Parere sugli schemi, predisposti dall’AgiD, di Linee Guida sull’interoperabilità tecnica delle pubbliche amministrazioni e di Linee Guida su tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici – Garante Privacy 08.072021

Parere sugli schemi, predisposti dall’AgiD, di Linee Guida sull’interoperabilità tecnica delle pubbliche amministrazioni e di Linee Guida su tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici - Garante Privacy 08.072021

Garantire l’innovazione della pubblica amministrazione, con banche date interoperabili e accessibili in sicurezza anche a soggetti privati, proteggendo integrità e riservatezza dei dati dei cittadini. Questo l’obiettivo dei due nuovi schemi di Linee guida previste dal Codice dell’Amministrazione Digitale su cui il Garante per la protezione dei dati personali ha espresso parere favorevole.

Le “Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni” contribuiscono a definire un modello di riferimento per consentire la comunicazione tra le banche dati e lo scambio di informazioni tra enti pubblici, e tra la P.A. e il settore privato, al fine di offrire servizi più veloci ed efficienti. Le “Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici” si focalizzano sulle tecnologie e le loro modalità di utilizzo per garantire la sicurezza dei flussi di dati, in particolare tramite le cosiddette Api (Application programming interface) che consentono il dialogo tra i vari software utilizzati per la fornitura di servizi.

Nel parere il Garante dà atto ad Agid, che ha predisposto i due testi, di aver definito un quadro di garanzie e di misure volte ad assicurare l’integrità e la riservatezza dei dati personali – spesso anche particolarmente delicati e sensibili – oggetto di scambio tra le banche dati, rispettando le esigenze di protezione dei dati fin dalla progettazione e per impostazione predefinita, in coerenza con gli obblighi stabiliti dal Regolamento europeo sulla protezione dei dati.

Il Garante rimarca comunque la necessità che ogni flusso di dati personali, tra e con le banche dati della P.A., trovi legittimo fondamento in una idonea base giuridica, che renda chiare le specifiche responsabilità dei soggetti coinvolti nello scambio di dati e definisca adeguate garanzie a tutela dei diritti e delle libertà degli interessati.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9682994

Parere su uno schema di regolamento recante l’individuazione dei trattamenti di dati personali relativi a condanne penali e reati e delle relative garanzie appropriate ai sensi dell’articolo 2-octies, comma 2, del Codice – Garante Privacy 24.06.2021

Parere su uno schema di regolamento recante l’individuazione dei trattamenti di dati personali relativi a condanne penali e reati e delle relative garanzie appropriate ai sensi dell’articolo 2-octies, comma 2, del Codice - Garante Privacy 24.06.2021

Il Garante per la privacy ha espresso parere favorevole sullo schema di regolamento, predisposto dal Ministero della giustizia, che disciplina il trattamento dei dati giudiziari in una pluralità di ambiti e contesti.

Il testo, che recepisce buona parte delle indicazioni fornite dall’Autorità nel corso di diverse interlocuzioni con il Ministero, rafforza in maniera significativa le tutele previste per le persone e definisce un complesso di garanzie minime e coerenti nei principali settori nei quali possono essere trattati dati giudiziari: dall’ambito forense al mondo del lavoro, dalla verifica dei requisiti di onorabilità a quella della solidità e affidabilità di soggetti privati, dall’ambito assicurativo a quello delle professioni intellettuali o della ricerca storica e statistica, oppure nella mediazione e conciliazione delle controversie civili e commerciali.

La bozza di regolamento si applica anche ai dati relativi alle misure di prevenzione, come quelle per gli indiziati di appartenenza ad associazione di tipo mafioso. Il testo prescrive inoltre che tutti i titolari rispettino i principi di proporzionalità e di minimizzazione previsti dal Gdpr, trattando solo dati indispensabili e per il tempo strettamente necessario rispetto alla finalità perseguita. Chi tratta i dati, dovrà anche verificare l’affidabilità delle fonti, adottando specifiche garanzie volte ad assicurare l’esattezza dei dati trattati, che dovranno essere sempre aggiornati rispetto, tra l’altro, all’evoluzione della posizione giudiziaria dell’interessato.

Al fine di rafforzare ulteriormente le garanzie già previste nel testo del Ministero, il Garante ha comunque espresso nel parere ulteriori osservazioni. In particolare, il Garante ha richiesto che le garanzie introdotte con il decreto siano previste come parametro di riferimento minimo anche per quei trattamenti che vengono svolti in ambito pubblico sulla base di previsioni normative diverse. Ha inoltre chiesto che sia prestata particolare attenzione ai dati giudiziari raccolti da fonti aperte in caso di trattamenti svolti a fini di verifica della solidità, solvibilità ed affidabilità nei pagamenti. In tali casi si dovrebbero ammettere, quali legittime fonti di raccolta, solo i siti internet istituzionali, nonché quelli di ordini professionali e di associazioni di categoria.

Il Garante ha inoltre sottolineato che, nella maggior parte dei casi, il consenso dell’interessato non può essere considerato una base giuridica legittima per il trattamento dei dati giudiziari; questo aspetto vale in particolare nella gestione del rapporto di lavoro dove il dipendente si trova in una posizione di disparità tale, rispetto al datore di lavoro, da non garantire una libera espressione del consenso. L’Autorità ha infine rilevato l’importanza di disciplinare anche i trattamenti svolti da soggetti no-profit, per finalità di mediazione e conciliazione delle controversie civili e commerciali, nonché quelli per finalità di accesso a sistemi o aree sensibili in determinati ambiti, particolarmente rilevanti nel contesto socio-economico attuale.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9682603