g-docweb-display Portlet

Parere su uno schema di decreto del Ministro dell’istruzione recante il regolamento sulle modalità di attuazione e funzionamento dell’Anagrafe Nazionale dell’Istruzione (ANIST) - 24 marzo 2022 [9767057]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9767057]

Parere su uno schema di decreto del Ministro dell’istruzione recante il regolamento sulle modalità di attuazione e funzionamento dell’Anagrafe Nazionale dell’Istruzione (ANIST) - 24 marzo 2022

Registro dei provvedimenti
n. 96 del 24 marzo 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza e, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere del Ministero dell’istruzione;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, paragrafo 4;

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

Il Ministero dell’istruzione ha richiesto il parere del Garante su di uno schema di decreto, di natura regolamentare, recante le modalità di attuazione e funzionamento dell’Anagrafe nazionale dell’istruzione (ANIST) prevista dall’articolo 62-quater del “Codice dell’Amministrazione Digitale”, di cui al decreto legislativo 7 marzo 2005, n. 82 e s.m.i, e sui relativi quattro allegati tecnici -che ne costituiscono parte integrante- recanti, rispettivamente, l’indicazione dei “dati resi disponibili in ANIST”, le regole disciplinanti l’”allineamento tra ANIST e ANPR” e l’”allineamento tra ANIST e ANNCSU”, nonché le “principali garanzie e misure di sicurezza”.

La norma attributiva del potere regolamentare in materia dispone, infatti, che “Con decreto del Ministro dell'istruzione, di concerto con il Ministro per l'innovazione tecnologica e la transizione digitale e con il Ministro per la pubblica amministrazione, da adottare entro il 30 settembre 2021, previa intesa in sede di Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, acquisito il parere del Garante per la protezione dei dati personali, sono stabiliti: a) i dati che devono essere contenuti nell'ANIST, con riferimento alle tre componenti degli studenti, dei docenti e personale ATA e delle istituzioni scolastiche ed edifici scolastici; b) le garanzie e le misure di sicurezza da adottare, le modalità di cooperazione dell'ANIST con banche di dati istituite a livello regionale, provinciale e locale per le medesime finalità, nonché le modalità di alimentazione da parte dei registri scolastici di cui all'articolo 7, comma 31, del decreto-legge 6 luglio 2012, n. 95, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 135, nel rispetto della normativa in materia di protezione dei dati personali e delle regole tecniche del sistema pubblico di connettività. L'allineamento dell'ANIST con le altre banche di dati di rilevanza nazionale, regionale, provinciale e locale avviene in conformità alle linee guida adottate dall'AgID in materia di interoperabilità” (art. 62-quater, c.6, d.lgs. 82 del 2005 e s.m.i.)

RILEVATO

Lo schema di regolamento, corredato dai suddetti allegati attua dunque la citata norma, dettando le regole e gli obiettivi dell’Anagrafe nazionale dell’istruzione (ANIST), istituita presso il Ministero dell’istruzione nell’ambito del proprio sistema informativo.

In particolare, il provvedimento individua i dati - descritti nell’Allegato 1- che dovranno essere contenuti in ANIST, con riferimento alle sue varie componenti. L’articolo 3 definisce le finalità dell’Anagrafe nazionale, attribuendole il compito di assicurare, attraverso le proprie componenti tecnologiche, la disponibilità e fruibilità dei dati di competenza del Ministero dell’istruzione e i servizi per i cittadini, le pubbliche amministrazioni e i soggetti privati legittimati.

Il regolamento prevede, infatti, agli articoli 5 e 6 che l’ANIST possa - tramite i servizi resi fruibili dalla Piattaforma digitale nazionale dati di cui all’articolo 50-ter d.lgs. 82 del 2005 (PDND)- garantire particolari servizi, tra i quali l’accesso ai dati in essa contenuti da parte di Regioni, Comuni e istituzioni scolastiche, per lo svolgimento delle funzioni di rispettiva competenza. In tale contesto, ANIST mette i medesimi dati a disposizione delle pubbliche amministrazioni per le relative finalità istituzionali, nonché ai soggetti privati che ne hanno diritto ai sensi della legislazione vigente, prevedendo altresì l’accesso e la sua consultazione in modalità telematica ai cittadini, anche a fini certificativi. La modalità di accesso prevista, in quest’ultimo caso, è quella di cui all’articolo 64, comma 2-quater d.lgs. 82 del 2005, ovvero SPID o carta di identità elettronica oppure, in alternativa, il “punto  di  accesso  telematico  attivato  presso  la  Presidenza  del Consiglio dei ministri” di cui all’articolo 64-bis del medesimo decreto legislativo.  E’ inoltre consentita la presentazione d’istanza per la rettifica dei dati contenuti nel sistema informativo.

Il provvedimento dispone inoltre che l’ANIST venga organizzata secondo modalità funzionali e operative tali da garantire l'univocità dei dati nell’ambito delle anagrafi e banche dati del Ministero dell’Istruzione (art. 3, u.c.) In tale prospettiva, l’articolo 7 ne impone l’allineamento con l’Anagrafe nazionale della Popolazione Residente (ANPR), ai sensi del comma 4 dell’art. 62-quater del CAD, al fine di disporre dei dati anagrafici degli studenti e, ove necessario, delle loro famiglie, dei docenti e del personale ATA, descritti nell’Allegato 2. Il medesimo articolo stabilisce inoltre che ANIST debba assicurare alle anagrafi e banche dati delle istituzioni scolastiche e degli edifici scolastici, istituite presso il Ministero dell’Istruzione, il costante allineamento con l’Archivio nazionale dei numeri civici delle strade urbane (art. 3 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221) (ANNCSU) con riferimento alla codifica e al georiferimento degli indirizzi e dei numeri civici in queste contenuti ai sensi del comma 2-bis dell’art. 60 del d.lgs. 82 del 2005, secondo la descrizione di cui all’Allegato 3.

Gli articoli 9 e 10 individuano, peraltro, nel Ministero dell’Istruzione il titolare del trattamento dei dati personali contenuti in ANIST, imponendogli di adottare le principali garanzie e misure di sicurezza, appropriate e specifiche, per la tutela dei diritti fondamentali e degli interessi delle persone fisiche i cui dati sono coinvolti nelle attività di trattamento previste. Tali garanzie e misure di sicurezza sono dettagliate nell’allegato 4.

L’articolo 11, infine, stabilisce che le specifiche tecniche dei servizi offerti e resi disponibili da ANIST, nonché i relativi aggiornamenti e successivi sviluppi, tali da non innovare rispetto all’introdotta disciplina dei tipi di dati e di operazioni eseguibili, siano pubblicati sul Portale ANIST. Si conferma così, implicitamente, la riserva alla fonte regolamentare della competenza a disciplinare tali aspetti.

RITENUTO

Il testo del regolamento sottoposto all’attenzione del Garante è stato rivisto, rispetto a quello originariamente trasmesso, sulla base di alcune indicazioni fornite in fase istruttoria. L’impianto del provvedimento reca, tuttavia, ancora molte delle carenze già segnalate rispetto al testo procedente, necessitando dunque di modifiche ed integrazioni, di seguito descritte, oltre che dell’effettuazione di una valutazione d’impatto ai sensi degli articoli 35 e 36 del Regolamento, in ragione dei rischi connessi al trattamento, che involge peraltro soggetti, quali i minorenni, meritevoli di particolare tutela.

In linea generale, la disciplina proposta esige una maggiore determinatezza in ordine ad aspetti determinanti del trattamento sotteso al funzionamento della banca dati, che rappresentano del resto l’oggetto del potere regolamentare conferito dall’articolo 62-quater d.lgs. 82 del 2005. Si tratta, in particolare, degli scopi di ANIST, dei tipi di dati trattati in relazione a ciascuna finalità perseguita e alle diverse categorie di interessati; dei soggetti legittimati all’accesso all’anagrafe in rapporto alle categorie dei dati accessibili; dei tempi conservazione dei dati in funzione della loro tipologia e delle finalità perseguite; delle specifiche misure di sicurezza adeguate al rischio connesso al trattamento.

Per quanto concerne l’individuazione dei dati raccolti, non è chiaro se ANIST contenga anche (al di là del riferimento all’ “allineamento”) i dati del personale scolastico e quelli relativi alle famiglie degli alunni. Non è inoltre specificata la fonte da cui si acquisiranno le varie tipologie di dati non essendo indicate, in particolare, le specifiche informazioni attinte dalle diverse banche dati esistenti e quelle che invece devono essere raccolte presso gli interessati o comunicate dalle istituzioni scolastiche.

In particolare, la previsione di cui all’articolo 4, comma 1, nella parte in cui rinvia all’allegato 1 per la descrizione dei dati resi disponibili in ANIST, in ragione della sua valenza generale, andrebbe coordinata con le norme di cui all’articolo 3, chiarendo ad esempio quali siano i dati relativi alle famiglie degli studenti trattate in ambito ANIST, cui allude l’articolo 7, comma 1, senza tuttavia un dettaglio specifico nell’allegato 2.  E’ dunque opportuno che il combinato disposto degli articoli 4 e 7 e dei relativi allegati descriva in maniera più puntuale le categorie di dati resi disponibili da ANIST e, in particolare, quelli acquisiti dalle istituzioni scolastiche, oltre ai dati ivi trattati in virtù dell’allineamento” con ANPR e ANNCSU.

Va inoltre meglio delineato il ruolo assunto da tutti i soggetti coinvolti nel trattamento, chiarendo in particolare se le istituzioni scolastiche operino quali titolari del trattamento con riguardo ai dati di loro competenza e quale sia il ruolo svolto dal Ministero dell’istruzione con riferimento ai servizi di messa a disposizione delle certificazioni scolastiche e di iscrizione online (cfr., in particolare, artt. 5, 8 e 9).

Una precisazione ulteriore riguarda il subentro di ANIST alle altre banche dati. Non sono, infatti, specificate le banche dati rispetto alle quali è previsto il subentro e se ciò ne comporti la dismissione: profilo, questo, particolarmente rilevante anche rispetto all’eventuale, concomitante, operatività dell’Anagrafe nazionale degli studenti. Vanno infatti evitate la duplicazione dei dati e possibili sovrapposizioni di ANIST rispetto alle altre banche dati, con implicazioni pregiudizievoli in termini di aggiornamento ed esattezza dei dati stessi. Analogamente, rispetto alla previsione (art.3, c.3), dell’organizzazione di ANIST secondo modalità funzionali ed operative tali da garantire l’univocità dei dati stessi nell’ambito delle anagrafi e banche dati del Ministero dell’istruzione, andrebbe chiarito se con tale disposto si intende vietare la duplicazione dei dati.

Le categorie di soggetti legittimati ad accedere ad ANIST andrebbero, poi, meglio specificate indicando per ciascuna di esse i tipi di dati accessibili e le finalità legittimanti la consultazione.

Quanto all’allineamento con alcune banche dati esistenti (art. 7), ne andrebbero meglio precisati contenuto e implicazioni, chiarendo ad esempio se per effetto di ciò si determini la duplicazione dei dati ivi contenuti. Con riferimento ad ANPR, ad esempio, i dati lì conservati non dovrebbero essere mai copiati dai soggetti utilizzatori ma esclusivamente “consultati” per garantirne l’esattezza e l’aggiornamento in tempo reale.

I tempi di conservazione delle diverse categorie di dati non risultano, poi, individuati in relazione a ciascuna finalità perseguita.

Le misure di sicurezza delineate nell’allegato 4 necessitano, in alcuni casi, di maggiore specificazione soprattutto in ordine ai principi di privacy by design e by default, perseguibile anche seguendo le indicazioni fornite nei pareri già espressi dal Garante, ad esempio riguardo all’Anagrafe degli studenti (doc. web n. 1734404; doc. web n. 5029548; doc. web n. 2304850). L’adeguatezza delle misure tecniche e organizzative va, infatti, riferita ai “rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (artt. 25 e 32 del Regolamento).

In tale prospettiva, all’allegato 4 è opportuno specificare- tenendo anche conto del principio di minimizzazione- la tipologia dei “dati trattati” oggetto di registrazione nei file di log per evitare trattamenti eccedenti le reali esigenze. Gli stessi file devono possedere caratteristiche di integrità e inalterabilità, essere protetti da ogni uso improprio, con previsione di accessibilità solo da parte di personale opportunamente incaricato e autorizzato, essere trattati in forma anonimizzata mediante aggregazione (salvo l’uso in forma non anonimizzata risulti indispensabile ai fini della verifica della liceità del trattamento dei dati). Devono, inoltre, essere definiti anche i tempi di conservazione dei medesimi file di log.

E’ inoltre opportuno prevedere, quale misura organizzativa, una procedura di gestione degli incidenti per agevolare l’adempimento degli obblighi prescritti, dagli articoli 33 e 34 del Regolamento, in caso di violazione di dati personali.

Il paragrafo quarto dell’allegato 4 dovrebbe poi essere integrato con riferimento alla necessaria osservanza delle Raccomandazioni Agid relative allo standard Transport Layer Security.

IL GARANTE

ai sensi degli articoli 36, paragrafo 4) e 57, comma 1, lettera c), del Regolamento, esprime parere nei termini di cui in motivazione sul proposto schema di decreto recante le modalità di attuazione e funzionamento dell’Anagrafe nazionale dell’istruzione (ANIST), con le seguenti conndizioni, esposte nel “Ritenuto”, volte a sottolineare l’esigenza di:

a) specificare le tipologie di dati trattati in ANIST e le relative fonti di acquisizione; coordinare la previsione di cui all’articolo 4, comma 1 con quelle di cui all’articolo 3, chiarendo ad esempio quali siano i dati relativi alle famiglie degli studenti trattate in ambito ANIST e, più in generale, assicurando che il combinato disposto degli articoli 4 e 7 e dei relativi allegati descriva in maniera più puntuale le categorie di dati resi disponibili da ANIST e, segnatamente quelli acquisiti dalle istituzioni scolastiche, oltre ai dati ivi trattati in virtù dell’ “allineamento” con ANPR e ANNCSU;

b) precisare il ruolo assunto da tutti i soggetti coinvolti nel trattamento, chiarendo in particolare se le istituzioni scolastiche operino quali titolari del trattamento con riguardo ai dati di loro competenza e quale sia il ruolo svolto dal Ministero dell’istruzione con riferimento ai servizi di messa a disposizione delle certificazioni scolastiche e di iscrizione online (cfr., in particolare, artt. 5, 8 e 9);

c) in ordine al subentro di ANIST alle altre banche dati, precisare queste ultime e chiarire se ciò ne comporti la dismissione, evitando la duplicazione dei dati (anche rispetto al disposto di cui all’art. 3, c.3) e possibili sovrapposizioni di ANIST rispetto agli altri sistemi informativi;

d) specificare le categorie di soggetti legittimati ad accedere ad ANIST in relazione ai tipi di dati accessibili e alle finalità legittimanti la consultazione;

e) precisare le implicazioni effettive (anche in termini di duplicazione dei dati) del previsto allineamento con alcune banche dati esistenti (art.7), precisando in particolare che i dati conservati in ANPR non dovrebbero essere mai copiati dai soggetti utilizzatori ma esclusivamente consultati;

f) disciplinare i tempi di conservazione delle diverse categorie di dati in relazione a ciascuna finalità perseguita;

g) specificare maggiormente le misure di sicurezza delineate nell’allegato 4, con particolare riguardo:

1) alla tipologia dei “dati trattati” oggetto di registrazione nei file di log, che devono peraltro possedere caratteristiche di integrità e inalterabilità, essere protetti da ogni uso improprio, con previsione di accessibilità solo da parte di personale opportunamente incaricato e autorizzato, essere trattati in forma anonimizzata mediante aggregazione (salvo l’uso in forma non anonimizzata risulti indispensabile ai fini della verifica della liceità del trattamento dei dati) e conservati per tempi determinati; 

2) alla previsione, quale misura organizzativa, di una procedura di gestione degli incidenti per agevolare l’adempimento degli obblighi prescritti, dagli articoli 33 e 34 del Regolamento, in caso di violazione di dati personali;

3) all’integrazione del paragrafo quarto dell’allegato 4 con riferimento alla necessaria osservanza delle Raccomandazioni Agid relative allo standard Transport Layer Security.

Roma, 24 marzo 2022

IL PRESIDENTE
Stazione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei