EntiOnLine
Categorie
indietro
30/04/2019 I trattamenti da parte di Forze di polizia - 2018

I trattamenti da parte di Forze di polizia

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Per quanto riguarda i trattamenti effettuati dalle Forze di polizia, l’attività si è concentrata anzitutto sull’attuazione delle direttive n. 680/2016 e 681/2016; da segnalare anche gli scambi intercorsi con il competente Dipartimento del Ministero dell’interno in relazione ai lavori dell’Europol Coordination Board per ottenere i dati di contatto dell’autorità nazionale competente per l’esercizio del diritto di accesso a Europol da parte degli interessati. Similmente, contatti sono stati presi con il menzionato Ministero anche per quanto riguarda l’esercizio dei diritti degli interessati da parte dei richiedenti asilo dei quali vengono acquisite le impronte digitali.

Il Garante ha effettuato accertamenti in merito ad un progetto del Ministero dell’interno relativo alla realizzazione di un sistema automatico di ricerca di un volto presente nell’archivio dei soggetti foto-segnalati, denominato “SARI Enterprise”.

Il trattamento dei dati biometrici ricavabili dall’immagine facciale, effettuato dalle Forze di polizia a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, è previsto e disciplinato da una pluralità di fonti normative (art. 4 del Tulps, approvato con r.d. 18 giugno 1931, n. 773 e art. 7 del relativo regolamento di esecuzione, approvato con r.d. 6 maggio 1940, n. 635; art. 349 c.p.p.; art. 11, d.l. 21 marzo 1978, n. 59, convertito in legge 18 maggio 1978, n. 191; art. 5, d.lgs. 25 luglio 1998, n. 286; decreto del Ministro dell’interno 24 maggio 2017, recante l’individuazione dei trattamenti di dati personali effettuati con strumenti elettronici e i relativi titolari, in attuazione dell’art. 53, comma 3, del Codice).

Con i sistemi attualmente in uso, l’attività di ricerca della presenza di un soggetto nell’archivio delle persone foto-segnalate avviene tramite l’operazione manuale di un operatore idonea ad inserire, nei campi presenti nella maschera di interrogazione dell’archivio, informazioni anagrafiche, connotati e contrassegni (ad es., colore dei capelli, degli occhi, tatuaggi).

Il progettato sistema “SARI Enterprise” non effettua elaborazioni aggiuntive rispetto al passato, limitandosi ad automatizzare alcune operazioni in vista dell’effettuazione della ricerca nel database dei soggetti foto-segnalati attraverso l’inserimento di una immagine fotografica elaborata automaticamente al fine di fornire l’elenco di foto segnaletiche somiglianti, ottenute attraverso un algoritmo decisionale che ne individua la priorità, dalla più alla meno somigliante.

Per tali ragioni, secondo il Garante l’utilizzo del sistema “SARI Enterprise” non costituisce un nuovo trattamento di dati personali, ma una nuova modalità di trattamento di dati biometrici, che dovrà comunque essere effettuata nel rispetto delle regole previste dalla normativa rilevante in materia di tutela dei dati personali.

Né il trattamento in esame incorre nel divieto di cui all’art. 8, d.lgs. 18 maggio 2018, n. 51, relativo alle decisioni fondate unicamente su un trattamento automatizzato, compresa la profilazione, basate sulle categorie particolari di dati personali di cui all’art. 9 del RGPD (tra le quali rientrano i dati biometrici ricavabili dall’immagine facciale), in quanto il trattamento in argomento costituisce un mero ausilio all’agire umano, avente lo scopo di velocizzare l’identificazione da parte dell’operatore di polizia di un soggetto ricercato della cui immagine facciale si disponga, ferma restando l’esigenza dell’intervento dell’operatore per verificare l’attendibilità dei risultati prodotti dal sistema. Sulla base di tali elementi il Garante ha ritenuto che il trattamento di dati personali da realizzarsi mediante il sistema “SARI Enterprise” non presenta criticità sotto il profilo della protezione dati (provv. 26 luglio 2018, n. 440, doc. web n. 9040256).

Il Garante ha effettuato una verifica preliminare su un sistema di “videosorveglianza in mobilità” da porre in dotazione al personale della Polizia penitenziaria. Il sistema è composto dai sottosistemi “Scout” (dispositivo veicolare) ed “Explor” (dispositivo personale). L’apparato “Scout” permette all’operatore di effettuare la videoripresa attraverso telecamere montate sul mezzo e di trasmettere i filmati, in tempo reale, alla centrale operativa competente per lo svolgimento del servizio. Il dispositivo è dotato di telecamera frontale, per la videoripresa delle immagini, nonché di una batteria integrata, ed è inoltre concepito per l’utilizzo portatile da parte dell’operatore. L’apparato “Explor”, invece, è un dispositivo mobile in dotazione all’operatore di polizia penitenziaria, utilizzato come equipaggiamento personale, al fine di fornire allo stesso uno strumento di videoripresa funzionale alla documentazione delle attività svolte in occasione di particolari circostanze operative. I sistemi non sono dotati di software per il riconoscimento facciale.

L’utilizzo del sistema di videosorveglianza dinamica è previsto, principalmente, nel corso di attività di traduzione di detenuti e piantonamenti o all’interno delle sezioni detentive degli istituti penitenziari.

Il Garante ha rilevato che l’acquisizione delle immagini relative allo svolgimento delle attività istituzionali della Polizia penitenziaria nei contesti indicati appare rivolta alla tutela dell’ordine e sicurezza interna degli Istituti penitenziari, alla sicurezza delle traduzioni e alla prevenzione o repressione di reati in atto o consumati. In particolare, i contesti e luoghi di utilizzo in cui è limitato l’impiego del sistema appaiono senz’altro caratterizzati da situazioni che espongono gli operatori della polizia penitenziaria ed i terzi coinvolti a potenziali pericoli per l’incolumità e la sicurezza. Pertanto, l’acquisizione e la registrazione di videoriprese nei casi individuati nel disciplinare appare, in termini generali, legittima e rispettosa dei principi di necessità e proporzionalità.

Il Garante, tuttavia, ha prescritto di limitare l’impiego dei sistemi di videosorveglianza a situazioni di effettiva necessità, per prevenire un pericolo o per altra concreta ed individuata esigenza che non possa essere altrimenti soddisfatta, prevedibile o sopraggiunta nel corso dello svolgimento delle attività istituzionali. Ciò, in particolare, vale per le perquisizioni, per le quali si richiede una maggiore precisione nel distinguere le esigenze ordinarie da quelle straordinarie. Si è segnalata altresì l’esigenza di specificare meglio la previsione relativa alla possibilità di effettuare controlli di persone o veicoli che, per quanto riguarda quelli non aventi finalità investigativa, non deve consentire riprese di situazioni che non presentino concreta necessità di acquisire immagini.

In caso di utilizzo del sistema “Explor” all’interno delle aule di tribunale, l’autorizzazione dovrà essere richiesta al giudice monocratico o al presidente del collegio. L’informativa ai terzi in ordine alla registrazione nei predetti luoghi per motivi di sicurezza dovrebbe essere resa o dalla medesima autorità giudiziaria, o dalla polizia penitenziaria su delega espressa del giudice.

La conservazione delle immagini che non diano evidenza di eventi rilevanti è limitata ad un periodo di sette giorni, necessario a verificarne il contenuto. In ordine alla prevista conservazione per 120 giorni delle “immagini relative a fatti non costituenti reato, ma rilevanti per l’ordine e la sicurezza pubblica degli Istituti o delle camere di sicurezza site presso tribunali e ospedali”, è parso opportuno che siano precisate le condizioni al ricorrere delle quali è ammessa la conservazione delle immagini per tale periodo prolungato.

Subordinatamente al recepimento delle osservazioni sopra riportate, il Garante non ha ravvisato elementi ostativi all’impiego dei sistemi di videosorveglianza in mobilità Scout ed Explor da parte del personale della Polizia penitenziaria (provv. 5 aprile 2018, n. 196, doc. web n. 8577214).

Il Ministero dell’interno ha chiesto al Garante un parere in merito alla conformità alla disciplina rilevante in materia di tutela dei dati personali del disciplinare recante le procedure per l’accreditamento al database nazionale degli operatori della sicurezza privata.

Il database, di prossima attivazione, è previsto dall’art. 252-bis, r.d. 6 maggio 1940, n. 635, recante “Approvazione del regolamento per l’esecuzione del testo unico 18 giugno 1931, n. 773, delle leggi di pubblica sicurezza”, introdotto dall’art. 1, comma 1, lett. e), d.P.R. 4 agosto 2008, n. 153, in base al quale: “Le guardie particolari sono iscritte in un apposito registro della prefettura, nel quale sono annotati gli istituti e gli altri soggetti presso cui prestano o hanno prestato servizio e tutte le variazioni relative al rapporto di servizio, la formazione acquisita, l’impiego prevalente nell’anno, nonché, succintamente, i motivi di cessazione dal servizio”.

Il database è volto ad agevolare le attività di controllo amministrativo delle prefetture, competenti a rilasciare i titoli autorizzatori previsti dalle vigenti normative, nonché delle questure, a loro volta competenti ad esercitare la sorveglianza sui servizi di vigilanza privata.

Il database contiene esclusivamente gli elementi essenziali riguardanti il rilascio dei titoli di approvazione della nomina a guardia giurata e le vicende concernenti tali titoli autorizzatori (concessione, revoca, sospensione etc.) e non reca “dati di polizia” relativi agli accertamenti finalizzati all’adozione dei provvedimenti di concessione e revoca del decreto di approvazione della nomina a guardia giurata. Atteso che il trattamento non risulta effettuato a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, esso rientra nel campo di applicazione del RGPD.

Il Garante ha rilevato, tuttavia, che non risultano previste misure tecniche e organizzative pienamente soddisfacenti per garantire un livello di sicurezza adeguato al rischio connesso al trattamento e volte ad assicurare la protezione dei dati trattati fin dalla progettazione e per impostazione predefinita. Ulteriormente, fermo restando il principio della accountability, il Ministero è stato invitato a valutare l’adozione delle seguenti cautele: prevedere il tracciamento di tutte le operazioni effettuate sui dati personali, tali da consentire l’identificazione del soggetto che ha effettuato l’accesso o altra operazione di trattamento e la data ed ora in cui il trattamento è stato effettuato. In tale contesto, si è segnalata l’esigenza di dettare una specifica disciplina della conservazione dei file di log; prevedere il rilascio, agli incaricati del trattamento, delle istruzioni in merito alle modalità ed all’ambito del trattamento consentito; modificare periodicamente la password, ad esempio almeno ogni sei mesi; non assegnare il codice per l’identificazione, laddove utilizzato, ad altri incaricati, neppure in tempi diversi; disattivare le credenziali di autenticazione non utilizzate da un determinato periodo di tempo (es. almeno sei mesi), salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica; disattivare le credenziali anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali; impartire istruzioni a coloro che agiscano sotto l’autorità del titolare di non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento; verificare periodicamente, e comunque almeno annualmente, la sussistenza delle condizioni per la conservazione dei profili di autorizzazione; proteggere i dati personali contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies, c.p., mediante l’attivazione di idonei strumenti elettronici, da aggiornare con cadenza almeno semestrale; effettuare, almeno annualmente, gli aggiornamenti periodici dei programmi volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti; adottare idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni (provv. 11 luglio 2018, n. 415, doc. web n. 9054325).

Fonte: Autorità Garante - Relazione 2018

Banca dati