolta dal soggetto richiedente. Un ampio numero di utenti e' stato infine abilitato in base ad un'istruttoria non approfondita o per utenze per diverso tempo inattive oppure disponibili a soggetti non agevolmente contattabili. Tali criticita' sussistono anche nei riguardi di utenti abilitati soltanto alla consultazione dei dati e non anche a modificarli, e sono piu' marcate nei confronti di soggetti posti in condizione di operare diversi tipi di interrogazione del sistema, oppure di abilitare a loro volta - senza titolo - all'accesso ulteriori utenti. In sostituzione di tali procedure, il Comune di Roma dovra' pertanto individuare entro il congruo termine di cui al seguente dispositivo un diverso meccanismo che, pur permettendo di comunicare i dati richiesti anche con strumenti automatizzati e per via telematica (e, quindi, di perseguire le finalita' di snellimento ed efficienza dell'azione amministrativa a supporto del cittadino). Le richieste di certificazione o attestazione, oppure di rilascio di elenchi ad amministrazioni pubbliche motivato da ragioni accertate di pubblica utilita', potranno essere inoltrate e riscontrate anche automaticamente, per via telematica, escludendo pero' la consultazione diretta, anche on-line, degli atti di provenienza anagrafica da parte di soggetti interni ed esterni diversi da quelli preposti all'ufficio anagrafe. Dovra' altresi' aversi cura di: a) verificare piu' attentamente la qualifica soggettiva dei richiedenti e la motivazione di pubblica utilita' da essi perseguita; b) porre maggiore attenzione a presupposti, limiti e modalita' previste dalla disciplina che riguarda singoli atti e documenti (cfr., per i dati sulle vaccinazioni, art. 4 della legge 4 febbraio 1966, n. 51; art. 3 della legge 5 marzo 1963, n. 292; per il servizio elettorale, art. 51 del decreto del Presidente della Repubblica 20 marzo 1967, n. 223; per la carta d'identita', art. 289 del regio decreto 6 maggio 1940, n. 635; per le liste di leva, articoli 37 e 48 del decreto del Presidente della Repubblica 14 febbraio 1964, n. 237); c) individuare soluzioni piu' idonee per consentire il tracciamento di operazioni di richiesta e di comunicazione di dati presso postazioni di lavoro individuate e da parte di utenti parimenti identificati, monitorando utilizzi impropri e prevenendo accessi multipli realizzati utilizzando una stessa chiave di accesso presso piu' postazioni di lavoro. Nel conformare a norma i trattamenti di dati anagrafici, il comune dovra' altresi': d) escludere soggetti privati esterni dalla facolta' di consultare direttamente i dati, di acquisirne elenchi su richiesta e di abilitare all'accesso altri soggetti. Nel caso in cui tali soggetti privati comprovino la qualita' di effettivi responsabili del trattamento per conto di soggetti pubblici, il rilascio anche informatico di elenchi dovra' essere regolato in primo luogo con il soggetto pubblico, verificando anche l'effettivo rispetto delle modalita' richiamate a proposito del rapporto tra titolare e responsabile del trattamento; e) rivedere l'attuale configurazione della gestione in outsourcing del servizio anagrafico, attualmente affidata ad associazioni temporanee di imprese di ampie dimensioni. Dovranno essere adeguate al Codice le prassi seguite per la specificazione dei compiti, per impartire istruzioni riguardo al trattamento dei dati e per la vigilanza anche tramite verifiche periodiche, coordinata con mezzi e soluzioni adeguate alla delicatezza e alla complessita' delle questioni trattate e dei flussi di dati. Le misure da adottare per ottemperare alle predette prescrizioni dovranno essere eseguite nel termine di cui al dispositivo dandone esaustiva comunicazione a questa Autorita'. 3. Il trattamento di dati anagrafici da parte delle amministrazioni comunali. Il Garante ritiene necessario prescrivere a tutte le amministrazioni comunali di conformare il trattamento dei dati anagrafici ai principi ed ai limiti richiamati in questa sede. Si sottolinea, in particolare, la necessita' di escludere che, nel fornire ad amministrazioni pubbliche elenchi di dati anagrafici per motivi di pubblica utilita', anche telematicamente o attuando mediante convenzioni flussi di dati verso altri soggetti pubblici (art. 2, comma 5, della legge n. 127/1997), si permetta di consultare direttamente i dati dell'anagrafe della popolazione, riportati sia nelle schede anagrafiche informatiche, sia in eventuali elenchi duplicati in data-base di «lavoro». Tutto cio' premesso, IL GARANTE ai sensi dell'art. 154, comma 1, lettera c), del Codice, prescrive: a) alla regione Lazio, a Laziomatica S.p.a. e al comune di Roma di conformare, ove non vi abbiano gia' provveduto in termini conformi a quanto indicato, i trattamenti di dati personali alle disposizioni e ai principi sopra richiamati, procedendo all'attuazione delle misure indicate in motivazione entro centottanta giorni dalla data di ricezione del presente provvedimento; b) a tutti i comuni di adottare tali misure parimenti necessarie per conformare i trattamenti di dati anagrafici ai principi richiamati nel presente provvedimento; c) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell'art. 143, comma 2, del Codice. Roma, 6 ottobre 2005 Il presidente e relatore Pizzetti Il segretario generale Buttarelli