[doc. web n. 9919862]

Parere su uno schema di decreto del Ministero dell’interno recante “L'aggiornamento dei servizi resi disponibili dall'Anagrafe Nazionale della Popolazione Residente (ANPR)" - 22 giugno 2023

Registro dei provvedimenti
n. 279 del 22 giugno 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO l’art. 62 del decreto legislativo 7 marzo 2005, n. 82 (di seguito, “CAD”) e, in particolare, il comma 6-bis;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSA

Il Ministero dell’interno ha sottoposto all’Autorità, per il prescritto parere, lo schema di decreto recante “L'aggiornamento dei servizi resi disponibili dall'Anagrafe Nazionale della Popolazione Residente di cui all’articolo 62, comma 3, del decreto legislativo 7 marzo 2005, n. 82, (di seguito ANPR), al fine di consentire agli avvocati iscritti nel relativo albo o elenco di cui all’articolo 15, comma 1, lettere a) e b), della legge 31 dicembre 2012, n. 247 di richiedere, per finalità connesse all’esecuzione del mandato professionale, i certificati anagrafici in modalità telematica resi disponibili tramite l’ANPR”, da adottarsi di concerto con il Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega all'innovazione tecnologica e la transizione digitale e il Ministro per la pubblica amministrazione, sentiti il Garante per la protezione dei dati personali e la Conferenza Stato-città ed autonomie locali, ai sensi dell’art. 62, comma 6-bis del CAD (note dell’11 aprile e del 31 maggio 2023).
Il progetto per l’adeguamento e l’evoluzione delle caratteristiche tecniche della piattaforma dell’Anagrafe nazionale della popolazione residente (di seguito “ANPR”) per consentire il rilascio agli avvocati dei certificati in modalità telematica è finanziato con i fondi previsti per la realizzazione del Piano Nazionale di Ripresa e Resilienza (PNRR).

1. La normativa di settore

La piattaforma ANPR è disciplinata dal decreto del Presidente del Consiglio dei Ministri 10 novembre 2014, n. 194 che ha definito, in particolare, le modalità di attuazione e di funzionamento nonché il piano per il graduale subentro dell’ANPR alle anagrafi della popolazione residente.

La materia anagrafica, inoltre, è disciplinata dal d.P.R. 30 maggio 1989, n. 223, recante il nuovo regolamento anagrafico della popolazione residente, il quale dispone, in particolare, che fatti salvi i divieti di comunicazione di dati stabiliti da speciali disposizioni di legge, l’ufficiale di anagrafe rilascia a chiunque ne faccia richiesta, previa identificazione, i certificati concernenti la residenza, lo stato di famiglia degli iscritti nell’anagrafe nazionale della popolazione residente, nonché ogni altra informazione ivi contenuta. Competenti a rilasciare i predetti certificati sono anche gli ufficiali d’anagrafe di comuni diversi da quello in cui risiede la persona cui i certificati si riferiscono. Il rilascio di certificati anagrafici in modalità telematica è effettuato mediante i servizi dell’ANPR, con le modalità indicate nell’articolo 62, comma 3, del CAD (art. 33).

I certificati anagrafici devono contenere l’indicazione del comune e della data di rilascio, l’oggetto della certificazione, le generalità delle persone cui la certificazione si riferisce (salvo quanto previsto dalla legge 31 ottobre 1955, n. 1064), e la firma dell’ufficiale di anagrafe sostituita dal sigillo elettronico qualificato nelle certificazioni rilasciate in modalità telematica mediante i servizi dell'ANPR. Il certificato di stato di famiglia deve rispecchiare la composizione familiare quale risulta dall'anagrafe all'atto del rilascio del certificato. Previa motivata richiesta, l’ufficiale di anagrafe rilascia certificati attestanti situazioni anagrafiche pregresse (art. 35). Inoltre, vige il generale divieto di consultazione diretta degli atti anagrafici da parte dei soggetti estranei all’ufficio di anagrafe (art. 37).

In tale quadro, la legge n. 1064/1955 sopra richiamata, recante “Disposizioni relative alle generalità in estratti, atti e documenti, e modificazioni all'ordinamento dello stato civile” impone che l’indicazione della paternità e della maternità sia omessa negli estratti per riassunto e nei certificati relativi agli atti di nascita, di matrimonio, di cittadinanza, negli atti attestanti lo stato di famiglia e nelle pubblicazioni di matrimonio esposte al pubblico, nonché in tutti i documenti di riconoscimento (art. 1).

RILEVATO

2. Lo schema di decreto in esame

Lo schema di decreto in esame si compone di 4 articoli e di un Allegato denominato “Disciplinare tecnico”, che ne forma parte integrante (di seguito “Disciplinare”), il quale individua le specifiche tecniche di accesso all’ANPR, di richiesta e rilascio dei certificati anagrafici nonché le misure di sicurezza e la lista dei certificati che possono essere richiesti dall’avvocato. Lo schema di decreto definisce l’aggiornamento dei servizi resi disponibili dall’ANPR, di cui all’articolo 62, comma 3, del CAD, al fine di consentire agli avvocati iscritti nel relativo albo o elenco, di richiedere in modalità telematica, per finalità connesse all’esecuzione del mandato professionale, i certificati anagrafici individuati nel Disciplinare (art. 1, comma 1). Il servizio non consente la consultazione diretta dei dati anagrafici, né funzioni di estrazione di elenchi di iscritti (art. 1, comma 2).

L’accesso al servizio, reso disponibile in una sezione dedicata del sito internet www.anagrafenazionale.interno.it, avviene previa identificazione informatica con credenziali almeno di livello di sicurezza pari a 2, secondo le modalità di cui all’articolo 64 del CAD e previa verifica dell’iscrizione dell’avvocato al relativo albo o elenco di cui all’articolo 15, comma 1, lettere a) e b), della legge 31 dicembre 2012, n. 247. Tale verifica è effettuata dall’ANPR mediante appositi servizi resi fruibili dal Consiglio Nazionale Forense (“CNF”) ai sensi dell’articolo 5, comma 4, del decreto del Ministro della giustizia del 16 agosto 2016, n. 178, per il tramite della piattaforma di cui all’articolo 50-ter del CAD (art. 2, commi 1 e 2).

Il certificato è reso immediatamente disponibile nel sito web di ANPR, previa conferma da parte dell’avvocato dell’utilizzo per finalità connesse all’esecuzione del mandato professionale (art. 2, comma 4). Il servizio, inoltre, consente all’avvocato di richiedere fino a trenta certificati al giorno (art. 2, comma 6).

Ogni sei mesi, viene estratto da ANPR, tramite procedura automatizzata, un campione di avvocati individuati prevalentemente tra quelli che hanno richiesto oltre cento certificati nel semestre, completo delle registrazioni degli accessi e delle operazioni compiute dal singolo avvocato (art. 2, comma 7).

Il predetto campione è trasmesso, con procedura automatizzata, al CNF che a sua volta inoltra i nominativi ai Consigli dell’ordine (competenti per l’esercizio del compito di vigilanza di cui all’articolo 29, lettera f), della citata legge n. 247/2012), per le verifiche relative alla sussistenza dei presupposti fissati dal presente decreto ai fini della legittimità degli accessi. L’esito della verifica è trasmesso dal Consiglio dell’ordine al CNF che ne dà comunicazione al Ministero dell’interno, nel termine di sei mesi dalla trasmissione del campione. In mancanza di esito positivo, il servizio è sospeso nei confronti degli avvocati sottoposti a verifica (art. 2, comma 8).

Per quanto attiene, nello specifico, alla definizione dei ruoli nell’ambito del trattamento dei dati personali in esame, l’art. 3, richiamando quanto previsto dal decreto del Presidente del Consiglio dei Ministri 10 novembre 2014, n. 194, precisa che la titolarità del trattamento dei dati contenuti nell’ANPR è attribuita al Ministero dell’interno, sotto i profili della conservazione, della comunicazione e dell’adozione delle relative misure di sicurezza. La società generale d’informatica S.p.A. (Sogei S.p.A.), incaricata della realizzazione del progetto e della gestione dell’infrastruttura, è designata responsabile del trattamento, ai sensi dell’articolo 28 del Regolamento (UE) n. 2016/679. La predetta disposizione, inoltre, precisa che gli avvocati che accedono al servizio, trattino i dati personali contenuti nei certificati ad essi rilasciati tramite ANPR, “in qualità di autonomi titolari del trattamento”, per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria.

La medesima disposizione prevede che ANPR conservi per dieci anni le informazioni relative alle richieste effettuate dall’avvocato secondo le modalità definite nel Disciplinare (comma 2).

In ultimo, è previsto che in caso di evoluzione delle caratteristiche, della disponibilità di ulteriori certificati, nonché delle modalità tecniche dei servizi di cui all’articolo 1 del decreto, il Disciplinare sarà aggiornato con decreto del competente direttore centrale del Ministero dell’interno, sentiti il Garante per la protezione dei dati personali e il Consiglio Nazionale Forense (art. 4, comma 2).

OSSERVA

3. Considerazioni generali

3.1 Lo schema di decreto in esame disciplina le modalità operative volte a rendere disponibili, tramite uno specifico servizio, in una sezione del portale ANPR distinta da quella per i cittadini, i certificati anagrafici in modalità telematica agli avvocati iscritti all’albo tenuto dal CNF, per finalità connesse all’esecuzione del mandato professionale.

Al riguardo, si osserva che la disciplina che si propone di introdurre con lo schema di decreto in esame risulta dettata da esigenze di semplificazione che interessano la categoria professionale degli avvocati, essendo volta ad agevolare il rilascio di alcuni certificati tramite la piattaforma ANPR, pur nei limiti previsti dalla normativa di settore sopra richiamata, nonché dalle “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101”, adottate dal Garante con provvedimento n. 512 del 19 dicembre 2018 (doc. web n. 9069653). Tali regole deontologiche si applicano ai trattamenti di dati personali effettuati nell’ambito di investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria, sia nel corso di un procedimento, sia nella fase propedeutica all'instaurazione di un eventuale giudizio, che nella fase successiva alla sua definizione, da parte di avvocati iscritti ad albi territoriali o ai relativi registri, sezioni ed elenchi, dietro rilascio di un mandato.

3.2 La versione dello schema in esame tiene conto di alcune indicazioni fornite nel corso delle interlocuzioni informali realizzate nell’ambito dell’istruttoria con l’Ufficio, volte a conformare i trattamenti ivi disciplinati alla normativa in materia di protezione dei dati personali. Ciò, con particolare riferimento alla necessità che il rilascio dei certificati richiesti dagli avvocati per conto dei propri clienti sia assistito da particolari garanzie volte ad assicurare che i certificati rilasciati con modalità semplificate siano effettivamente utilizzati per le finalità connesse ad uno specifico mandato professionale, riconducibili in modo certo e documentato all’espletamento dello stesso, fermo restando il rispetto della disciplina di settore sopra richiamata (artt. 33 e ss. del d.P.R. n. 223 del 1989).

Nello specifico, il Ministero, sulla base delle predette indicazioni, ha previsto in particolare che:

la richiesta del certificato sia effettuata solo in modo puntuale e siano inibite le funzioni di consultazione diretta degli atti anagrafici, nonché di estrazione di elenchi di iscritti, nel rispetto del principio di “liceità, correttezza e trasparenza” (art. 5, par. 1, lett. a), del Regolamento; artt. 33 e ss. del d.P.R. n. 223 del 1989 citato);

siano rispettate le specifiche disposizioni normative di settore in base alle quali devono essere omesse le informazioni su paternità e maternità nei certificati relativi agli atti di nascita, di matrimonio, di cittadinanza, negli atti attestanti lo stato di famiglia etc., salvo che in casi determinati (cfr. legge 31 ottobre 1955, n. 1064);

dall’elenco dei certificati che possono essere richiesti dall’avvocato (cfr. punto 2.1 del Disciplinare) siano esclusi i certificati di godimento dei diritti politici, i quali possono essere rilasciati solo in presenza di specifici presupposti da comprovare all’atto della richiesta. Infatti, il decreto del Ministero dell’interno del 17 ottobre 2022 che disciplina le modalità di integrazione nell’ANPR delle liste elettorali (sul quale il Garante ha reso il prescritto parere con il provvedimento n. 252 del 21 luglio 2022, doc. web n. 9805346) ha previsto il rilascio in via telematica di tali certificati esclusivamente all’interessato, restando di competenza dell’ufficio elettorale la valutazione dei presupposti previsti dalla legge per l’eventuale rilascio a terzi (finalità di elettorato attivo e passivo, studio e ricerca, etc.);

l’iscrizione all’albo o elenco da parte degli avvocati costituisca il presupposto per la richiesta dei certificati attraverso l’ANPR e la verifica di tale qualifica professionale avvenga attraverso appositi servizi resi fruibili dal CNF per il tramite della piattaforma di cui all’art. 50-ter CAD, ossia la Piattaforma Digitale Nazionale Dati (“PDND”, disciplinata dalle relative Linee Guida AgID, su cui il Garante ha reso il parere n. 433 del 16 dicembre 2021, doc. web n. 9732758);

siano previsti meccanismi di verifica a campione su un’adeguata percentuale di richieste di certificati, periodicamente estratte da ANPR a cura del Ministero dell’interno, circa la sussistenza del mandato e il rispetto del vincolo finalistico.

Ciò premesso, nel condividere le esigenze poste a fondamento dello schema in esame, volte all’introduzione di modalità semplificate  per l’acquisizione di certificati da utilizzare per lo svolgimento della professione forense, occorre rilevare che tale disciplina, facilitando una numerosa platea di soggetti nella richiesta di diverse tipologie di certificati tramite la piattaforma ANPR, necessita di essere corredato da rigorose misure di sicurezza, al fine di mitigare i rischi derivanti da accessi non autorizzati o utilizzi non consentiti (spec. art. 5, parr. 1, lett. f), e 2, e artt. 24, 25 e 32).

In tale prospettiva, residuano alcuni profili di criticità in considerazione dei quali si ravvisa la necessità di apportare allo schema di decreto alcune integrazioni e modifiche al fine di conformare i trattamenti alla disciplina in materia di protezione dei dati personali, superando le criticità di seguito descritte.

4. Il ruolo dei soggetti coinvolti nel trattamento

Con riferimento alla definizione dei ruoli nell’ambito dei trattamenti in esame, lo schema di decreto indica, correttamente, all’art. 3, commi 1, 3 e 4, che gli avvocati trattano i dati personali contenuti nei certificati acquisiti da ANPR in qualità di titolari del trattamento per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria. In tale contesto, il Ministero dell’interno è individuato quale titolare del trattamento dei dati contenuti nell’ANPR, sotto i profili della conservazione, della comunicazione e dell’adozione delle relative misure di sicurezza, mentre ANPR tratta il dato relativo alla verifica dell’iscrizione degli avvocati al relativo albo o elenco al solo fine di consentire l’accesso ai servizi in esame.

Al riguardo, si rileva, tuttavia, che lo schema non contiene alcuna indicazione in merito al ruolo assunto dal CNF e dai Consigli dell’ordine in relazione ai trattamenti connessi alle verifiche loro demandate sulla sussistenza dei presupposti per la fruizione del servizio disciplinato dal decreto in esame. Pertanto, si ritiene opportuno integrare in tal senso lo schema, precisando che il CNF e i Consigli dell’ordine trattano i dati necessari a porre in essere le dovute verifiche in qualità di titolari del trattamento.

5. Le verifiche sugli accessi

5.1. Le verifiche circa l’iscrizione all’albo degli avvocati

L’art. 2, comma 2, dello schema inquadra le verifiche relative all’attualità dell’iscrizione all’albo o elenco degli avvocati quale presupposto necessario per la richiesta dei certificati da parte degli avvocati nell’ambito dell’ANPR, da realizzarsi attraverso appositi servizi resi fruibili dal CNF per il tramite della piattaforma di cui all’art. 50-ter CAD, ossia la Piattaforma Digitale Nazionale Dati (“PDND”, disciplinata dalle relative Linee Guida AgID, su cui il Garante ha reso il prescritto parere con provvedimento n. 433 del 16 dicembre 2021, doc. web n. 9732758).

Al riguardo, si osserva che, in ogni caso, la preventiva verifica di tale qualifica professionale deve avvenire tenendo conto di quanto indicato dal Garante nel parere reso sullo schema di delibera del CNF relativa all’adozione delle specifiche tecniche del Sistema informatico centrale, ai sensi dell’art. 14, comma 1, del D.M. 16 agosto 2016, n. 178 del Ministero della giustizia (provvedimento n. 223 del 10 giugno 2021, doc. web n. 9681140).

5.2. Le verifiche relative alla sussistenza del mandato

Il citato art. 2, ai commi 7 e 8, individua le modalità con cui il Ministero, il CNF e i Consigli dell’ordine pongono in essere gli adempimenti necessari al fine di verificare che i certificati rilasciati con modalità semplificate agli avvocati siano effettivamente utilizzati per le finalità connesse ad uno specifico mandato professionale.

Il meccanismo prefigurato nello schema prevede, in particolare, che l’ANPR, tramite una procedura automatizzata, estragga ogni sei mesi un “campione di avvocati”, individuati “prevalentemente” tra quelli che abbiano richiesto oltre cento certificati nel semestre, completo delle registrazioni degli accessi e delle operazioni compiute. 

Tale campione deve essere poi trasmesso, sempre tramite una procedura automatizzata, al CNF che inoltra ai Consigli dell’ordine i “nominativi per le verifiche in ordine alla sussistenza dei presupposti fissati (…) ai fini della legittimità degli accessi”, per l’esercizio da parte di questi ultimi dei compiti di vigilanza ad essi demandati dall’art. 29, lett. f), della legge n. 247 del 2012. Viene quindi previsto che l’esito di tali controlli sia trasmesso dal Consiglio dell’ordine competente al CNF che ne dà comunicazione, a mezzo posta elettronica certificata, al Ministero dell’interno, nel termine di “sei mesi dalla trasmissione del campione”. In mancanza di esito positivo il servizio è sospeso nei confronti degli avvocati oggetto della verifica.

Ciò posto, si ritiene necessario che l’individuazione, effettuata dal Ministero dell’interno, del campione da sottoporre alle verifiche, avvenga affiancando al previsto criterio fondato sulla numerosità degli accessi (oltre cento richieste di certificati a semestre per avvocato) altri criteri da individuarsi nell’ambito della valutazione di impatto, a valle di un’adeguata ponderazione dei rischi, anche in base alle tipologie di certificati richiesti (che possono, come detto, contenere anche particolari categorie di dati personali), in presenza di un indice sintomatico di un trattamento potenzialmente illecito.

Inoltre, al fine di consentire al titolare del trattamento di rispettare gli obblighi di cui all’art. 32 del Regolamento, risulta necessario che i predetti criteri siano rivalutati periodicamente a cura del titolare, nell’ambito della valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del Regolamento, facendo salva la possibilità di adottare, anche all’esito di un primo periodo di applicazione, diverse e ulteriori modalità di individuazione del campione che dovessero derivare dal costante progresso tecnologico. In tale contesto, i criteri di estrazione del campione dovranno altresì tenere conto degli esiti delle verifiche condotte, nonché essere inseriti nell’audit di sicurezza annuale di cui all’art. 62, comma 1, del CAD, unitamente al piano delle verifiche e alle relative risultanze.

Si rileva, inoltre, che affinché i Consigli dell’ordine possano efficacemente svolgere i compiti di verifica previsti dallo schema in esame, occorre che vengano loro messe a disposizione le necessarie informazioni relative alle operazioni effettuate. In tale prospettiva, anche al fine di rispettare i principi di liceità, correttezza e trasparenza e di minimizzazione dei dati, occorre integrare quanto previsto dall’art. 2, commi 7 e 8, individuando nel dettaglio le informazioni relative agli accessi da allegare al campione e precisando che le stesse, unitamente ai “nominativi”, saranno trasmesse dal CNF ai Consigli dell’ordine competenti.

Sempre al fine di dare attuazione al citato del principio di trasparenza, occorre altresì che l’avvocato sia adeguatamente informato, in particolare, del fatto che le dichiarazioni rese ai sensi del d.P.R. n. 445/2000 in ordine alla sussistenza del mandato, necessarie alla richiesta dei certificati, saranno oggetto delle previste verifiche da parte del CNF e dei Consigli dell’ordine nell’ambito dei compiti di vigilanza ad essi demandati e delle conseguenze di eventuali esiti negativi dei controlli effettuati.

In ultimo, si ritiene necessario che il Ministero dell’interno trasmetta al Garante, all’esito delle verifiche relative al primo semestre, e comunque entro otto mesi dall’avvio del trattamento, una relazione sull’efficacia dei criteri e delle misure adottate, che evidenzi le eventuali criticità riscontrate, tenendo conto anche degli esiti delle attività di verifica.

5.3. Il tracciamento delle operazioni effettuate

Il Disciplinare, al punto 2.2, prevede che l’avvocato, per richiedere i certificati, sia tenuto ad inserire “gli elementi identificativi del soggetto del quale l’avvocato intenda richiedere il certificato (CODICE-FISCALE ovvero NOME-COGNOME-DATA E LUOGO DI NASCITA)”, nonché “confermare il soggetto nei confronti del quale l’avvocato intende richiedere il certificato”. Successivamente, l’avvocato richiedente è tenuto a dichiarare “sotto la propria responsabilità penale e disciplinare” che il certificato è richiesto sulla base di uno “specifico mandato ricevuto nella data da indicarsi”. Il professionista dovrà poi selezionare un tra le “finalità di uso legale” prospettate, scegliendo tra “uso notifica”, “uso stragiudiziale con specifica della tipologia di attività stragiudiziale e della materia oggetto di tale attività”, “uso in giudizio con la specifica tipologia di controversia” e “uso indagini difensive”.

Al riguardo, si osserva che, se da un lato ancorare le interrogazioni effettuate dagli avvocati ad una serie di parametri è necessario per consentire i controlli ex post sulla base del tracciamento delle operazioni effettuate (declinato al punto 3.3 del Disciplinare e che costituisce uno strumento indispensabile per consentire al titolare del trattamento di assicurare e comprovare la liceità e la sicurezza dei trattamenti), occorre che, in tale contesto, siano registrati i soli dati necessari alla fruizione del servizio e all’effettuazione dei predetti controlli, nel rispetto del principio di minimizzazione.

In proposito, si rileva che il grado di dettaglio (prospettato al punto 2.2 del Disciplinare) con cui, ai sensi dello schema in esame, si intenderebbe raccogliere alcuni dati di dettaglio relativi al mandato professionale per il quale viene richiesto l’accesso all’ANPR - ovvero la “tipologia di attività stragiudiziale e della materia oggetto di tale attività”, la “tipologia di controversia”, o anche il solo riferimento allo svolgimenti di “indagini difensive” – comporterebbe la rilevazione da parte del Ministero dell’interno di delicate informazioni (riconducibili anche agli artt. 9 e 10 del Regolamento) relative all’attività forense, riferibili in talune circostanze agli interessati in relazione ai quali viene richiesto il certificato, e suscettibili di interferire potenzialmente con le peculiari caratteristiche di riservatezza che contraddistinguono tale attività.

Pertanto, al fine di assicurare il rispetto dei principi di proporzionalità e di minimizzazione dei dati (artt. 5, par. 1, lett. a) e c), 6, par. 3, 9 e 10 del Regolamento), occorre che le “finalità di uso legale”, di cui al punto 2.2. del Disciplinare, siano rigorosamente circoscritte a quelle di “notifica”, “attività giudiziale” e “attività stragiudiziale”, espungendo le ulteriori specificazioni riguardanti la “tipologia di attività stragiudiziale e della materia oggetto di tale attività”, la “tipologia di controversia” e il riferimento alle “indagini difensive”. Ciò, anche in considerazione del fatto che i successivi controlli di merito sulle richieste sono demandati ai Consigli dell’ordine che, ai sensi dello schema in esame, potranno verificarne in dettaglio la sussistenza dei presupposti legittimanti, nell’ambito delle più ampie competenze di vigilanza attribuite dall’ordinamento ai predetti Consigli.

In aggiunta a quanto sopra evidenziato, per assicurare maggiore coerenza tra quanto previsto dallo schema di decreto e il Disciplinare, si invita a specificare che, tra le operazioni oggetto di tracciamento nei file di log elencate al punto 3.3 del Disciplinare, vi sono anche la data del mandato e la finalità indicata. Al medesimo punto 3.3, per evitare fraintendimenti, sarebbe, inoltre, opportuno riformulare la locuzione “codice fiscale del cittadino per il quale è richiesto il certificato” con “codice fiscale del soggetto nei confronti del quale l’avvocato intende richiedere il certificato” (già utilizzata al punto 2.2 del Disciplinare), al fine di chiarire che i dati del cliente dell’avvocato non sono oggetto del trattamento.

6. I tempi di conservazione dei dati

Con riferimento alla conservazione dei dati, l’art. 3 dello schema di decreto prevede che “ANPR tratta il dato relativo alla verifica dell’iscrizione del soggetto richiedente all’albo o elenco […] al solo fine di consentire a quest’ultimo l’accesso ai servizi di cui all’articolo 2 e solo per il tempo necessario a garantire l’accesso medesimo” (comma 3) e che “ANPR conserva per dieci anni le informazioni relative alle richieste effettuate dall’avvocato” (comma 2).

Al riguardo, posto che, in ossequio al principio di limitazione della conservazione (art. 5, par. 1, lett. e), del Regolamento), i dati devono essere conservati per un tempo non superiore al conseguimento delle finalità per le quali sono trattati, si evidenzia la necessità che i prospettati tempi di conservazione siano rimodulati da parte del Ministero, distinguendo tra le diverse tipologie di dati trattati e riducendone la durata a un massimo di 36 mesi, tenendo conto di quanto previsto dalla normativa di settore SPID e CIEId in relazione alle richieste di autenticazione, nonché fatte salve esigenze di conservazione ulteriore in caso di eventuali contenziosi.

RITENUTO

Alla luce di quanto osservato, si ritiene di poter esprimere parere favorevole sullo schema di decreto, a condizione che lo stesso sia modificato e integrato in conformità a quanto evidenziato nei paragrafi 4, 5, 6 e 7, con le osservazioni ivi formulate, al fine di rendere i trattamenti oggetto dello stesso conformi al Regolamento e al Codice.

TUTTO CIÒ PREMESSO, IL GARANTE

A.  ai sensi degli artt. 36, par. 4, 58, par. 3 lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto del Ministero dell’interno, recante “L'aggiornamento dei servizi resi disponibili dall'Anagrafe Nazionale della Popolazione Residente di cui all’articolo 62, comma 3, del decreto legislativo 7 marzo 2005, n. 82, (di seguito ANPR), al fine di consentire agli avvocati iscritti nel relativo albo o elenco di cui all’articolo 15, comma 1, lettere a) e b), della legge 31 dicembre 2012, n. 247 di richiedere, per finalità connesse all’esecuzione del mandato professionale, i certificati anagrafici in modalità telematica resi disponibili tramite l’ANPR”, unitamente al Disciplinare allegato che ne costituisce parte integrante, da adottarsi, ai sensi dell’art. 62, comma 6-bis, del citato decreto legislativo 7 marzo 2005, n. 82, a condizione che:

1. la preventiva verifica della qualifica professionale in capo agli avvocati sia realizzata tenendo conto di quanto indicato dal Garante nel parere reso sullo schema di delibera del CNF relativa all’adozione delle specifiche tecniche del Sistema informatico centrale, ai sensi dell’art. 14, comma 1, del D.M. 16 agosto 2016, n. 178 del Ministero della giustizia (provvedimento del Garante n. 223 del 10 giugno 2021, doc. web n. 9681140) (cfr. par. 5.1);

2. l’individuazione, effettuata dal Ministero dell’interno, del campione da sottoporre alle verifiche, avvenga affiancando al previsto criterio fondato sulla numerosità degli accessi (oltre cento richieste di certificati a semestre per avvocato), altri criteri da individuarsi nell’ambito della valutazione di impatto, a valle di un’adeguata ponderazione dei rischi, anche in base alle tipologie di certificati richiesti, in presenza di un indice sintomatico di un trattamento potenzialmente illecito (cfr. par. 5.2);

3. i criteri di estrazione del campione di controllo siano rivalutati periodicamente a cura del titolare (facendo salva la possibilità di adottare, anche all’esito di un primo periodo di applicazione, diverse e ulteriori modalità di individuazione del campione), tenendo conto degli esiti delle verifiche condotte, e siano inseriti nell’audit di sicurezza annuale di cui all’art. 62, comma 1, del CAD, unitamente al piano delle verifiche e alle relative risultanze (cfr. par. 5.2);

4. l’art. 2, commi 7 e 8, dello schema sia integrato individuando nel dettaglio le informazioni relative agli accessi da allegare al campione e precisando che le stesse informazioni, unitamente ai “nominativi”, saranno trasmesse dal CNF ai Consigli dell’ordine competenti (cfr. par. 5.2);

5. l’avvocato sia adeguatamente informato, in particolare, del fatto che le dichiarazioni rese ai sensi del d.P.R. n. 445/2000 in ordine alla sussistenza del mandato, necessarie alla richiesta dei certificati, saranno oggetto delle previste verifiche da parte del CNF e dei Consiglio dell’ordine, nell’ambito dei compiti di vigilanza ad essi demandati e delle conseguenze di eventuali esiti negativi dei controlli effettuati (cfr. par. 5.2);

6. le “finalità di uso legale”, di cui al punto 2.2. del Disciplinare, siano circoscritte a quelle di “notifica”, “attività giudiziale” e “attività stragiudiziale”, e sia demandata ai previsti controlli da parte dei Consigli dell’ordine la possibilità di verificare in dettaglio la sussistenza dei presupposti legittimanti le richieste effettuate ai sensi dello schema in esame (cfr. par. 5.3);

7. tra le operazioni oggetto di tracciamento nei file di log elencate al punto 3.3 del Disciplinare siano incluse anche la data del mandato e la finalità indicata (cfr. par. 5.3);

8. i prospettati tempi di conservazione siano rimodulati da parte del Ministero, distinguendo tra le diverse tipologie di dati trattati e riducendone la durata a un massimo di 36 mesi, tenendo conto di quanto previsto dalla normativa di settore SPID e CIEId in relazione alle richieste di autenticazione, nonché fatte salve esigenze di conservazione ulteriore in caso di eventuali contenziosi (cfr. par. 6);
nonché con le seguenti osservazioni:

9. precisare che il CNF e i Consigli dell’ordine trattano i dati necessari a porre in essere le dovute verifiche in qualità di titolari del trattamento (cfr. par. 4);

10. sostituire la locuzione “codice fiscale del cittadino per il quale è richiesto il certificato” con “codice fiscale del soggetto nei confronti del quale l’avvocato intende richiedere il certificato”, al fine di chiarire che i dati del cliente dell’avvocato non sono oggetto del trattamento (cfr. par. 5.3).

B. ai sensi dell’art. 58, par. 1, lett. a), del Regolamento e dell’art. 157 del Codice, ingiunge al Ministero dell’interno di trasmettere al Garante, all’esito delle verifiche relative al primo semestre, e comunque entro otto mesi dall’avvio del trattamento, una relazione sull’efficacia dei criteri e delle misure adottate, che evidenzi le eventuali criticità riscontrate, tenendo conto anche degli esiti delle attività di verifica; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e), del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del decreto legislativo 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 22 giugno 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi