Mercoledì, 27 Novembre 2024| Il portale di riferimento per gli immigrati in Italia
username   password [?]
 
 

Parere del Garante per la Protezione dei Dati Personali del 5 luglio 2012

Schema di decreto interministeriale riguardante

Registro dei provvedimenti n. 178 del 5 giugno 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

Vista la richiesta di parere del Ministero dell'interno;

Visto l'art. 154, comma 4 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

Il Ministero dell'interno ha richiesto il parere del Garante in ordine a uno schema di decreto del Ministro dell'interno – da emanarsi di concerto con il Ministro dell'economia e delle finanze e il Ministro della pubblica amministrazione e per la semplificazione - recante "Regole tecniche e di sicurezza relative al permesso di soggiorno conforme al Regolamento (CE) n. 1030/2002 come modificato dal Regolamento (CE) n. 380/2008".

Lo schema di decreto in oggetto mira ad adeguare il vigente modello del permesso di soggiorno (art. 5, c. 8, d.lgs. 25 luglio 1998, n. 286) e del permesso di soggiorno per soggiornanti di lungo periodo (art. 9 d.lgs. 25 luglio 1998, n. 286) alle previsioni contenute nel regolamento CE n. 380/2008 del Consiglio del 18 aprile 2008, che modifica il regolamento (CE) n. 1030/2002, istitutivo di un modello uniforme per i permessi di soggiorno rilasciati a cittadini di Paesi terzi, le cui prescrizioni sono state recepite dal decreto del 28 settembre 2009.

Con appositi decreti direttoriali – in ordine ai quali si dispone l'acquisizione del parere del Garante - saranno inoltre stabilite, tra l'altro, le regole tecniche e di sicurezza relative al trattamento dei dati biometrici necessari per il rilascio e l'attivazione del permesso di soggiorno, che in ottemperanza alle norme dell'Unione europea dovrà contenere un microprocessore contact-less, nel quale saranno inseriti – nel rispetto delle disposizioni del Codice - l'immagine del volto e le impronte digitali del titolare, entrambe in formato interoperabile.

RILEVATO

La principale caratteristica tecnica innovativa della tipologia di permesso di soggiorno disciplinata dall'odierno provvedimento consiste nell'inserimento, all'interno del supporto fisico, di un microprocessore RF, idoneo alla memorizzazione dei dati del titolare del permesso di soggiorno, dei dati identificativi del documento stesso, nonché degli elementi biometrici primari (immagine del volto del titolare del documento, ai sensi della Decisione della Commissione C (2009) 3770 del 20 maggio 2009 e successive modificazioni) e secondari (immagini delle impronte digitali del titolare del documento, secondo quanto prescritto dalla stessa Decisione), specificati nell'allegato A al decreto.

Ai sensi dell'articolo 3, comma 3, il microprocessore RF possiede le caratteristiche di sicurezza necessarie a garantire la protezione, l'integrità, l'autenticità e la riservatezza dei dati in esso memorizzati ed è strutturato secondo particolari dispositivi, idonei a consentirne la lettura unicamente agli organi di controllo. Peraltro, la garanzia dell'integrità e dell'autenticità dei dati e degli elementi biometrici primari e secondari memorizzati nel microprocessore è ulteriormente assicurata dall'istituzione dell' "Infrastruttura a chiave pubblica per i permessi di soggiorno", mentre la sicurezza degli elementi biometrici secondari è garantita anche dall'istituzione dell' "Infrastruttura a chiave pubblica per i sistemi di controllo" destinati alla protezione e alla lettura (art. 6, comma 2, lettere a) e b).

L'articolo 4, comma 1, precisa che gli elementi biometrici primari e secondari memorizzati nel microprocessore possono essere utilizzati soltanto a fini di verifica dell'autenticità del documento e dell'identità del titolare, comunque escludendo confronti in modalità "uno a molti" a fini di identificazione.

Le modalità per garantire, in particolare, la qualità e l'interoperabilità degli elementi biometrici, primari e secondari, acquisiti saranno definite da apposite "regole e guide tecniche" emanate da DigitPa, previo parere del Garante (art. 4, comma 3).

Ai fini della verifica dell'esistenza di precedenti permessi di soggiorno già rilasciati all'interessato ovvero dei dati del permesso di soggiorno in caso di denuncia di furto o smarrimento del documento, nonché per le verifiche da attuarsi nei casi di malfunzionamento del microprocessore, è consentita la consultazione dei dati presenti nell'archivio  informatizzato dei permessi di soggiorno di cui all'articolo 2, comma 1, lettera g), del decreto del Presidente della Repubblica n. 242 del 27 luglio 2004 (art. 5, comma 1). A tale archivio, per le suddette finalità, sono trasmessi per via telematica – nel rispetto delle regole tecniche adottate ai sensi dell'articolo 71 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82 – da parte degli organi competenti, i dati acquisiti all'atto della presentazione dell'istanza di rilascio, rinnovo o aggiornamento del permesso di soggiorno (art. 5, comma 2).

L'articolo 5, comma 3, dispone che i dati personali e gli elementi biometrici primari acquisiti durante il procedimento relativo alle attività di verifica e controllo sono conservati nel citato archivio informatizzato "con modalità strettamente correlate" alle attività stesse, per un periodo pari alla durata del permesso di soggiorno CE per soggiornanti di lungo periodo e per un periodo non superiore a dieci anni per le altre tipologie del permesso di soggiorno. Tali termini di conservazione sono stati definiti sulla base delle esigenze di verifica e controllo riscontrabili in relazione all'autenticità dei dati contenuti nel permesso di soggiorno, nel rispetto dei principi di proporzionalità, finalità e pertinenza dei dati personali trattati rispetto agli scopi cui il trattamento è preordinato.  Analogamente, la conservazione degli elementi biometrici secondari nell'archivio informatizzato è consentita soltanto per il "tempo strettamente necessario" al completamento dei procedimenti amministrativi per il rilascio o per il rinnovo del permesso di soggiorno (art. 5, comma 4).

L'articolo 5, comma 3, dello schema di decreto esclude peraltro la possibilità di utilizzare gli elementi biometrici primari per il confronto secondo la modalità "uno a molti", per finalità di identificazione.
Durante l'intero processo di emissione dei permessi di soggiorno la riservatezza, l'integrità e la sicurezza dei dati trattati è ulteriormente assicurata dall'istituzione di un' "Infrastruttura a chiave pubblica di servizio", destinata a implementare, tra l'altro, la creazione di canali di comunicazione sicuri e la cifratura dei dati, come sarà meglio precisato nei decreti direttoriali emanati, ai sensi dell'articolo 10, previo parere del Garante (art. 6, commi 5 e 6).

Inoltre, si esclude la possibilità di conservazione - da parte dell'Istituto poligrafico e Zecca dello Stato s.p.a, tenuto a provvedere alla personalizzazione grafica del permesso di soggiorno - di qualsivoglia traccia dei dati utilizzati per la personalizzazione stessa (art. 7, comma 6).

L'articolo 12 precisa peraltro, al comma 1, che il trattamento dei dati personali necessario ai fini della personalizzazione, del rilascio e del rinnovo del permesso di soggiorno è effettuato nel rispetto delle disposizioni del Codice. Il titolare del trattamento dei dati registrati nell'archivio informatizzato dei permessi di soggiorno è il Ministero dell'interno-Dipartimento della pubblica sicurezza, mentre il responsabile del trattamento è il Centro elettronico nazionale, presso il quale è istituito l'archivio stesso (art. 12, comma 2).

RITENUTO

Il parere è reso su di una versione dello schema di decreto predisposta all'esito dei lavori di un tavolo tecnico istituito presso il Dipartimento della pubblica sicurezza del Ministero dell'interno, cui hanno partecipato, in via collaborativa, anche rappresentanti dell'Ufficio del Garante. In quest'ambito, pertanto, è stato possibile rappresentare l'esigenza di elevare il più possibile lo standard di garanzia del diritto alla protezione dei dati personali trattati per le finalità del decreto, precisando ulteriormente, ad esempio, l'ambito soggettivo di applicazione delle disposizioni del decreto, con particolare riguardo alle varie tipologie di permesso di soggiorno previste dalla normativa vigente; disciplinando il trattamento dei dati biometrici, nonché i termini e le modalità di conservazione dei dati personali dei titolari dei permessi di soggiorno nell'Archivio informatizzato dei permessi di soggiorno conformemente ai principi di proporzionalità, finalità e pertinenza dei dati trattati rispetto agli scopi perseguiti; prevedendo adeguate cautele per evitare abusi anche nell'ambito delle attività di verifica e controllo dell'autenticità dei dati riportati nel documento.

La sostanziale conformità dello schema rispetto alle conclusioni raggiunte all'esito dei lavori del tavolo tecnico consente al Garante di esprimere un parere favorevole sullo schema di decreto, sebbene sussista un profilo suscettibile di ulteriore perfezionamento.

Come già rilevato dall'Ufficio del Garante nell'ambito dei lavori del tavolo tecnico, infatti, appare opportuno inserire nello schema di decreto una norma idonea a individuare meglio la disciplina applicabile, chiarendo espressamente il rapporto fra le disposizioni del predetto schema e le norme vigenti, atteso che - come pare ragionevole ritenere secondo i principi che regolano la successione delle norme nel tempo – il precedente d.m. 28 settembre 2009 dovrebbe essere sostituito dall'odierno schema.

Una tale precisazione consentirebbe, infatti, di fugare ogni dubbio in ordine alla disciplina, anche relativa al trattamento dei dati personali, applicabile alle varie fattispecie.

IL GARANTE

    esprime parere favorevole sullo schema di decreto del Ministro dell'interno – da emanarsi di concerto con il Ministro dell'economia e delle finanze e il Ministro della pubblica amministrazione e per la semplificazione - recante "Regole tecniche e di sicurezza relative al permesso di soggiorno conforme al Regolamento (CE) n. 1030/2002 come modificato dal Regolamento (CE) n. 380/2008", con la seguente raccomandazione:

        - valuti l'Amministrazione  l'opportunità di inserire nello schema di decreto una norma idonea a individuare meglio la disciplina applicabile, chiarendo espressamente il rapporto tra lo schema di decreto e il precedente decreto 28 settembre 2009.

Roma, 5 giugno 2012

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli

 

Giovedì, 5 Luglio 2012