Clicca QUI per leggere il provvedimento
-
Premessa
Il ministero dell’interno ha richiesto al Garante per la protezione dei dati personali un parere sullo schema di decreto adottato ai sensi dell’art.17, comma 3 del d.l. 113/2018, il quale dispone, innanzitutto, che, ai fini di garantire la prevenzione al terrorismo, scopo primario del d.l., gli identificativi riportati nel documento d’identità esibito dal soggetto che richiede il noleggio di un autoveicolo, vengono conservati per un periodo non superiore a 7 giorni.
Dispone, poi, che il Ministero dell’interno ha il compito di adottare un decreto, di natura non regolamentare, attraverso il quale vengono definite le modalità tecniche per la comunicazione e conservazione, contestuale alla stipula del contratto di noleggio, dei dati cui si è detto sopra.
Dunque, attraverso il comma 3 dell’art. 17, il Ministero è investito dell’onere di adottare tale decreto, previa consultazione e previo parere favorevole del Garante.
In considerazione di tale onere, il Ministero ha sottoposto alla valutazione del Garante lo schema del decreto ex art. 17, comma 3 d.l.113/2018.
-
Le modalità di comunicazione e conservazione dei dati
L’art. 3 del decreto del Ministero prevede, specificamente, l’installazione di una piattaforma informatica presso il Centro Elettronico Nazionale, detta CaRGOS.
La stessa viene utilizzata al fine di predisporre un supporto alla comunicazione dei dati di cui sopra, ossia i dati dei documenti di identità di coloro che stipulano il contratto, che vengono raccolti dai soggetti esercenti i servizi di autonoleggio, sulla base, però, di previa acquisizione della specifica abilitazione rilasciata loro dalla Questura.
Ai fini dell’esercizio di questa attività, viene previsto che l’Ufficio della Questura rilasci le credenziali di accesso ai soggetti esercenti, i quali devono farne uso personale. Tuttavia, è previsto che tali credenziali possano essere consegnate ad un soggetto diverso incaricato preventivamente dall’esercente al fine di procedere all’inserimento dei dati nella piattaforma indicata.
Nello specifico, lo schema di decreto prevede il seguente procedimento di comunicazione dei dati dei documenti di identità: la comunicazione avviene attraverso la piattaforma CaRGOS, alla quale, come sopra specificato, si accede, tramite le credenziali rilasciate dalla Questura, al momento di stipula del contratto o prima della consegna del veicolo; contestualmente, l’esercente è gravato dall’obbligo di conservazione della copia della ricevuta digitale di avvenuta comunicazione dei dati.
In caso di impossibilità di trasmissione dei dati attraverso la piattaforma, il decreto prevede la possibilità di trasmettere gli stessi attraverso PEC indirizzata alla Questura “territorialmente competente, previa conservazione della ricevuta dell’avvenuta spedizione e del ricevimento”.
Una volta che i dati dei documenti di identità sono stati adeguatamente comunicati, vengono raccolti e conservati all’interno della piattaforma, in conformità alle previsioni in ordine ai principi di riservatezza, integrità e disponibilità dei dati; inoltre, gli stessi sono resi accessibili solo per il “raffronto automatico con quelli conservati presso il CED”.
-
La osservazioni del Garante
Esaminato lo schema di decreto sottoposto alla sua valutazione, il Garante ha quindi ritenuto che non siano da rilevare particolari criticità.
Tuttavia, ha ritenuto opportuno che siano adottate alcune accortezze al fine di migliorare il livello di conformità alle disposizioni dettate in materia di trattamento dei dati personali.
Innanzitutto, per quanto attiene la previsione del Ministero secondo la quale le credenziali di accesso alla piattaforma CaRGOS, rilasciate dalla Questura, possano essere consegnate, ai fini dell’inserimento dei dati nella stessa, ad un soggetto diverso dall’esercente il servizio di autonoleggio, il Garante ritiene che la stessa debba essere affiancata dalla previsione di maggiori cautele, al fine di minimizzare il rischio di accessi indebiti e consentirne la tracciabilità.
In considerazione di ciò, allora, il Garante ha richiama quanto previsto all’art. 29 del GDPR, il quale dispone che: “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
In virtù di tale previsione, il responsabile, incaricato dal titolare di eseguire talune attività inerenti la procedura di trattamento dei dati, deve essere tale da presentare garanzie sufficienti al fine di predisporre misure tecniche ed organizzative idonee a soddisfare i requisiti Regolamento.
Il Garante ricorda, inoltre, che l’assegnazione di tale incarico da parte del titolare del trattamento dovrebbe avvenire a mezzo di un atto giuridico, a norma del diritto dell’Unione o degli Stati membri, che vincoli il soggetto incaricato al titolare del trattamento, all’interno del quale, inoltre, siano stipulati elementi essenziali del trattamento stesso, quali: la materia, la durata, la natura ovvero la finalità.
Inoltre, il Garante richiama l’art. 2- quaterdecies del Codice privacy secondo il quale il titolare o il responsabile del trattamento devono individuare “le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.
In tale senso, dunque, il Garante suggerisce un’integrazione della previsione contenuta nel decreto in conformità del combinato disposto dell’art. 29 del GDPR e dell’art. 2- quaterdecies del Codice privacy, al fine di designare adeguatamente il soggetto autorizzato.
Il Garante, ulteriormente, ritiene opportuno dover specificare che sono necessarie precisazioni riguardo alla modalità con la quale il soggetto autorizzato entra in possesso delle credenziali (specificamente il codice OTP) che saranno dal medesimo utilizzate per inserire i dati necessari all’interno della piattaforma web CaRGOS. Ciò al fine, anche, di ridurre i rischi di accessi abusivi e di attacchi informatici, proteggendo con maggior cautela la piattaforma stessa.
In conclusione, il Garante ha quindi espresso parere favorevole allo schema di decreto sottoposto alla sua valutazione da parte del Ministero dell’interno, con riserva, però, di apporre allo stesso, le migliorie suggerite dalla stessa autorità relativamente alle tematiche sopra esposte.
Scrivi un commento
Accedi per poter inserire un commento