Provvedimento del Garante per la protezione dei dati personali del 1 giugno 2005.
«Schede d'albergo» e modalità di comunicazione all'autorità di pubblica sicurezza. Il parere del Garante.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;
Vista la richiesta di parere del Ministero dell'interno;
Vista la normativa internazionale e comunitaria in materia di protezione dei dati personali e, in particolare, la direttiva n. 95/46/CE del 24 ottobre 1995;
Visto l'articolo 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
Visto il testo unico delle leggi di pubblica sicurezza (r.d. 18 giugno 1931, n. 773, e successive modificazioni e integrazioni);
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Fortunato;
PREMESSO:
Il Ministero dell'interno ha chiesto il parere del Garante in ordine ad uno schema di decreto che individua le modalità di comunicazione all'autorità di pubblica sicurezza, con mezzi informatici, delle generalità delle persone alloggiate in strutture ricettive. Il decreto sostituirebbe solo l'art. 3 del d.m. 11 dicembre 2000 di attuazione dell'articolo 109, comma 3, del testo unico delle leggi di pubblica sicurezza più volte modificato sul punto (art. 109 r.d. n. 773/1931, mod., da ultimo, dalla l. 29 marzo 2001, n. 135).
OSSERVA PRELIMINARMENTE:
1. Raccolta generalizzata dei dati e principio di proporzionalità
Prima di esprimere le osservazioni sullo schema di d.m. il Garante rileva, in riferimento alla normativa primaria, che alla luce del sopravvenuto Codice in materia di protezione dei dati personali deve essere avviata una verifica sulla necessità e proporzionalità di una raccolta generalizzata dei dati relativi a cittadini italiani concernenti tutte le loro presenze in alberghi e in luoghi equiparati, da conservarsi presso le autorità di pubblica sicurezza. La verifica deve riguardare anche il luogo in cui queste informazioni sono conservate (una banca dati centralizzata, oppure archivi distinti presso le autorità locali di p.s.).
Diversamente da quanto previsto dal testo unico delle leggi di pubblica sicurezza, più volte modificato sul punto negli ultimi anni (art. 109 t.u.l.p.s.), la Convenzione di applicazione dell'Accordo di Schengen (art. 45) obbliga infatti a rilevare dati relativi alle presenze in albergo solo nei confronti di stranieri, anche europei, e non anche di cittadini italiani.
La medesima Convenzione ritiene poi sufficiente che sia identificato in albergo solo un componente di un gruppo soggiornante o del nucleo familiare, senza necessità di identificare anche il coniuge o i minori accompagnati; infine, prevede che le schede su ciascun alloggiato siano trasmesse alle competenti autorità di polizia (al posto di una disponibilità temporanea dei dati presso la struttura alberghiera) solo se ciò è necessario per determinate finalità di prevenzione o di accertamento di reati.
Il Garante rileva inoltre l'esigenza che, al posto dello schema sottoposto per il parere, sia adottato un più ampio decreto ministeriale interamente sostitutivo dei precedenti che si sono stratificati nel tempo. In attuazione del predetto art. 109 sono infatti intervenuti, negli anni, diversi dd.mm. alcuni dei quali già abrogati, e in mancanza di un unico provvedimento attuativo permarrebbero incertezze applicative tra gli operatori interessati. A ciò va aggiunta la constatazione che il d.m. 11 dicembre 2000 di cui si prevede la parziale modifica è stato, a suo tempo, adottato in assenza del parere del Garante ed emerge quindi la necessità che il Ministero lo sostituisca con un nuovo d.m. non viziato e annullabile per violazione della normativa in materia di protezione dei dati personali (art. 31, comma 2, l. n. 675/1996; ora, art. 154, comma 4, del Codice in materia di protezione dei dati personali). Si formulano a tal fine alcune osservazioni anche sulle parti del d.m. del 2000 non oggetto dello schema odierno.
OSSERVA ALTRESÍ:
2. Pertinenza dei dati trattati
Allo schema non sono allegati elementi idonei a ritenere giustificato l'inserimento nelle schede della residenza e della data di arrivo dell'alloggiato.
La stessa norma primaria (art. 109, comma 3, r.d. n. 773/1931) – richiede la compilazione di una scheda di dichiarazione delle sole «generalità» dei clienti, ovvero la comunicazione con mezzi informatici o telematici dei «dati nominativi» delle predette schede.
Devono essere quindi espunte le indicazioni previste nell'articolo 2 del d.m. 11 dicembre 2000 e riportate nell'allegato tecnico allo schema di decreto (in particolare: la «Data di arrivo dell'ospite»; il «Comune di residenza se in Italia»; la «Provincia di residenza se in Italia»; la «Codifica Stato di residenza»; l'»Indirizzo di residenza, comprensivo di maggiori dettagli sulla località se all'estero») .
Analoga osservazione vale per la redazione cartacea di schede e per il modello di scheda approvato con decreto 5 luglio 1994, che fa anch'esso riferimento a dati diversi dalle generalità degli interessati.
3. Consegna delle schede agli uffici di polizia
Un chiarimento formale e organico è necessario a proposito delle modalità di consegna delle schede all'autorità di p.s., considerate le diverse e non omogenee espressioni utilizzate nella disciplina in esame. In particolare, deve essere chiarito se la consegna debba avvenire per copia (come prevede la norma primaria), oppure producendo «un elenco delle schede, anche elaborato per mezzo di sistemi automatizzati (tabulato)» (art. 2, comma 1, d. m. 11 dicembre 2000; v., invece, l'art. 109 nella parte in cui prevede, in alternativa alla copia della scheda, la comunicazione informatica dei dati nominativi delle schede).
Inoltre, le schede o i tabulati devono essere consegnati dagli albergatori direttamente ad uffici o organi di polizia, anziché per il tramite di altri enti o soggetti come accade per i comuni (senza che, peraltro, si prevedano al riguardo particolari cautele di riservatezza dei dati). Occorre infatti assicurare che il trattamento dei dati sia effettuato dai soli soggetti competenti a perseguire le finalità in questione (art. 2, commi 3, secondo periodo, e 5, d. m. 11 dicembre 2000; art. 11, comma 1, lett. a) e b) del Codice).
Il nuovo, complessivo, decreto da adottare deve contenere una norma espressamente ricognitiva del fatto che la struttura ricettiva, una volta acquisita idonea documentazione che dimostri di aver assolto l'obbligo di comunicare i dati all'autorità di p.s. per via cartacea o telematica, deve non conservare presso di sé e cancellare i dati, salvo che per eventuali fini fiscali e contabili e nella misura a ciò strettamente necessaria (ad esempio, le informazioni da inserire nella fattura o ricevuta).
Nel sostituire nel 2001 il predetto art. 109, il legislatore non ha infatti previsto l'obbligo di conservare le schede presso la struttura ricettiva anche dopo la consegna delle copie o la comunicazione dei dati alla competente autorità (art. 109 r. d. n. 773/1931, come modificato dall'art. 8 della legge 29 marzo 2001, n. 135). Tale obbligo era già cessato a decorrere dal 30 giugno 1996 in base alla precedente formulazione della norma (art. 109 r. d. n. 773/1931 nella versione modificata dalla l. n. 203/1995 di conversione del d.l. n. 97/1995, poi interamente sostituito dal predetto art. 8 l. n. 135/ 2001).
4. Comunicazione dei dati con mezzi informatici
Lo schema prevede, in luogo del collegamento telematico diretto con le questure (cui fa riferimento il vigente articolo 3 del d.m. 11 dicembre 2000), un collegamento Internet ad una applicazione in rete (web application), da utilizzare con un comune browser per la navigazione web.
In particolare, al gestore della struttura ricettiva verrebbe consentito di inserire direttamente i dati nell'applicazione medesima in modalità interattiva, oppure di interfacciare il sistema informativo alberghiero con una web application.
Nel primo caso, l'esercente, nell'accedere all'applicazione in rete, dovrebbe acquisire la «certificazione digitale». Tale disposizione sembra far riferimento all'accettazione da parte della postazione dell'esercente del certificato digitale associato al web server che eroga il servizio. La disposizione deve essere integrata prevedendo maggiori garanzie in merito al processo di certificazione dell'identità digitale dell'erogatore del servizio, in modo da assicurare all'esercente che il destinatario della comunicazione sia effettivamente il soggetto cui devono essere trasmesse le informazioni (la questura) anziché, per esempio, un falso sito (fenomeno del web phishing). Appare, infatti, insufficiente la mera citazione dello standard ISO X.509 nell'allegato tecnico.
Il riferimento al certificato digitale lascia peraltro supporre che l'applicazione telematica sia accessibile con connessione cifrata, come appare opportuno per assicurare che la trasmissione dei dati avvenga in condizioni di sicurezza.
Inoltre, se -come sembra- con l'espressione «segnale di avvenuta ricezione» si intende far riferimento ad una «ricevuta applicativa» (ad esempio, un documento PDF firmato digitalmente dalla questura), deve essere meglio specificato il contenuto di tale ricevuta e il modo in cui essa viene formata e trasmessa.
In sintonia con quanto già osservato, deve ribadirsi anche in questa parte del d.m. che i dati presso la struttura ricettiva vanno cancellati una volta acquisita l'attestazione di aver adempiuto all'obbligo di trasmissione dei dati all'autorità di p. s. (il predetto «segnale di avvenuta ricezione»).
Andrebbe infine modificato il tenore formale dell'art. 3 del d.m. del 2000 nella parte in cui (comma 1), in riferimento al collegamento telematico, presuppone anche un'»accettazione» della domanda dell'albergatore (essendo sufficiente verificare che quest'ultimo sia dotato dei requisiti tecnici di autenticazione ed autorizzazione all'accesso al sistema), nonché nella parte in cui (allegato tecnico) utilizza espressioni desuete («capo famiglia»).
5. Conservazione e accesso ai dati da parte degli organi di polizia
Il complessivo d.m. da emanare costituisce un'utile occasione per chiarire se le informazioni trasmesse alle questure restino conservate, come sembra, solo presso le autorità provinciali di pubblica sicurezza, in archivi informatizzati o cartacei oggetto di agevoli consultazioni in caso di esigenze investigative diffuse sul territorio.
Non consta infatti l'esistenza di elementi idonei a giustificare l'ulteriore inserimento di tali dati in una banca dati centralizzata, anche nell'ambito del Centro elaborazione dati della pubblica sicurezza.
I dati devono essere comunque conservati separatamente da altri dati personali detenuti per finalità di giustizia o di pubblica sicurezza (art. 53, comma 2, del Codice), e dovrà essere previsto un termine breve di conservazione in conformità alle norme applicabili (artt. 11, comma 1, lett. e), 53 e 57, comma 1, lett. d) del Codice).
Infine, è necessario individuare in maniera selettiva i soggetti che possono accedere alle informazioni (con riferimento alle sole unità di personale di polizia giudiziaria e di pubblica sicurezza appartenenti alle forze di polizia, espressamente autorizzate con apposito provvedimento) e prevedere che tali unità possano accedere ai dati per esclusive finalità di prevenzione, accertamento e repressione dei reati o di tutela dell'ordine o della sicurezza pubblica, e limitatamente a quelli necessari rispetto a specifiche attività in corso.
TUTTO CIÓ PREMESSO IL GARANTE:
esprime il parere richiesto nei termini di cui in motivazione.
Roma, 1 giugno 2005
IL PRESIDENTE, Pizzetti
IL RELATORE, Fortunato
IL SEGRETARIO GENERALE, Buttarelli