g-docweb-display Portlet

Parere sullo schema di regolamento concernente le modalità di funzionamento, accesso, consultazione del sistema di tracciabilità delle armi e delle munizioni, istituito ai sensi dell'articolo 11 del decreto legislativo 10 agosto 2018, n. 104 - 7 aprile 2022 [9773995]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9773995]

Parere sullo schema di regolamento concernente le modalità di funzionamento, accesso, consultazione del sistema di tracciabilità delle armi e delle munizioni, istituito ai sensi dell'articolo 11 del decreto legislativo 10 agosto 2018, n. 104 - 7 aprile 2022

Registro dei provvedimenti
n.  133 del 7 aprile 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere del Ministero dell’interno;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”);

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Visto il decreto legislativo 18 maggio 2018, n. 51, recante attuazione della direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento dei reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e, in particolare, l’articolo 24, comma 2;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

PREMESSO

Il Ministero dell’interno ha richiesto il parere del Garante su di uno schema di decreto, di natura regolamentare, attuativo dell'articolo 11, comma 6, del decreto legislativo 10 agosto 2018, n. 104, di recepimento della direttiva (UE) n. 2017/853, che ha modificato la direttiva 91/477/CEE, relativa al controllo dell'acquisizione e della detenzione di armi. Il comma 1 del medesimo articolo 11 ha, in particolare, disposto l’istituzione, presso il Dipartimento di Pubblica Sicurezza dello stesso  Dicastero, di un “sistema informatico dedicato per tracciabilità delle armi e delle munizioni” (infra: SITAM) al “fine di assicurare standard uniformi degli strumenti di controllo delle armi da fuoco e delle munizioni e garantire lo scambio di dati con gli altri Stati membri dell'Unione europea”.

Il citato comma 6 ha quindi demandato alla fonte regolamentare la disciplina delle modalità di funzionamento di tale sistema informativo; di trasmissione e conservazione dei dati normativamente previsti; di autenticazione, autorizzazione e registrazione degli accessi e delle operazioni effettuate sul sistema;  di collegamento, ai fini di consultazione e riscontro dei dati, con il Centro elaborazione dati di cui all'articolo 8 della legge 1° aprile 1981, n. 121 (infra: CED); di verifica della qualità e protezione dal danneggiamento e dalla distruzione accidentale o dolosa dei dati registrati e della loro sicura conservazione; di trasmissione delle informazioni qualora il sistema informatico non sia in grado di funzionare regolarmente a causa di eventi eccezionali.

RILEVATO

Lo schema di regolamento – suddiviso in sei Capi e tre allegati, costituentine parte integrante- disciplina al suo primo Capo (articoli 1 e 2) le modalità di funzionamento del SITAM, dedicato appunto alla tracciabilità delle armi e delle munizioni prodotte, importate, esportate o comunque commercializzate nel territorio nazionale.

In particolare, si disciplina l’immissione nel SITAM dei dati, da parte degli operatori economici, ai fini dell'assolvimento degli obblighi dì registrazione delle informazioni sulle operazioni, relative ad armi e munizioni, dagli stessi eseguiti, assicurando il controllo sulla relativa circolazione.

Il Capo II dello schema (articoli dal 3 al 6), dispone poi che i dati contenuti nel SITAM siano trattati, nel controllo della circolazione e nello scambio di dati e informazioni tra gli Stati membri, a fini di prevenzione dei reati, con particolare riguardo a quelli di matrice terroristica e ad altri di significativa gravità. Si prevede, inoltre, che i medesimi dati possano essere trattati anche per la gestione di autorizzazioni, licenze e nulla osta normativamente previsti, nonché a fini statistici.

L'articolo 4 indica la tipologia di dati suscettibili di immissione e conservazione nel SITAM, in particolare precisando che nel sistema sono immesse esclusivamente le informazioni utili a identificare univocamente l'arma e i soggetti nel tempo risultatine proprietari. Si impone di configurare i dati in conformità a quanto previsto dal d.P.R. n. 15 del 2018 che individua le modalità di attuazione dei principi del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalità di polizia, da organi, uffici e comandi di polizia, la cui ultrattività a seguito dell’entrata in vigore del nuovo quadro giuridico europeo è stata disposta dall’articolo 49, c.3, d.lgs. 51 del 2018, sino all’adozione di diversa disciplina regolamentare di carattere attuativo. La disposizione precisa, inoltre, che lo scambio di dati debba sempre avvenire con modalità cifrata.

L’articolo 5 individua i termini di conservazione dei dati immessi nel SITAM, in conformità alle indicazioni desumibili dall'art. 4 della direttiva n. 477/1991, secondo cui i dati (anche personali) relativi alle registrazioni delle armi da fuoco e delle loro componenti devono essere resi accessibili, da parte delle autorità competenti di ciascuno Stato membro:

-per un periodo di trent’anni dalla loro distruzione per finalità di prevenzione generale e repressione dei reati;

- per un periodo di dieci anni dalla loro distruzione ai fini del rilascio e della revoca delle autorizzazioni in materia di acquisto e detenzione.

Sulla scorta di questi principi e rideclinando dunque, in chiave di proporzionalità, i termini di cui agli articoli 35, comma 2, e 55, comma 2, TULPS, la norma prevede che i dati di cui all’Allegato A e quelli riguardanti le armi ad aria compressa con energia cinetica superiore a 7,5 joule siano conservati per un periodo di trenta anni dalla loro distruzione.

Per gli altri dati di cui a1l'Allegato B, il termine è di dieci anni dalla data in cui si sono concluse le operazioni di cui sono stati oggetto i materiali, mentre il termine di conservazione massima è fissato in cinque anni per i dati di cui all'Allegato C.

Decorsi tali termini, i dati presenti nel SITAM sono cancellati o resi anonimi con sistemi automatizzati.  
L'articolo 6 definisce, infine, le attività suscettibili di esecuzione, da parte degli operatori del SITAM, per raffrontare i dati ivi conservati con quelli disponibili nel CED Interforze, assicurandone la completezza e l’esattezza.

Il Capo III (articoli dal 7 al 14) si disciplina, infine, l'organizzazione e la struttura del SITAM.

In primo luogo, viene indicato quale titolare del trattamento il Dipartimento della pubblica sicurezza del Ministero dell'interno, conformemente alle disposizioni del decreto legislativo n. 51 del 2018 (art. 7) e vengono indicati i compiti del Centro elettronico nazionale della Polizia di Stato (CEN) preso cui viene allocato il SITAM ed al quale si attribuisce la responsabilità dell'intera gestione tecnologica del sistema (art. 8).

Gli articoli 9 e 10 definiscono, peraltro, i compiti della Direzione Centrale della Polizia Criminale e delle questure in ordine all’abilitazione degli utenti ed alla verifica del corretto utilizzo delle credenziali di autenticazione.

L’articolo 11 norma la struttura del SITAM, precisando che esso si compone di tre distinti archivi: uno dedicato alle armi da fuoco, contenente i dati elencati nell'Allegato A; uno dedicato alle armi diverse da quelle da fuoco e alle repliche ad avancarica a colpo singolo, contenente i dati di cui all'Allegato B; un terzo dedicato alle munizioni, contenente i dati di cui all'Allegato C. Tali archivi vengono strutturati in modo da garantire la possibilità di ricostruire, tra l’altro, la filiera dei passaggi di proprietà delle armi stesse. La loro struttura deve consentire l'elaborazione automatica dei riepiloghi mensili delle operazioni compiute da ciascun armaiolo o intermediario e il loro invio alle Questure; l'effettuazione -ai soggetti autorizzati- di ricerche dei dati relativi a ciascun armaiolo, intermediario o detentore di armi o munizioni; la trattazione di dati per finalità statistiche.

L’articolo 12 precisa che il collegamento tra il SITAM e il CED Interforze è effettuato attraverso meccanismi di cooperazione applicativa resi disponibili dal CED stesso. L’articolo 13 autorizza gli operatori economici del settore (l'armaiolo e l'intermediario di cui all'art. 31-bis TULPS) a collegarsi al SITAM ai fini dell'immissione dei dati relativi alle transazioni eseguite, della loro successiva consultazione e della loro eventuale correzione. A tal fine, l'armaiolo e l'intermediario sono tenuti a richiedere l'attivazione del collegamento, anche utilizzando i propri sistemi gestionali, alla Questura territorialmente competente. L'art. 14 disciplina i collegamenti tra il SITAM e i soggetti pubblici competenti.

Il Titolo IV dello schema di regolamento è suddiviso in due Sezioni, la prima delle quali (articoli da 15 a 20) descrive i soggetti legittimati ad eseguire operazioni di trattamento dei dati attraverso il SITAM, tra cui l’accesso, l’aggiornamento, la consultazione e l’immissione. Essa detta, inoltre, regole volte a garantire la tracciabilità delle operazioni eseguite attraverso il SITAM, prevedendo che ogni operazione sia registrata in appositi file di log, conservati per un periodo di venti anni dalla data dell'accesso ed accessibili unicamente a fini di verifica della liceità del trattamento, di controllo interno, di garanzia dell'integrità e della sicurezza dei dati, nonché (per esigenze probatorie o investigative) nell’ambito del procedimento penale.

La Sezione II (articoli da 21 a 26), invece, regola le caratteristiche delle credenziali di autenticazione necessarie all’esecuzione di operazioni attraverso il SITAM.

In particolare, si definisce il procedimento di rilascio delle credenziali nei confronti del personale autorizzato ad eseguire trattamenti di "accesso", ''immissione" o "aggiornamento" dei dati inseriti nel SITAM, regolandone il periodo di validità.

Il Capo V (articoli da 27 a 33) disciplina le modalità d’immissione e aggiornamento dei dati nel SITAM individuando, in tale contesto, i soggetti titolari del potere di controllo interno sul corretto svolgimento di tali trattamenti. Gli articoli 32 e 33 disciplinano gli adempimenti da osservare in caso di violazioni di dati personali e i presupposti per gli scambi informativi con Paesi esteri.

In particolare, l’articolo 32, attraverso un rinvio all’articolo 26 del d.lgs. 51 del 2018, impone di comunicare le violazioni di dati personali al Garante, per le conseguenti valutazioni.

Il Capo VI (articoli da 34 a 36) reca le norme finali e transitorie.

Il provvedimento si compone, inoltre, di quattro allegati, che ne costituiscono parte integrante e che individuano in particolare:

- i dati da inserire nel SITAM, relativamente alle operazioni aventi ad oggetto armi da fuoco o parti di armi da fuoco (Allegato A);

- i dati da inserire nel SITAM con riguardo alle armi diverse da quelle da fuoco e dalle repliche di armi antiche ad avancarica a colpo singolo (Allegato B);

- i dati da inserire nel SITAM relativamente alle munizioni (Allegato C);

- gli oneri informativi introdotti, ai sensi dell'articolo 7 della legge n. 180 del 2011 (Allegato D).

RITENUTO

Lo schema di regolamento, pur non presentando rilevanti criticità sotto il profilo della protezione dati, è suscettibile di alcuni perfezionamenti di seguito esposti, volti essenzialmente ad assicurare maggiore conformità alle previsioni legislative di settore e garanzie ulteriori di sicurezza per i dati trattati.

In tale prospettiva, la previsione di cui all'articolo 3, comma 2, alinea, nella parte in cui legittima il trattamento dei dati contenuti nel SITAM a fini statistici, suscita perplessità rispetto agli scopi attribuiti al Sistema stesso dalla norma di legge, individuati nella esigenza di “controllo della circolazione delle armi e delle munizioni e di prevenzione e repressione dei reati”. Nella misura in cui, dunque, le finalità statistiche paiono esulare da tali esigenze, legislativamente definite, è opportuno che la previsione del relativo trattamento sia espunta o, quantomeno, circoscritta ai soli dati di carattere non personale, con il conseguente coordinamento del disposto di cui all’articolo 11, comma 4, lettera c). 

Per altro verso, con riguardo ai presupposti soggettivi di legittimazione all’accesso di cui all’articolo 16, è opportuno precisare le caratteristiche e il livello (elevato) di sicurezza delle credenziali di autenticazione fornite ai soggetti legittimati, che dovrebbero essere basate almeno su meccanismi di autenticazione a doppio fattore.

Con riguardo, invece, alle credenziali utilizzate dagli armaioli o intermediari, è auspicabile un migliore coordinamento tra le disposizioni di cui agli articoli 13, comma 1, 17 comma 3 e 24, chiarendo il rapporto tra utilizzo dell’identità digitale o di altro regime di identificazione elettronica con livello di garanzia elevato, notificato ex artt. 8 e 9 del Regolamento (UE) 910/2014 e rilascio delle credenziali di accesso da parte della Questura.

IL GARANTE

ai sensi dell’articolo 24, comma 2, del d.lgs. 18 maggio 2018, n. 51, esprime parere favorevole sul proposto schema di regolamento, con:

a) la seguente condizione, esposta nel “Ritenuto”, relativa all’esigenza di:

-sopprimere, all’articolo 3, comma 2, alinea, il riferimento al trattamento per fini statistici o, in subordine, limitarlo ai soli dati di carattere non personale, con il conseguente coordinamento del disposto di cui all’articolo 11, comma 4, lettera c);

b) le seguenti osservazioni, esposte nel “Ritenuto”, volte a rappresentare l’opportunità di:

-precisare, con riguardo ai presupposti soggettivi di legittimazione all’accesso di cui all’articolo 16, le caratteristiche e il livello (elevato) di sicurezza delle credenziali di autenticazione fornite ai soggetti legittimati;

- realizzare un migliore coordinamento tra le disposizioni di cui agli articoli 13, comma 1, 17 comma 3 e 24, chiarendo il rapporto tra utilizzo dell’identità digitale o di altro regime di identificazione elettronica con livello di garanzia elevato e rilascio delle credenziali di accesso da parte della Questura.

Roma, 7 aprile 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei