Caso Laziomatica: accertate le violazioni, il Garante indica le garanzie da osservare
Si è concluso il
procedimento presso il Garante sul caso Laziomatica, avviato nell’aprile scorso
con alcuni accertamenti ispettivi, dopo gli accessi abusivi che erano stati
effettuati al sistema informatico anagrafico del Comune di Roma prima delle
scorse elezioni regionali.
L’Autorità – composta da
Francesco Pizzetti, Giuseppe Chiaravalloti, Mauro Paissan e Giuseppe Fortunato –
ha accertato la violazione degli obblighi e delle garanzie previsti dal Codice
in materia di protezione dei dati personali. Cio’ a prescindere da quanto in
sede penale potrà essere stabilito sulle eventuali responsabilità per i reati
configurabili.
Presso Laziomatica S.p.a.
(società per azioni a prevalente capitale regionale istituita dalla Regione
Lazio, che le ha affidato la gestione del Sistema informatico regionale) sono
stati effettuati su richiesta di un avvocato alcuni accessi illeciti al data
base anagrafico del Comune di Roma che la Regione era stata autorizzata a
consultare solo per alcune finalità sanitarie, sulla base di un Protocollo di
intesa. Addetti della società hanno effettuato ripetuti accessi a dati
personali, riguardanti anche documenti di identità, per verificare
l’irregolarità di alcune sottoscrizioni di liste di candidati alle elezioni
regionali.
Il Garante ha imposto alla
Regione Lazio e alla società di osservare le regole concernenti il ruolo del
responsabile e degli incaricati del trattamento, i loro compiti e le rigorose
istruzioni da impartire, e di adeguare entro 180 giorni le procedure adottate.
Entro lo stesso termine,
Regione Lazio e Comune di Roma dovranno anche rivedere il Protocollo di intesa
per permettere alla Regione di continuare ad ottenere speditamente on-line la
conferma dei dati anagrafici necessari per varie prestazioni sanitarie, ma senza
la possibilità di consultare direttamente e liberamente il data base anagrafico
della popolazione. Gli accertamenti effettuati dall’Autorità sono stati estesi
alla sicurezza dei dati presso i data-base anagrafici del Comune, al quale sono
stati prescritti adempimenti tecnici e misure riguardanti la sicurezza dei dati
e la gestione del sistema informatico anagrafico.
Il Comune dovrà
individuare, sempre entro 180 giorni, un nuovo meccanismo che permetta ai
numerosi enti che richiedono certificazioni, attestazioni ed elenchi di
cittadini (amministrazioni centrali, militari, sanitarie, uffici giudiziari,
enti locali, ecc.) di ricevere i dati richiesti per via telematica, escludendo
pero’ la consultazione diretta degli atti anagrafici a soggetti interni ed
esterni diversi da quelli preposti all’ufficio anagrafe del Comune. In base alla
legge, infatti, l’anagrafe della popolazione è consultabile direttamente solo
da parte del personale dell’ufficio anagrafico e, quando necessario, da parte di
forze di polizia, mentre ogni altro destinatario dei dati puo’ ricevere invece
solo certificazioni, attestazioni o -se si tratta di un’amministrazione
pubblica- elenchi per esclusivi motivi di pubblica utilità.
Poichè le prescrizioni del
Garante sulla gestione dei data-base anagrafici interessano anche gli altri
Comuni, l’Autorità ha disposto la pubblicazione del provvedimento sulla
Gazzetta ufficiale.
Il caso Laziomatica.
Prescrizioni a tutti i comuni sulla gestione delle anagrafi – 6 ottobre 2005
IL GARANTE PER LA
PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in
presenza del prof. Francesco Pizzetti, presidente, del prof. Giuseppe
Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe
Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Viste le segnalazioni
pervenute in ordine all’utilizzazione illecita di dati personali estratti da
banche dati anagrafiche del Comune di Roma;
Viste le osservazioni
formulate dal segretario generale, ai sensi dell’art. 15 del regolamento del
Garante n. 1/2000;
Relatore il prof. Francesco
Pizzetti;
PREMESSO:
Il Garante ha eseguito
alcuni accertamenti ispettivi a seguito di segnalazioni concernenti accessi
illeciti a dati anagrafici detenuti presso il Comune di Roma, nonchè il
rispetto delle misure di sicurezza nel trattamento dei dati, in correlazione ad
un caso di falsa sottoscrizione di candidature alle elezioni regionali del 3 e 4
aprile 2005.
Gli accertamenti effettuati
anche nell’esercizio di funzioni di polizia giudiziaria hanno fatto emergere
notizie di reato che sono state comunicate alla competente autorità
giudiziaria.
La violazione degli
obblighi e delle garanzie richiamate dal Codice in materia di protezione dei
dati personali risulta già accertata in base agli atti acquisiti dal Garante, a
prescindere da ogni eventuale responsabilità penale per gli illeciti
configurabili.
Tra il 9 e il 14 marzo di
quest’anno, presso Laziomatica S.p.A. (società per azioni a prevalente capitale
regionale istituita dalla Regione Lazio, che le ha affidato la gestione del
Sistema informativo regionale-S.I.R.: v. l.r. 3 agosto 2001, n. 20), risultano
infatti effettuati alcuni accessi illeciti –per finalità e con modalità non
consentite- ad un data-base
anagrafico del Comune di Roma che la Regione era stata autorizzata a consultare
solo per alcune finalità sanitarie, sulla base di un protocollo di intesa.
Le persone che hanno agito
presso tale società hanno provveduto, senza averne titolo, ad accogliere la
richiesta di un avvocato (che avrebbe potuto essere presentata solo al Comune),
con la quale si chiedeva di applicare la disciplina sulle c.d. indagini
difensive (art. 391-quater c.p.p.).
Gli accessi in grande
quantità, effettuati in singolari circostanze (utilizzo di
password altrui; consultazioni in
orari non di servizio, notturni e festivi; asseriti interventi di manutenzione
straordinaria che hanno determinato la cancellazione di dati di tracciamento di
accessi), hanno permesso di consultare ed utilizzare illecitamente vari dati
personali inerenti anche a documenti di identità, per finalità diverse da
quelle per le quali i dati anagrafici erano stati resi accessibili alla Regione.
Gli accertamenti effettuati
dal Garante sulla base di una segnalazione sono stati estesi anche alla
sicurezza dei dati presso i data-base
anagrafici del Comune di Roma, ove è emerso il mancato aggiornamento del
documento programmatico di sicurezza (di cui è stata data notizia, anche in
questo caso, all’autorità giudiziaria con denuncia di reato nei riguardi dei
competenti dirigenti), unitamente ad alcune inosservanze della disciplina
applicabile alla gestione dell’anagrafe della popolazione residente.
A conclusione del complesso
procedimento, il Garante dichiara accertate con il presente provvedimento le
violazioni intercorse relativamente ai profili di propria competenza, e
prescrive alla predetta società e agli enti direttamente interessati le misure
necessarie per conformare i trattamenti di dati personali alle disposizioni
vigenti. Analoghe prescrizioni vengono impartite in termini generali a tutti i
comuni per quanto riguarda la consultazione diretta degli atti anagrafici.
1. Regione Lazio e
Laziomatica S.p.A.
A prescindere
dai fatti sopra riassunti, è risultato accertato che Laziomatica S.p.A. abbia
comunque trattato illecitamente, nell’ambito dell’attività svolta per conto
della Regione, i dati personali provenienti dai
data-base anagrafici del Comune di
Roma.
Come premesso, il rapporto
Regione-Comune si è basato su un
"Protocollo di intesa per la cooperazione nello sviluppo dei servizi al
cittadino" stipulato il 12 maggio 2004, che prevede uno scambio di
dati tra i due enti per verifiche attinenti solo a prestazioni sanitarie
(ticket, scelta del medico), inclusivo di un accesso diretto anche a dati
anagrafici detenuti dal Comune.
Tali verifiche sono state
affidate dalla Regione a Laziomatica S.p.A. sulla base di una convenzione
stipulata nel 2003, con la quale si è conferito alla società il compito di
consultare on-line i predetti
dati anagrafici.
I profili di illiceità
emersi sono i seguenti:
a) sono risultate comprovate, anzitutto, alcune inosservanze della convenzione
stessa: la società ha infatti violato la clausola che la impegna a non rivelare
od utilizzare notizie, informazioni e dati messi a disposizione dalla Regione
per finalità diverse da quelle stabilite nella convenzione medesima, e non ha
altresi’ rispettato il distinto impegno contrattuale ad osservare le
disposizioni in materia di trattamento dei dati personali;
b) in secondo luogo, sono
state violate le disposizioni normative sul responsabile del trattamento.
All’apparente designazione in tal senso della società -pur menzionata nella
convenzione- non ha fatto seguito, come necessario, nè l’elencazione scritta
dei compiti affidati rispetto al trattamento dei dati, nè l’indicazione delle
istruzioni operative (art. 29 del Codice).
La società ha anche legittimato all’accesso diretto ulteriori utenti esterni
presso altri organismi come le aziende sanitarie locali.
Pertanto, la Regione Lazio
(che aveva adottato solo un documento di carattere generale sulle misure di
sicurezza presso le strutture della giunta regionale, applicabile ai
responsabili del trattamento) potrà continuare ad avvalersi lecitamente della
collaborazione della società a condizione che alla designazione di quest’ultima
quale responsabile (designazione che in passato è stata al più puramente
nominale), conseguano prontamente sia la specificazione analitica dei predetti
compiti e istruzioni, sia una vigilanza sulla loro osservanza anche in ordine
alla sicurezza dei dati.
Nessuna persona fisica,
operante presso la società o la Regione, potrà trattare i dati personali
comunicati dal Comune di Roma senza essere stata previamente designata quale
incaricato, in conformità al Codice, anche per quanto riguarda l’individuazione
del trattamento consentito e le istruzioni da impartire (art.
30 del Codice);
c) la Regione ha avuto
accesso ai dati anagrafici provenienti dal Comune di Roma con modalità non
consentite. Unitamente all’interrogazione
on-line di alcuni servizi (documenti; carte di identità, leva
militare, vaccinazioni), il predetto Protocollo di intesa ha infatti previsto
che la Regione, direttamente o per il tramite della società, possa accedere
on-line ai dati di origine comunale
che la disciplina anagrafica consente invece di ottenere solo con le modalità e
con le cautele illustrate più avanti.
Il Protocollo di intesa
deve essere quindi rivisto, prevedendo nel congruo termine di cui al seguente
dispositivo una diversa modalità di comunicazione dei dati di provenienza
comunale, analogamente a quanto dovrà essere disposto, a cura del Comune di
Roma, nei riguardi di altri enti ed amministrazioni. Tale revisione, unitamente
a quella concernente il rapporto con Laziomatica S.p.a., dovrà essere eseguita
nel termine di cui al dispositivo dandone esaustiva comunicazione a questa
Autorità.
2. La gestione del sistema
informativo anagrafico del Comune di Roma
In base alle
disposizioni dell’ordinamento anagrafico, l’ufficiale d’anagrafe puo’ rilasciare
attestazioni o certificazioni relativamente al contenuto delle schede che
compongono l’anagrafe della popolazione residente, ed entro certi lim
