g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Parere del Garante
  4. Parere del Garante su uno schema di regolamento della Provincia Autonoma di Trento che disciplina, in particolare, il trattamento dei dati personali appartenenti a particolari categorie ai sensi dell’articolo 9 del Regolamento, nello svolgimento delle funzioni catastali delegate dallo Stato alla Provincia - 16 novembre 2023 [9974277]

Parere del Garante su uno schema di regolamento della Provincia Autonoma di Trento che disciplina, in particolare, il trattamento dei dati personali appartenenti a particolari categorie ai sensi dell’articolo 9 del Regolamento, nello svolgimento delle funzioni catastali delegate dallo Stato alla Provincia - 16 novembre 2023 [9974277]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9974277]

Parere del Garante su uno schema di regolamento della Provincia Autonoma di Trento che disciplina, in particolare, il trattamento dei dati personali appartenenti a particolari categorie ai sensi dell’articolo 9 del Regolamento, nello svolgimento delle funzioni catastali delegate dallo Stato alla Provincia - 16 novembre 2023

Registro dei provvedimenti
n. 595 del 16 novembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il dott. Claudio Filippi, vice segretario generale;

Vista la richiesta di parere della Provincia Autonoma di Trento;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 57, paragrafo 1, lettera c);

Visto il  Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo 30 giugno 2003, n. 196 e s.m.i., di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Agostino Ghiglia;

PREMESSO

La Provincia Autonoma di Trento ha richiesto il parere del Garante su di uno schema di regolamento attuativo dell'articolo 40, comma 11-bis, della legge provinciale 27 dicembre 2010, n. 27 (legge finanziaria provinciale 2011). Il provvedimento disciplina, in particolare, il trattamento dei dati personali appartenenti a particolari categorie ai sensi dell’articolo 9 del Regolamento, nello svolgimento delle funzioni catastali delegate dallo Stato alla Provincia.

L’articolo 40, comma 11-bis della legge provinciale demanda, infatti, alla fonte  regolamentare l’individuazione -nel rispetto dei principi di minimizzazione, proporzionalità e sicurezza- dei dati personali di cui all’articolo 9 del Regolamento e la disciplina delle operazioni effettuate dalla Provincia per le finalità di rilevante interesse pubblico connesse alla tenuta di registri pubblici relativi a beni immobili, nell'esercizio delle funzioni delegate dallo Stato alla Provincia, in materia di catasto terreni e urbano, nonché le relative misure di sicurezza.

RILEVATO

L’articolo 1 dello schema di regolamento introduce le definizioni più rilevanti ai fini della sua applicazione includendovi, oltre a quella relativa ai registri pubblici del catasto fondiario e del catasto urbano tenuti, conservati e aggiornati dalla Provincia di Trento (articolo 1, comma 2, lett. c), anche la definizione dei soggetti legittimati a operarvi, tra i quali, in particolare:

- il soggetto intestatario catastale, quale persona fisica risultante dai registri pubblici catastali provinciali (lett. d);

- il soggetto istante, quale tecnico libero professionista abilitato dalla legge ad agire per conto e nell’interesse dell’intestatario catastale (lett. e);

- l’utente esterno, quale soggetto che, previo pagamento di diritti speciali catastali, può consultare i registri pubblici catastali e acquisire certificazioni in regime di libera consultazione e acquisizione (lett. g) e, infine

- l’utente esterno abilitato, a cui è permesso – su base contrattuale- l’accesso al portale OPENKAT in uso alla Provincia autonoma di Trento, oltre che la consultazione e la presentazione di istanze per chiedere il compimento di operazioni catastali (h).

Nel medesimo articolo vengono poi definiti i gestionali NCF e NSC, con i quali la Provincia di Trento gestisce il registro pubblico del catasto fondiario e del catasto urbano (lett. i e j) e infine il portale web OPENKAT attraverso il quale è possibile consultare le risultanze dei registri pubblici catastali provinciali e acquisire le certificazioni e la documentazione previste dalla legge.

L’articolo 3, relativamente all’esercizio delle funzioni amministrative delegate in materia di catasto terreni e catasto urbano, legittima la Provincia “a trattare anche i dati personali idonei a rivelare lo stato di salute degli stessi eventualmente contenuti nella documentazione che, in base alla normativa catastale, il soggetto istante è tenuto a produrre in sede di richiesta di un’operazione catastale”. L’autorizzazione si estende, inoltre, al trattamento dei medesimi dati (ai sensi del combinato disposto dell’articolo 9, comma 1, lettera g), del Regolamento, e dell’articolo 2 sexies, comma 2, lettere a) e c), del Codice) nell’evasione delle istanze in materia di accesso avente ad oggetto documenti presenti nei gestionali, non ammessi al regime della libera consultazione da parte di chiunque.

Il secondo comma dell’articolo 3 precisa poi che la raccolta dei dati “idonei a rivelare lo stato di salute” avviene presso gli interessati, per il tramite dei soggetti incaricati allo svolgimento della relativa pratica catastale e che i dati stessi “non sono oggetto di comunicazione, diffusione, raffronto o interconnessione”.

L’articolo 4 dispone che il trattamento dei dati personali venga effettuato –in conformità all’articolo 5 del Regolamento- da personale autorizzato sia con modalità “cartacee” che informatiche, tramite i gestionali NSF e NSC nonché tramite il portale OPENKAT gestito dalla Provincia.

L’articolo 5 delinea i ruoli dei soggetti coinvolti nel trattamento, pur con mero richiamo a quelli già “definiti dalla Giunta all’interno dell’organizzazione provinciale”. Nel medesimo articolo, inoltre, viene individuata la società Trentino Digitale S.p.a., quale soggetto gestore informatico dei documenti, dei flussi documentali, dei gestionali, delle banche dati, degli applicativi e del portale utilizzati dalla Provincia, nonché quale responsabile del trattamento, ai sensi dell’articolo 28 del Regolamento.

L’articolo 6 legittima- conformemente alle previsioni di settore- la conservazione per una durata illimitata dei acquisiti nell’ambito di un procedimento volto all'aggiornamento e/o alla rettifica dei dati dell'archivio catastale, limitandola invece a dieci anni per i dati acquisiti nell’ambito di un procedimento volto a dare riscontro a una richiesta di accesso ai dati catastali.

L’articolo 7 esclude trasferimenti dei dati come sopra individuati in paesi non appartenenti all’Unione europea, mentre l’articolo 8 individua i soggetti legittimati ad accedere ai gestionali NCF e NSC e al portale OPENKAT per lo svolgimento delle operazioni catastali richieste in attuazione delle funzioni catastali delegate dallo Stato.

L’articolo 9, infine, individua le misure di sicurezza da adottarsi con riferimento ai suddetti gestionali e all’applicativo OPENKAT.

RITENUTO

Lo schema di regolamento legittima la Provincia a effettuare i trattamenti di dati personali di cui all’articolo 9 del Regolamento, funzionali alle operazioni necessarie allo svolgimento delle funzioni catastali delegate dallo Stato alla Provincia.

L’individuazione di tali categorie di dati è effettuata attraverso il rinvio alla normativa di settore vigente, prevedendo che oltre ai dati comuni degli intestatari catastali, si possano trattare anche dati personali idonei a rivelare lo stato di salute degli interessati eventualmente contenuti nella documentazione che, in base alla normativa catastale, il soggetto istante è tenuto a produrre in sede di richiesta di un’operazione catastale.

Anche i ruoli dei soggetti coinvolti nel trattamento sono individuati per relationem rispetto a quelli già “definiti dalla Giunta all’interno dell’organizzazione provinciale”.

L’individuazione, meramente per relationem, dei tipi di dati da trattare, delle operazioni suscettibili di svolgimento e degli stessi ruoli assunti, nell’ambito del trattamento, dai soggetti istituzionali coinvolti, non appare sufficiente a soddisfare le esigenze di determinatezza correlate a un trattamento di dati, quali quelli appartenenti alle categorie particolari di cui all’articolo 9 del Regolamento, assistiti da garanzie di tutela rafforzate (cfr., in particolare, p.1, lett.g) del citato articolo 9).

Tale tecnica redazionale non pare, del resto, soddisfare la ratio sottesa alla norma attributiva del potere esercitato, che individua appunto nella disciplina delle tipologie di dati e di operazioni l’oggetto del provvedimento in analisi, con esigenza analoga rispetto ai ruoli esercitati dai soggetti coinvolti nel trattamento.

Relativamente, infine, alle misure di sicurezza individuate all’articolo 9 del provvedimento, considerando che l’utilizzo del codice fiscale come user-id può esporre gli interessati al rischio di accesso, da parte di terzi, a ulteriori informazioni riconducibili all’utente (es. data e luogo di nascita), in particolare in caso di esfiltrazione delle credenziali, è opportuno prevedere: 

a) procedure di autenticazione informatica a più fattori;

b) distinguere, anche in termini di complessità e misure di conservazione delle password, le utenze privilegiate (es. amministratori di sistema) da quelle che tali non siano;

c) il rinvio – ai fini della sicurezza del protocollo di comunicazione- alle “Raccomandazioni AGID in merito allo standard Transport Layer Security (TLS)”;

d) l’indicazione delle informazioni registrate nei file di log nonché i tempi di conservazione e le misure a garanzia della integrità e inalterabilità dei medesimi, distinguendole, se del caso, per le operazioni svolte da utenti privilegiati e non;

e) le misure di sicurezza applicativa per l’accesso ai gestionali NCF e NSC e all’applicativo OPENkat in uso alla Provincia.

IL GARANTE

ai sensi dell’articolo 57, par. 1, lett. c), del Regolamento, esprime parere favorevole sul proposto schema di regolamento, con le seguenti condizioni, esposte nel “Ritenuto”, relative all’esigenza di:

a) riformulare gli articoli 3 e 5 indicando puntualmente - e non per relationem – i tipi di dati suscettibili di trattamento, le operazioni da svolgere e i ruoli, nell’ambito del trattamento, dei soggetti coinvolti;

b) integrare l’articolo 9, prevedendo:

l’introduzione di procedure di autenticazione informatica a più fattori;

la distinzione tra le utenze privilegiate e quelle che tali non sono;

un espresso rinvio alle “Raccomandazioni AGID in merito allo standard  Transport Layer Security (TLS)”;

l’indicazione delle informazioni registrate nei file di log nonché i tempi di conservazione e le misure a garanzia della integrità e inalterabilità dei medesimi, distinguendole, se del caso, per le operazioni svolte da utenti privilegiati e non;

misure di sicurezza applicativa per l’accesso ai gestionali NCF e NSC e all’applicativo OPENkat in uso alla Provincia.

Roma, 16 novembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi

 

 

Scheda

Doc-Web
9974277
Data
16/11/23

Argomenti

Particolari categorie di dati Dati sanitari

Tipologie

Parere del Garante

Vedi anche (10)