g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Parere del Garante
  4. Parere su uno schema di decreto ministeriale volto a definire le modalità di pagamento, anche per via telematica, delle pene pecuniarie applicate dal giudice con sentenza o decreto di condanna - 17 maggio 2023 [9913657]

Parere su uno schema di decreto ministeriale volto a definire le modalità di pagamento, anche per via telematica, delle pene pecuniarie applicate dal giudice con sentenza o decreto di condanna - 17 maggio 2023 [9913657]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9913657]

Parere su uno schema di decreto ministeriale volto a definire le modalità di pagamento, anche per via telematica, delle pene pecuniarie applicate dal giudice con sentenza o decreto di condanna - 17 maggio 2023

Registro dei provvedimenti
n. 254 del 17 maggio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito: “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n.196, recante il Codice in materia di protezione dei dati personali, come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito: “Codice”);

VISTO il decreto legislativo 18 maggio 2018, n. 51, recante “Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio” (di seguito “Decreto”)

VISTA la richiesta di parere del Ministero della Giustizia;

VISTE le osservazioni dell’Ufficio, formulate dal vice segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali;

Relatore il dott. Agostino Ghiglia;

PREMESSO

Il Ministero della Giustizia ha trasmesso a questa Autorità uno schema di decreto, corredato della pertinente relazione illustrativa, volto a definire le modalità di pagamento, anche per via telematica, delle pene pecuniarie applicate dal giudice con sentenza o decreto di condanna, ai sensi e per gli effetti di cui all’articolo 181-bis del d.lgs. 28 luglio 1989, n. 271 (recante “Norme di attuazione, di coordinamento e transitorie del codice di procedura penale”), introdotto dall’articolo 41, comma 1, lett. gg), del d.lgs. 10 ottobre 2022, n. 150 (“Attuazione della legge 27 settembre 2021, n. 134, recante delega al Governo per l'efficienza del processo penale, nonchè in materia di giustizia riparativa e disposizioni per la celere definizione dei procedimenti giudiziari”).

Nel rinnovato quadro normativo in tema di esecuzione e conversione delle pene pecuniarie -si trae dalla relazione- la disposizione in parola mira ad agevolare il tempestivo pagamento della pena pecuniaria, assicurandone l’esecuzione e la riscossione.

In particolare, il comma 1 del citato articolo 181-bis stabilisce che le modalità di pagamento delle pene pecuniarie “comprendono, in ogni caso, il pagamento attraverso un modello precompilato, allegato all'ordine di esecuzione”. Il comma 2 dello stesso articolo stabilisce che le modalità tecniche di pagamento, anche per via telematica, siano individuate e periodicamente aggiornate con decreto del Ministro della Giustizia, sentito il Garante per la protezione dei dati personali.

È stato, quindi, espressamente stabilito che il decreto venga adottato previa acquisizione del parere del Garante, in ragione delle implicazioni, in termini di protezione dei dati personali, suscettibili di derivare dalle previste modalità tecniche di pagamento.

Lo schema di decreto sottoposto al Garante prevede che il pagamento delle pene pecuniarie sia operato tramite la piattaforma tecnologica di cui all’articolo 5, comma 2, del C.A.D. (d.lgs. 82/2005) e che, a tal fine, il personale degli uffici del p.m. e del g.i.p. sia abilitato, per la parte di rispettiva competenza, ad operare sui sistemi informatici del Ministero della Giustizia, ai fini della generazione dell’avviso unico di pagamento (e del connesso identificativo univoco di versamento) associato al condannato o al civilmente obbligato al pagamento della pena pecuniaria.

Nella relazione illustrativa il Ministero della Giustizia evidenzia che l’avviso unico di pagamento, secondo lo schema predisposto, reca, oltre all’indicazione del Ministero della Giustizia e al nominativo dell’interessato, l’identificativo unico di versamento, introdotto al fine di consentire l’automatica associazione del pagamento con la pena pecuniaria in esecuzione, garantendo al contempo la tutela della riservatezza, dal momento che “si è curato di evitare l’inserimento, nell’avviso di pagamento, di elementi che possano rendere percepibile all’esterno la riferibilità di quell’avviso ad una condanna penale”.

RITENUTO

1. Il ruolo assunto dai diversi soggetti coinvolti nei trattamenti.

Si rileva, preliminarmente, che né l’articolo 181-bis disp. att. c.p.p. di cui al d.lgs. 28 luglio 1989, n. 271, né l’art. 660 c.p.p., né il d.lgs. 10 ottobre 2022, n. 150 (che ha riformato il procedimento di esecuzione delle pene pecuniarie), né, infine, lo schema di decreto in esame individuano esplicitamente il ruolo assunto dai soggetti a vario titolo coinvolti nei trattamenti di dati personali connessi al pagamento delle pene pecuniarie, che prevedono l'utilizzo dei sistemi informatici del Ministero della giustizia e della piattaforma tecnologica di cui all’art. 5, comma 2, del d.lgs. 7 marzo 2005, n. 82 (di seguito “Piattaforma pagoPA”).

Ciò non assicura la trasparenza del trattamento nei confronti degli interessati (condannati o civilmente obbligati per la pena pecuniaria) e non consente una chiara ripartizione degli obblighi e delle responsabilità previste dalla disciplina in materia di protezione dei dati personali (cfr. artt. 3, comma 1, lett. a), 10, 15 e 18 del decreto legislativo n. 51 del 2018, che si ritiene necessario citare nel preambolo del decreto, unitamente al Regolamento UE 2016/679).

Si ritiene quindi opportuno integrare il decreto in esame fornendo indicazioni sul ruolo assunto dallo stesso Ministero, dagli Uffici giudiziari e dalla società PagoPA S.p.a., gestore della Piattaforma pagoPA, relativamente, in particolare, a:

- la generazione dell’avviso di pagamento tramite sistemi informatici del Ministero (cfr. art. 2, comma 2, dello schema di decreto);

- l’effettuazione del pagamento della pena pecuniaria da parte dell’interessato tramite la Piattaforma pagoPA (cfr. art. 2, comma 4, dello schema di decreto);

- la rendicontazione al Ministero dei pagamenti effettuati tramite la Piattaforma pagoPA;

- l’associazione del pagamento effettuato con la pena pecuniaria in esecuzione mediante l’identificativo univoco di versamento (cfr. art. 2, comma 3, dello schema di decreto).

2. La sicurezza del trattamento e le garanzie per gli interessati.

Lo schema di decreto in esame – oltre a prevedere che l’avviso unico di pagamento sia generato in modo da evitare che al suo interno possano essere presenti elementi suscettibili di rivelarne la riferibilità a una condanna penale subita dall’interessato– non individua altre misure tecniche o organizzative a garanzia dei diritti degli interessati.

Premesso che - tenuto conto degli elevati rischi per i diritti e le libertà degli interessati derivanti dai trattamenti disciplinati dallo schema di decreto in esame, effettuati su larga scala, concernenti dati relativi a condanne penali e suscettibili di incidere in modo significativo sugli interessati (ad es. in caso di mancato pagamento della pena pecuniaria) – nel caso di specie è d’obbligo espletare una valutazione d’impatto sulla protezione dei dati, ai sensi dell’articolo 23 del Decreto, si ritiene, quindi, opportuno indicare nel decreto tutte le misure tecniche e organizzative previste per garantire un livello di sicurezza adeguato ai rischi presentati dai trattamenti.

Si rammenta al riguardo che le predette misure devono essere volte a garantire l’integrità e la riservatezza dei dati personali trattati – riducendo al minimo i rischi di accesso non autorizzato e di trattamento non consentito o non conforme alle finalità previste –, ad attuare in modo efficace i principi di protezione dei dati, a integrare nel trattamento le necessarie garanzie, garantendo, in particolare, che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (cfr. artt. 3, comma 1, lett. f), 15, 16, 18, 23 e 25 del Decreto).

3. La Piattaforma PagoPA e i relativi trattamenti di dati.

L’articolo 2, comma 1, dello schema in questione, prevede che il pagamento della pena pecuniaria sia operato tramite la piattaforma tecnologica di cui all’articolo 5, comma 2, del CAD, la c.d. Piattaforma PagoPA, gestita da PagoPA S.p.A.

Poiché consta a questa Autorità che per lo svolgimento dei servizi resi disponibili da PagoPA S.p.A. (compresa la Piattaforma PagoPA), tale soggetto si avvale di servizi cloud, si evidenzia la necessità di assicurare – nell’ambito del funzionamento del sistema oggetto del presente parere – il rispetto delle disposizioni del Regolamento, tenendo conto in particolare di quanto indicato nel report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” adottato dal Comitato europeo per la protezione dati il 17 gennaio 2023 (reperibile alla pagina web https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-use-cloud-based-services-public_en).

Al riguardo, tra le questioni su cui occorre prestare particolare attenzione, vi sono quelle concernenti la regolazione dei rapporti tra l’amministrazione titolare del trattamento, i suoi eventuali responsabili e i Cloud service providers, ai sensi dell’articolo 28 del Regolamento, nonché, trattandosi questi ultimi di soggetti stabiliti al di fuori del SEE, il trasferimento dei dati personali verso Paesi terzi, ai sensi degli articoli 44 e seguenti del medesimo Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini di cui in motivazione, sullo schema di decreto ministeriale volto a definire le modalità di pagamento, anche per via telematica, delle pene pecuniarie applicate dal giudice con sentenza o decreto di condanna, ai sensi e per gli effetti di cui all’articolo 181-bis del d.lgs. 28 luglio 1989, n. 271, con le seguenti condizioni:

a) lo schema sia integrato fornendo indicazioni sul ruolo assunto dal Ministero, dagli Uffici giudiziari e dalla società PagoPA S.p.a. nell’ambito del sistema disciplinato, con particolare riferimento alle linee di responsabilità sotto il profilo della protezione dati, nei termini di cui al punto 1;

b) nello schema siano individuate specifiche garanzie e misure sul piano organizzativo e tecnico in chiave di tutela degli interessati (punto 2);

e con la seguente osservazione:

c) in relazione al trattamento di dati effettuato tramite la piattaforma PagoPA, si tenga conto di quanto stabilito a livello europeo circa l’utilizzo di servizi cloud, nei termini di cui al punto 3.

Roma, 17 maggio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi

Scheda

Doc-Web
9913657
Data
17/05/23

Argomenti

Dati giudiziari Giustizia Reati

Tipologie

Parere del Garante