Garante per la protezione
    dei dati personali


Il rapporto tra il Ministero delle finanze e la Società per gli studi di settore S.p.a. basato su una "convenzione di concessione" deve essere oggetto di varie precisazioni sui dati messi a disposizione del concessionario, sull'accesso al sistema informativo del Ministero, sulla figura del responsabile del trattamento e sulla sicurezza.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale;

Vista la richiesta di parere trasmessa dal Ministero delle finanze in data 28 giugno 2000;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000;

Relatore l'ing. Claudio Manganelli;

PREMESSA:

Con nota n. 3-11708 del 28 giugno 2000, il Ministero delle finanze ha chiesto un parere sullo schema di "convenzione di concessione" tra il Ministero delle finanze e la Società per gli studi di settore S.p.a. (art. 62-bis, d.l. 30 agosto 1993, n. 331, convertito con modificazioni, legge 29 ottobre 1993, n. 427; art. 10, comma 12, legge 8 maggio 1998, n. 146).

Con lo schema in esame l'Amministrazione finanziaria intende affidare alla Società (qualificata dallo schema stesso quale ente strumentale dell'Amministrazione) l'elaborazione degli studi di settore e l'effettuazione di studi e ricerche in materia tributaria. Tali attività possono essere infatti affidate in concessione ad una società a partecipazione pubblica costituita sotto forma di società per azioni, di cui il Ministero delle finanze detiene una quota di capitale sociale non inferiore al 51 per cento (art. 10, comma 12, legge n. 146/1998).

L'Amministrazione finanziaria precisa poi che la convenzione intende assumere una valenza "normativa" del rapporto, attesa l'ampia gamma di studi che la concessionaria dovrebbe realizzare e l'impossibilità, allo stato, di una individuazione più puntuale di tutti gli specifici obiettivi settoriali da conseguire. Si prevede, di conseguenza, per la definizione dei singoli incarichi, il rinvio ad appositi atti esecutivi da stipularsi tra la concessionaria e i competenti "Centri di responsabilità" (rappresentati dai centri di responsabilità amministrativa ai quali fanno capo le unità revisionali di base in cui è ripartito il bilancio di previsione dell'Amministrazione ai sensi dell'art. 1 d.lg. n. 279/1997). La convenzione specificherebbe gli studi da realizzare, i tempi di realizzazione e i corrispettivi, mentre gli atti esecutivi verrebbero a costituire la struttura contrattuale attuativa, divenendo parte integrante e sostanziale della convenzione in esame.

Lo schema di convenzione contiene allo stato solo una disposizione che riguarda l'utilizzo dei dati e la riservatezza (art. 3). Tale disposizione prevede che la concessionaria, per espletare l'incarico, verrebbe autorizzata ad utilizzare dati, notizie e informazioni presenti nel sistema informativo dell'Amministrazione e messi a sua disposizione dai predetti "Centri di responsabilità", attenendosi alle direttive impartite dai medesimi Centri (art. 3, comma 1).

Lo schema di convenzione dispone inoltre che la concessionaria potrebbe avvalersi di dati, notizie e informazioni fornite all'Amministrazione dall'ISTAT, dalle associazioni di categoria, da enti, istituzioni e organismi privati e pubblici, nonché raccolti direttamente, previo accordo con i competenti centri di responsabilità, attraverso indagini anche campionarie (art. 3, comma 2).

E' altresì previsto che a richiesta della concessionaria, l'Amministrazione e i competenti centri di responsabilità si adoperino affinché enti, istituzioni ed organismi pubblici o privati concessionari forniscano tutti i dati, le notizie e le informazioni necessarie alla concessionaria per espletare l'incarico (art. 3, comma 3).

Lo schema di convenzione stabilisce infine che il concessionario dovrà avere riguardo alla sicurezza ed alla riservatezza delle informazioni contenute nel sistema informativo dell'Amministrazione, attenendosi alle norme in materia di protezione dei dati personali secondo le indicazioni impartite dai titolari del trattamento dei dati (art. 3, commi 4 e 5).

OSSERVA:

Art. 3, commi 1, 2, e 3 dello schema di convenzione: la previsione relativa all'utilizzazione di dati, notizie ed informazioni presenti nel sistema informativo dell'Amministrazione, ivi compresi quelli forniti all'Amministrazione dall'ISTAT, dalle associazioni di categoria, da enti, istituzioni e organismi privati e pubblici, nonché raccolti direttamente, è del tutto generica. E' quindi necessario specificare le categorie di dati che si intende mettere a disposizione del concessionario, nel rispetto dei principi di pertinenza, proporzionalità e non eccedenza dei dati sanciti dall'art. 9 della legge n. 675, precisando altresì quali siano le informazioni che possono essere raccolte eventualmente direttamente dalla concessionaria.

E' necessario inoltre precisare che possono essere messe a disposizione della concessionaria esclusivamente i dati, le notizie e le informazioni che l'Amministrazione e gli altri soggetti menzionati raccolgono e detengono in base ad altre specifiche disposizioni contenute in leggi o regolamenti. In altre parole, le disposizioni contenute nei commi 2 e 3 dell'articolo 3 della convenzione non autorizzano la raccolta di dati ed informazioni ulteriori e diverse da quelle disciplinate dalle specifiche normative di settore.

E' inoltre necessario che sia lo stesso schema di convenzione in esame a disciplinare gli aspetti relativi all'individuazione delle modalità per l'accesso alle informazioni del sistema informativo del Ministero delle finanze e degli altri soggetti sopra richiamati e che non siano pertanto "sub-delegati" ad altra fonte quale gli atti esecutivi (art. 4 dello schema).

Non è precisato altresì se la concessionaria sia tenuta a registrare le informazioni acquisite in appositi archivi elettronici, né è stabilito in quale maniera la concessionaria sia abilitata a gestire tutte le informazioni acquisite (con riferimento alle misure organizzative e tecniche per la protezione e la sicurezza dei dati).

Art. 3, comma 5: si ravvisa l'esigenza che lo schema di convenzione in esame chiarisca i ruoli e le responsabilità dell'Amministrazione finanziaria, dei "Centri di responsabilità" e della concessionaria rispetto ai trattamenti di dati personali.

E' necessario precisare che la concessionaria è designata quale responsabile del trattamento dei dati (art. 8 legge n. 675/1996) di cui è unico titolare l'Amministrazione finanziaria nel suo complesso, anziché i singoli uffici, alla quale competono le scelte di fondo sulle finalità e modalità del trattamento. In mancanza di tale designazione l'utilizzazione delle banche dati dell'Amministrazione da parte della Concessionaria dovrebbe peraltro essere contenuta in specifiche norme di legge o di regolamento, ai sensi dell'art. 27 della legge n. 675/1996.

Per quanto riguarda poi il trattamento di eventuali dati di tipo "sensibile" ai sensi degli artt. 22 e 23 della legge n. 675/1996, va richiamata l'articolata disciplina contenuta nel d.lg. n. 135/1999.

Art. 3, commi 4 e 6: si rileva che la disposizione reca una clausola di stile generica con la quale si prevede l'obbligo di adottare soluzioni conformi al preminente interesse dell'Amministrazione e/o dei centri di servizio riguardo alla sicurezza ed alla riservatezza delle informazioni contenute nel sistema informativo dell'Amministrazione stessa. Al riguardo si ritiene opportuno espungere tali clausole generiche, introducendo puntuali indicazioni in ordine alle finalità e ai limiti dell'utilizzazione delle informazioni personali da parte della concessionaria, con particolare riguardo all'individuazione di appropriate misure relative alla sicurezza dei dati (art. 15, legge n. 675/1996; d.P.R. 28 luglio 1999, n. 318).

Queste indicazioni dovrebbero specificare che i trattamenti effettuati dal concessionario possono riguardare le finalità e i dati strettamente collegati all'espletamento di quanto previsto dalla convenzione, secondo modalità connesse a tale scopo e con un generale divieto di divulgazione dei dati.

E' altresì necessario inserire un riferimento all'adozione di misure di sicurezza in relazione anche ad eventuali sistemi di connessione telematica che si intenda realizzare.

Fermo restando che tutte le operazioni di trattamento dati connesse alla convenzione dovranno essere svolte nel rispetto dei principi in materia di sicurezza affermati, sul piano della responsabilità civile, dall'art. 15, comma 1, della legge n. 675/1996, si ritiene necessario che la disposizione dello schema in esame preveda quanto meno un riferimento alla suddetta normativa in materia di sicurezza (art. 15 della legge n. 675/1996 e d.P.R. n. 318/1999).Si suggerisce inoltre di riunire in una unica disposizione i commi 4 e 6 dell'art. 3 dello schema di convenzione, delineando in un solo contesto l'obbligo di garantire la sicurezza e la riservatezza.

Art. 4: poiché gli atti esecutivi, di cui si prevede la stipula tra la concessionaria e i competenti centri di responsabilità, costituiranno la struttura contrattuale attuativa della convenzione e potranno incidere in maniera sostanziale sul trattamento dei dati, si ritiene opportuno che sia trasmesso al Garante lo schema-tipo.

Art. 24, comma 2: con riferimento alla possibilità per la concessionaria di commercializzare i prodotti realizzati in esecuzione dei singoli atti esecutivi, occorre precisare che, per quanto riguarda il trattamento di dati personali, potranno essere diffusi dalla concessionaria soltanto dati anonimi (art. 1, comma 2, lett. i), legge n. 675/1996).

TUTTO CIO' PREMESSO IL GARANTE:

esprime il proprio parere allo schema di convenzione nei sensi di cui in motivazione.

Roma, lì 14 marzo 2001

IL PRESIDENTE
Rodotà
IL RELATORE
Manganelli
IL SEGRETARIO GENERALE
Buttarelli