Il Garante per la privacy detta le regole per la gestione delle anagrafi

Garante per la protezione dei dati
personali, Provvedimento 6 ottobre 2005

Il caso Laziomatica.
Prescrizioni a tutti i comuni sulla gestione delle anagrafi

L GARANTE PER LA PROTEZIONE DEI DATI
PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del
prof. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato,
componenti, e del dott. Giovanni Buttarelli, segretario
generale;

Viste le segnalazioni pervenute in ordine all’utilizzazione illecita di dati personali
estratti da banche dati anagrafiche del Comune di Roma;

Viste le
osservazioni formulate dal segretario generale, ai sensi dell’art. 15 del
regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO:

Il Garante ha eseguito alcuni
accertamenti ispettivi a seguito di segnalazioni concernenti accessi illeciti a
dati anagrafici detenuti presso il Comune di Roma, nonché
il rispetto delle misure di sicurezza nel trattamento dei dati, in correlazione
ad un caso di falsa sottoscrizione di candidature alle elezioni regionali del 3
e 4 aprile 2005.

Gli accertamenti effettuati anche
nell’esercizio di funzioni di polizia giudiziaria hanno fatto emergere notizie
di reato che sono state comunicate alla competente autorità giudiziaria.

La violazione degli obblighi e delle
garanzie richiamate dal Codice in materia di protezione dei dati personali risulta già accertata in base agli atti acquisiti dal
Garante, a prescindere da ogni eventuale responsabilità penale per gli illeciti
configurabili.

Tra il 9 e il 14 marzo di quest’anno, presso Laziomatica
S.p.A. (società per azioni a prevalente capitale regionale istituita dalla
Regione Lazio, che le ha affidato la gestione del Sistema informativo regionale-S.I.R.: v. l.r. 3 agosto 2001, n. 20),
risultano infatti effettuati alcuni accessi illeciti –per finalità e con
modalità non consentite- ad un data-base anagrafico del Comune di Roma che la
Regione era stata autorizzata a consultare solo per alcune finalità sanitarie,
sulla base di un protocollo di intesa.

Le persone che hanno agito presso
tale società hanno provveduto, senza averne titolo, ad
accogliere la richiesta di un avvocato (che avrebbe potuto essere presentata
solo al Comune), con la quale si chiedeva di applicare la disciplina sulle c.d.
indagini difensive (art. 391-quater c.p.p.).

Gli accessi in grande
quantità, effettuati in singolari circostanze (utilizzo di password altrui;
consultazioni in orari non di servizio, notturni e festivi; asseriti interventi
di manutenzione straordinaria che hanno determinato la cancellazione di dati di
tracciamento di accessi), hanno permesso di consultare ed utilizzare
illecitamente vari dati personali inerenti anche a documenti di identità, per
finalità diverse da quelle per le quali i dati anagrafici erano stati resi
accessibili alla Regione.

Gli accertamenti effettuati dal
Garante sulla base di una segnalazione sono stati
estesi anche alla sicurezza dei dati presso i data-base anagrafici del Comune
di Roma, ove è emerso il mancato aggiornamento del documento programmatico di
sicurezza (di cui è stata data notizia, anche in questo caso, all’autorità
giudiziaria con denuncia di reato nei riguardi dei competenti dirigenti),
unitamente ad alcune inosservanze della disciplina applicabile alla gestione
dell’anagrafe della popolazione residente.

A conclusione del complesso
procedimento, il Garante dichiara accertate con il presente provvedimento le
violazioni intercorse relativamente ai profili di
propria competenza, e prescrive alla predetta società e agli enti direttamente
interessati le misure necessarie per conformare i trattamenti di dati personali
alle disposizioni vigenti. Analoghe prescrizioni vengono
impartite in termini generali a tutti i comuni per quanto riguarda la
consultazione diretta degli atti anagrafici.

1. Regione Lazio e Laziomatica S.p.A.

A prescindere dai fatti sopra
riassunti, è risultato accertato che Laziomatica S.p.A. abbia comunque trattato illecitamente,
nell’ambito dell’attività svolta per conto della Regione, i dati personali
provenienti dai data-base anagrafici del Comune di Roma.

Come premesso, il rapporto
Regione-Comune si è basato su un "Protocollo di intesa
per la cooperazione nello sviluppo dei servizi al cittadino" stipulato il
12 maggio 2004, che prevede uno scambio di dati tra i due enti per verifiche
attinenti solo a prestazioni sanitarie (ticket, scelta del medico), inclusivo
di un accesso diretto anche a dati anagrafici detenuti dal Comune.

Tali verifiche sono state affidate
dalla Regione a Laziomatica S.p.A. sulla
base di una convenzione stipulata nel 2003, con la quale si è conferito
alla società il compito di consultare on-line i predetti dati anagrafici.

I profili di illiceità
emersi sono i seguenti:

a) sono risultate
comprovate, anzitutto, alcune inosservanze della convenzione stessa: la società
ha infatti violato la clausola che la impegna a non rivelare od utilizzare
notizie, informazioni e dati messi a disposizione dalla Regione per finalità
diverse da quelle stabilite nella convenzione medesima, e non ha altresì
rispettato il distinto impegno contrattuale ad osservare le disposizioni in
materia di trattamento dei dati personali;

b) in secondo luogo, sono state
violate le disposizioni normative sul responsabile del trattamento.
All’apparente designazione in tal senso della società -pur menzionata nella
convenzione- non ha fatto seguito, come necessario, né l’elencazione scritta
dei compiti affidati rispetto al trattamento dei dati, né l’indicazione delle
istruzioni operative (art. 29 del Codice). La società ha anche legittimato
all’accesso diretto ulteriori utenti esterni presso
altri organismi come le aziende sanitarie locali.

Pertanto, la Regione Lazio (che
aveva adottato solo un documento di carattere generale sulle misure di
sicurezza presso le strutture della giunta regionale, applicabile ai
responsabili del trattamento) potrà continuare ad avvalersi lecitamente della
collaborazione della società a condizione che alla designazione di quest’ultima quale responsabile (designazione che in
passato è stata al più puramente nominale), conseguano
prontamente sia la specificazione analitica dei predetti compiti e istruzioni,
sia una vigilanza sulla loro osservanza anche in ordine alla sicurezza dei
dati.

Nessuna persona fisica, operante
presso la società o la Regione,
potrà trattare i dati personali comunicati dal Comune di Roma senza essere
stata previamente designata quale incaricato, in
conformità al Codice, anche per quanto riguarda l’individuazione del
trattamento consentito e le istruzioni da impartire (art. 30 del Codice);

c) la Regione ha avuto accesso
ai dati anagrafici provenienti dal Comune di Roma con modalità non consentite.
Unitamente all’interrogazione on-line di alcuni
servizi (documenti; carte di identità, leva militare, vaccinazioni), il
predetto Protocollo di intesa ha infatti previsto che la Regione, direttamente o
per il tramite della società, possa accedere on-line ai dati di origine
comunale che la disciplina anagrafica consente invece di ottenere solo con le
modalità e con le cautele illustrate più avanti.

Il Protocollo di intesa
deve essere quindi rivisto, prevedendo nel congruo termine di cui al seguente
dispositivo una diversa modalità di comunicazione dei dati di provenienza
comunale, analogamente a quanto dovrà essere disposto, a cura del Comune di
Roma, nei riguardi di altri enti ed amministrazioni. Tale revisione,
unitamente a quella concernente il rapporto con Laziomatica
S.p.a., dovrà essere eseguita nel termine di cui al
dispositivo dandone esaustiva comunicazione a questa Autorità.

2. La gestione del sistema
informativo anagrafico del Comune di Roma

In base alle disposizioni
dell’ordinamento anagrafico, l’ufficiale d’anagrafe può rilasciare attestazioni
o certificazioni relativamente al contenuto delle
schede che compongono l’anagrafe della popolazione residente, ed entro certi
limiti può anche rilasciare elenchi. Ad eccezione del personale autorizzato
delle forze di polizia, le medesime schede non possono essere invece consultate
direttamente da parte di chiunque, anche facente parte del personale comunale,
sia estraneo all’ufficio di anagrafe (artt. 1, 33, 34
e 37 d.P.R. 30 maggio 1989,
n. 223).

Più specificamente, gli ufficiali
d’anagrafe rilasciano a chiunque ne faccia richiesta "certificati
concernenti la residenza e lo stato di famiglia", mentre le altre notizie
desumibili dagli atti anagrafici (ad eccezione di quelle riportate nelle schede
anagrafiche concernenti, ad esempio, la professione, arte o mestiere, la
condizione non professionale, il titolo di studio), possono essere oggetto di attestazione o certificazione, d’ordine del sindaco,
"qualora non vi ostino gravi o particolari esigenze di pubblico
interesse" (art. 33, commi 1 e 2, del d.P.R. n.
223/1989). L’ufficiale di anagrafe rilascia elenchi
degli iscritti nell’anagrafe della popolazione residente, ma solo ad
"amministrazioni pubbliche che ne facciano motivata richiesta, per
esclusivo uso di pubblica utilità". Tale utilizzo è consentito anche da
parte del comune che detiene i dati, per fini di comunicazione istituzionale,
ma sempre su motivata richiesta questa volta "interna" all’ente (art.
177, comma 1, del Codice). Altri soggetti anche privati possono ottenere solo dati
anagrafici resi anonimi ed aggregati, su richiesta per
fini statistici e di ricerca (art. 34, commi 1 e 2, d.P.R.
n. 223/1989).

Queste disposizioni riguardano il
particolare contesto degli atti anagrafici, i quali
giustificano soluzioni specifiche per quanto riguarda le modalità della loro
consultazione. Tale specificità mantiene attualità in un quadro di sistema che
prevede opportunamente misure generali di semplificazione dell’azione
amministrativa mediante flussi di dati, trasmissioni o
consultazioni telematiche di dati ed archivi (artt. 2, comma 5, l. 15 maggio 1997, n. 127;
art. 43 d.P.R. 28 dicembre
2000, n. 445).

In termini generali, il Codice non ha
inciso sulla portata delle predette disposizioni sull’anagrafe della
popolazione. Il Codice ha però ribadito la necessità
del perdurante rispetto delle vigenti norme che regolano la conoscibilità e la
pubblicità di taluni atti (cfr., ad es., gli artt.
19, comma 3, 24, comma 1, lett. c), 59 e 61 del Codice), che subordinano la
consultazione di materiale documentale al rispetto di determinati limiti
temporali (ad es., con
esclusione dei periodi in cui un elenco è in fase di aggiornamento),
soggettivi, oppure di talune modalità (ad es.,
documentazione dell’identità del soggetto che intende consultare un registro) o
finalità (es.: fini statistici e di ricerca).

Gli accertamenti effettuati hanno
evidenziato che nella prassi amministrativa osservata presso il Comune di Roma
nei rapporti con numerosi enti, inclusa la Regione, tale quadro normativo non è stato invece
preso nella dovuta considerazione, essendosi consentita la consultazione
diretta per via telematica di dati anagrafici mediante lo stesso meccanismo di
"anagrafe aperta" impropriamente utilizzato per la Regione Lazio.

Riportando i dati anagrafici in una
"data base popolazione" contenente anche numerose altre informazioni
(relative anche a "vaccinazioni, elettorale, leva militare", dati relativi alla carta d’identità ed al codice fiscale), si è
realizzato un sistema telematico che prevede,
anzitutto, un’impropria consultazione diretta di dati anagrafici da parte di
altro personale comunale non facente parte dei servizi di anagrafe e di stato
civile (centrali e dei municipi).

La consultazione diretta dei dati
anagrafici per via telematica viene inoltre consentita
a numerosi soggetti esterni al Comune di Roma (amministrazioni centrali,
militari e sanitarie; uffici giudiziari ed enti locali; ecc.), senza peraltro
verificare sempre e compiutamente né la concreta motivazione di pubblica
utilità in base alla quale viene richiesto di conoscere i dati, né le singole
utilizzazioni dei dati consentite a regime presso enti a struttura complessa
che perseguono differenti finalità. Le procedure di abilitazione
all’accesso non soddisfano compiutamente l’esigenza di ottenere la
comunicazione dei dati in rapporto solo ad una specifica attività funzionale
svolta dal soggetto richiedente. Un ampio numero di utenti
è stato infine abilitato in base ad un’istruttoria non approfondita o per
utenze per diverso tempo inattive oppure disponibili a soggetti non agevolmente
contattabili. Tali criticità sussistono anche nei riguardi di
utenti abilitati soltanto alla consultazione dei dati e non anche a
modificarli, e sono più marcate nei confronti di soggetti posti in condizione di
operare diversi tipi di interrogazione del sistema, oppure di abilitare a loro
volta -senza titolo- all’accesso ulteriori utenti.

In sostituzione di tali procedure, il
Comune di Roma dovrà pertanto individuare entro il congruo termine di cui al
seguente dispositivo un diverso meccanismo che, pur permettendo di comunicare i
dati richiesti anche con strumenti automatizzati e per via telematica (e,
quindi, di perseguire le finalità di snellimento ed efficienza dell’azione
amministrativa a supporto del cittadino). Le richieste di certificazione o
attestazione, oppure di rilascio di elenchi ad
amministrazioni pubbliche motivato da ragioni accertate di pubblica utilità,
potranno essere inoltrate e riscontrate anche automaticamente, per via
telematica, escludendo però la consultazione diretta, anche on-line, degli atti
di provenienza anagrafica da parte di soggetti interni ed esterni diversi da
quelli preposti all’ufficio anagrafe. Dovrà altresì aversi cura di:

a) verificare più attentamente la
qualifica soggettiva dei richiedenti e la motivazione di pubblica utilità da essi perseguita;

b) porre maggiore attenzione a
presupposti, limiti e modalità previste dalla disciplina che riguarda singoli
atti e documenti (cfr., per i dati sulle vaccinazioni,
art. 4 della legge 4 febbraio 1966, n. 51; art. 3 della legge 5 marzo 1963, n.
292; per il servizio elettorale, art. 51 del d.P.R.
20 marzo 1967, n. 223; per la carta d’identità, art. 289 del r.d. 6 maggio
1940, n. 635; per le liste di leva, artt. 37 e 48 del d.P.R. 14 febbraio 1964, n. 237);

c) individuare soluzioni più idonee
per consentire il tracciamento di operazioni di
richiesta e di comunicazione di dati presso postazioni di lavoro individuate e
da parte di utenti parimenti identificati, monitorando utilizzi impropri e
prevenendo accessi multipli realizzati utilizzando una stessa chiave di accesso
presso più postazioni di lavoro.

Nel conformare a norma i trattamenti
di dati anagrafici, il Comune dovrà altresì:

d) escludere soggetti privati esterni
dalla facoltà di consultare direttamente i dati, di acquisirne elenchi su richiesta e di abilitare all’accesso altri soggetti. Nel
caso in cui tali soggetti privati comprovino la qualità di effettivi
responsabili del trattamento per conto di soggetti pubblici, il rilascio anche
informatico di elenchi dovrà essere regolato in primo luogo con il soggetto
pubblico, verificando anche l’effettivo rispetto delle modalità richiamate a
proposito del rapporto tra titolare e responsabile del trattamento;

e) rivedere l’attuale configurazione
della gestione in outsourcing del servizio
anagrafico, attualmente affidata ad associazioni
temporanee di imprese di ampie dimensioni. Dovranno essere adeguate al Codice
le prassi seguite per la specificazione dei compiti, per impartire istruzioni
riguardo al trattamento dei dati e per la vigilanza anche tramite verifiche
periodiche, coordinata con mezzi e soluzioni adeguate alla delicatezza e alla
complessità delle questioni trattate e dei flussi di dati.

Le misure da adottare per ottemperare
alle predette prescrizioni dovranno essere eseguite nel termine di cui al
dispositivo dandone esaustiva comunicazione a questa Autorità.

3. Il trattamento di dati anagrafici
da parte delle amministrazioni comunali

Il Garante ritiene necessario
prescrivere a tutte le amministrazioni comunali di conformare il trattamento
dei dati anagrafici ai principi ed ai limiti richiamati in questa sede. Si sottolinea, in particolare, la necessità di escludere che,
nel fornire ad amministrazioni pubbliche elenchi di dati anagrafici per motivi
di pubblica utilità, anche telematicamente o attuando
mediante convenzioni flussi di dati verso altri soggetti pubblici (art. 2,
comma 5, legge n. 127/1997), si permetta di consultare direttamente i dati
dell’anagrafe della popolazione, riportati sia nelle schede anagrafiche
informatiche, sia in eventuali elenchi duplicati in data-base di
"lavoro".

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 154, comma 1, lett.
c), del Codice, prescrive:

a) alla Regione Lazio, a Laziomatica S.p.a. e al Comune di
Roma di conformare, ove non vi abbiano già provveduto in termini conformi a
quanto indicato, i trattamenti di dati personali alle disposizioni e ai princìpi sopra richiamati, procedendo all’attuazione delle
misure indicate in motivazione entro centottanta giorni dalla data di ricezione
del presente provvedimento;

b) a tutti i comuni
di adottare tali misure parimenti necessarie per conformare i trattamenti di
dati anagrafici ai principi richiamati nel presente provvedimento;

c) dispone che copia del presente
provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione
leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della
Repubblica italiana ai sensi dell’art. 143, comma 2,
del Codice.

Roma, 6 ottobre 2005

IL PRESIDENTE

Pizzetti

IL RELATORE

Pizzetti

IL SEGRETARIO GENERALE