Garante per la protezione
    dei dati personali

Newsletter

STUDI DI SETTORE: IL GARANTE CHIEDE CAUTELE E REGOLE PRECISE PER L'ELABORAZIONE DEI DATI

Sono troppo generiche le previsioni sull'utilizzo di dati e informazioni da parte della Società per gli studi di settore contenute in uno schema di concessione. I dati devono essere quelli strettamente necessari e stabiliti per legge e occorre specificare gli scopi e i limiti per la loro utilizzazione.

In risposta alla richiesta di parere sullo schema di convenzione con il quale il Ministero delle Finanze intende affidare in concessione ad una società a partecipazione pubblica, studi e ricerche in materia tributaria, l’Autorità Garante ha rilevato l'assenza di idonee disposizioni nello schema messo a punto dall'amministrazione finanziaria e ha indicato i principi ai quali attenersi per il rispetto della legge sulla tutela della privacy.

Lo schema di convenzione esaminato, conteneva solo un articolo (art. 3) relativo all’utilizzo dei dati e alla riservatezza dei cittadini. Questa norma prevede che la società concessionaria (di cui il Ministero detiene una quota del capitale sociale non inferiore al 51%) sia autorizzata ad utilizzare dati e informazioni presenti nel sistema informativo dell’amministrazione che le saranno messi a disposizione in relazione all’incarico di volta in volta conferito ed alle direttive impartite da "Centri di responsabilità" (individuati nei vertici amministrativi ai quali fanno capo le unità revisionali di base).

Era previsto, inoltre, che la società di studi, per realizzare le sue ricerche, potesse avvalersi anche di informazioni fornite dall’Istat, dalle associazioni di categoria, da enti e istituzioni private e pubbliche o raccolte direttamente, previo accordo con i suddetti centri, attraverso indagini a campione. Lo schema di convenzione prevedeva, inoltre, che il Ministero delle finanze e i competenti centri di responsabilità si attivassero affinché gli organismi interpellati forniscano le informazioni richieste per consentire alla concessionaria di espletare l’incarico. Per quanto riguarda poi la sicurezza e la riservatezza dei dati in possesso dell’amministrazione finanziaria, lo schema stabilisce che la concessionaria dovrebbe attenersi alle norme in materia di protezione dei dati secondo le indicazioni fornite dai titolari del trattamento.

Queste disposizioni, sono state ritenute dal Garante del tutto generiche.

Nel suo parere, l’Autorità ha invitato l’amministrazione finanziaria a specificare anzitutto le categorie di dati che intende mettere a disposizione della concessionaria sulla base delle vigenti norme di settore, rispettando i principi di pertinenza, proporzionalità e non eccedenza sanciti dall’art.9 della legge 675 del 1996, e ad indicare espressamente quali informazioni possono essere raccolte direttamente dalla Società per gli studi di settore.

Il Garante ha precisato che i dati messi a disposizione della concessionaria possono essere esclusivamente quelli raccolti in base a disposizioni di leggi o regolamenti: non è possibile quindi ritenere che la convenzione possa autorizzare raccolte di dati ulteriori e diversi da quelle disciplinate dalle normative di settore.

Ha ravvisato, inoltre, l’esigenza che vengano chiariti i ruoli e le responsabilità del Ministero delle finanze, dei Centri di responsabilità e della concessionaria rispetto al trattamento dei dati personali ed ha invitato ad introdurre puntuali disposizioni in ordine alle finalità ed ai limiti dell’utilizzazione delle informazioni da parte della società di studi, avendo particolare cura nell’individuare appropriate misure relative alla sicurezza dei dati.

Il Garante ha ritenuto infine opportuno chiedere all’amministrazione di trasmettere al suo ufficio, per un esame preventivo, lo schema—tipo degli atti esecutivi che verranno stipulati tra concessionaria e centri di responsabilità e che daranno attuazione alla convenzione, in quanto tali atti potrebbero incidere in maniera sostanziale sul trattamento dei dati.

Riguardo, infine, all'eventuale possibilità, da parte della società, di commercializzare alcuni prodotti realizzati, il Garante ha segnalato che dalla concessionaria potranno essere diffusi solo dati anonimi.