Garante per la protezione
    dei dati personali


Comunicato Stampa

Il collegio del Garante per la protezione dei dati personali, composto dal Prof. Stefano Rodotà, dal prof. Giuseppe Santaniello, dal Prof. Ugo De Siervo, dall'Ing. Claudio Manganelli, ha espresso il proprio parere sullo schema di regolamento che istituisce un archivio dei rapporti di conto e deposito, previsto dalla legge n.413 del 1991 sul potenziamento degli accertamenti fiscali e la riforma del contenzioso. Si tratta, dunque, di un regolamento la cui adozione deriva da una esplicita scelta del Parlamento.

Con tale regolamento devono essere stabilite "la destinazione e le modalità delle comunicazioni da parte delle aziende ed istituti di credito e dell'amministrazione postale nonché delle società fiduciarie e… di ogni soggetto che intrattenga con loro rapporti di conto o deposito o che comunque possa disporre del medesimo, nonché i criteri per le relative utilizzazioni".

Il collegio del Garante ha osservato, in via preliminare, che la necessità di introdurre uno strumento utile a favorire e semplificare indagini fiscali ed investigative, deve essere accompagnata, come prevede espressamente la stessa legge 413 (art.20), da una rigorosa disciplina dei vari profili di riservatezza.

La creazione di una banca dati centralizzata che interessa la generalità dei cittadini, al di là della sua utilità, presuppone, infatti, un'attenta regolamentazione che va oltre l'aspetto della sicurezza e dell'integrità dei dati, dovendo riguardare anche le finalità perseguite, i flussi di dati, l'utilizzazione ulteriore delle informazioni e l'individuazione di compiti e responsabilità.

Sotto questi aspetti, lo schema di regolamento non appare soddisfacente e sono, quindi, necessarie significative modifiche.

In primo luogo, lo schema non disciplina direttamente tutti i profili relativi alla destinazione e alle modalità di comunicazione dei dati, né i criteri per la loro utilizzazione, ma delega la loro definizione a diverse fonti normative con il rischio di non garantire una disciplina omogenea, atta ad assicurare l'elevato livello di riservatezza richiesto.

In secondo luogo, la gestione dei dati dovrà essere impostata in modo da tener nel massimo conto le esigenze di tutela dei diritti degli interessati, contenendo il numero degli incaricati che avranno accesso ai dati, impartendo loro precise istruzioni sul trattamento e richiamando i doveri di riservatezza cui sono tenuti.

In terzo luogo, lo schema sembra prevedere una conservazione a tempo indeterminato anche dei dati relativi a rapporti con le banche ormai chiusi. Tale ipotesi non è conforme né alle norme sulla privacy (che prevedono la conservazione dei dati per un periodo "non superiore a quello necessario agli scopi per i quali essi sono raccolti") né alla stessa legge n. 413, la quale si riferisce a rapporti di conto o di deposito in corso, anziché cessati. Inoltre, poiché tale legge si riferisce ai dati identificativi delle persone che intrattengono rapporti di conto e di deposito, e non a questi ultimi, la denominazione di "anagrafe dei rapporti di conto e di deposito" sembra impropria.

La previsione di accesso ai dati per "l'espletamento di attività di prevenzione" si presta, poi, ad equivoci. Si dovrà chiarire che l'accesso non è genericamente possibile per indefinite attività di prevenzione, ma solo per quelle puntualmente previste dalle norme (ad esempio, in materia tributaria).

Infine, devono essere perfezionate le clausole volte a tutelare il segreto d'ufficio, la riservatezza dei dati e la loro indebita utilizzazione. L'Autorità ha evidenziato che non appare corretto individuare una serie tassativa di finalità che giustificano l'accesso all'anagrafe, ma, poi, prevedere una generica possibilità che i dati siano ulteriormente utilizzati in altri procedimenti sia pure nel rispetto di disposizioni di legge.

Il regolamento deve prevedere espressamente che le richieste di accesso siano accompagnate dall'indicazione delle finalità e del procedimento di riferimento, senza la quale non sarebbe possibile verificare la legittimità della richiesta e, all'occorrenza, del successivo utilizzo dei dati.

18.11.1999