Home
Lo studio
Risorse
Contatti
Lo studio

Articoli

(In)utilizzabilità dei precedenti di polizia (CED)

6 febbraio 2019, Nicola Canestrini

Le banche dati in uso alle forze di polizia sono un utile ausilio alle indagini, ma presentano importanti  criticità.

Introduzione, storia e rischi delle banche dati di polizia 

Nel 1981 fu istituito presso il Dipartimento di pubblica sicurezza del Ministero dell'Interno un centro elaborazione dati (d'ora innanzi "C.E.D.") che raccoglie i vari archivi istituiti dalla varie forze di polizia (il legislatore nel 2017 ha contato almeno 64 le banche dati che trattano dati personali!).

La legge obbliga peraltro da tempo tutte le forze di polizia a far confluire nel Centro elaborazione dati del Dipartimento della pubblica sicurezza informazioni e dati destinati all'analisi e alla valutazione, nonché alla loro successiva disponibilità da parte delle medesime forze di polizia (art. 6, primo comma, lett. a), l. n. 121/1981).

In particolare, per disposizione degli artt. 6/ 1 lett. a) e 7/ 1 della l. 121/81, e per effetto dell'obbbblòigo introdotto nel nel 2001  per tutte le Forze di Polizia, di alimentare, con completezza e tempestività, il CED (art 21 L. 128/2001), oggi nel CED sono conservati i dati e le informazioni

  1. ricavati da indagini di polizia, ovvero
  2. risultanti da documenti della pubblica amministrazione o
  3. da sentenze provvedimenti dell'autorità giudiziaria.
  4. acquisite durante attività amministrative 
  5. o nell’attività di prevenzione o repressione dei reati

Il senso è ovviamente quello di rendere immediatamente consultabili e utilizzabili anche da parte delle Forze di Polizia che non le hanno originate le informazioni confluite nel CED.

Non è questa la sede per qualche considerazione sulla creazione di banche dati di "sorveglianza globale" , contenenti oltretutto giudizi sulla stima e la reputazione degli interessati, notizie sulle relazioni familiari ed amichevoli, e notizie "atte a lumeggiare la figura dell'interessato", con proliferazione eccessiva e conservazione stabile dalla sola Arma dei Carabinieri di un numero enorme di pratiche permanenti (circa 95 milioni!, come rilevava un allarmato Garante per la protezione dei dati personali nel 2001).

Va però rimarcato come oltre ad un numero di fascicolo eccessivo (!), lo stesso Garante ha altresì rilevato una eccessiva ampiezza delle informazioni inserite e l’eccessivo numero dei soggetti abilitati alla consultazione: nel 2005 il sistema informativo del CED annoverava un numero elevato di soggetti legittimati alla sua consultazione, complessivamente superiore a 130.000 unità abilitate presso circa 12.000 uffici, con un volume giornaliero medio superiore a 650.000 accessi da parte di circa 8.000 soggetti abilitati, con 47 profili differenziati di autorizzazione che vanno dalla sola abilitazione alla consultazione fino ad un utilizzo particolarmente ampio dello S.d.i . (cfr,. Provvedimento del 17 novembre 2005 https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1213309, che auspicava interventi in materia di soggetti abilitati alla consultazione e all'inserimento dei dati; censimento delle postazioni informatiche; autenticazione informatica; modalità di accesso al sistema; cifratura dei dati sensibili e giudiziari (assente!); limitazioni e controlli sull´utilizzo dei dati; finalità dell´utilizzo dei dati consultati; auditing di sicurezza; rapporti statistici; sicurezza e integrità dei dati di log e di auditing; disponibilità dei dati e continuità di esercizio del sistema).

Nonostante il tempo passato (con mutamento del quadro normativo in materia di riservatezza dei dati, sia a livello sovranazionale con il Regolamento UE 2016 679 e la Direttiva (UE) 2016/680, che a livello nazionale col D.lgs. 196/2003, D.lgs. 51/2018 e al D. Lgs. 101/18), e nonostante i plurimi interventi anche del Garante, la tendenza di far confluire nel CED più informazioni e autorizzando sempre più soggetti alla consultazione è purtroppo proseguita.

Infatti, il legislatore è intervenuto da ultimo con la L. 1 dicembre 2018, n. 132 in G.U. 03/12/2018, n. 281 ampialando sia la tipologia di dati da inserire (estendendolo ai nominativi dei conducenti di autonoleggio) che la platea dei soggetti legittimati alla consultazione (corpo e servizi di polizia municipale in comuni superiori a 100.000 abitanti), laddove inizialmente  l'art. 9 della stessa legge consentiva l'accesso ai dati e la loro utilizzazione agli ufficiali di polizia giudiziaria appartenenti alle forze di polizia, agli ufficiali di pubblica sicurezza, ai funzionari dei servizi di sicurezza e all'autorità giudiziaria per gli accertamenti necessari per i procedimenti in corso e nei limiti stabiliti dalle vigenti leggi processuali, specificando che è vietato l'uso dei dati per finalità diverse da quelle inerenti alla tutela dell'ordine, della sicurezza pubblica e della prevenzione e repressione della criminalità).

Quale utilizzazione processuale dei dati tratti dalla banca dati?

Quanto invece alle obiezioni di merito, si rileva che l’inserimento nel CED – con successiva consultazione ed utilizzo investigativo e processuale – delle denunce o querele  subite non appare del tutto in linea con quanto autorevolmente statuito dalla Corte costituzionale, che a più riprese ha affermato come la denuncia «è atto che nulla prova riguardo alla colpevolezza o alla pericolosità del soggetto indicato come autore degli atti che il denunciante riferisce», per cui non è possibile far derivare dalla sola denuncia conseguenze pregiudizievoli per il denunciato, in quanto essa comporta soltanto l'obbligo degli organi competenti «a verificare se e quali dei fatti esposti in denuncia corrispondano alla realtà e se essi rientrino in ipotesi penalmente sanzionate, ossia ad accertare se sussistano le condizioni per l'inizio di un procedimento penale» (Corte Costituzionale, sentenza 466/2005 che richiama anche le  sentenze 78/2005 e 173/97).

Ancora, la permanenza nell’archivio CED di dette informazioni di polizia anche dopo l’archiviazione / assoluzione potrebbe essere in contrasto con quanto affermato dalla Corte Europea dei diritti dell’uomo, che ha sancito che "lo Stato convenuto sia andato oltre il margine di apprezzamento di cui dispone in materia, in quanto il regime di conservazione, nello schedario in questione, delle impronte digitali di persone sospettate di avere commesso dei reati ma non condannate" per violazione del diritto al rispetto della vita privata e familiare (art. 8 CEDU; MK vs. Francia, 2013, cfr. infra).

Ci si vuole però soffermare sulla utilizzabilità procedimentale e processuale dei riscontri tratti dal C.E.D.

Peraltro, in un procedimento penale la consultazione degli archivi di polizia può risultare molto utile, se non decisiva, e non solo durante le indagini preliminari: gli estratti del C.E.D. infatti possono essere acquisiti al dibattimento sotto forma di tabulati quali prove documentali.

Si pensi d'altro canto all'utilizzo di tali archivi nei procedimenti amministrativi, ad esempio relativi al rilascio di autorizzazioni di polizia (porto d'armi, ecc.), o relativi alle cd. misure di prevenzione di cui al D.lgs. 159/2011 )“Codice delle leggi antimafia e delle misure di prevenzione”).

E' evidente il pericolo di un grave vulnus dei diritti fondamentali, tra i quali quello alla difesa, che comporta l'utilizzo indiscriminato di tali informazioni, formate senza alcuna possibilità di partecipazione - o di contraddittorio! - dell'interessato o del suo difensore.

In questo senso è intervenuta dunque la disciplina sulla privacy, la quale - con una scelta forse opinabile dal punto di vista sistematico, dato che la sua collocazione naturale parrebbe essere il capo VII del titolo II del libro III del vigente codice di procedura penale rubricato "Sulle prove" - con l'articolo 42 l. 31 dicembre 1996 n. 675 dapprima, ed ora con l'articolo 175 del D.LGS. 30 settembre 2003, n. 196 (T.U. Privacy) ha novellato l'articolo 10 della l.121/1981 che al secondo comma espressamente recita :

I dati e le informazioni conservati negli archivi del Centro possono essere utilizzati in procedimenti giudiziari o amministrativi soltanto attraverso l'acquisizione delle fonti originarie indicate nel primo comma dell' articolo 7 fermo restando quanto stabilito dall' articolo 240 del codice di procedura penale.

In sostanza, in forza della predetta innovazione legislativa, non potranno più essere utilizzati come documenti - ed ovviamente non si potrà tenere conto del loro contenuto -i tabulati ottenuti mediante stampa dei dati contenuti negli elaboratori elettronici del C.E.D., né la prova dei fatti a cui i dati di riferiscono potrà essere ottenuta mediante deposizione testimoniale dei verbalizzanti avente ad oggetto detti dati, ma andranno acquisiti di volta in volta (eventualmente in copia, e quindi soltanto ove ancora esistenti e rintracciabili) le relazioni di servizio dei militari operanti, le denunce o querele presentate, ecc.

Tali fatti, ovviamente, potranno essere altresì essere provati sulla base di deposizioni testimoniali aventi ad oggetto il contenuto di tali "fonti originali" secondo le norme procedurali applicabili .

Qualora invece tali "fonti originalinon siano stati acquisite, le relative informazioni non potranno essere utilizzate, a pena di violazione di legge censurabile (fino) in Cassazione secondo le normative processuali applicabili .

Si pone, per alto verso, e specificatamente per i principi che governano il procedimento penale, il problema della compatibilità del sistema delineato con la presunzione di non colpevolezza di cui al capoverso dell'articolo 27 della Costituzione: è intuitivo che la sola presenza dei cd. precedenti di polizia di cui all'archivio del C.E.D. possa compromettere i diritti individuali del singolo, soprattutto quando il precedente di polizia non sia ancora stato sottoposto al vaglio del giudice naturale o, a fortiori, sia invece sfociato in una assoluzione .

Peraltro, secondo i pressoché unanimi principi enunciati dalla giurisprudenza della Corte di Cassazione, la cancellazione del dato dall'archivio informatico non è consentita neppure quando il procedimento penale si sia esaurito con una sentenza di assoluzione (Cass., Sez. II, 11 febbraio 1994, Moretti), dato che, in questo caso, è possibile soltanto ordinare l'integrazione del dato mediante l'annotazione della intervenuta decisione di proscioglimento (Cass., Sez. IV, 13 aprile 1992, Calia)

Tale indirizzo è stato ribadito in una ulteriore pronuncia con cui è stato precisato che, a norma dell'art. 10 l. 121/81, il tribunale può ordinare la cancellazione dei dati soltanto quando essi siano inesatti o illegittimamente acquisiti, potendo, invece, ordinarsene l'integrazione nell'ipotesi di dati incompleti, come, appunto, si verifica allorché l'incompletezza derivi dalla mancata annotazione dell'esito del procedimento conclusosi con l'archiviazione o il proscioglimento (Cass., Sez. I, 26 febbraio 1996, Somma).

L’indirizzo è purtroppo pacifico in  giurisprudenza ed è stato riaffermato – in attesa che qualcuno sollevi una questione di legittimità costituzionale o faccia ricorso a Strasburgo – anche nel 2018 (cfr. Corte Suprema di Cassazione, 29 agosto 2018, n. 21362).

La soluzione prospettata, che trova nella rettifica - rectius: integrazione - del precedente di polizia con la sopravvenuta sentenza assolutoria il punto di equilibrio fra gli interessi coinvolti , sembra non soddisfare appieno, anche perché pare non contrastare sufficientemente la cultura del sospetto, che - si sa - può essere peggiore di ogni certezza.

Come fare in caso di necessità di conoscere eventuali iscrizioni pregiudizievoli al CED, ad esempio perchè serve una autorizzazione di polizia (porto d'armi, licenza di caccia, ..)?

Per verificare quali dati siano trattati:

  1.  fare istanza di acceso al C.E.D. (qui un fac-simile da compilare, firmare e spedire con RAR e documentazione rilevante a 'Direzione centrale della Polizia criminale/Ufficio Tecnico Giuridico e Contenzioso - via Torre di Mezzavia, n. 9 /121 – 00173 Roma; indirizzo PEC è [email protected]);
  2. fare aggiornare l'iscrizione con un eventuale provvedimento successivo favorevole;
  3. per la cancellazione è necessario mettere in conto un iter complesso, ricorso alla Corte europea dei Diritti dell'Uomo compreso.

La legge prevede che "la persona alla quale si riferiscono i dati puo' chiedere (..) la conferma dell'esistenza di dati personali che lo riguardano, la loro comunicazione in forma intellegibile" 8art 19 l. 121781); peraltro, l'aautorità di polizia è spesso reticent, limitandosi a rispndere che "i dati risultano aggiornati" .. senza comunicare quali.

E una ulteriore richiesta produce una risposta come quella nell'immagine, e che .. pare errata.

risposta questura CED

CED e S.D.I. sono la stessa cosa?

No. La "catalogazione delle informazioni" che pervengono al C.E.D. avviene mediante un «Sistema Di Indagine» (S.D.I.) che non prevede schedari ma si fonda sulla memorizzazione dell’evento che ha dato origine all’inserimento e dal quale derivano, automaticamente e logicamente, i collegamenti con i soggetti in esso coinvolti, con gli oggetti che lo riguardano (armi, auto, documenti o altri beni), con le denunce e i provvedimenti (misure pre-cautelari, cautelari o di sicurezza) che ne sono discesi nonché, infine, con qualsiasi altra segnalazione utile per individuare le caratteristiche dei soggetti interessati (pericolosità, soprannomi, alloggi e passaporti utilizzati, controlli cui sono stati sottoposti, ..).

Vuoi saperne di più sul trattamento di dati personali da parte delle forze di polizia per finalità investigative o giudiziarie?

 Sono almeno 64 i sistemi automatizzati di trattamento dati del Centro elaborazione dati del Dipartimento della pubblica sicurezza.

Sono enumerati dal decreto 24 maggio 2017, "Individuazione dei trattamenti di dati personali effettuati dal Centro elaborazione dati del Dipartimento della pubblica sicurezza o da Forze di polizia sui dati destinati a confluirvi, ovvero da organi di pubblica sicurezza o altri soggetti pubblici nell'esercizio delle attribuzioni conferite da disposizioni di legge o di regolamento, effettuati con strumenti elettronici e i relativi titolari, in attuazione dell'articolo 53, comma 3, del decreto legislativo 30 giugno 2003, n. 196. (17A04275) (GU Serie Generale n.145 del 24-06-2017 - Suppl. Ordinario n. 33):  http://www.gazzettaufficiale.it/do/atto/serie_generale/caricaPdf?cdimg=17A0427500100010110001&dgu=2017-06-24&art.dataPubblicazioneGazzetta=2017-06-24&art.codiceRedazionale=17A04275&art.num=1&art.tiposerie=SG

Come è disciplinato il riconoscimento facciale per usi investigativi?

  • Intervista ad un operatore di Polizia che descrive sommariamente il S.A.R.I., o sistema automatico di riconoscimento facciale: secondo l’operatrice, nell’Afis Automated Fingerprint Identification System in uso ci sono i dati biometrici di 16 milioni di persone (fra i quali anche i dati di chi è stato ingiustamente condannato, dato che il trattamento dei dati per finalità di polizia anche di chi è stato assolto o archiviato è lecito per 20 anni, salvo proroghe) https://www.youtube.com/watch?v=AuI-NjaJfHE&feature=youtu.be&app=desktop
  • Sistema di riconoscimento faciale SARI: secondo il capitolato di appalto, l’algoritmo pagato 678.000 uro oltre IVA alla società Parsec 3.26, deve essere in grado di generare degli alertquando nel video appaiono individui presenti nella watch-list“a supporto di operazioni di controllo del territorio in occasione di eventi e/o manifestazioni.” Ma: con quale scopo trattare dati di persone che partecipano alle manifestazioni pubbliche (concerti, ma anche cortei, manifestazioni politiche..) senza che sia stato commesso un crimine? https://medium.com/@ORARiccardo/anche-litalia-si-%C3%A8-munita-di-un-sistema-di-riconoscimento-facciale-4a6f4c4e4f3f
  • Il nulla osta del Garante del luglio 2018 recita "Il sistema SARI Enterprise non effettuerà elaborazioni aggiuntive rispetto al AFIS-SSA, ma si limiterà ad automatizzare alcune operazioni che prima richiedevano l'inserimento manuale di connotati identificativi". Il nulla osta del Garante della Privacy sull'utilizzo del SARI in modalità enterprise, ma che non considera la modalità Real-Time, dove il sistema in una area ristretta deve “analizzare in tempo reale i volti dei soggetti ripresi dalle telecamere ivi installate confrontandoli con una watch-list la cui grandezza è dell’ordine delle centinaia di migliaia di soggetti.” https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9040256(link consultati il del 26 settembre 2018)

Mantenere i dati per così lungo tempo viola i diritti fondamentali?

La Corte EDU nella sentenza del 18 settembre 2014 BRUNET c Francia (ricorso n. 21010/10) ha rilevato la violazione dell'art. 8 la conservazione nei registi di polizia di informazioni circa una denuncia e la pendenza di un procedimento penale (poi conclusosi con una mediazione) nell'ordinamento francese perché non proporzionato (traduzione informale): 

Alla Corte non resta quindi che esaminare la necessità dell'ingerenza alla luce dei requisiti della Convenzione, che richiedono che essa risponda a un "bisogno sociale pressante" e, in particolare, che sia proporzionata allo scopo legittimo perseguito e che le ragioni addotte dalle autorità nazionali per giustificarla appaiano "pertinenti e sufficienti" (si veda, in particolare, M.K. c. Francia, n. 19522/09, § 33, 18 aprile 2013).

Mentre spetta in primo luogo alle autorità nazionali giudicare se tutte queste condizioni sono soddisfatte, spetta in ultima analisi alla Corte decidere se l'ingerenza era necessaria alla luce dei requisiti della Convenzione (cfr. Coster c. Regno Unito [GC], n. 24876/94, § 104, 18 gennaio 2001, e S. e Marper c. Regno Unito [GC], nn. 30562/04 e 30566/04, § 101, CEDU 2008). Un certo margine di apprezzamento, la cui ampiezza varia e dipende da una serie di fattori, tra cui la natura delle attività in questione e le finalità delle restrizioni, è quindi in linea di principio lasciato agli Stati in questo contesto (si veda, tra l'altro, Klass e altri v. Germania, 6 settembre 1978, § 49, Serie A n. 28, Smith e Grady c. Regno Unito, nn. 33985/96 e 33986/96, § 88, CEDU 1999-VI, Gardel c. Francia, n. 16428/05, B.B. c. Francia, n. 5335/06, e M.B. c. Francia, n. 22115/06, 17 dicembre 2009, rispettivamente §§ 60, 59 e 51). Questo margine è ancora più ristretto quando il diritto in questione è importante per garantire all'individuo il godimento effettivo dei diritti fondamentali o "intimi" che gli sono stati conferiti (Connors c. Regno Unito, n. 66746/01, § 82, 27 maggio 2004, e S. e Marper, sopra citato, § 102). D'altra parte, quando non vi è consenso tra gli Stati membri del Consiglio d'Europa, né sull'importanza relativa dell'interesse in gioco né sui mezzi migliori per tutelarlo, il margine di apprezzamento è più ampio (Dickson c. Regno Unito [GC], n. 44362/04, § 78, CEDU 2007-XIII).

La protezione dei dati personali svolge un ruolo fondamentale nell'esercizio del diritto al rispetto della vita privata e familiare sancito dall'articolo 8 della Convenzione. La legislazione nazionale deve quindi fornire garanzie adeguate per impedire qualsiasi uso dei dati personali che non sia conforme alle garanzie previste da tale articolo. Ciò è tanto più necessario quando si tratta della protezione dei dati personali soggetti a trattamento automatico, in particolare quando tali dati sono utilizzati per finalità di polizia. In particolare, il diritto nazionale deve garantire che tali dati siano pertinenti e non eccessivi rispetto alle finalità per cui sono registrati e che siano conservati in una forma che consenta l'identificazione degli interessati per un periodo non superiore a quello necessario per le finalità per cui sono registrati. Il diritto interno deve anche contenere garanzie per assicurare che i dati personali registrati siano effettivamente protetti contro l'uso improprio e l'abuso (S. e Marper c. Regno Unito, sopra citato, § 103, Gardel c. Francia, sopra citato, § 62, CEDU 2009, e M.K. c. Francia, sopra citato, § 35).

Nel valutare la proporzionalità della durata di conservazione delle informazioni alla luce dello scopo per cui sono state memorizzate, la Corte tiene conto dell'esistenza o meno di un controllo indipendente della giustificazione della loro conservazione nel sistema di trattamento, sulla base di criteri specifici quali la gravità del reato, gli arresti precedenti, la forza dei sospetti nei confronti della persona o qualsiasi altra circostanza particolare (si vedano S. e Marper c. Regno Unito, sopra citato, § 119, e B.B. c. Francia, sopra citato, § 68).

Infine, la Corte deve essere particolarmente attenta al rischio di stigmatizzare persone che, come il ricorrente, non sono state condannate per alcun reato e hanno il diritto di essere presunte innocenti. Se, da questo punto di vista, la conservazione di dati privati non equivale all'espressione di un sospetto, le condizioni di tale conservazione non devono dare l'impressione di non essere considerate innocenti (cfr. S. e Marper, sopra citato, § 122, e M.K., sopra citato, § 36).

L'applicazione dei suddetti principi al caso in esame

La Corte osserva innanzitutto che il ricorrente lamenta che la sua vita privata e familiare potrebbe essere violata dalla sua inclusione nel fascicolo nell'ambito di un eventuale procedimento dinanzi al tribunale della famiglia per l'affidamento del figlio. Tuttavia, rileva che questo giudice non è tra le persone che hanno accesso al fascicolo in questione. È quindi improbabile che si verifichi la situazione denunciata dal richiedente.

D'altra parte, per quanto riguarda il carattere oltraggioso della denuncia, la Corte osserva che, sebbene le informazioni contenute nello STIC non includano le impronte digitali (a differenza della banca dati automatizzata delle impronte digitali - cfr. M.K., citata sopra) o il profilo del DNA delle persone, esse sono comunque intrusive in misura significativa, in quanto rivelano dati dettagliati sull'identità e sulla personalità relativi a reati accertati in una banca dati destinata all'investigazione dei reati.

Inoltre, la Corte osserva che il caso del ricorrente è stato archiviato a seguito della procedura di mediazione penale, il che ha giustificato un trattamento diverso da quello riservato a un condannato, al fine di evitare qualsiasi rischio di stigmatizzazione (cfr. S. e Marper, sopra citato, § 22, e M.K., sopra citato, § 42). A questo proposito, osserva che, a partire dalla legge del 14 marzo 2011, l'articolo 230-8 del Codice di procedura penale prevede che, in tal caso, l'interruzione del procedimento debba essere annotata sul fascicolo registrato nello STIC e che i dati relativi all'interessato non possano più essere consultati nell'ambito di alcune indagini amministrative. Nel caso di specie, la Corte non sa se la decisione della Procura sia stata effettivamente registrata tra le informazioni riguardanti il ricorrente. Tuttavia, osserva che in ogni caso questa misura non ha alcun effetto sul periodo di conservazione del file, che è di venti anni. Tuttavia, ritiene che questo periodo sia significativo, data l'assenza di una condanna giudiziaria e l'archiviazione del procedimento dopo il successo della mediazione penale. Spetta quindi alla Corte valutare se tale periodo sia proporzionato, tenendo conto della possibilità per l'interessato di chiedere la cancellazione anticipata dei dati (si veda, mutatis mutandis, M.K., sopra citata, § 45).

A questo proposito, la Corte osserva che la legge, sia nella versione applicabile all'epoca dei fatti che in quella attualmente in vigore, autorizza il pubblico ministero a ordinare la cancellazione di un fascicolo solo in caso di archiviazione del caso o di interruzione del procedimento per insufficienza di prove, oltre che nei casi di assoluzione o proscioglimento, in cui la cancellazione è una questione di principio, ma in cui può ordinare la conservazione dei dati nello STIC. Nel caso di specie, nel respingere la richiesta del ricorrente in tal senso, il procuratore di Evry ha applicato rigorosamente tali disposizioni e si è limitato a rilevare che il procedimento in questione era stato archiviato per motivi diversi dall'assenza di reato o dalla sua insufficiente qualificazione. La Corte ha inoltre osservato che non è stato possibile verificare la pertinenza del mantenimento delle informazioni in questione nello STIC alla luce dello scopo di questo archivio, nonché degli elementi di fatto e di personalità. La Corte ritiene che tale controllo non possa essere considerato effettivo, in quanto l'autorità incaricata di esercitarlo non ha alcun margine di apprezzamento per valutare l'opportunità di conservare i dati.

La Corte osserva inoltre che, all'epoca dei fatti, la decisione del pubblico ministero non era soggetta ad appello. È vero che, da un lato, il diritto interno consente ora all'interessato di presentare una nuova domanda al giudice di rinvio di cui all'articolo 230-9 del Codice di procedura penale, come sostiene il Governo. La Corte osserva, tuttavia, che il testo specifica che questo magistrato "ha gli stessi poteri di cancellazione, rettifica o conservazione dei dati personali (...) del pubblico ministero". Secondo la Corte, tale ricorso non ha quindi l'efficacia necessaria, in quanto l'autorità decisionale non ha un margine di valutazione sulla pertinenza del mantenimento delle informazioni nel fascicolo, in particolare quando il procedimento è stato chiuso senza seguito dopo la mediazione penale, come nel caso in questione. La Corte ha inoltre osservato che, nel caso del Regno Unito, non era possibile per le autorità intraprendere alcuna azione contro una persona che era stata condannata per un reato previsto dal codice penale, e che il reato era stato commesso da una persona che era stata condannata per un reato previsto dal codice penale (si veda il paragrafo 18 sopra). Tuttavia, la Corte osserva che questa opzione non era riconosciuta all'epoca dei fatti, in quanto il ricorrente era stato espressamente informato che non era disponibile alcun mezzo per impugnare la decisione del pubblico ministero del 1° dicembre 2009.

Pertanto, sebbene la conservazione delle informazioni nello STIC sia limitata nel tempo, ne consegue che il ricorrente non aveva una reale possibilità di chiedere la cancellazione dei dati che lo riguardavano e che, in una situazione come quella del caso di specie, il periodo di vent'anni previsto può essere in pratica assimilato, se non a una conservazione a tempo indeterminato, almeno a uno standard piuttosto che a un massimo (cfr. M.K., cit.).

In conclusione, la Corte ritiene che lo Stato convenuto abbia oltrepassato il suo margine di apprezzamento a questo riguardo, in quanto il sistema di conservazione dei fascicoli nello STIC, applicato al ricorrente, non riflette un giusto equilibrio tra gli interessi pubblici e privati in gioco. Di conseguenza, la trattenuta in questione costituiva un'interferenza sproporzionata nel diritto al rispetto della vita privata del ricorrente e non poteva essere considerata necessaria in una società democratica.

Vi è stata quindi una violazione dell'articolo 8 della Convenzione.

 

Si rimanda anche alla sentenza Corte Edu GAUGHRAN vs. UK 13 febbraio 2020 che afferma che il mantenimento di DNA, impronte digitali e fotografie di un condannato per tempo indefinito senza alcuna proporzionalità rispetto al reato commesso e senza che vi sia la possibilità di impugnazione è contrario ai dirt fondamentali (art 8 CEDU che protegge la vita privata e familiare), reperibile qui .

Corte Costituzionale - sentenza 14-28 dicembre 2005, n. 466 Presidente Marini - Relatore Amirante

Ritenuto in fatto

  1. Nel corso di un procedimento penale a carico di un cittadino macedone imputato del reato di cui all?articolo 13, comma 13 bis, secondo periodo, del D.Lgs 286/98 (TU delle disposizioni concernenti la disciplina dell?immigrazione e norme sulla condizione dello straniero), nel testo risultante dalle modifiche introdotte dall?articolo 12 della legge 189/02 (Modifica alla normativa in materia di immigrazione e di asilo), il Tribunale di Gorizia, con ordinanza del 4 agosto 2003, ha sollevato questione di legittimità costituzionale del predetto articolo 13, comma 13 bis, in riferimento agli articoli 2, 3 e 27 della Costituzione.

Osserva il remittente che, nel procedimento penale sottoposto al suo giudizio, il cittadino macedone è imputato del reato di cui alla norma impugnata perché, denunciato in Gorizia per il reato di cui all?articolo 13, comma 13, del D.Lgs 286/98 ed espulso con decreto prefettizio del 1° novembre 2002, aveva fatto reingresso nel nostro Paese. Nell?ambito del procedimento in corso l?imputato ha avanzato richiesta di patteggiamento della pena con l?accordo del pubblico ministero, ma il Tribunale ritiene di dover sollevare d?ufficio la presente questione in quanto, fermo restando che il fatto contestato appare riconducibile alla fattispecie in esame, dalla risoluzione della questione dipende l?accoglimento o meno della proposta di pena concordata.

Ciò premesso, il Tribunale rileva che i commi 13 e 13 bis dell?articolo 13 del D.Lgs 286/98 prevedono due distinte ipotesi di reato, stabilendo, nel primo caso (rientro nel territorio dello Stato dopo il decreto prefettizio di espulsione), la pena dell?arresto da sei mesi ad un anno e, nel secondo (violazione del divieto di reingresso su ordine del giudice), la reclusione da uno a quattro anni. Sempre con la reclusione da uno a quattro anni è poi sanzionato, dal secondo periodo del comma 13 bis, il reingresso nel territorio nazionale dello straniero «già denunciato per il reato di cui al comma 13 ed espulso». In quest?ultimo caso, ad avviso del remittente, viene considerato elemento costitutivo di un delitto il dato «che taluno abbia riportato una denuncia (proveniente da qualsiasi fonte) per un precedente presunto illecito penale, in relazione al quale non vi è stata ancora una pronuncia di condanna definitiva»; il che pare in evidente contrasto con l?articolo 27, secondo comma, Costituzione, che prevede la cosiddetta ?presunzione di non colpevolezza?. La disposizione censurata, invece, senza imporre alcuna forma di verifica sull?esito effettivo della denuncia, per di più per un reato contravvenzionale, ignora che alla medesima potrebbe fare seguito una decisione assolutoria.

Ad avviso del giudice a quo, inoltre, la norma impugnata è in contrasto anche con gli articoli 2 e 3 Costituzione, per due ordini di ragioni: 1) perché non pare giustificata l?equiparazione da essa operata tra la condotta di chi rientri illegalmente nel territorio dello Stato in violazione di un provvedimento di espulsione adottato dall?autorità giudiziaria e quella di colui che vi rientri essendo stato espulso dal prefetto, e ciò per il solo fatto di essere stato denunciato per un precedente reato contravvenzionale; 2) perché sembra irragionevole la previsione di un diverso trattamento operato nei confronti dei presunti autori della medesima condotta materiale e formale (rientro illegale nel territorio dello Stato in violazione di un provvedimento di espulsione adottato dal prefetto), a seconda del fatto che essi siano stati o meno denunciati in precedenza per l?illecito contravvenzionale citato, in quanto essi «incorrono» in un delitto nel primo caso ed in una mera contravvenzione nel secondo.

  1. È intervenuto in giudizio il Presidente del Consiglio dei ministri, rappresentato e difeso dall?Avvocatura generale dello Stato, chiedendo che la questione venga dichiarata infondata. Osserva l?Avvocatura che le fattispecie criminose di cui agli articoli 13 e 13 bis del D.Lgs 286/98 non sono fra loro paragonabili, in quanto nell?un caso si è in presenza di rientro dopo la prima espulsione e nell?altro di rientro dopo la seconda espulsione. Quanto alla dedotta violazione dell?articolo 27 Costituzione, l?Avvocatura rileva che l?elemento della denuncia riveste un ruolo secondario nella configurazione dell?ipotesi di reato contestata dal remittente, perché ciò che assume peso decisivo è il fatto del reingresso dopo la seconda espulsione, rispetto al quale la denuncia è soltanto un «antecedente logico prima ancora che giuridico».

Considerato in diritto

  1. Il Tribunale di Gorizia in composizione monocratica solleva, in riferimento agli articoli 2, 3 e 27 della Costituzione, questione di legittimità costituzionale dell?articolo 13, comma 13 bis, secondo periodo, del D.Lgs 286/98 (Tu delle disposizioni concernenti la disciplina dell?immigrazione e norme sulla condizione dello straniero), nel testo risultante dalle modifiche introdotte dall?articolo 12 della legge 189/02 (Modifica alla normativa in materia di immigrazione e di asilo). Nell?ordinanza di rimessione si premette che l?articolo 13 del d.lgs 286/98 prevede la pena dell?arresto e l?espulsione con accompagnamento alla frontiera per lo straniero che, essendo stato espulso dal territorio dello Stato, vi rientri senza una speciale autorizzazione del ministro dell?Interno. Ciò posto, il remittente sostiene che la norma censurata ? la quale commina la reclusione da uno a quattro anni allo straniero che, essendo stato denunciato ed espulso per il reato di cui all?articolo 13, comma 13, faccia reingresso nel territorio nazionale ? violi i suindicati parametri costituzionali, in quanto irragionevolmente attribuisce alla mera circostanza dell?avvenuta denunzia per il reato di reingresso l?efficacia di trasformare in grave delitto un comportamento altrimenti costituente reato contravvenzionale.
  2. Occorre premettere che, successivamente all?ordinanza di rimessione, il quadro normativo è stato modificato dall?articolo 1, comma 2ter, del Dl 241/04 (Disposizioni urgenti in materia di immigrazione), convertito, con modificazioni, nella legge 271/04. Per quanto specificamente interessa la questione in esame, la sanzione prevista per il reato oggetto del giudizio a quo è stata aggravata nel massimo (da quattro a cinque anni di reclusione) ed il reato previsto dall?articolo 13, comma 13, anche in riferimento al quale il Tribunale di Gorizia ha motivato le sue censure, è stato trasformato da contravvenzione in delitto, con la previsione della pena della reclusione da uno a quattro anni. Tali modifiche, tuttavia, non impongono la restituzione degli atti al giudice remittente in quanto, comportando un aggravamento della posizione dell?imputato ? in via immediata per effetto dell?aggravamento della pena ed in via mediata, ma pur sempre rilevante, in conseguenza delle modifiche del quadro normativo di riferimento ? esse non sono applicabili al processo a quo, ai sensi dell?articolo 2, comma, 3 del Cp.
  3. La questione riguarda, pertanto, la disposizione nel testo vigente al momento della commissione del fatto contestato e quale viveva nel quadro normativo allora esistente; così individuata nel suo oggetto, essa è fondata con riferimento all?articolo 3 della Costituzione. Questa Corte ha recentemente ribadito che la denuncia «è atto che nulla prova riguardo alla colpevolezza o alla pericolosità del soggetto indicato come autore degli atti che il denunciante riferisce» (v. sentenza 78/2005, ma cfr. anche la sentenza 173/97). Di conseguenza, si è ritenuto che non sia possibile far derivare dalla sola denuncia conseguenze pregiudizievoli per il denunciato, in quanto essa comporta soltanto l?obbligo degli organi competenti «a verificare se e quali dei fatti esposti in denuncia corrispondano alla realtà e se essi rientrino in ipotesi penalmente sanzionate, ossia ad accertare se sussistano le condizioni per l?inizio di un procedimento penale». Il legislatore del 2002 formulò la disposizione in scrutinio, con riguardo al sistema normativo all?epoca vigente, trasformando in delitto una fattispecie contravvenzionale per il solo fatto che lo straniero rientrato in Italia fosse stato denunciato per la contravvenzione di reingresso nel territorio nazionale senza autorizzazione ministeriale. Né alcun rilievo può avere la circostanza che alla denuncia era collegata anche l?espulsione perché, nel regime antecedente la sentenza di questa Corte 222/04, l?espulsione con accompagnamento alla frontiera era eseguita anche prima dell?eventuale convalida, sicché neppure sotto tale profilo la denuncia era soggetta ad alcuna delibazione.

Deve essere quindi dichiarata l?illegittimità costituzionale della disposizione censurata nel testo vigente prima delle modifiche introdotte con il Dl 241/04, convertito con modifiche nella legge 271/04. Restano assorbiti tutti gli altri profili di censura.

PQM

La Corte costituzionale dichiara l'illegittimità costituzionale dell?articolo 13, comma 13 bis, secondo periodo, del D.Lgs 286/98 (Tu delle disposizioni concernenti la disciplina dell'immigrazione e norme sulla condizione dello straniero), risultante dalle modifiche introdotte nel testo dall'articolo 12 della legge 189/02 (Modifica alla normativa in materia di immigrazione e di asilo).

 

 ***

Garante della Privacy, Provvedimento 23 febbraio 2017, n. 74

Parere sullo schema di decreto del Ministero dell'interno per l'attuazione dell'art. 53 del Codice in materia di protezione dei dati personali, concernente i trattamenti non occasionali di dati personali effettuati, con strumenti elettronici, da forze di polizia.

[doc. web n. 6197012]

 

Registro dei provvedimenti

  1. 74 del 23 febbraio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero dell'Interno;

Visto l'art. 154, comma 4, del d.lgs. 30 giugno 2003, n. 196 recante Codice in materia di protezione dei dati personali (di seguito  Codice);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Il Ministero dell'interno ha chiesto il parere del Garante in ordine a uno schema di decreto con il quale devono essere individuati i trattamenti non occasionali di dati personali effettuati, con strumenti elettronici, presso il Centro elaborazione dati del Dipartimento della pubblica sicurezza o da forze di polizia sui dati destinati a confluirvi, ovvero da organi di pubblica sicurezza o altri soggetti pubblici nell'esercizio delle attribuzioni conferite da disposizioni di legge o di regolamento per finalità di polizia, nonché i relativi titolari (art. 53, comma 2, del Codice).

L'adozione di tale decreto è prevista per disposizione di legge così da esplicitare l'esistenza di tali trattamenti e l'identità dei relativi titolari, anche a fini della tutela dei diritti degli interessati. Il decreto sarà sottoposto al vaglio delle competenti Commissioni parlamentari e, una volta adottato, sarà pubblicato nella Gazzetta Ufficiale, e dovrà essere inserito come allegato (Allegato C) al Codice.

Il presente parere si riferisce a una versione aggiornata dello schema che tiene conto degli approfondimenti svolti nell'ambito di alcuni incontri tenutisi presso quest'Autorità.

Il testo, come indicato anche nella relazione illustrativa, si compone di tre articoli, che individuano, rispettivamente, l'oggetto e ambito di applicazione (art. 1), il rinvio per l'individuazione dei trattamenti alle schede allegate, indicate nel numero di 77 (art. 2), la clausola d'invarianza finanziaria. Le schede sono suddivise per titolare del trattamento;  mantenendo la numerazione originaria, le schede da 1 a 39 riguardano trattamenti svolti dal Ministero dell'Interno e sue articolazioni territoriali, da 40 a 55 trattamenti svolti dal Comando generale dei Carabinieri -che includono i trattamenti prima svolti dal Corpo forestale dello Stato oggi confluito nell'Arma ( una scheda)-, da 56 a 75 i trattamenti svolti dal Comando generale della Guardia di Finanza, la scheda n. 76 riguarda trattamenti svolti dal Ministero della Giustizia- Dipartimento dell'Amministrazione penitenziaria.

OSSERVA

  1. L'individuazione dei trattamenti ai sensi dell'articolo 53, comma 2, del Codice assume particolare importanza nel quadro dell'attuazione della disciplina in materia di protezione dei dati personali a trattamenti effettuati per finalità di particolare interesse pubblico.

Pur nella generale applicabilità delle disposizioni del Codice anche ai trattamenti svolti per finalità di polizia, alcuni princìpi in materia di protezione dei dati personali si applicano all'attività delle forze di polizia e di alcuni altri soggetti pubblici sulla base di adattamenti necessari in ragione della specificità dell'attività svolta. E' pertanto necessaria, per disposizione di legge, una ricognizione analitica ed esaustiva di tali trattamenti, da mantenere aggiornata nel tempo.

L'inclusione o meno di un trattamento nel testo del decreto assume rilievo ai fini delle garanzie e dei diritti degli interessati (si pensi, ad esempio, all'informativa da rendere o meno individualmente agli interessati). Ciò in quanto ai trattamenti per le finalità indicate, da menzionare nel decreto de qua, non si applicano tutte le disposizioni del Codice, stanti le eccezioni previste dal menzionato articolo 53, comma 2.

Nel decreto devono, giusta le modifiche apportate all'articolo 53 del Codice dalla legge 17 aprile 2015, n. 43, essere elencati i trattamenti di dati "previsti da disposizioni di legge, di regolamento" individuati dal decreto stesso, effettuati per le finalità di polizia.  Il paragrafo 1 dell'articolo 53 specifica in merito che "si intendono effettuati per finalità di polizia i trattamenti di dati personali direttamente correlati all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell'ordine e della sicurezza pubblica, nonché di polizia giudiziaria, svolti, ai sensi del codice di procedura penale, per la prevenzione e repressione dei reati".

Il presente parere è reso previa verifica per ciascuno dei trattamenti individuati che vi sia coincidenza fra quanto indicato nel decreto e la disposizione di legge o di regolamento indicata come riferimento. Ciò poiché in mancanza di una chiara e diretta corrispondenza tra base normativa e le finalità come sopra ricordate un determinato trattamento non potrebbe essere comunque sottratto all'intero ambito applicativo del Codice, malgrado l'eventuale indicazione nel decreto stesso.

  1. In questo quadro il Garante, fermo restando che spetta alle amministrazioni interessate l'individuazione dei trattamenti e della predetta specifica base normativa, rileva che riguardo a taluni trattamenti inseriti nello schema non consta l'esistenza di una disposizione di legge o di regolamento nel senso descritto ovvero non è sufficientemente dimostrato il nesso di correlazione diretta tra il trattamento di dati e la finalità di polizia.

2.1. Trattamenti per i quali non consta l'esistenza di una disposizione di legge o di regolamento.

La legge n. 121 del 1981 obbliga le forze di polizia a far confluire nel Centro elaborazione dati del Dipartimento della pubblica sicurezza informazioni e dati destinati all'analisi e alla valutazione, nonché alla loro successiva disponibilità da parte delle medesime forze di polizia (art. 6, primo comma, lett. a), l. n. 121/1981).

Ciò premesso, stante la documentazione disponibile, va in particolare rilevato che, diversamente da altri trattamenti effettuati dall'Arma dei carabinieri e inclusi nel decreto, non consta con evidenza l'esistenza di una specifica base normativa idonea a giustificare la menzione distinta di due specifici trattamenti di tale forza di polizia, in via permanente e in forma autonoma rispetto a quelli riguardanti dati destinati a confluire nel C.e.d.. Ciò, con riferimento al trattamento denominato "Memoriale/ordine di servizio informatizzati e gestione attività operativa" effettuato presso il Comando generale dell'Arma dei carabinieri, riguardante dati concernenti, rispettivamente, "soggetti di interesse operativo e/o controllati in attività d'istituto, obiettivi sensibili, esercizi pubblici, eventi criminosi" e "soggetti coinvolti a vario titolo in eventi o operazioni condotte da reparti dell'Arma dei carabinieri" (scheda 47).

Al riguardo anche se nella scheda si specifica che "L'applicazione costituisce una banca dati autonoma a supporto dell'automazione delle attività d'istituto dell'Arma dei Carabinieri, destinata a non replicare massivamente i dati presenti presso il C.E.D. interforze", non è stata indicata alcuna fonte normativa (anche solo di rango regolamentare) che disciplini tale banca dati, caratterizzata, oltretutto, dalla raccolta di dati non omogenei.

Resta fermo che l'Arma dei carabinieri potrà sostanzialmente svolgere tali attività ad altro titolo, ai sensi della menzionata disposizione di cui alla legge n. 121/1981.

2.2. Trattamenti per i quali non risulta sufficientemente dimostrato il nesso di correlazione diretta tra il trattamento dei dati e la finalità di polizia.

Come già rilevato dal Garante nelle interlocuzioni avute con i rappresentanti del Ministero, è necessario sia garantita la congruenza rispetto all'ambito applicativo del decreto, considerato che il comma 1 dell'art. 53 fa esclusivo riferimento ai "trattamenti di dati personali direttamente correlati all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell'ordine e della sicurezza pubblica, nonché di polizia giudiziaria, svolti ai sensi del codice di procedura penale, per la prevenzione e repressione dei reati".

2.2.1. Al riguardo per alcuni trattamenti non consta l'esistenza di elementi normativi idonei a giustificarne l'inserimento nel provvedimento di cui trattasi, segnatamente i trattamenti riguardanti il rilascio di licenze, autorizzazioni, nulla osta o altri atti di assenso da parte del Ministero dell'Interno o di sue articolazioni territoriali (Prefetture, Questure).

Ciò vale in particolare per i trattamenti descritti alle schede n. 29 (Guardie particolari, istituti di vigilanza e di investigazione privata), 31 (Esercizi pubblici, agenzie pubbliche e altre classi di rivenditori), n. 32 (Gestione uso di aree di atterraggio e disciplina del volo da diporto o sportivo), n. 33 (Lasciapassare per giornalisti e fotocinereporter italiani e stranieri) e n. 36 (Detenzione e gestione delle armi da fuoco per uso scenico).

Nel corso di alcuni incontri preliminari, il Garante aveva espresso perplessità -esplicitate anche per iscritto in una nota inviata al Ministero dell'Interno il 27 novembre 2015- in merito alla riconducibilità di alcune funzioni indicate dal Ministero dell'interno alla nozione di trattamento effettuato per finalità di polizia, poiché le medesime apparivano piuttosto parte di procedimenti amministrativi per la concessione di autorizzazioni o nulla osta o altri atti di assenso afferenti allo svolgimento di attività, oppure attenevano a compiti di vigilanza sull'osservanza delle disposizioni attinenti alla circolazione stradale, e aveva chiesto al Ministero dell'Interno una verifica puntuale ed una attenta riflessione in merito agli stessi.

Con la nota di trasmissione dell'ultima bozza di decreto in argomento, il Ministero dell'Interno ha reiterato quanto in precedenza rappresentato, confermando di ritenere che tali trattamenti, con particolare riferimento a quelli indicati nelle schede dal n. 29 al n. 39, debbano essere inseriti "nel novero di quelli sottratti al regime comune in materia di trattamento dei dati personali, ai sensi dell'art. 53, comma 2, citato, attese le loro evidenti finalità di tutela dell'ordine e della sicurezza pubblica.".

Il Ministero dell'Interno basa il proprio convincimento su alcune sentenze della Corte Costituzionale in tema di legittimità delle risalenti disposizioni legislative che hanno operato i primi rilevanti trasferimenti di funzioni dallo Stato agli Enti locali (Cost.  1987, n. 77, sui poteri di direttiva e di revoca dello Stato, per esigenze di pubblica sicurezza, in merito ad alcune funzioni trasferite ai Comuni dall'art. 19 del  d.p.r. n. 616 del 1977; Cost. 1988 n. 218,  sul trasferimento alle Regioni, ad opera dell'art. 62 del d.p.r. 24 luglio 1977, n. 616, delle competenze in materia di vigilanza sull'applicazione delle norme di polizia delle cave e torbiere, di cui al d.p.r. 9 aprile 1959, n.128; Cost. 2001, n.290, sulla legittimità del comma 2, lettera d), del decreto legislativo 31 marzo 1998, n. 112 sul trasferimento ai comuni dei compiti relativi alle licenze per le agenzie di affari, già di competenza del questore).

Da tali sentenze il Ministero trae la conclusione che le c.d. funzioni di Polizia amministrativa possono anche rivestire una "rilevanza specifica in relazione alle esigenze di preservazione dell'ordine pubblico" e che la riconducibilità dei trattamenti in argomento a esigenze di pubblica sicurezza "può desumersi, con tutta evidenza, dall'attribuzione stessa della competenza in merito allo Stato e agli uffici dell'Amministrazione dell'interno che, in effetti, in virtù dei noti principi costituzionali di riparto delle attribuzioni tra Stato e Regioni, si giustifica solo in presenza di esigenze di "preservazione dell'ordine pubblico".

Orbene, non compete a questa Autorità stabilire la nozione, in termini assoluti, di "Polizia Amministrativa" in tutte le sue declinazioni, anche tenendo conto che gli aspetti della nozione sono strettamente legati al contesto in riferimento al quale il termine è impiegato.

Spetta, invece, a questa Autorità valutare se i trattamenti inseriti nella bozza di decreto sottoposto alla sua valutazione rientrino nella nozione di "trattamento per finalità di polizia" come legislativamente determinato dal Codice stesso.

Ebbene, anche per tale compito possono tornare utili i più recenti insegnamenti della Corte Costituzionale,  la quale ha più volte ribadito che la materia dell'ordine e della sicurezza attiene "alla prevenzione dei reati e al mantenimento dell'ordine pubblico", laddove l'ordine pubblico deve essere inteso come "complesso dei beni giuridici fondamentali e degli interessi pubblici primari sui quali si regge l'ordinata e civile convivenza nella comunità nazionale" (cfr. ex multis sent. nn. 290 del 2001 e n. 129 del 2009), mente invece rientrano fra i compiti di polizia amministrativa "le misure dirette ad evitare danni o pregiudizi che possono essere arrecati a soggetti giuridici o alle cose […], purché non siano coinvolti beni o interessi specificatamente tutelati in funzione dell'ordine pubblico e della sicurezza pubblica" (cfr. sent. n. 218 del 1988 e ancora n. 129 del 2009).

Pertanto, pur dando atto al Ministero dell'Interno di aver integrato le relative schede per cercare di rendere più evidente il nesso di correlazione richiesto dall'articolo 53, comma 1, si rileva che la formulazione introdotta a corollario della descrizione del trattamento operata in ciascuna delle schede su richiamate, secondo cui "il trattamento è effettuato…ai fini della verifica dei presupposti e dei requisiti e soggettivi richiesti dalla legislazione di pubblica sicurezza che, contemplando il procedimento di cui trattasi, lo annovera tra quelli rilevanti ai fini della tutela dell'ordine e della scurezza pubblica", appare invero piuttosto solo una clausola di stile.

2.2.2. Analoghe considerazioni attengono ai compiti di vigilanza sull'osservanza delle disposizioni attinenti alla circolazione stradale ed all'individuazione dei trattamenti effettuati relativi alle violazioni del codice della Strada ed agli incidenti stradali come descritti nelle schede n. 24 (Incidenti stradali Sistema PS 2000 INFO), n. 25 (Violazioni Codice della Strada – Sistema PS 2000 VERBALI) e n. 53 (Sistema informativo per la rilevazione e la trasmissione dei dati sugli incidenti stradali (Gest-Inc.).

Il Ministero dell'Interno nella già citata nota di accompagnamento del testo del provvedimento, ritiene corretto l'inserimento del trattamento nello schema di decreto in quanto "l'attività di polizia stradale, che trova espresso riconoscimento negli artt. 11 e 12 del Codice della Strada (CdS), seppur ontologicamente rivolta a finalità  diverse da quelle di "polizia" intese secondo i parametri fissati dall'art. 53 del Codice della privacy, rimane tuttavia strettamente correlata ad esse".

Ciò in quanto alcune violazioni al Codice della strada costituiscono illeciti penali (es. art. 186 C.d.S., "Guida sotto l'influenza dell'alcool") ed anche violazioni attualmente depenalizzate come la guida senza patente "diventino illeciti penali in caso di reiterazione, è ulteriore argomento a supporto della riconducibilità dell'attività di accertamento delle violazioni in materia di circolazione stradale alle finalità di prevenzione e repressione dei reati – e quindi di polizia- di cui all'art. 53 del Codice".

Al riguardo non si può che ribadire che il campo di applicazione del decreto di cui all'art. 53 è invece limitato ai trattamenti che "ontologicamente"  sono finalizzati all'attività di polizia come definita nel Codice.

Occorre peraltro rilevare che la non riferibilità dei trattamenti in argomento al novero di quelli indicati nell'art. 53 del Codice non preclude la loro registrazione nel C.E.D., come prevede l'art. 54, comma 2, del Codice, ai sensi del quale "i dati trattati per le finalità di cui al medesimo articolo 53 sono conservati separatamente da quelli registrati per finalità amministrative che non richiedono il loro utilizzo."  Tuttavia, al trattamento di tali dati per finalità amministrative non si applicano le disposizioni contenute nella parte II, titolo II del Codice che riguardano i trattamenti effettuati per finalità di polizia.

Naturalmente, ove, nei casi concreti, alcuni di tali dati afferiscano ad attività direttamente correlate all'esercizio dei compiti di cui all'art. 53 del Codice, il relativo trattamento rientrerà nella finalità di polizia.

2.2.3. Osservazioni simili possono esser riferite ai trattamenti descritti nelle schede nn. 54 (Sistema informativo per la tutela del lavoro regolare (sis.lav.) e 57 (Sistema di monitoraggio del territorio per la tutela del lavoro regolare (si.mo.tel.) svolti dal Comando generale dell'Arma dei Carabinieri. Pur dando atto degli sforzi compiuti per integrare le schede afferenti ai trattamenti svolti dall'Arma allo scopo di rendere più evidente la diretta correlazione del trattamento con le attribuzioni conferite alla stessa, dalla descrizione contenuta nelle schede indicate emerge che il trattamento stesso è riconducibile a finalità di "attività ispettiva o di vigilanza in materia di previdenza sociale e lavoro" e pertanto non sembra rientrare nei trattamenti per finalità di polizia ex art. 53 del Codice.

  1. Ulteriori osservazioni

3.1. Per quanto riguarda il trattamento denominato "Sistema di comando, controllo, comunicazioni, computer ed informazioni"(C4I) svolto dal Comando generale della Guardia di Finanza (scheda n. 68), preso atto delle specificazioni fornite, sembra opportuno inserire nella scheda la descrizione della struttura del trattamento contenuta nelle Note descrittive dei trattamenti della GdF (allegato 4 della nota di trasmissione del Ministero dell'Interno) e precisare che, ove i dati contenuti nelle banche dati di supporto siano destinati a confluire nel C.E.D. interforze deve evitarsi la loro permanenza anche nelle prime, per evitare duplicazioni di banche dati.

3.2.  Numero unico europeo (112 NUE). Tre sono le schede che fanno riferimento ad attività legate all'esercizio di questo numero, la scheda 1, punto 9, la scheda 13 (riferita alla Polizia di Stato), la scheda 48 (riferita all'Arma dei Carabinieri). Al riguardo, considerata la struttura delle schede -che distinguono i trattamenti di dati in base alla titolarità degli stessi- si suggerisce di integrare la descrizione del trattamento contenuta nelle schede 1, punto 9 e 13 con le precisazioni contenute nella Nota descrittiva di detti trattamenti che figura all'allegato 2 della nota inviata dal Ministero dell'Interno, in modo da spiegare l'apparente duplicazione dei trattamenti ivi previsti.

3.3. Sistema S.I.A. - Sistema informativo automatizzato per gli Uffici della Polizia di Frontiera e per le III Sezioni degli Uffici immigrazione delle Questure (scheda n. 8).

Nel prendere atto delle precisazioni fornite con la Nota descrittiva di tale trattamento che figura all'allegato 3 della nota inviata dal Ministero dell'Interno e che chiarisce l'autonomia del suddetto trattamento rispetto a quelli operati dalle banche dati impronte digitali A.F.I.S., dal C.E.D. interforze (SDI) e dal Sistema informativo Schengen (SIS II), si rappresenta che tra le fonti normative indicate nella schede -anche nella versione da ultimo trasmessa il 3 febbraio u.s.- ve ne sono talune che sembrano non conferenti rispetto al predetto trattamento. Si fa riferimento in particolare agli articoli citati del decreto lgs. 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale), al D.P.C.M 13 novembre 2014, recante "Regole tecniche  in  materia  di  formazione,  trasmissione,  copia, duplicazione, riproduzione  e  validazione  temporale  dei  documenti informatici nonchè  di  formazione  e  conservazione  dei  documenti informatici delle pubbliche amministrazioni ai sensi  degli  articoli 20, 22, 23-bis, 23-ter, 40, comma 1, 41, e 71, comma 1,  del  Codice  dell'amministrazione digitale di cui al decreto legislativo n. 82 del 2005.".

Analogamente va rilevato che le Decisioni dell'Unione europea 2015/1523 e 2015/1601, pure indicate tra le fonti, riguardando l'istituzione di misure temporanee nel settore della protezione internazionale a beneficio dell'Italia e della Grecia sono relative piuttosto ad attività di supporto per lo svolgimento dei compiti attribuiti alle Autorità competenti in materia di immigrazione ed asilo diverse, pertanto, dalle finalità di polizia di cui all'art. 53 del Codice.

3.4. Sistema A.F.I.S.(Automated Fingerprint Identification System)- Scheda n. 19: nella descrizione del trattamento, al punto 1, si indica il Dipartimento per le Libertà civili e l'immigrazione. Al riguardo andrebbe precisato se a detto Dipartimento sono attribuiti nella specie compiti "di polizia" ovvero se il trattamento effettuato dalla polizia scientifica è da considerare "di supporto" per l'espletamento dei compiti attribuiti al suddetto Dipartimento in materia di immigrazione ed asilo, in particolare dal sistema Dublino, anche attraverso l'uso della banca dati Eurodac (citata tra le fonti normative). Nel secondo caso il testo andrebbe riformulato per garantire che la scheda contenga solo i trattamenti effettuati per le finalità di polizia come definite dall'art. 53 del Codice.

3.5.Sistema informativo per il trattamento dei dati genetici (CC DNA)-Scheda n. 51.

Tra le fonti normative si richiama espressamente l'art. 35 (disciplina transitoria) del D.P.R. n. 412 del 2016 recante Regolamento di attuazione della legge n. 85 del 2009, che ha istituito la banca dati DNA, onde si evince che tale trattamento abbia carattere di temporaneità essendo destinato a confluire nel trattamento di cui alla scheda n. 6.

E' pertanto necessario aggiungere tale precisazione nella descrizione del trattamento.

3.6.  S.I.A.C. - Sistema Informativo Anti Contraffazione - Scheda n. 70 

E' opportuno inserire nella scheda la descrizione delle finalità del trattamento contenuta nelle note descrittive dei trattamenti della Note descrittive dei trattamenti della GdF (allegato 4 della nota di trasmissione del Ministero dell'Interno):

"a. analisi di rischio per l'orientamento delle funzioni di polizia giudiziaria e polizia economico-finanziaria al fine di prevenire, ricercare e reprimere i reati in materia contraffazione, pirateria e commercio abusivo nonché per tutelare la sicurezza dei prodotti, del made in ltaly e delle denominazioni ed indicazioni geografiche protette;

  1. prospettare attività di cooperazione tra gli attori istituzionali e, in particolare, tra le Forze di polizia;
  2. rendicontare l'attività di polizia giudiziaria e di vigilanza economico-finanziaria svolta dalla Guardia di Finanza nello specifico settore per le successive finalità di analisi."

3.7.  S.I.A.F. - Sistema Informativo Anti Frode – Scheda n. 71

Anche  per questa scheda è opportuno inserire la descrizione delle finalità del trattamento contenuta nelle Note descrittive dei trattamenti della G.d.F. (allegato 4): "orientare l'esercizio delle funzioni di polizia giudiziaria e polizia economico-finanziaria per la prevenzione, ricerca e repressione dei reati di indebita percezione, malversazione e frode che abbiano ad oggetto risorse erogate dall'Unione Europea per il sostegno delle politiche di sviluppo e coesione dei territori, nonché alle ipotesi di corruzione e altri reati contro la Pubblica Amministrazione".

3.8. Mo.Co.P. – Sistema informativo integrato per le attività di monitoraggio dei contratti pubblici – Scheda n. 72

Nelle fonti normative indicate nella scheda l'unica che tratta specificamente di connessione della G.d.F. con altre banche dati è l'art. 25 del d. l. 22/06/2012, n. 83 (Misure urgenti per la crescita del Paese), secondo cui gli appartenenti al Nucleo Speciale Spesa Pubblica e Repressione Frodi Comunitarie della  Guardia di Finanza, allo scopo di vigilare sul corretto utilizzo delle agevolazioni previste dal decreto-legge, "possono accedere, anche per via telematica, alle informazioni detenute nelle banche dati in uso al Ministero dello sviluppo economico, agli Enti previdenziali ed assistenziali, nonché, in esenzione da tributi e oneri, ai soggetti pubblici o privati che, su mandato del Ministero dello sviluppo economico, svolgono attività istruttorie e di erogazione di fondi pubblici. Tali soggetti pubblici e privati consentono, altresì, l'accesso alla documentazione in loro possesso connessa alla gestione delle risorse finanziarie pubbliche."

Non risulta indicata alcuna base normativa (anche solo di rango regolamentare)  che, ai sensi dell'art. 54 del Codice, preveda l'acquisizione da parte della Guardia di Finanza  delle informazioni contenute nella Banca dati nazionale dei contratti pubblici (gestita dall'ANAC) e la "AT Web" di cui è titolare il Ministero dell'Economia e Finanze.

  1. Ai fini dell'analisi che precede si rappresenta che alcuni dei trattamenti su cui in precedenza erano stati espressi dubbi circa la congruità della base normativa non sono più oggetto di specifica osservazione essendo disciplinati nello schema di regolamento generale ed in quello settoriale che regolamenta le attività del C.E.D. interforze, predisposti dal Ministero dell'Interno per dare attuazione all'articolo 57 del Codice sui quali pure il Garante si accinge a rendere parere. Ci si riferisce in particolare ai trattamenti individuati nelle schede n. 15 (Sistemi di videosorveglianza), n. 18 (Sistema di documentazione video-fotografica dei servizi di ordine pubblico e di polizia giudiziaria), nn. 20 e 21 (Bodycam 1 e 2).

Si suggerisce peraltro di riconsiderare prima dell'adozione definitiva del decreto l'aggiornamento e l'esaustività delle fonti normative indicare nelle diverse schede, valutando l'opportunità, laddove utile, di inserire anche  un riferimento alle disposizioni rilevanti dei suddetti decreti.

TUTTO CIO' PREMESSO IL GARANTE:

esprime parere nei termini di cui in motivazione sullo schema di decreto volto a individuare i trattamenti di dati non occasionali effettuati, con strumenti elettronici, dal Centro elaborazione dati del Dipartimento della pubblica sicurezza o da forze di polizia sui dati destinati a confluirvi, ovvero da organi di pubblica sicurezza o altri soggetti pubblici nell'esercizio delle attribuzioni conferite da disposizioni di legge o di regolamento per finalità di polizia, nonché i relativi titolari, con la condizione che i trattamenti individuati ai punti 2.1 e 2.2 siano espunti dallo schema in quanto, dalla documentazione trasmessa dalle amministrazioni competenti, non risultano, allo stato, basi normative idonee a giustificare la corretta inclusione dei trattamenti stessi nell'ambito di quelli individuati nel decreto e con le osservazioni formulate al punto 3.

Roma, 23 febbraio 2017.

 

IL PRESIDENTE

Soro

 

IL RELATORE