Garante per la protezione
    dei dati personali


Nell'esaminare lo schema di convenzione trasmesso dall'Amministrazione finanziaria, l'Autorità invita a chiarire quale sia il ruolo del concessionario del servizio rispetto al trattamento dei dati personali (autonomo titolare o responsabile).

Roma, 9 giugno 1998       

Ministero delle finanze       
Gabinetto del Ministro       
Dipartimento del territorio -       
Direzione centrale del demanio       
Roma       

OGGETTO: Schema di convenzione con i concessionari del servizio di deposito, inventario ed alienazione dei beni mobili iscritti in pubblici registri e sottoposti a confisca amministrativa (art. 6, comma 2, d.l. n. 669/1996, conv. in L. n. 30/1997).

Con la nota indicata a margine, il Ministero delle finanze - Direzione centrale del demanio ha ricordato che tra i propri compiti istituzionali vi rientra anche la conservazione, l'alienazione e la distruzione dei veicoli sequestrati e confiscati in via definitiva dallo Stato a seguito di sanzioni amministrative, in base all'art. 395 del regolamento attuativo del nuovo codice della strada (d.PR. n. 495/1992).

Al riguardo, sono state emanate nuove disposizioni, che consentono all'Amministrazione finanziaria di affidare ad uno o più concessionari "le attività di recupero, deposito, redazione dell'inventario, alienazione e rottamazione dei beni mobili iscritti in pubblici registri oggetto di un provvedimento definitivo di confisca amministrativa" (art. 6, comma 2, decreto legge n. 669/1996, convertito dalla legge n. 20/1997); la disciplina dei rapporti tra il Ministero ed il concessionario è demandata poi ad un'apposita convenzione conforme allo schema-tipo da approvarsi con decreto ministeriale.

In attuazione di tali norme, il Ministero ha predisposto uno schema-tipo di convenzione, che ha sottoposto all'esame del Consiglio di Stato. Quest'ultimo (Sez. III, parere n. 1298/97 del 21 ottobre 1997), ha poi invitato l'Amministrazione ad acquisire l'avviso di questa Autorità, con specifico riferimento alla formazione dell'archivio informatico contenente le informazioni sui veicoli confiscati e alla facoltà del concessionario di fornire a terzi, dietro corrispettivo, notizie sui veicoli stessi.

Inoltre, il Consiglio di Stato ha segnalato all'Amministrazione l'esigenza di:

a) chiarire se la prescrizione normativa relativa alla tenuta dell'inventario dei veicoli "possa essere intesa nel senso ampliativo che emerge dallo schema della convenzione";

b) precisare l'esatta consistenza che verrebbe ad assumere la banca dati da porre in essere;

c) verificare la conformità delle previsioni della convenzione ai principi della legge n. 675/1996, come modificata dai successivi decreti legislativi.

1. Il Garante osserva preliminarmente che la gestione delle notizie relative ai veicoli confiscati e la redazione del relativo inventario comportano senz'altro l'acquisizione e l'utilizzazione di dati personali; queste attività rientrano, quindi, nell'ambito di applicazione della legge n. 675/1996.

Tale legge considera come "dati personali" tutte le informazioni che permettono di identificare, anche indirettamente, le persone "collegate", a qualsiasi titolo, ad un determinato veicolo. Per esempio, secondo un orientamento pacifico in ambito comunitario (che il Garante ha fatto proprio attraverso le spiegazioni inserite nel modello di notificazione dei trattamenti), è un dato personale anche la targa automobilistica; viceversa, possono non avere la natura di dati personali le informazioni tecniche riferite esclusivamente a beni (marca, modello, stato d'uso di un veicolo) e non correlate a persone fisiche o giuridiche, enti o associazioni.

Sotto altro profilo, va osservato che l'archivio dei veicoli confiscati non sembra contenere informazioni "sensibili" (riguardanti, cioè, lo stato di salute, le opinioni politiche o sindacali, ecc.: art. 22 legge n. 675/1996) o che riguardano provvedimenti penali (art. 24 legge n. 675/1996). Ciò semplifica la disciplina della relativa gestione in quanto, in caso contrario, sarebbero necessarie specifiche misure a garanzia degli interessati (v. artt. 22 e 24 citati).

Prima di esaminare gli aspetti di dettaglio relativi alla concessione, appare opportuno richiamare l'attenzione su alcuni punti di carattere generale.

2. Questa Autorità ravvisa l'esigenza che la convenzione in esame chiarisca i ruoli e le responsabilità dell'Amministrazione finanziaria e del concessionario rispetto ai trattamenti di dati personali.

Com'è noto, la legge n. 675/1996 fissa un denominatore comune di principi e di regole valido per qualunque trattamento (notificazione, requisiti di correttezza del trattamento e di pertinenza dei dati, informativa all'interessato, diritti di accesso alle informazioni personali, misure di sicurezza, ecc.) e stabilisce poi ulteriori regole, differenziate a seconda che il "titolare" sia un soggetto pubblico o privato.

Di regola, i soggetti pubblici non operano in base al consenso degli interessati e possono effettuare solo i trattamenti di dati connessi all'esercizio delle proprie funzioni istituzionali e rispondenti, in caso di divulgazione a terzi, a puntuali previsioni di legge o di regolamento (art. 27 legge n. 675/1996). I soggetti privati, invece, possono trattare informazioni personali in presenza del consenso degli interessati o di uno degli altri presupposti equipollenti (artt. 12 e 20 legge n. 675/1996).

Nello svolgimento dei propri compiti istituzionali, ciascun soggetto pubblico può ricorrere, poi, a privati, affidando agli stessi determinate attività in concessione.

In riferimento a quest'ultima ipotesi, l'amministrazione interessata deve precisare il ruolo assunto dal concessionario, il quale, ai sensi della legge n. 675/1996, può essere considerato, alternativamente, come:

1) un collaboratore esterno del soggetto pubblico, qualora coadiuvi l'amministrazione trattando dati personali anche al di fuori della relativa struttura, ma nell'ambito di un'attività che ricade nella sfera di titolarità e di responsabilità dell'amministrazione stessa;

2) una figura soggettiva del tutto distinta dall'amministrazione, che decide autonomamente in ordine al trattamento delle informazioni e si assume, in concreto, ogni responsabilità in proposito.

E' opportuno che il Ministero faccia chiarezza sul punto, tenendo presente che ai fini dell'applicazione della legge n. 675/1996 il concessionario, nel primo caso, è parte sostanziale della struttura pubblica (e allo stesso è quindi applicabile il particolare regime previsto per le amministrazione), mentre nel secondo è, al contrario, un privato che deve operare in base alle regole dettate dalla medesima legge per i soggetti privati e gli enti pubblici economici.

Inoltre, qualora l'Amministrazione intenda conservare una posizione "primaria" in ordine alle scelte sul trattamento di dati demandato al concessionario, è necessario precisare chi svolgerà l'eventuale ruolo di "responsabile del trattamento" (art. 8 legge n. 675/1996). Conseguentemente, l'Amministrazione deve decidere se prevedere tale figura ed attribuirne la responsabilità o alla struttura esterna cui è affidata l'attività in concessione, oppure ad un dipendente di quest'ultima, o a un proprio ufficio o dipendente dell'Amministrazione stessa (quest'ultima opzione presuppone che l'ufficio o il funzionario pubblico abbiano poteri effettivi di ingerenza sulle attività e sull'organizzazione dell'impresa concessionaria: cosa, in realtà, poco frequente). In concreto, la nomina del responsabile, che deve essere effettuata in forma scritta, potrebbe essere inserita in un apposito articolo della convenzione, oppure essere oggetto di un distinto provvedimento amministrativo o atto di diritto privato.

In alcune ipotesi, la scelta di designare un responsabile del trattamento può però apparire impraticabile, in particolare:

a) qualora i concessionari (e gli eventuali sub-concessionari) siano numerosi, perché ciò determinerebbe alcuni inconvenienti nell'esecuzione degli adempimenti, ad esempio, della notificazione e dell'informativa;

b) laddove il privato abbia una piena ed effettiva autonomia riguardo non solo alla disciplina del servizio e alle scelte tecnico-operative, ma anche alle decisioni principali sulle finalità e sulle modalità di utilizzazione dei dati (qualità e quantità delle informazioni trattabili, operazioni eseguibili, logiche di aggregazione e di elaborazione dei dati, misure di sicurezza).

Tuttavia, l'attuale schema di convenzione non sembra attribuire al concessionario un ruolo autonomo rispetto all'Amministrazione finanziaria o particolari poteri sui trattamenti di dati ad esso affidati (le cui principali caratteristiche sono determinate con precisione nella convenzione medesima). In ogni caso, si evidenzia che l'art. 6, comma 2, del citato d.l. n. 669/1996 consente al Ministero di comunicare al concessionario tutte le informazioni raccolte e detenute dai propri uffici, che sono necessarie per il corretto espletamento del servizio e per la redazione dell'inventano dei veicoli (gestito in forma di archivio informatico).

Per un compiuto esame dei presupposti e dei requisiti del trattamento effettuato dal concessionario, è opportuno, inoltre, chiarire se il decreto ministeriale in esame abbia o meno natura regolamentare, poiché la legge n. 675/1996 rende possibile l'utilizzazione e la divulgazione di informazioni personali qualora tali operazioni siano previste da puntuali disposizioni di legge o di regolamento (cfr. artt. 12, comma 1, lett. a), 20, comma 1, lett. c) e 27, commi 2 e 3).

3. Ciò premesso in linea generale, è necessario formulare ulteriori osservazioni su alcuni profili dello schema che hanno riflessi più immediati nella materia del trattamento di dati personali.

Nell'art. 2, lett. a), dello schema è opportuno chiarire a che titolo - obbligo normativo o meno - gli "enti competenti" forniscono i dati.

L'art. 2, lett. h), dispone poi che il concessionario è tenuto alla riservatezza su tutti i dati acquisiti in esecuzione della convenzione. La disposizione reca una clausola di stile generica che deve essere affiancata da puntuali indicazioni in ordine alle finalità e ai limiti dell'utilizzazione delle informazioni personali da parte del concessionario, con particolare riguardo all'individuazione di appropriate misure relative alla sicurezza dei dati.

Queste indicazioni possono essere inserite modificando la parte di disposizione che al momento vieta al concessionario di effettuare "ogni forma di trattamento dei dati" "fuori dei limiti di cui al successivo comma i)". Tale divieto appare restrittivo e contrario alle stesse finalità della convenzione, in quanto ai fini della redazione dell'inventario e della gestione dei veicoli confiscati il concessionario deve poter eseguire varie operazioni riguardanti dati personali che rientrano nella nozione di "trattamento" (secondo l'art. 1, comma 2, lett. b), della legge n. 675/1996, per trattamento s'intende qualsiasi operazione o complesso di operazioni concernenti, ad esempio, la raccolta, la registrazione, la elaborazione, la consultazione, la comunicazione, la diffusione e la distruzione dei dati).

Questa Autorità segnala pertanto l'opportunità di riformulare la predetta lettera h), sostituendo i divieti ivi contenuti con un inciso nel quale si specifichi che il trattamento effettuato dal concessionario può riguardare le finalità e i dati strettamente collegati all'esecuzione della convenzione, secondo modalità connesse a tale scopo e con un generale divieto di divulgazione dei dati fuori dei casi espressamente previsti. Appare altresì opportuno inserire un riferimento all'adozione di misure di sicurezza delle informazioni in rapporto al sistema informativo che verrà probabilmente realizzato.

La successiva lett. i) riconosce poi al concessionario, a titolo di corrispettivo per le prestazioni cui è tenuto nei confronti dell'Amministrazione, la facoltà di fornire a società assicuratrici o di leasing, nonché ad altri soggetti privati, informazioni sui veicoli sequestrati, sui relativi dati identificativi e sull' "identità dei soggetti aventi titolo sul bene mobile per ogni fornitura di informazioni riferite ad uno stesso bene mobile".

Al riguardo, questa Autorità ritiene che la disposizione debba essere armonizzata con le disposizioni della legge n. 675/1996 e della legge n. 241/1990, chiarendo se ed in quale misura, in conformità alla stessa legge n. 241/1990, si possa richiedere ai terzi un compenso o i diritti di segreteria per la consultazione delle informazioni (evitando quindi di comprimere il diritto ad acquisire tali informazioni).

Per quanto attiene alla prima considerazione, va osservato che la disposizione è carente sotto un duplice profilo:

a) come indicato dal Consiglio di Stato, il concessionario deve infatti garantire a chiunque vi abbia un interesse giuridicamente rilevante l'accesso ai documenti amministrativi, comprese le altre amministrazioni pubbliche. Sotto tale profilo, non sembra che possano essere posti limiti ulteriori rispetto a quanto già previsto dalla legge n. 241/1990 e dal d.PR. n. 352/1992 in tema di consultazione degli atti e dei documenti detenuti, anche in forma elettronica, dal concessionario;

b) riguardo alla possibilità per il concessionario di fornire non tanto i "documenti", ma singoli dati o un insieme di dati personali contenuti nell'archivio dei veicoli, è indispensabile precisare le finalità per le quali i dati stessi possono essere forniti nonché le finalità del loro successivo utilizzo da parte dei richiedenti, verificandone attentamente la compatibilità con gli originari scopi della raccolta e con le finalità istituzionali attribuite, in materia, all'Amministrazione (art. 9, comma 1, lettere b) e d), legge n. 675/1996).

A quest'ultimo proposito, occorre rilevare che la formulazione utilizzata al numero 1) della lett. i) individua in termini generici alcuni soggetti destinatari dei dati (escludendo in termini discutibili il settore pubblico), ma non definisce i requisiti che legittimano la richiesta di informazioni (mettendo sullo stesso piano società assicuratrici, società di leasing ed imprecisati altri soggetti privati con i soggetti titolari di diritti relativi al veicolo).

Desta altresì perplessità la circostanza che il concessionario del pubblico servizio possa fornire i dati, in forma aggregata ed anonima, soltanto alle imprese assicuratrici e non anche ad altri soggetti quali, ad esempio, le stesse amministrazioni ed autorità pubbliche (lett. i), numero 2)).

In conclusione, il Garante segnala a codesto Ministero l'esigenza di apportare opportune modificazioni allo schema-tipo di convenzione seconde le osservazioni sopra indicate, con preghiera di trasmettere copia dello schema riformulato.

Questa Autorità resta a piena disposizione per ogni ulteriore chiarimento ed utile apporto.

IL PRESIDENTE