Con provvedimento n. 33 del 4 febbraio 2016, il Garante privacy ha espresso parere positivo in relazione allo schema di decreto del Ministero dei beni e delle attività culturali e del turismo (MIBACT) che disciplina la realizzazione della banca dati dei beni culturali illecitamente sottratti. L’Autorità ha chiesto però maggiori tutele sul trattamento dei dati personali.
Il Ministero dovrà adottare, in particolare, adeguate misure di sicurezza e di conservazione dei dati e una specifica disciplina in caso di trasferimento delle informazioni fuori dal territorio dell’Unione.
La banca dati, istituita presso il Ministero, contiene tra l’altro il nominativo del denunciante, le informazioni relative al soggetto presso cui si trovano le opere da acquisire e le altre informazioni rilevanti ai fini della ricerca e del recupero del bene sottratto, inclusi dati di carattere giudiziario.
Lo schema disciplina l’ambito di applicazione, le finalità giuridiche (prevenzione e contrasto dei reati in danno del patrimonio culturale), il titolare e il responsabile del trattamento (MIBACT e Carabinieri), i soggetti che alimentano la banca dati, i dati da comunicare, le principali operazioni, i soggetti abilitati alla consultazione, prevedendo la tracciatura delle operazioni svolte.
Nel corso dei contatti avuti dall’Ufficio del Garante col Ministero e con le Amministrazioni interessate, l’Authority ha formulato alcuni rilievi e ha fornito indicazioni volte a conformare il testo alla disciplina in materia di protezione dei dati personali.
Il Garante ha chiarito, innanzitutto, di aver reso il parere sul presupposto che il decreto abbia natura regolamentare. Circostanza importante, in quanto il trattamento (tipo di informazioni raccolte: denunce o notizie di reato; finalità di contrasto e prevenzione dei reati) disciplinato dal decreto è funzionale ad attività di polizia e quindi, come stabilito dal Codice privacy, esige una disciplina di rango regolamentare.
Le indicazioni rese dall’Autorità hanno riguardato vari aspetti tra cui, l’identificazione delle figure di titolare, responsabile e incaricato del trattamento, la verifica della pertinenza e non eccedenza dei dati personali con cui si alimenta la banca dati, l’adozione di adeguate misure di sicurezza, la definizione dei tempi di conservazione dei dati personali e il loro trasferimento fuori dal territorio europeo, per il quale si ritiene opportuno inserire una specifica disciplina.