[doc. web n. 10241964]

Parere su uno schema di decreto della Direzione generale per la motorizzazione del Ministero delle infrastrutture e dei trasporti, concernente la disciplina della piattaforma telematica istituita presso il Centro elaborazione dati della Direzione generale per la motorizzazione, ai fini della definizione delle tempistiche e delle modalità di presentazione dell’istanza da parte delle agenzie telematiche per l’iscrizione al Registro elettronico delle Agenzie Telematiche - 17 aprile 2026

Registro dei provvedimenti
n. 232 del 26 marzo 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTA la legge 8 agosto 1991, n. 264, recante «Disciplina dell’attività di consulenza per la circolazione dei mezzi di trasporto» ai sensi della quale:

- l’autorizzazione all’esercizio dell’attività di consulenza per la circolazione dei mezzi di trasporto è rilasciata dalla provincia, al titolare dell’impresa che sia in possesso di determinati requisiti (art. 3, comma 1);

- la predetta autorizzazione è sospesa, in caso di irregolarità persistenti o ripetute (art. 9, comma 2) o revocata al venir meno dei requisiti sulla base dei quali la stessa è stata rilasciata (art. 9, comma 3);

- la responsabilità professionale per l’esercizio dell’attività di consulenza per la circolazione dei mezzi di trasporto grava sul titolare dell’impresa            individuale ovvero, nel caso di società, sui soci in possesso dell’attestato di idoneità professionale (art. 4, comma 1);

VISTA la legge 25 novembre 2024, n. 177, recante «Interventi in materia di sicurezza stradale e delega al Governo per la revisione del codice della strada, di cui al decreto legislativo 30 aprile 1992, n. 285» e, in particolare, l’articolo 6, che:

istituisce il registro delle agenzie telematiche per le imprese che erogano prestazioni professionali di consulenza per la circolazione dei mezzi di trasporto, ai sensi della citata legge n. 264/1991, rinviando ad un decreto del Ministero delle infrastrutture e dei trasporti la definizione delle modalità e dei termini per l’iscrizione nel predetto registro, i programmi dei corsi di formazione e aggiornamento che il titolare dell’impresa deve dimostrare di aver frequentato per la conferma di validità dell’iscrizione, nonché i casi di revoca o di cancellazione dell’iscrizione stessa;

prevede, in particolare, che l’iscrizione dell’impresa nel registro delle agenzie telematiche è soggetta a conferma di validità ogni due anni e costituisce condizione necessaria per il rilascio delle credenziali di accesso ai sistemi informativi automatizzati della Direzione generale per la motorizzazione;

VISTO il decreto del Capo del Dipartimento n. 200 del 16 giugno 2025, recante «Modalità e termini per l'iscrizione degli studi di consulenza automobilistica nel Registro elettronico Agenzie Telematiche (ReAT)» il quale prevede, in particolare, che:

il responsabile professionale è la persona fisica indicata nell’autorizzazione provinciale quale soggetto responsabile dell’esercizio dell’attività di consulenza per la circolazione dei mezzi di trasporto (art. 1, comma 1, lett. d));

gli studi di consulenza automobilistica sono le imprese, le società e le delegazioni diretta dell’Automobile Club d’Italia e gli uffici in regime di concessione o convenzionamento autorizzati (art. 1, comma 1, lett. f));

l’iscrizione al ReAT è condizione necessaria per l’accesso e l’operatività nel sistema informativo automatizzato della Direzione generale per la motorizzazione (di seguito, “S.I.”) (art. 2, comma 2);

ai fini dell’iscrizione nel ReAT, gli studi di consulenza devono dimostrare di essere titolari dell’autorizzazione provinciale e non risultare destinatari di provvedimenti di sospensione o di decadenza dai collegamenti telematici con il S.I. (art. 3, comma 1, lett. b));

il titolare dello studio o la persona fisica legittimata ad agire in nome e per conto dello stesso presenta la richiesta di iscrizione al ReAT mediante apposita applicazione web alla quale accede tramite SPID di livello 2 o CIE; la Direzione generale per la motorizzazione provvede all’iscrizione (art. 4, commi 1 e 3);

in caso di sospensione, revoca o cancellazione dell’iscrizione al ReAT, l’agenzia telematica non può più accedere ai S.I. (art. 9, commi 1, 2 e 6);

con successivo decreto del Direttore generale della Direzione generale per la motorizzazione, sono stabilite le tempistiche e le modalità di presentazione dell’istanza da parte degli studi di consulenza automobilistica ai sistemi informativi ai fini dell’iscrizione al ReAT (art. 10, comma 2);

VISTE le note del 14 novembre 2025, del 19 febbraio 2026 e, da ultimo, del 20 marzo 2026 con le quali il Ministero delle infrastrutture e dei trasporti (di seguito, “Ministero”), al fine di acquisire il prescritto parere, ha sottoposto all’Autorità lo schema di decreto della Direzione generale per la motorizzazione del Ministero delle infrastrutture e dei trasporti, concernente la disciplina della piattaforma telematica istituita presso il Centro elaborazione dati della Direzione generale per la motorizzazione (di seguito, “CED”), ai fini della definizione delle tempistiche e delle modalità di presentazione dell’istanza da parte delle agenzie telematiche per l’iscrizione al Registro elettronico delle Agenzie Telematiche (di seguito, “ReAT” o “registro”), in attuazione del citato art. 10, comma 2, del decreto del Capo del Dipartimento del 16 giugno 2025;

RILEVATO che lo schema di decreto, composto da dodici articoli e un Allegato tecnico, che costituisce parte integrante del decreto, disciplina le tempistiche e le modalità di presentazione dell’istanza da parte delle agenzie telematiche per l’iscrizione al ReAT, il funzionamento dello stesso, nonché il trattamento dei dati personali effettuato nell’ambito del medesimo registro, prevedendo, in particolare, che:

in relazione a ciascuna agenzia telematica, nel ReAT sono acquisiti i seguenti dati e informazioni: l’anagrafica dell’agenzia telematica, del titolare dell’agenzia e del responsabile professionale; i dati di contatto dell’agenzia telematica e del responsabile professionale; le informazioni relative alle sedi operative; gli ambiti di operatività per i quali le singole sedi operative dell’agenzia telematica sono autorizzate ad operare; l’autorizzazione provinciale, di cui alla citata legge n. 264/1991; la certificazione conseguita al termine del corso di formazione e aggiornamento (art. 3, comma 2);

all’interno del ReAT sono presenti altresì i dati relativi agli eventuali provvedimenti sanzionatori di sospensione e revoca adottati nei confronti delle agenzie telematiche, ossia numero, data, esito e durata del provvedimento, ove previsto. In nessun caso il ReAT è alimentato con il testo dei provvedimenti sanzionatori (art. 3, commi 3 e 4, nonché Allegato tecnico, parr. 3.1 e 3.3, punto 5);

l’accesso alle informazioni e ai dati personali contenuti nel ReAT è consentito ai seguenti soggetti e con le seguenti modalità:

a) le agenzie telematiche accedono per il tramite del titolare, tramite SPID di secondo livello o CIE, mediante rete internet pubblica, attraverso il Portale del Trasporto, per lo svolgimento di attività quali la presentazione dell’istanza di iscrizione, la consultazione dei dati anagrafici dell’agenzia, l’inserimento delle informazioni relative ai corsi di formazione, l’aggiornamento dei dati e la presentazione della richiesta di cancellazione dal ReAT;

b) il responsabile professionale accede tramite SPID di secondo livello o CIE, mediante rete internet pubblica, attraverso il Portale del Trasporto per l’inserimento delle informazioni relative ai corsi di formazione iniziale e di aggiornamento;

c) l’ufficio di motorizzazione civile (di seguito, “UMC”) accede mediante le proprie credenziali istituzionali, attraverso il Portale del Trasporto, al fine di verificare le istanze di iscrizione presentate dalle agenzie con sede operativa nel territorio di competenza, consultare i dati, sospendere, revocare o cancellare l’iscrizione nel ReAT di un’agenzia;

d) la Direzione generale territoriale (di seguito, “DGT”) accede mediante le proprie credenziali istituzionali, attraverso il Portale del Trasporto, al fine di consultare i dati relativi alle agenzie telematiche che hanno la sede operativa nel territorio di competenza, per monitorare le agenzie telematiche presenti nel territorio;

e) la Direzione generale per la motorizzazione (di seguito, “DGMOT”) accede mediante le proprie credenziali istituzionali, attraverso il Portale del Trasporto, al fine di consultare i dati relativi alle agenzie, sospendere, revocare o cancellare l’iscrizione di un’agenzia;

f) la provincia che ha rilasciato l’autorizzazione accede tramite SPID di secondo livello o CIE, attraverso il Portale del Trasporto, al fine di consultare i dati relativi alle agenzie telematiche per le quali ha rilasciato l’autorizzazione, monitorare quelle presenti sul territorio, sospendere o revocare l’iscrizione nel ReAT delle agenzie per le quali ha rilasciato l’autorizzazione;

le credenziali istituzionali di cui alle lettere c), d) ed e) prevedono un sistema di autenticazione a più fattori gestito dal sistema informativo del Dipartimento per i trasporti e la navigazione del Ministero, attraverso il Portale del Trasporto. Qualora l’operatore non operi nella rete intranet del Ministero, l’accesso avviene tramite rete privata virtuale, al fine di consentire l’utilizzo delle specifiche funzionalità riservate, non accessibili dai cittadini tramite la rete internet pubblica (art. 4 e Allegato tecnico, par. 2);

in virtù del fatto che il titolare dell’agenzia ha effettuato l’accesso mediante SPID di secondo livello o CIE, il codice fiscale, i dati anagrafici e di residenza vengono prelevati dal provider d’identità, mentre i dati formativi (quali codice univoco alfanumerico dell’attestato di formazione e aggiornamento e la data di rilascio della certificazione) vengono inseriti manualmente dal medesimo titolare (art. 5, comma 2, nonché Allegato tecnico, parr. 3.1 e 3.3);

il titolare dell’agenzia telematica inserisce, altresì, l’indirizzo di posta elettronica ordinaria e certificata della stessa, per eventuali comunicazioni e assistenza, nonché il codice fiscale dell’agenzia per il collegamento con InfoCamere (art. 5, comma 1 e Allegato tecnico, parr. 3.1 e 3.3, lett. b) e c));

tramite collegamento con InfoCamere vengono acquisiti nel ReAT la denominazione, ragione sociale e indirizzo della sede legale (art. 5, comma 2, nonché Allegato tecnico, parr. 3.1 e 3.3);

il titolare dell’agenzia inserisce i seguenti dati relativi alle sedi operative presso le quali svolge la propria attività, tra cui, in particolare, indirizzo, CAP e denominazione (art. 5, comma 3);

il titolare dell’agenzia telematica seleziona, per ciascuna sede, gli ambiti per i quali l’agenzia telematica è autorizzata ad operare e i seguenti dati del responsabile professionale indicato nell’autorizzazione provinciale, tra cui nome e cognome, data e luogo di nascita, codice fiscale, indirizzo di posta elettronica ordinaria e i dati formativi (quali codice univoco alfanumerico dell’attestato di formazione e aggiornamento e data di rilascio della certificazione di formazione e aggiornamento), nonché i dati di contatto dell’agenzia telematica (ossia indirizzo di posta elettronica ordinaria e certificata) (artt. 3, comma 2, lett. b) e 5, commi 1 e 6, nonché Allegato tecnico, parr. 3.1 e 3.3);

il registro genera automaticamente un documento riepilogativo dei dati e delle informazioni trasmesse, in formato PDF, il quale viene sottoscritto digitalmente dal titolare dell’agenzia telematica e caricato all’interno del registro; conclusi tali adempimenti, l’istanza si intende completata e il registro invia apposita comunicazione tramite PEC al titolare dell’agenzia telematica (art. 5, commi 8 e 9 e Allegato tecnico, par. 2);

l’UMC territorialmente competente che accede al ReAT provvede all’istruttoria delle istanze di iscrizione presentate procedendo alla verifica della correttezza e completezza delle informazioni ivi contenute, ai fini dell’approvazione, dell’eventuale richiesta di integrazione o del rigetto dell’istanza di iscrizione medesima; in caso di esito positivo, accoglie l’istanza e iscrive l’agenzia telematica nel registro, con invio automatico di un’apposita comunicazione tramite PEC (art. 6, commi 1 e 2 e Allegato tecnico, par. 2, lett. B);

qualora la provincia, o la DGMOT e l’UMC competente sospendano o revochino l’iscrizione dell’agenzia telematica nel ReAT, viene inviata automaticamente apposita comunicazione tramite PEC; in tali casi, oltre che nell’ipotesi di presentazione dell’istanza di cancellazione, si determina l’impossibilità di accedere al S.I. (art. 8, comma 1, 2, 3, 5 e 8);

il Ministero tratta i dati personali contenuti nell’ambito del ReAT in qualità di titolare del trattamento per il perseguimento delle finalità di gestione e manutenzione tecnica, gestione degli accessi, monitoraggio e governo generale del ReAT (trattando, a tal fine, solo dati aggregati) e svolgimento dei compiti indicati nello schema (art. 9, commi 1 e 3); tratta, inoltre, i dati personali dei soggetti che accedono al ReAT, ivi compresi quelli del titolare dell’agenzia telematica, nel rispetto del principio di minimizzazione (art. 9, comma 2);

ove dovesse rendersi strettamente necessario, il Ministero, nei casi previsti dalla legge, accede ai dati personali trattati nell’ambito del registro, al fine di soddisfare richieste ricevute dalle competenti autorità giudiziarie e forze di polizia o effettuare segnalazioni nei confronti delle competenti autorità (art. 9, comma 4);

gli UMC sono individuati dal Ministero quali soggetti autorizzati al trattamento dei dati personali effettuato, per il tramite del ReAT (art. 9, comma 5);

nell’ambito delle attività disciplinate dallo schema, il Ministero può avvalersi del supporto soggetti nominati quali responsabili del trattamento, ai sensi dell’articolo 28 del Regolamento (art. 9, comma 6 e Allegato tecnico, par. 5);

il Ministero fornisce apposita informativa agli interessati, in conformità agli articoli 13 e 14 del Regolamento, circa il trattamento dei dati personali effettuato nell’ambito del ReAT, e garantisce l’esercizio dei diritti riconosciuti dagli artt. 15 e ss. del Regolamento; il sistema permette l’apposizione di flag relativo alla presa visione dell'informativa (art. 10, commi 3 e 4 e Allegato tecnico, par. 2);

nell’ambito della procedura di autenticazione informatica al ReAT sono previsti: (i) un sistema di logging integrato; (ii) soluzioni di monitoraggio per tenere traccia delle operazioni del sistema e facilitare l’identificazione di eventuali problemi tecnici. In particolare, le applicazioni sono configurate per produrre i log necessari a tracciare gli eventi significativi, ossia le chiamate effettuate internamente ed esternamente al sistema, e una piattaforma di Log Management configurata per raccogliere, interpretare e indicizzare i dati (Allegato tecnico, par. 2, lett. E);

i dati personali relativi agli utenti titolari dell’agenzia telematica, ai responsabili professionali e le informazioni relative alle agenzie telematiche sono aggiornati in considerazione dell’inserimento di nuove informazioni e/o della modifica di quelle esistenti, e sono archiviati per scopi di conservazione a lungo termine. Inoltre, viene eseguito un backup giornaliero di tipo incrementale e un full backup settimanale (Allegato tecnico, par. 2, lett. G e H);

i dati sono crittografati in transito e at rest per le comunicazioni tra il soggetto richiedente e il sistema, e tra le componenti del sistema medesimo e la Transparent Data Encryption presente sul DataBase Oracle con algoritmo AES128 (Allegato tecnico, par. 2, lett. J);

nel ReAT sono rese, altresì, disponibili ulteriori funzionalità, quali quelle di verifica dell’istanza di iscrizione, gestione delle istanze di sospensione, revoca o cancellazione, visualizzazione e aggiornamento dei dati, gestione dei corsi di formazione e annullamento d’ufficio (Allegato tecnico, par. 2);

con riferimento alla funzionalità di verifica dell’istanza di iscrizione, l’utente titolare dell’agenzia accede alla sezione ai fini dell’effettuazione delle eventuali integrazioni richieste per il completamento dell’iscrizione al ReAT, mentre l’utente UMC accede alla sezione ai fini della verifica dell’istanza di iscrizione presentata dalle agenzie del territorio di propria competenza (Allegato tecnico, par. 2);

in merito alla funzionalità di gestione degli obblighi formativi, l’utente titolare dell’agenzia accede alla sezione ai fini dell’inserimento dei dati relativi al corso di formazione e aggiornamento frequentato nel periodo indicato, mentre l’utente responsabile professionale accede alla sezione ai fini dell’inserimento dei dati relativi al corso di formazione e aggiornamento frequentato nel periodo indicato (Allegato tecnico, par. 2);

con riferimento, invece, alla funzionalità di annullamento, l’accesso al sistema viene effettuato da parte degli utenti UMC o DGMOT al fine di rendere nulla l’iscrizione dell’agenzia telematica (Allegato tecnico, par. 2);

per quanto concerne il personale amministrativo degli UMC, della provincia, delle DGT e della DGMOT, i dati oggetto di trattamento sono solamente quelli inerenti alle credenziali utilizzate per l’accesso al ReAT (Allegato tecnico, par. 3.1);

nell’ambito del ReAT sono trattati in modalità cifrata i dati personali relativi ai log degli utenti che si autenticano alla piattaforma, i quali sono conservati in apposita banca dati per 24 (ventiquattro) mesi dalla data dell’ultimo accesso al ReAT da parte dell’utente, coincidendo tale data con quella di generazione del log (Allegato tecnico, par. 3.5);

CONSIDERATO che lo schema di decreto in esame tiene in parte conto delle osservazioni rese dall’Ufficio nel corso delle interlocuzioni informali intercorse con il Ministero, e volte a rendere conformi i trattamenti ivi disciplinati alla normativa in materia di protezione dei dati personali, con particolare riferimento ai seguenti profili:

le definizioni volte a chiarire, in particolare, che per responsabile professionale si intende la persona fisica indicata nell’autorizzazione provinciale quale soggetto responsabile dell’esercizio dell’attività di consulenza per la circolazione dei mezzi di trasporto, ai sensi dell’art. 4, comma 1, della citata legge n. 264/1991, che può essere distinto dal titolare dell’agenzia, al fine di chiarire, con particolare  riferimento alla presentazione dell’istanza di iscrizione al ReAT, quali siano le categorie di interessati i cui dati devono essere inseriti nel medesimo registro (artt. 5, par. 1, lett. a), e 6, par. 3 del Regolamento);

l’esclusione della possibilità che il ReAT, tramite collegamento con ANPR, acquisisca i dati anagrafici e di residenza del titolare dell’agenzia telematica che accede al registro ai fini della presentazione dell’istanza di iscrizione, in quanto i predetti dati devono essere acquisiti tramite gli strumenti di autenticazione previsti nello schema, ossia SPID di secondo livello o CIE (art. 5, par. 1, lett. a) e c) del Regolamento);  

l’ambito di competenza dei vari soggetti che accedono al ReAT, con particolare riferimento agli UMC e alla DGT, cui sono assegnati profili di visibilità concernenti le agenzie telematiche che hanno la sede operativa nel territorio di competenza, e alla provincia, che agisce come titolare autonomo nell’ambito delle competenze individuate dalla richiamata normativa di settore, con profili di visibilità relativi alle agenzie telematiche per le quali ha rilasciato l’autorizzazione (art. 5, par. 1, lett. b) ed f), nonché art. 32 del Regolamento);

le tipologie di dati trattati nell’ambito del ReAT specificando, in particolare, le finalità del trattamento dei dati di contatto dell’agenzia telematica e del responsabile professionale inseriti dal titolare dell’agenzia in sede di compilazione dell’istanza di iscrizione al ReAT (art. 5, par. 1, lett. a), b) e c), del Regolamento);

la precisazione che, nei casi di verifica dei dati relativi ai corsi di formazione iniziale o di aggiornamento mediante confronto tra i dati inseriti dall’agenzia telematica e quelli messi a disposizione dagli enti di formazione, il predetto confronto restituisca esclusivamente l’esito del controllo (art. 5, par. 1, lett.  a) e c), del Regolamento);

l’indicazione che, a seguito della sospensione o revoca dell’iscrizione dell’agenzia telematica nonché della presentazione dell’istanza di cancellazione al ReAT o dell’annullamento d’ufficio dell’iscrizione, consegua l’impossibilità di accesso al S.I. da parte dell’agenzia o delle singole sedi interessate, tramite l’interoperabilità tra il ReAT e il sistema di gestione degli accessi del CED (artt. 5, par. 1, lett. f), 25 e 32 del Regolamento);

le garanzie e le misure di sicurezza volte a tutelare i diritti fondamentali e gli interessi delle persone fisiche i cui dati sono trattati nell’ambito del ReAT precisando, in particolare, le modalità di pseudonimizzazione dei dati ivi conservati, a partire dalla cessazione dell’iscrizione dell’agenzia dal registro, o di altra causa che determini la cessazione dell’attività dell’agenzia, al fine di consentire gli accertamenti previsti dalla legge, di competenza dell’autorità giudiziaria (artt. 5, par. 1, lett. f), e 32 del Regolamento);

l’indicazione del periodo di conservazione dei dati personali relativi ai log degli utenti, precisando che i ventiquattro mesi di conservazione decorrono dalla data di generazione del log all’interno del ReAT (art. 5, par. 1, lett. e), del Regolamento);

CONSIDERATO, inoltre, che per quanto attiene al trattamento dei dati relativi agli eventuali provvedimenti sanzionatori presenti nel ReAT, è emerso, nel corso delle interlocuzioni informali, che l’esito degli stessi è circoscritto alla sola indicazione dell’effetto sospensivo o di revoca (art. 3, comma 3, lett. c), dello schema);

RILEVATO che lo schema di decreto e il relativo Allegato tecnico prevedono che, ai fini della presentazione della domanda di iscrizione dell’agenzia telematica, il titolare inserisca il codice fiscale dell’agenzia medesima per consentire la verifica, tramite interoperabilità con i sistemi di InfoCamere, della corrispondenza tra il soggetto che effettua l’accesso e il titolare dell’agenzia stessa, nonché per l’acquisizione dei dati e delle informazioni dell’agenzia (art. 5, commi 1 e 2, lett. b), dello schema e Allegato tecnico, par. 3.3, lett. c));

CONSIDERATO che InfoCamere è la società che gestisce i sistemi informatici delle Camere di Commercio Industria, Artigianato e Agricoltura (CCIAA) e che, nel contesto di interoperabilità sopra descritto, non sono state individuate le relative banche dati che si intenderebbero utilizzare;

RITENUTO necessario specificare le banche dati delle CCIAA utilizzabili ai fini della verifica dei poteri di rappresentanza del titolare dell’agenzia e dell’acquisizione dei dati e delle informazioni dell’agenzia stessa, compatibilmente con quanto previsto dalla normativa di settore e nel rispetto dei principi di liceità, correttezza e trasparenza, di minimizzazione, di integrità e riservatezza (artt. 5, par. 1, lett. a), c) e f), 25 e 32 del Regolamento);

RILEVATO, altresì, che lo schema in esame prevede che il titolare dell’agenzia telematica inserisca il numero e la data di rilascio dell’autorizzazione provinciale, caricando la stessa per ogni sede per la quale è stata rilasciata (art. 5, comma 5, dello schema e Allegato tecnico, par. 3.1);

CONSIDERATO che l’art. 3, comma 1, della citata legge n. 264/1991 prevede, in particolare, che l’autorizzazione è rilasciata dalla provincia competente al titolare dell’agenzia che sia in possesso di determinati requisiti, tra cui l’assenza di condanne per i delitti ivi elencati, e che non sia stato sottoposto a misure amministrative di sicurezza personali o a misure di prevenzione;

RITENUTO necessario, al riguardo, limitare, in ossequio al principio di minimizzazione, l’acquisizione nel ReAT dei soli estremi dell’autorizzazione provinciale, atteso che il caricamento di copia integrale della stessa determinerebbe una duplicazione delle informazioni e dei dati ivi contenuti e già trattati in sede di rilascio dell’autorizzazione da parte della provincia (abilitata ad accedere al ReAT anche al fine di monitorare le agenzie telematiche presenti nel territorio di riferimento), con conseguenti rischi per i diritti e le libertà degli interessati (art. 5, par. 1, lett. c), del Regolamento);

RILEVATO che il titolare dell’agenzia telematica, tramite l’accesso al ReAT, può modificare i dati di contatto inseriti in fase di presentazione dell’istanza, e aggiornare, in particolare, le informazioni relative ai corsi di formazione iniziale o di aggiornamento; l’aggiornamento delle informazioni relative ai corsi è effettuato anche per il tramite del responsabile professionale, il quale inserisce manualmente la data dell’attestato di rilascio del certificato del corso e il codice univoco alfanumerico del certificato del corso (art. 7, commi 1 e 2 dello schema e Allegato tecnico, par. 3.3, n. 4). Il registro confronta automaticamente i dati inseriti dall’agenzia telematica con quelli messi a disposizione dagli enti di formazione; il confronto restituisce esclusivamente l’esito del controllo senza accesso ad ulteriori dati (art. 7, comma 5, dello schema);

RILEVATO, inoltre, che i dati relativi ai corsi di formazione e aggiornamento sono oggetto di verifica da parte del CED, mediante confronto con le informazioni rese disponibili dagli enti erogatori dei corsi stessi, effettuando interrogazioni al database messo a disposizione da questi ultimi, al fine di accertare lo svolgimento del corso mediante il riscontro tra i dati dell’attestato dichiarati dal titolare dell’agenzia o dal responsabile professionale e quelli presenti nei sistemi degli enti presso cui l’utente ha effettuato il corso. In caso di esito negativo, viene accertato se l’anomalia sia dovuta a un malfunzionamento dei sistemi informatici oppure a un’effettiva incongruenza dei dati dichiarati, procedendo in tal caso la DGMOT all’adozione dei relativi provvedimenti sanzionatori;

RILEVATO, infine, che l’Allegato tecnico prevede, a tal riguardo, che “il dettaglio delle informazioni e del procedimento sopracitato sarà disciplinato con successivo atto della DGMOT” (par. 2);

CONSIDERATO, in generale, che nel sistema delineato dal Regolamento e dal Codice le scelte di fondo relative al trattamento di dati personali devono essere individuate nell’ambito di una idonea base giuridica che abbia specifiche caratteristiche in termini di qualità della fonte, contenuto essenziale del diritto e proporzionalità rispetto alle finalità perseguite (artt. 5, par. 1, e 6, parr. 1, lett. c) ed e), e 3, nonché cons. 41 del Regolamento) e che, pertanto, gli elementi essenziali del trattamento devono essere disciplinati all’interno di un atto che abbia le caratteristiche di cui all’art. 2-ter del Codice;

RITENUTO, pertanto, necessario che la base giuridica del trattamento relativo alle verifiche da parte del CED, mediante confronto con le informazioni rese disponibili dagli enti erogatori dei corsi di formazione e di aggiornamento, sia conforme al sopra richiamato quadro giuridico di riferimento, e rechi idonei connotati di definitezza anche ai fini dell’espressione del prescritto parere del Garante (art. 5, par. 1, lett. a), e 6 del Regolamento);

RILEVATO, sotto altro profilo, che il ReAT conserva i dati personali acquisiti per il tramite dell’interoperabilità con le banche dati, nonché quelli inseriti manualmente, per il periodo di tempo strettamente necessario a perseguire gli scopi per i quali sono stati raccolti e trattati; nel caso in cui dovesse rendersi necessario l’intervento delle competenti autorità giudiziarie, i dati potranno essere conservati secondo modalità tecniche individuate in considerazione delle peculiarità del caso specifico e, in ogni caso, per il periodo strettamente necessario (art. 11, commi 1 e 2);

RILEVATO, inoltre, che i dati relativi all’istanza di iscrizione sono conservati per un periodo di 5 anni dalla data di conclusione del procedimento amministrativo per le verifiche di competenza dell’Amministrazione e che, decorso tale periodo, sono cancellati dalla piattaforma (Allegato tecnico, par. 3.5, punto 2);

RITENUTA la necessità di precisare, con riguardo alla predetta previsione, le tipologie di dati che si intendono conservare per tale periodo, nonché il dies a quo dal quale decorrono i 5 anni per la cancellazione degli stessi, tenendo conto sia delle diverse fasi relative alla conclusione del procedimento (come disciplinate dall’art. 6 dello schema), sia delle più generali finalità del trattamento che si intende porre in essere a seguito della presentazione dell’istanza di iscrizione nel ReAT, nel rispetto dei principi di cui agli artt. 5, par. 1, lett. a) ed e), 6 par. 3 del Regolamento;

RILEVATO, altresì, che i dati personali trattati dal Ministero nell’ambito del ReAT sono conservati in modalità cifrata per il periodo di tempo necessario ai fini degli accertamenti di legge e, nello specifico, i dati personali relativi ai soggetti interessati sono sottoposti ad un processo di pseudonimizzazione mediante l’utilizzo di meccanismi di cifratura tramite le funzionalità native del registro dedicato, a partire dalla data di cessazione dell’iscrizione dal registro dell’agenzia telematica o nei casi di annullamento d’ufficio. I predetti dati, oggetto di pseudonimizzazione, sono conservati in un apposito database della piattaforma per un periodo di 35 (trentacinque) anni dalla cessazione dell’iscrizione – per qualsiasi causa – dell’agenzia telematica dal registro. La conservazione dei dati consente gli accertamenti previsti dalla legge, di competenza dell’autorità giudiziaria, salvo l’ulteriore periodo di tempo indicato dalla predetta autorità, in relazione alla singola fattispecie, per consentire l’efficace espletamento delle relative funzioni. Decorso tale periodo, il dato viene definitivamente cancellato (Allegato tecnico, par. 3.5);

CONSIDERATO che il trattamento dei dati personali effettuato da soggetti pubblici è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (artt. 6, par. 1, lett. c) ed e), del Regolamento e 2-ter del Codice) e deve avvenire, in ogni caso, nel rispetto dei principi in materia di protezione dei dati personali, tra cui, in particolare quello limitazione della conservazione, in base al quale i dati sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; inoltre il titolare deve essere in grado di comprovare il rispetto dei predetti principi e la conformità del trattamento alla normativa in materia di protezione dei dati personali (art. 5, parr. 1, lett. e), e 2, e art. 24, par. 1, del Regolamento);

RITENUTO, di conseguenza, necessario che la conservazione dei dati per la prospettata finestra temporale di 35 anni sia orientata esclusivamente all’accertamento di eventuali fattispecie di reato (le quali, peraltro, devono essere puntualmente indicate) e bilanciata rispetto alle tempistiche di prescrizione dei reati specifici che la tenuta del registro potrebbe consentire di accertare; ciò, al fine di garantire che il relativo trattamento sia proporzionato alle finalità perseguite, anche in considerazione del conseguente aumento del rischio di perdita di integrità e riservatezza dei dati stessi, stante l’ampio arco temporale di riferimento;

RILEVATO, inoltre, che l’Allegato tecnico da un lato prevede che una volta che l’agenzia telematica ha cessato di essere associata a un titolare, i dati relativi alla titolarità vengono pseudonimizzati mediante l’utilizzo di meccanismi di cifratura, venendo quindi rimossa la correlazione diretta tra l’agenzia e i dati identificativi del titolare della stessa, al fine di impedire l’identificazione diretta e indiretta dell’interessato, pur mantenendo la possibilità per il Ministero di effettuare analisi statistiche o controlli ex post su dati aggregati (par. 2, lett. J), dall’altro indica che i dati oggetto di pseudonimizzazione sono riferiti al solo responsabile professionale, oltre che all’agenzia telematica (par. 3.5);

RITENUTO pertanto necessario, anche al fine di rendere coerenti le sopra riportate previsioni, adottare misure adeguate volte a garantire la sicurezza di tutti i dati personali oggetto di ulteriore conservazione, da individuarsi in riferimento alle specifiche categorie di interessati coinvolti nel trattamento (art. 5, par. 1, lett. b) e f), e 32 del Regolamento);  

RILEVATO che lo schema di decreto prevede che il trattamento dei dati personali posto in essere nell’ambito del ReAT sia effettuato da parte del Ministero nel rispetto dei “principi di liceità, correttezza, trasparenza, limitazione delle finalità, limitazione della conservazione e minimizzazione” (art. 5, par. 1, lett. a), b), c) ed e) del Regolamento), nonché di quanto previsto dagli articoli 24, 25 e 32 del Regolamento (art. 9, comma 1);

CONSIDERATO che i trattamenti disciplinati nello schema di decreto e nel relativo allegato devono rispettare il complesso dei principi individuati dalla normativa in materia di protezione dei dati personali, ivi inclusi quelli di esattezza, integrità e riservatezza e responsabilizzazione (art. 5, parr. 1, lett. d) e f), e 2 del Regolamento);

RITENUTO, quindi, opportuno, che lo schema in esame richiami tutti i principi sopra indicati (artt. 5, parr. 1 e 2, nonché 24, 25 e 32 del Regolamento);

RILEVATO, infine, che, nell’Allegato tecnico è stata condotta una “analisi dei rischi connessi all’utilizzo della Piattaforma ReAT” (par. 4) e che sono state individuate altresì misure di sicurezza infrastrutturali (par. 5);

CONSIDERATO, a tal riguardo, che la valutazione d’impatto deve essere condotta dal titolare prima di dare inizio al trattamento e in osservanza di quanto previsto dall’art. 35 del Regolamento, nonché dalle “Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679” del Comitato europeo per la protezione dei dati, adottate il 4 aprile 2017, modificate e adottate da ultimo il 4 ottobre 2017 (WP 248 rev.01) e poi successivamente fatte proprie dal Comitato europeo per la protezione dei dati con “Endorsement 1/2018” del 25 maggio 2018, ai sensi delle quali è, inoltre, previsto che “in alcuni casi, un titolare del trattamento può ritenere che un trattamento che soddisfa soltanto uno […dei] criteri [indicati nelle citate Linee guida] richieda una valutazione d'impatto sulla protezione dei dati”;

RITENUTO, pertanto, opportuno che il Ministero valuti la necessità di effettuare una valutazione d’impatto concernente il trattamento di dati personali in esame, anche in ossequio al più generale principio di responsabilizzazione (artt. 5, par. 2, nonché 24 e 35 del Regolamento);

RITENUTO, anche alla luce di quanto emerso nel corso delle interlocuzioni informali intercorse, di poter esprimere parere sullo schema di decreto in esame nei termini di cui in motivazione;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il Prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere sullo schema di decreto della Direzione generale per la motorizzazione del Ministero delle infrastrutture e dei trasporti, concernente la disciplina della piattaforma telematica istituita presso il Centro elaborazione dati della Direzione generale per la motorizzazione, ai fini della definizione delle tempistiche e delle modalità di presentazione dell’istanza da parte delle agenzie telematiche per l’iscrizione al Registro elettronico delle Agenzie Telematiche, e sul relativo allegato, con le seguenti condizioni:

- specificare le banche dati delle CCIAA utilizzabili ai fini della verifica dei poteri di rappresentanza del titolare dell’agenzia e dell’acquisizione dei dati e informazioni dell’agenzia stessa, compatibilmente con quanto previsto dalla normativa di settore e nel rispetto dei principi di liceità, correttezza e trasparenza, di minimizzazione, di integrità e riservatezza (artt. 5, par. 1, lett. a), c) e f), 25 e 32 del Regolamento);

- limitare, in ossequio al principio di minimizzazione, l’acquisizione nel ReAT dei soli estremi dell’autorizzazione provinciale, in luogo del caricamento di copia integrale della stessa (art. 5, par. 1, lett. c), del Regolamento);

- conformare al quadro giuridico di riferimento la base giuridica del trattamento relativo alle verifiche da parte del CED, mediante confronto con le informazioni rese disponibili dagli enti erogatori dei corsi di formazione e di aggiornamento, affinché la stessa rechi idonei connotati di definitezza, anche ai fini dell’espressione del prescritto parere del Garante (art. 5, par. 1, lett. a), e 6 del Regolamento);

- precisare le tipologie di dati che si intendono conservare per 5 anni, nonché la decorrenza del predetto termine, tenendo conto sia delle diverse fasi relative alla conclusione del procedimento (come disciplinate dall’art. 6 dello schema), sia delle più generali finalità del trattamento che si intende porre in essere a seguito della presentazione dell’istanza di iscrizione nel ReAT, nel rispetto dei principi di cui agli artt. 5, par. 1, lett. a) ed e), 6 par. 3 del Regolamento;

- prevedere che l’ulteriore conservazione dei dati per la durata di 35 anni sia orientata esclusivamente all’accertamento di eventuali fattispecie di reato (le quali, peraltro, devono essere puntualmente indicate) e bilanciata rispetto alle tempistiche di prescrizione dei reati specifici che la tenuta del registro potrebbe consentire di accertare; ciò, al fine di garantire che il relativo trattamento sia proporzionato alle finalità perseguite, anche in considerazione del conseguente aumento del rischio di perdita di integrità e riservatezza dei dati stessi, stante l’ampio arco temporale di riferimento (art. 5, parr. 1, lett. e), e 2, e art. 24, par. 1, del Regolamento);

- adottare misure adeguate volte a garantire la sicurezza di tutti i dati personali oggetto di ulteriore conservazione, da individuarsi in riferimento alle specifiche categorie di interessati coinvolti nel trattamento (art. 5, par. 1, lett. b) e f), e 32 del Regolamento);  
nonché con le seguenti osservazioni:

- richiamare nello schema il complesso dei principi in materia di protezione dei dati personali (artt. 5, parr. 1 e 2, nonché 24, 25 e 32 del Regolamento);

- valutare la necessità di effettuare una valutazione d’impatto concernente il trattamento posto in essere nell’ambito del ReAT, anche in ossequio al più generale principio di responsabilizzazione (artt. 5, par. 2, nonché 24 e 35 del Regolamento).

Roma, 26 marzo 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori