g-docweb-display Portlet

Parere relativo al trattamento di dati giudiziari effettuato da privati in attuazione dei protocolli d’intesa stipulati per la prevenzione e il contrasto dei fenomeni di criminalità organizzata - 22 luglio 2021 [9693175]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9693175]

Parere relativo al trattamento di dati giudiziari effettuato da privati in attuazione dei protocolli d’intesa stipulati per la prevenzione e il contrasto dei fenomeni di criminalità organizzata - 22 luglio 2021
(Pubblicato sulla Gazzetta Ufficiale n. 204 del  26 agosto 2021)

Registro dei provvedimenti
n. 284 del 22 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO l’art. 10 del Regolamento, che individua le condizioni generali per il lecito trattamento dei dati personali degli interessati relativi alle condanne penali, ai reati e alle connesse misure di sicurezza;

VISTO l’art. 2-octies del Codice, che stabilisce i princìpi relativi al trattamento dei dati sopraindicati, individuando le fonti nazionali presupposte (norma di legge o di regolamento) che possono legittimare il loro trattamento qualora non avvenga sotto il controllo dell’autorità pubblica, demandando per contro al Ministro della giustizia, in loro assenza, il compito di identificare, tramite decreto, le ipotesi di relativo trattamento e le connesse garanzie;

VISTO il comma 6 del suddetto articolo 2-octies, che attribuisce allo stesso decreto del Ministro della giustizia – adottato, limitatamente agli ambiti qui considerati, di concerto con il Ministro dell’interno al fine di individuare le tipologie dei dati trattati, gli interessati, le operazioni di trattamento eseguibili e le garanzie appropriate − il compito di autorizzare i trattamenti dei dati relativi a condanne penali, ai reati e alle connesse misure di sicurezza effettuati in attuazione di protocolli di intesa stipulati con il Ministero dell’interno o le Prefetture – UTG per la prevenzione e il contrasto dei fenomeni di criminalità organizzata;

VISTO l’art. 22, comma 12, del d.lgs. n. 101/2018, che, nelle more dell’adozione del predetto decreto del Ministro della giustizia, consente il trattamento dei dati di cui all’art. 10 del Regolamento, effettuato in attuazione dei protocolli di intesa sopra richiamati, “previo parere del Garante”;

VISTO che il suddetto decreto del Ministro della giustizia, rispetto al quale l’Autorità ha fornito il proprio parere con il provvedimento n. 247 del 24 giugno 2021, non risulta, ad oggi, ancora emanato, né è possibile prevedere i tempi per la relativa adozione;

VISTE le richieste provenienti dal Ministero dell’interno (e le successive interlocuzioni intercorse con quest’ultimo) con cui è stata sollecitata l’adozione del presente parere con riferimento ai trattamenti di dati personali effettuati in attuazione di protocolli d’intesa già stipulati dal suddetto Ministero - o in corso di sottoscrizione – e volti ad estendere, su base volontaria, nell’ambito delle iniziative di rafforzamento della legalità e della prevenzione delle infiltrazioni della criminalità nelle attività economiche, il regime di verifiche antimafia disciplinato dal d. lgs. 6 settembre 2011, n. 159;

VISTA la Risoluzione del Consiglio dell’Unione europea 2004/C 116/07 relativa a un modello di protocollo che istituisce negli Stati membri partenariati tra il settore pubblico e quello privato per ridurre i danni causati dalla criminalità organizzata;

VISTO il d.lgs. 6 settembre 2011, n. 159 (“Codice delle leggi antimafia e delle misure di prevenzione, nonché nuove disposizioni in materia di documentazione antimafia, a norma degli articoli 1 e 2 della legge 13 agosto 2010, n. 136”), con particolare riferimento a quanto previsto dall’art. 83-bis (“il Ministero dell'interno può sottoscrivere protocolli, o altre intese comunque denominate, per la prevenzione e il contrasto dei fenomeni di criminalità organizzata, anche allo scopo di estendere convenzionalmente il ricorso alla documentazione antimafia di cui all'articolo 84. I protocolli di cui al presente articolo possono essere sottoscritti anche con imprese di rilevanza strategica per l'economia nazionale nonché con associazioni maggiormente rappresentative a livello nazionale di categorie produttive, economiche o imprenditoriali e con le organizzazioni sindacali, e possono prevedere modalità per il rilascio della documentazione antimafia anche su richiesta di soggetti privati, nonché determinare le soglie di valore al di sopra delle quali è prevista l'attivazione degli obblighi previsti dai protocolli medesimi. I protocolli possono prevedere l'applicabilità delle previsioni del presente decreto anche nei rapporti tra contraenti, pubblici o privati, e terzi, nonché tra aderenti alle associazioni contraenti e terzi”);

VISTO il d.P.C.M. 30 ottobre 2014, n. 193 (“Regolamento recante disposizioni concernenti le modalità di funzionamento, accesso, consultazione e collegamento con il CED, di cui all'articolo 8 della legge 1° aprile 1981, n. 121, della Banca dati nazionale unica della documentazione antimafia, istituita ai sensi dell'articolo 96 del decreto legislativo 6 settembre 2011, n. 159”);

VISTA la legge 6 novembre 2012, n. 190 (“Disposizioni per la prevenzione e la repressione della corruzione e dell'illegalità nella pubblica amministrazione”);

VISTO il d.P.C.M. 18 aprile 2013 (“Modalità per l'istituzione e l'aggiornamento degli elenchi dei fornitori, prestatori di servizi ed esecutori non soggetti a tentativo di infiltrazione mafiosa, di cui all'articolo 1, comma 52, della legge 6 novembre 2012, n. 190”);

CONSIDERATO che i protocolli di legalità, già contemplati dall’ormai abrogato art. 21, comma 1-bis, del Codice, si sono rivelati, sulla base delle indicazioni fornite dal Ministero dell’interno, strumenti utili ed efficaci nella lotta al contrasto alle infiltrazioni mafiose e della criminalità organizzata nel tessuto economico ed imprenditoriale del Paese, contribuendo al rafforzamento della legalità in ambito privato e alla rimozione degli ostacoli all’esercizio della libera attività di impresa;

CONSIDERATO che i suddetti protocolli, nelle loro diverse accezioni terminologiche (protocolli di intesa; protocolli di legalità; patti di integrità), hanno trovato espresso riconoscimento, oltre che negli articoli della disciplina di protezione dei dati personali sopra richiamati, anche in altre specifiche disposizioni di legge (art. 83-bis del d.lgs. 6 settembre 2011, n. 159, cit.; art. 1, comma 17, della l. 6 novembre 2012, n. 190; art. 194, comma 3, lett. d), del d.lgs. 18 aprile 2016, n. 50);

CONSIDERATO che il citato art. 2-octies, del Codice, al comma 3, consente il trattamento dei dati relativi alle condanne penali, ai reati e alle connesse misure di sicurezza, fermo restando quanto previsto ai commi precedenti, se autorizzato da norme di legge o regolamento riguardanti, tra l’altro, “l'adempimento di obblighi previsti da disposizioni di legge in materia di comunicazioni e informazioni antimafia o in materia di prevenzione della delinquenza di tipo mafioso e di altre gravi forme di pericolosità sociale, nei casi previsti da leggi o da regolamenti, o per la produzione della documentazione prescritta dalla legge per partecipare a gare d'appalto”;

CONSIDERATA l’opportunità di garantire, in un’ottica di continuità con il passato e nelle more dell’adozione del predetto decreto del Ministro della giustizia, i trattamenti di dati di cui al menzionato art. 10 del Regolamento effettuati in attuazione dei citati protocolli di intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata;

CONSIDERATA altresì l’opportunità che i suddetti trattamenti, fatte salve le ulteriori e/o diverse specificazioni che verranno introdotte nel medesimo decreto in attuazione del citato art. 2-octies, comma 6, del Codice, siano garantiti a valere per tutti i protocolli di intesa (stipulati e stipulandi) fino alla data di adozione del decreto stesso, secondo modalità e limiti richiamati nel presente parere;

VISTO che i suddetti protocolli sono chiamati a disciplinare, previa espressa individuazione delle tipologie dei dati trattati, degli interessati e delle operazioni di trattamento eseguibili, i profili di protezione dei dati personali connessi alla loro attuazione, con particolare riferimento ai princìpi del trattamento, agli obblighi del titolare e degli eventuali responsabili e sub-responsabili, nonché alle garanzie appropriate per i diritti e le libertà degli interessati;

CONSIDERATO che i titolari dei trattamenti sono competenti per il rispetto dei suddetti, obblighi princìpi e misure, essendo chiamati a mettere in atto misure tecniche e organizzative adeguate in base alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento, nonché ai relativi rischi, per garantire − ed essere in grado di dimostrare − che il trattamento è effettuato in conformità al Regolamento (art. 5, par. 2, e 24 del Regolamento);

CONSIDERATO che i dati relativi a condanne penali, a reati e alle connesse misure di sicurezza, trattati in attuazione dei menzionati protocolli di intesa, possono essere raccolti e utilizzati, sulla base dell’art. 6, par. 1, del Regolamento, in presenza dei presupposti normativi sopra richiamati e nei limiti previsti dalle specifiche discipline vigenti in materia (art. 5, par. 1, lett. a) del Regolamento);

CONSIDERATO che i dati raccolti e trattati in attuazione dei suddetti protocolli devono essere adeguati, pertinenti e strettamente necessari alle finalità di prevenzione e contrasto dei fenomeni di criminalità organizzata (art. 5, par. 1, lett. c) del Regolamento; v. anche artt. 67, comma 8, e 84 del d.lgs. n. 159/2011; art. 80 del d.lgs. n. 50/2016);

CONSIDERATO che i dati trattati nell’ambito dei menzionati protocolli di intesa devono essere esatti e aggiornati e non possono essere utilizzati per finalità diverse da quelle indicate, né trattati in operazioni non compatibili con le medesime finalità (art. 5, par. 1, lettere b) e d) del Regolamento);

CONSIDERATO che i medesimi dati devono riferirsi a soggetti/interessati specificamente individuati (artt. 85 e 91, comma 7, del d.lgs. n. 159/2011; art. 1, comma 53, della l. 190/2012);

CONSIDERATO che i princìpi di protezione dei dati, quali la minimizzazione, devono essere attuati in modo efficace fin dalla progettazione di applicazioni, servizi e prodotti e che possono essere trattati, per impostazione predefinita, solo i dati necessari per le specifiche finalità di trattamento (art. 25 del Regolamento);

RILEVATO, pertanto che, in attuazione del principio di minimizzazione sopra citato e tenuto anche conto delle indicazioni fornite dal Ministero dell’Interno nell’ambito delle interlocuzioni che hanno preceduto l’adozione del presente provvedimento, risulta sufficiente, ai fini del raggiungimento degli obiettivi perseguiti dai citati protocolli di intesa, comunicare ai soggetti destinatari dei risultati delle verifiche la sola informazione relativa all’eventuale sussistenza (SI/NO) di cause ostative al rilascio della documentazione antimafia liberatoria e/o all’eventuale censimento (SI/NO) degli interessati nella banca dati nazionale unica della documentazione antimafia, senza fornire ulteriori specificazioni;

RILEVATO che i dati in esame non possono essere diffusi, né formare oggetto di ulteriore comunicazione, fatta eccezione per quella effettuata in adempimento di eventuali obblighi di legge o regolamento, ovvero per ottemperare a specifiche richieste delle pubbliche autorità;

CONSIDERATO che i titolari dei trattamenti sono comunque tenuti a rendere agli interessati un’idonea informativa preventiva (artt. 13 e 14 del Regolamento), di norma in occasione della stipula dei singoli rapporti contrattuali con le parti coinvolte dalle verifiche;

CONSIDERATO che i protocolli di intesa di cui al presente parere debbano essere resi conoscibili da chiunque mediante adeguate forme di pubblicità (ad esempio anche mediante diffusione attraverso i siti web delle associazioni di categoria aderenti);

CONSIDERATO che i dati raccolti in attuazione dei suddetti protocolli devono essere conservati per il periodo di tempo espressamente determinato nell’ambito degli stessi, comunque non superiore a quello strettamente necessario per il conseguimento delle finalità specificatamente previste dagli stessi (art. 5, par. 1, lett. e) del Regolamento);

CONSIDERATO che i titolari dei trattamenti devono assicurare che l’accesso ai dati sia riservato ai soli soggetti specificamente autorizzati ai sensi dell’articolo 29 del Regolamento, prevedendo, altresì, idonee misure di sicurezza adeguate al rischio e tenendo a tal fine conto dello stato dell’arte, dei costi di attuazione, della delicata natura dei dati in esame, del contesto, dell’oggetto e delle specifiche finalità del trattamento qui considerate, nonché del rischio gravante sugli interessati (art. 32 del Regolamento);

RITENUTO che, nel rispetto delle condizioni sopra indicate, e nei limiti previsti dal presente parere, possano essere consentiti, in attesa che venga adottato il previsto decreto da parte del Ministro della giustizia, i trattamenti dei dati personali relativi a condanne penali, a reati o a connesse misure di sicurezza effettuati dai titolari in attuazione dei protocolli di intesa stipulati e stipulandi con il Ministero dell’Interno o con le prefetture - UTG per la prevenzione e il contrasto dei fenomeni di criminalità organizzata in ambito privato;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIÒ PREMESSO, IL GARANTE

a. ai sensi degli artt. 57, par. 1, lettere c) e v), e 58, par. 3, lett. b), del Regolamento, dell’art. 2-octies, comma 6, del Codice e dell’art. 22, comma 12, del d.lgs. n. 101/2018, esprime parere nei termini di cui in motivazione, ferma restando la necessità di adeguare i protocolli già stipulati alle indicazioni di cui in narrativa;

b. dispone la pubblicazione del presente parere nella Gazzetta della Repubblica italiana.

Roma, 22 luglio 2021
            
IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9693175
Data
22/07/21

Argomenti


Tipologia

Parere del Garante