[doc. web n. 9879199]

Provvedimento del 23 marzo 2023

Registro dei provvedimenti
n. 97 del 23 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO il decreto del Presidente della Repubblica 26 luglio 1976, n. 752, recante “Norme di attuazione dello statuto speciale della regione Trentino-Alto Adige in materia di proporzione negli uffici statali siti nella provincia di Bolzano e di conoscenza delle due lingue nel pubblico impiego;

VISTO, in particolare, l’art. 18, del citato d.P.R. n. 752/1976, ai sensi del quale “nel censimento della popolazione, ogni cittadino di età superiore ad anni quattordici, non interdetto per infermità di mente e residente nella provincia di Bolzano alla data del censimento, è tenuto a rendere, ogni dieci anni, in forma anonima, una dichiarazione individuale di appartenenza ad uno dei tre gruppi linguistici italiano, tedesco e ladino (…). La dichiarazione è resa su foglio contrassegnato A/2 e conforme al fac-simile allegato al presente decreto, anche in via telematica. Con decreto del Presidente della Provincia autonoma di Bolzano, sentito il Garante per la protezione di dati personali, sono definite le modalità di attuazione del presente comma, garantendo anche misure idonee ad assicurare modalità anonime di rilevazione dei dati in via telematica” (commi 1 e 2), come modificato dal decreto legislativo 4 ottobre 2021, n. 150, su cui l’Autorità ha espresso parere favorevole con provvedimento n. 199 del 29 ottobre 2020 (doc. web n. 9487448);

VISTO il relativo regolamento di esecuzione del 6 dicembre 2022, n. 28, recante “Modalità di attuazione del censimento dei gruppi linguistici e misure idonee ad assicurare modalità anonime di rilevazione dei dati in via telematica”, pubblicato nel BUR n. 51 del 22 dicembre 2022, su cui l’Autorità ha espresso parere favorevole con provvedimento n. 318 del 6 ottobre 2022 (doc. web n. 9825838), riservandosi di esaminare la valutazione d’impatto, al fine di verificare l’adeguatezza delle misure, appropriate e specifiche, da adottarsi in concreto in ogni fase del trattamento per garantire, in particolare, la non re-identificazione degli interessati;

VISTO, in particolare, l’art. 5 del citato regolamento di esecuzione, ai sensi del quale:

- “i trattamenti effettuati dai titolari autonomi del trattamento, Comuni e ASTAT, avvengono a mezzo di distinti sistemi informatici che consentono di separare il dato relativo all’appartenenza o all’aggregazione al gruppo linguistico da ogni riferimento relativo all’identità dei soggetti interessati” (comma 1);

- “nella DPIA effettuata a ogni tornata censuaria, sono descritti i trattamenti, la valutazione della relativa necessità e proporzionalità, le modalità di gestione degli eventuali rischi per i diritti e le libertà dei soggetti interessati, a fronte dell’adozione di adeguate misure tecniche e organizzative, anche in seguito all’impiego di tecnologie innovative” (comma 2);

- “i titolari presentano la DPIA all’Autorità Garante per la protezione dei dati personali ai sensi dell’articolo 36, paragrafo 5 del GDPR” (comma 3);

VISTE le note del 18 febbraio, del 30 novembre 2022, del 2 e, da ultimo, del 14 marzo 2023 con cui la Provincia autonoma di Bolzano, ai sensi del citato art. 5 del regolamento di esecuzione e dell’art. 36, par. 5, del Regolamento, ha trasmesso all’Autorità la valutazione d’impatto del trattamento relativa alle modalità di attuazione del censimento dei gruppi linguistici in via telematica per l’anno 2022, predisposta dai Comuni della Provincia di Bolzano e dall’Istituto provinciale di statistica della Provincia di Bolzano (ASTAT), in qualità di titolari del trattamento;

RILEVATO che nella valutazione di impatto in esame sono state individuate misure adeguate a garantire che, nell’ambito del censimento dei gruppi linguistici in via telematica, sia reso anonimo il dato relativo all’appartenenza/aggregazione di una persona al gruppo linguistico, in modo tale da impedirne o non consentirne la re-identificazione, prevedendo, in particolare, che:

- l’identificazione degli interessati avvenga, da parte dei competenti Comuni, mediante un’applicazione web che, previa autenticazione tramite SPID, CIE, TS o CNS, genera un TOKEN e un PIN, con relativo HASH, utilizzabili entro le 24 ore successive alla loro generazione;

- l’espressione dell’appartenenza o dell’aggregazione a uno dei tre gruppi linguistici da parte dei soggetti interessati sia effettuata mediante una seconda applicazione web gestita dall’ASTAT, che utilizza come credenziali di autenticazione dell’interessato i predetti TOKEN e PIN, previa verifica della validità del relativo codice HASH;

CONSIDERATO che la versione in esame della valutazione di impatto è stata elaborata anche tenendo conto delle indicazioni fornite dall’Ufficio nell’ambito delle interlocuzioni informali intercorse con i rappresentati degli enti coinvolti, tese ad assicurare il rispetto normativa in materia di protezione dei dati personali, con particolare riferimento a:

- la corretta definizione dei ruoli, e delle conseguenti responsabilità, nell’ambito del trattamento in esame, anche dei responsabili del trattamento coinvolti, ai sensi degli artt. 4, par. 1, nn. 7 e 8, 24, 28, del Regolamento;

- la corretta individuazione e valutazione dei rischi elevati per i diritti e le libertà degli interessati presentati dal trattamento;

- le misure con cui garantire la separazione tra le due fasi di trattamento (identificazione ed espressione dell’appartenenza/aggregazione), attraverso l’utilizzo di due diversi sistemi informatici, al fine di impedire o non consentire la re-identificazione degli interessati rispetto alla preferenza da essi espressa, nel rispetto dei principi minimizzazione e di privacy by design e by default (artt. 5, par. 1, lett. c), e 25 del Regolamento), garantendo, altresì, che i dati vengano trattati esclusivamente per finalità statistiche nell’ambito della realizzazione del censimento, nel rispetto del principio di limitazione della finalità (art. 5, par. 1, lett. b), del Regolamento);

- le misure da adottare nell’ambito della selezione dei fornitori dei servizi cloud da individuarsi per effettuare le attività di trattamento in esame;

- la definizione dei tempi di conservazione dei dati trattati nelle diverse fasi del trattamento, ivi inclusi i log relativi alle operazioni di identificazione e di espressione dell’appartenenza/aggregazione, nel rispetto dei principi di limitazione della conservazione (artt. 5, par. 1, lett. e), del Regolamento);

- l’individuazione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento (artt. 5, par. 1, lett. f), e 32 del Regolamento);

RITENUTO, su tale base, che non vi siano rilievi da formulare sulla valutazione di impatto in esame; 

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 36, par. 5, e 58, par. 3, lett. c), del Regolamento, e dell’art. 5 del regolamento di esecuzione del 6 dicembre 2022, n. 28 della Provincia di Bolzano, recante “Modalità di attuazione del censimento dei gruppi linguistici e misure idonee ad assicurare modalità anonime di rilevazione dei dati in via telematica”, autorizza i Comuni della Provincia di Bolzano e l’Istituto provinciale di statistica della Provincia di Bolzano (ASTAT) a effettuare i trattamenti di dati personali così come descritti nella valutazione di impatto sulla protezione dei dati in esame.

Roma, 23 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei