Anche le Pubbliche Amministrazioni sono tenute ad applicare le norme che tutelano la riservatezza per il trattamento dei dati personali. Tuttavia il legislatore all'atto dell'emanazione della legge sulla privacy aveva previsto che le norme relative al trattamento di dati sensibili non si sarebbero applicate ai soggetti pubblici fino al 7 maggio 1998. Ora il Governo, nella sua funzione di legislatore delegato, è intervenuto ulteriormente per dare ai soggetti pubblici una nuova proroga per adeguarsi alla normativa, che tante difficoltà operative sta provocando alle aziende private.

La proroga è operativa dal 9 maggio, giorno di entrata in vigore del decreto legislativo n. 135 del 1998, ed ha rinviato all'8 novembre 1998 l'entrata in vigore degli obblighi fissati dalla legge sulla privacy per gli uffici pubblici in relazione al trattamento dei dati sensibili. È stato, dunque, evitato il blocco dell'attività delle pubbliche amministrazioni (Organi Statali, Regioni, Province, Comuni ed Enti pubblici): se fosse rimasta ferma la scadenza del 7 maggio 1998, prevista dall'articolo 41, comma 5, della legge 675/96 sulla privacy probabilmente molti uffici pubblici si sarebbero trovati nella sostanziale impossibilità di continuare ad operare.

La norma ha quindi concesso agli uffici pubblici un tempo aggiuntivo di sei mesi per adeguarsi alle nuove regole sulla riservatezza dei dati personali. Questo dovrebbe consentire alla pubblica amministrazione di continuare a gestire i dati sensibili, ma allo stesso tempo per adeguarsi a quanto stabilisce l'articolo 22, comma 3, della legge, che condiziona il trattamento delle informazioni personali più riservate alla presenza di una legge «nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite».

Il regime di favore avrebbe dovuto aver termine il 7 maggio 1998, ma questo significava gettare nel caos gli uffici. Sono, infatti, poche le leggi che affidano espressamente alle amministrazioni il compito di gestire i dati sensibili. Né molte altre se ne sono aggiunte nel corso di quest'ultimo anno.

In particolare : la privacy del contribuente ed il trattamento di dati personali da parte dell'Amministrazione Finanziaria

Nel decreto legislativo n.135/1998 è stata inserita anche una norma per il raccordo della legge 675 con la possibilità di trasmissione telematica delle dichiarazioni dei redditi da parte delle Poste e delle banche all'Amministrazione Tributaria, operazione che partirà quest'anno. C'è, infatti, un problema di tutela della riservatezza dei dati personali contenuti nelle denunce, in particolare delle informazioni sensibili relative alla scelta circa l'assegnazione dell'8 per mille per finalità sociali o religiose .

Se per il futuro verranno individuate le modalità per inserire nelle dichiarazioni anche l'informativa all'interessato e la richiesta del consenso al trattamento, per quest'anno si è ritenuto di considerare la sottoscrizione della denuncia dei redditi sia come informativa che come autorizzazione alla gestione dei dati. Si tratta di una soluzione che non rispetta i principi generali fissati dalla legge n. 675/1996 e che dovrà essere meglio definita in vista delle future dichiarazioni tributarie ma questa scelta legislativa ha il merito di rendere possibile l'utilizzo di uno strumento tecnico che consentirà un'agevole trasmissione dei dati fiscali dei contribuenti.

Che esista un problema di riservatezza mal tutelata sembra indubbio. Anche perché in questo caso non si può far ricorso alla recente norma con la quale è stata sbloccato il problema, sempre inerente alla privacy, relativo alla trasmissione telematica dei circa 14 milioni di dichiarazioni, di cui quasi cinque milioni compilate a mano. Secondo quanto prevedono le nuove regole, come detto, a partire dal primo giugno e fino al 31 luglio i contribuenti dovranno presentare la denuncia dei redditi in uno dei 34mila sportelli abilitati: 14mila sportelli postali e 20mila bancari. Poste e banche provvederanno, successivamente, a trasferire le dichiarazioni su supporto informatico e a trasmetterle al ministero delle Finanze.

Per eseguire l'operazione dovranno, però, rivolgersi ad altri soggetti esterni, che verranno necessariamente a conoscenza dei dati personali contenuti nella denuncia. Si è, pertanto, presentato il problema di rendere compatibile la nuova procedura con gli obblighi di informativa e di acquisizione del consenso dell'interessato (in questo caso il contribuente) che la legge 675/96 impone per la diffusione e la comunicazione di informazioni personali.: il decreto legislativo 135/98, ha equiparato la sottoscrizione della dichiarazione dei redditi ad una dichiarazione di consenso al trattamento dei dati personali del contribuente.

Esite poi un ulteriore aspetto connesso alle problematiche fiscali. Unico '98, il nuovo modello per la dichiarazione dei redditi che ha sostituito anche il "740", presenta infatti alcuni aspetti problematici sui quali il Garante è stato chiamato ad intervenire. La busta in cui inserire la dichiarazione presenta, infatti, un'ampia finestra, attraverso la quale è possibile leggere i dati del contribuente.

Il decreto legislativo 135/1998 non può essere chiamato in soccorso perché in questo caso la violazione della privacy è alla radice. Ciascuno può, infatti, leggere i dati: a iniziare dall'impiegato postale o bancario che riceve la busta e che non necessariamente sarà quello incaricato del trattamento delle informazioni (anzi, non lo sarà proprio, visto che banche e poste si rivolgeranno all'esterno).

3 L'intervento del Garante a proposito del nuovo modello di dichiarazione dei redditi Unico '98.

A questo proposito l'Autorità Garante per la protezione dei dati personali ha ritenuto inadeguata la soluzione prescelta per la busta contenente il modello "Unico 98" per la dichiarazione dei redditi ed ha segnalato al Ministero delle finanze la necessità di prevedere nelle convenzioni in fase di stipula con l'Associazione bancaria italiana e le Poste italiane S.p.a. precise misure per la sicurezza e la riservatezza dei dati contenuti nelle dichiarazioni.

La segnalazione non blocca la procedura in atto per le dichiarazioni dei redditi. Tuttavia, ritenendo fondate alcune osservazioni formulate attraverso reclami ed esposti, il Garante ha constatato che la "finestra" che figura sulla busta (prevista al fine di apporre presso la banca o l'ufficio postale il numero di protocollo e la data di presentazione) può permettere di leggere il frontespizio della dichiarazione ed anche di estrarre la stessa con relativa facilità. Questa soluzione può far accedere alle informazioni contenute nella dichiarazione anche gli impiegati che non sono addetti alla ricezione delle dichiarazioni o alla loro elaborazione in vista della successiva trasmissione telematica all'Amministrazione delle finanze, elaborazione che può avvenire anche presso eventuali soggetti esterni cui la banca o l'ufficio postale affideranno la concreta attività di trattamento dei dati.

Il Garante ha osservato che la mancata rispondenza della busta ai canoni di sicurezza previsti dall'art. 15 della legge n. 675/1996 avrebbe potuto rendere necessaria la sua sostituzione con un modello basato su soluzioni più idonee (e già di uso corrente). Il Garante ha, tuttavia, tenuto conto della situazione eccezionale creata dalla scadenza del 1 giugno 1998 e dei tempi tecnici che sarebbero risultati necessari per modificare il decreto di approvazione del modello, per ristamparlo e per distribuirlo.

Peraltro, il Garante ha prescritto che sia delimitato il numero degli addetti aventi legittimo accesso ai dati contenuti nelle dichiarazioni e che questi siano designati formalmente quali "incaricati" del trattamento dei dati ai sensi della legge n. 675/1996 e, quindi, vincolati a mantenere il più assoluto riserbo su1 contenuto delle dichiarazioni.

A prescindere dalla situazione relativa alle denunce di quest'anno, il Garante ha inoltre sottolineato la necessità che la procedura sia regolata diversamente a partire dalla prossima dichiarazione da presentare nel 1999, anche al fine di consentire al cittadino non solo di rivolgersi ad un libero professionista di fiducia - come già previsto - ma anche di inviare direttamente al Ministero delle Finanze la propria dichiarazione, per via telematica e senza alcuna intermediazione. Il Garante ha dunque inviato una segnalazione allo stesso Ministero delle Finanze affinché i trattamenti di dati relativi alle dichiarazioni dei redditi siano resi conformi alle disposizioni in materia di protezione dei dati personali.

Milano, maggio 1998