g-docweb-display Portlet

Parere al Ministero dell’interno su uno schema di decreto in materia di comunicazione alle autorità di pubblica sicurezza dell’arrivo delle persone alloggiate in strutture ricettive - 8 luglio 2021 [9690786]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9690786]

Parere al Ministero dell’interno su uno schema di decreto in materia di comunicazione alle autorità di pubblica sicurezza dell’arrivo delle persone alloggiate in strutture ricettive - 8 luglio 2021

Registro dei provvedimenti
n. 300 dell'8 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il professor Pasquale Stanzione, presidente, la professoressa Ginevra Cerrina Feroni, vicepresidente, l’avvocato Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito: “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n.196, recante il Codice in materia di protezione dei dati personali, come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito: “Codice”);

VISTA la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio;

VISTO il decreto legislativo 18 maggio 2018, n. 51, recante l’attuazione della direttiva (UE) 2016/680 (di seguito: “Decreto”);

VISTA la richiesta di parere del Ministero dell’interno;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell´ufficio del Garante per la protezione dei dati personali;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il Ministero dell’interno ha richiesto il parere di questa Autorità in merito ad uno schema di decreto che modifica il d.m. 7 gennaio 2013, recante “Disposizioni concernenti la comunicazione alle autorità di pubblica sicurezza dell'arrivo di persone alloggiate in strutture ricettive” e relativi allegati, attualmente in vigore e sul quale il Garante ha fornito a suo tempo il parere richiesto (Parere 295 del 18 ottobre 2012, doc. web. n. 2099252).

L’obbligo di comunicazione delle generalità degli alloggiati incombe, ai sensi dell’articolo 109 del R.D. 18 giugno 1931, n. 773 (T.U. delle leggi di pubblica sicurezza, di seguito: “TULPS”), sui gestori degli esercizi alberghieri e di tutte le altre strutture ricettive di qualunque tipo, nonché sui proprietari o gestori di case e di appartamenti per vacanze e sugli affittacamere, mentre le modalità di comunicazione delle generalità delle persone alloggiate sono attualmente disciplinate dal predetto decreto  del 2013.

Il Ministero ha rappresentato che l’esigenza delle modifiche proposte con lo schema trasmesso deriva dalla necessità di attuare quanto disposto dall’articolo 5 del decreto-legge 14 giugno 2019, n. 53, convertito, con modificazioni, dalla legge 8 agosto 2019, n. 77, il quale:

a) al comma 1, ha modificato il comma 3 del citato articolo 109 del TULPS, prevedendo che, fermo restando l’obbligo da parte dei gestori delle strutture ricettive di comunicare alla Questura competente per territorio le generalità degli alloggiati entro ventiquattro ore dall’arrivo, la comunicazione debba avvenire “comunque entro le sei ore successive all'arrivo nel caso di soggiorni non superiori alle ventiquattro ore”;

b) al comma 1-bis, prevede che le modalità di comunicazione, con mezzi informatici o telematici, dei dati delle persone alloggiate vadano “integrate” - aggiornandole, ovviamente, dal punto di vista tecnologico - con decreto del Ministro dell'interno, al fine di consentire il collegamento diretto tra i sistemi informatici delle autorità di pubblica sicurezza e i sistemi gestionali delle strutture ricettive.

A tale scopo il Ministero ha predisposto uno schema di decreto modificativo e integrativo del predetto d.m. del 2013 e del relativo allegato tecnico, con il quale, da un lato, disciplinare tali modalità di collegamento e gli aspetti tecnici connessi e, dall’altro, adeguare l’impianto del decreto vigente alla normativa in materia di protezione dei dati personali frattanto intervenuta.

In particolare si è tenuto conto del Regolamento (UE) 2016/679 e del decreto legislativo 18 maggio 2018 n. 51 (con il quale è stata data attuazione alla direttiva UE 2016/680), che disciplina il trattamento dei dati per le finalità di prevenzione e repressione dei reati nonché per le esigenze di tutela dell’ordine e della sicurezza pubblica, cui sono riconducibili le informazioni relative agli alloggiati ai sensi dell’articolo 109 del T.U.L.P.S..

RITENUTO

2. Profili di protezione dati e termini di conservazione.

Sotto quest’ultimo profilo, di particolare interesse è il novellato articolo 4 dello schema di decreto il quale precisa che i dati acquisiti dalle strutture ricettive sono conservati - separatamente per ciascuna questura – all’interno di una infrastruttura informatica allocata presso il Centro Elettronico Nazionale della Polizia di Stato (CEN), dove sono accessibili - esclusivamente dal personale legittimato ed autorizzato - attraverso il portale denominato “Alloggiati Web”.

La norma conferma la qualità di titolare del trattamento del Ministero dell’interno-Dipartimento della Pubblica Sicurezza e prevede che lo stesso - ai sensi dell’articolo 19 del Decreto - autorizzi per iscritto il personale che agisce sotto la propria autorità e sorveglianza a compiere le operazioni di trattamento, specificandone puntualmente l’ambito consentito ed impartendo le opportune istruzioni. Tali autorizzazioni possono anche basarsi su un’attestazione rilasciata dai responsabili degli uffici o comandi, con la quale siano definite le esigenze di trattamento dei dati da parte del personale dipendente in funzione dell’attività svolta in seno all’unità organizzativa di assegnazione.

Di particolare rilievo, inoltre, risulta l’articolo 4-bis dello schema  (“Termini di conservazione dei dati”), il quale stabilisce che i dati raccolti  nel predetto sistema Alloggiati Web possono essere conservati al massimo per 10 anni, in linea con quanto previsto dall’articolo 10, comma 3, lett. t), del decreto del Presidente della Repubblica 15 gennaio 2018 n. 15 che fissa in tale periodo il termine di conservazione dei dati relativi alla gestione delle attività operative della Polizia di Stato.

Al riguardo si osserva quanto segue.

Il vigente decreto 7 gennaio 2013 stabilisce che i dati raccolti nel sistema siano definitivamente distrutti dopo 5 anni dall'inserimento. Successivamente, è entrato in vigore il citato d.P.R. n. 15 del 2018, recante l'individuazione delle modalità di attuazione dei principi del Codice relativamente al trattamento dei dati effettuato, per finalità di polizia, da organi, uffici e comandi di polizia, adottato a norma dell'articolo 57 del medesimo Codice, il cui articolo 10 disciplina la conservazione dei dati con riferimento ai diversi tipi di trattamento per specifiche finalità. In particolare, si prevede il termine di conservazione decennale per la conservazione dei “dati relativi alla gestione delle attività operative”.

Nel corso dell’istruttoria, su espressa richiesta dell’ufficio del Garante in merito alla congruità e proporzionalità del predetto termine decennale, il Ministero ha precisato (nota del 25 febbraio 2021, prot. 0001428) che i dati acquisiti attraverso le c.d. “schedine d’albergo” rivestono una intrinseca rilevanza non solo per le attività di "prevenzione generale" dei reati, ma per più articolati fini operativi di polizia, rivelandosi utili sia per assicurare la tutela dell'ordine e della sicurezza pubblica, sia per prevenire e reprimere fenomeni criminali. In proposito – riporta il predetto dicastero - la Corte Costituzionale (sentenza del 16 luglio 1970, n. 144) ha affermato che "la sistematica annotazione dei movimenti e dei luoghi dove le persone soggiornano, effettuata ai sensi dell'articolo 109 del TULPS mira ad agevolare l 'Autorità di pubblica sicurezza e le forze di polizia in quell'opera di vigilanza sulle persone, che è connessa al dovere di ricercare latitanti o soggetti in genere sospettati di reati... ", evocando in tal modo le attività operative tipicamente svolte dalle Forze di Polizia.

Il Ministero ha anche rappresentato che, sovente, le autorità giudiziarie delegano attività di indagine su fatti accaduti anche oltre il decennio, soprattutto nell'ambito di inchieste per i delitti di associazione di stampo mafioso o similare, e in tale contesto le informazioni tratte dalla banca dati degli alloggiati si rilevano estremamente utili. Analogamente è stato precisato che tali dati, nell'ambito delle attività di contrasto ai fenomeni criminali di stampo mafioso, messi in relazione con altre informazioni, consentono di “stabilizzare” il quadro generale per avviare la ricerca di possibili obiettivi operativi e monitorare i conseguenti decreti di sequestro e confisca emessi nei loro confronti ai sensi della vigente normativa antimafia. Tali informazioni rappresentano infatti un potenziale patrimonio investigativo utilizzabile anche nell'ambito delle indagini patrimoniali previste dalla normativa antimafia che, nella prassi operativa, si articolano in un considerevole arco temporale che può estendersi anche fino a 10 anni antecedenti all'esercizio del potere di proposta.

Inoltre è stato osservato che il sistema “Alloggiati web” costituisce uno strumento ampiamente utilizzato per fini operativi perché consente agli uffici investigativi di ricercare e ricostruire legami dei soggetti indagati o dare riscontro a dichiarazioni rese da persone informate sui fatti o da altri indagati. Anche le dichiarazioni dei collaboratori di giustizia, a distanza di molti anni dagli eventi - spesso gravissime azioni, come omicidi e stragi - forniscono indicazioni circa la presenza dei responsabili in determinate località e strutture ricettive, sovente riscontrabili proprio attraverso la consultazione delle comunicazioni acquisite ai sensi della normativa di cui ci si occupa.

Infine, il Ministero ha rappresentato che in alcune indagini, il dato acquisito tramite la consultazione della banca dati relativa agli alloggiati  riguardante la presenza di determinati soggetti in precise località, combinato con  altri strumenti di indagine, ha consentito di individuare utenze telefoniche fittiziamente intestate e utilizzate dai soggetti coinvolti nella commissione di reati e di ricostruire in tal modo l'intera rete dell'associazione criminale.

Pur prendendo atto delle motivazioni espresse dal Ministero, si ritiene tuttavia che il termine individuato per la conservazione dei predetti dati - peraltro doppio rispetto a quello attuale- sia sproporzionato rispetto alle finalità del trattamento in questione.

Occorre infatti considerare che l’articolo 3 del decreto legislativo 18 maggio 2018, n. 51 – con il quale, come è noto, è stata data attuazione ad una direttiva europea (la 2016/680) - sopravvenuto al d.P.R. n. 15 del 2018 e, comunque, gerarchicamente sovraordinato ad esso – stabilisce che i termini di conservazione devono essere contenuti entro il tempo necessario al conseguimento delle finalità per le quali i dati sono raccolti.

Del resto, con il d.m. 7 gennaio 2013, attualmente in vigore, è stato stabilito il termine di 5 anni, evidentemente ritenuto congruo e non eccedente rispetto alle pertinenti finalità.

Occorre, infine, considerare che il trattamento in argomento risulta effettuato su larga scala, comportando la raccolta, in forma massiva ed indiscriminata, dei dati personali attinenti ad eventi della vita privata di tutte le persone che soggiornano in strutture ricettive, onde i relativi termini di conservazione devono contemperare le esigenze di tutela dei dati personali e quelle connesse all’attività di polizia, il cui punto di equilibrio si ritiene individuabile nel predetto termine quinquennale.
Tale indicazione appare anche in linea con gli orientamenti espressi dalla Corte di giustizia dell’Unione europea in materia di data retention.

3. Profili tecnici e misure di sicurezza.

Il vigente decreto del Ministro dell’interno 7 gennaio 2013 prevede che la modalità principale di trasmissione dei dati degli alloggiati si basi sull’utilizzo di mezzi informatici e/o telematici, mediante un apposito “sistema web oriented esposto su rete internet”, al quale la Questura abilita la struttura ricettiva, fornendo il certificato digitale, da installare sul dispositivo informatico individuato per la trasmissione dei dati.

Secondo quanto rappresentato dal Ministero nella relazione tecnica, tale sistema di trasmissione non appare più adeguato all’attuale contesto tecnologico, tenuto conto delle esigenze di gestione della comunicazione delle persone alloggiate da parte degli esercenti delle strutture ricettive. L’attuale modalità di comunicazione presenta infatti limitazioni funzionali poiché non consente di utilizzare dispositivi portatili, come palmari, cellulari, tablet e non permette di effettuare un collegamento diretto tra sistemi informatici delle autorità di pubblica sicurezza e i sistemi gestionali delle strutture ricettive.

Per tali ragioni, le modifiche al decreto del 2013, dettagliate nell’allegato tecnico, prevedono che l’accesso al servizio web, fruibile su rete Internet all’indirizzo: https://alloggiatiweb.poliziadistato.it (di seguito: “portale”), avvenga non più utilizzando la certificazione digitale, ma attraverso un sistema di autenticazione a due fattori, basato su credenziali fornite, in parte, dalla questura competente per territorio, ovvero:

• una credenziale di login che identifica univocamente la struttura ricettiva, fornita dalla questura competente;

• una password di accesso, modificabile dal gestore della struttura;

• un codice OTP temporaneo, valido solo per una sessione di lavoro, generato combinando i caratteri da una apposita griglia fornita alla struttura ricettiva (cfr. pag. 8 della Relazione tecnica).

Tramite tali credenziali, le strutture ricettive potranno comunicare i dati relativi alle persone alloggiate, in tre distinte modalità:

1. tramite inserimento on line di singole schede anagrafiche;

2. mediante trasmissione di un file in formato testuale - secondo la codifica ASCII standard dettagliata nelle Tabelle allegate al DM - contenenti i dati relativi a più schede;

3. tramite l’utilizzo di specifici servizi di cooperazione applicativa messi a disposizione dal portale, per i quali è necessario richiedere la generazione delle chiavi di autorizzazione.

Una volta effettuata la trasmissione, che in caso di non disponibilità del portale potrà avvenire anche via fax o via PEC, il sistema renderà disponibile una ricevuta digitale contenente il numero di schede trasmesse in una data giornata ed alcune informazioni che validano la ricevuta e ne garantiscono l’autenticità.

Del termine di conservazione dei dati nella infrastruttura informatica centralizzata si è già detto, mentre, dal canto loro, i gestori delle strutture ricettive sono tenuti alla cancellazione dei dati digitali trasmessi nonché di tutte le copie cartacee non appena generata da parte del sistema informatico la ricevuta di avvenuta comunicazione dei dati, che deve essere conservata per 5 anni.

Ciò premesso, sulla base di quanto rappresentato nella documentazione fornita, si formulano le seguenti osservazioni di carattere tecnico.

3.1. In primo luogo, si ritiene effettivamente migliorativa la modalità di comunicazione descritta nello schema di decreto e nell’allegato tecnico, tenuto conto della possibilità di utilizzare dispositivi mobili e di effettuare un collegamento diretto tra i sistemi informatici delle autorità di pubblica sicurezza e i sistemi gestionali delle strutture ricettive. Appare poi adeguato il ricorso alla modalità di autenticazione a due fattori, tenuto conto della tipologia di dati trattati.

Proprio su tale aspetto, tenuto conto che l’invio dei dati da parte delle strutture ricettive si configura come un trattamento di dati personali, si ritiene opportuno integrare lo schema con la previsione che i gestori delle strutture ricettive utilizzino personalmente le credenziali di accesso al portale o le consegnino ad un soggetto identificato, appositamente incaricato della trasmissione, con le pertinenti istruzioni.

3.2. Allo scopo di scongiurare attacchi di tipo man-in-the-middle, volti ad acquisire in modo malevolo i dati forniti dalle strutture ricettive, è necessario prevedere la cifratura, mediante crittografia asimmetrica, dei dati inviati in modalità “massiva” tramite il file testuale, rendendo disponibile la chiave pubblica di cifratura sul portale.

TUTTO CIÒ PREMESSO IL GARANTE

esprime, ai sensi dell’articolo 24, comma 2, del decreto legislativo 18 maggio 2018, n. 51, parere favorevole sullo schema di decreto che modifica il d.m. 7 gennaio 2013, recante “Disposizioni concernenti la comunicazione alle autorità di pubblica sicurezza dell'arrivo di persone alloggiate in strutture ricettive” e relativi allegati, con le seguenti osservazioni:

a) sia confermato il termine quinquennale di conservazione dei dati personali delle persone alloggiate in strutture ricettive, stabilito nel vigente decreto 7 gennaio 2013 (par. 2);

b) lo schema e/o l’allegato tecnico siano integrati con le misure tecniche e organizzative indicate ai paragrafi 3.1. e 3.2..

Roma, 8 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

 

Scheda

Doc-Web
9690786
Data
08/07/21

Argomenti


Tipologie

Parere del Garante