Garante per la protezione
    dei dati personali

Trattamento dei dati sensibili e giudiziari effettuati dalla Banca d'Italia e dall'Ufficio Italiano dei Cambi

PROVVEDIMENTO DEL 13 GENNAIO 2011

Registro dei provvedimenti
n. 011 del 13 gennaio 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la richiesta di parere presentata dalla Banca d'Italia, integrata successivamente a pi riprese, in ordine a uno schema di regolamento che abroga e sostituisce il regolamento adottato dalla Banca d'Italia il 5 dicembre 2003 e il regolamento dell'Ufficio Italiano dei Cambi (Uic) del 25 maggio 2006 concernenti il trattamento dei dati sensibili e giudiziari (v., da ultimo, nota prot. n. 0589482/10 del 2 agosto 2010);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante, n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO:

La Banca d'Italia ha chiesto il parere del Garante in ordine a uno schema di regolamento concernente il trattamento dei dati sensibili e giudiziari volto a sostituire il precedente regolamento adottato dallo stesso Istituto il 5 dicembre 2003, nonch il regolamento sul trattamento dei dati sensibili e giudiziari dell'Ufficio italiano cambi (Uic) del 25 maggio 2006 abrogato in parte con provvedimento della Banca d'Italia del 21 dicembre 2007 (art. 7).

L'adozione di tale nuovo schema di regolamento si resa necessaria in ragione dell'avvenuto trasferimento alla Banca d'Italia delle competenze del soppresso Uic e dell'istituzione presso il medesimo Istituto, ai sensi del d.lg. 21 novembre 2007, n. 231, dell'Unit di informazione finanziaria per l'Italia (Uif) che esercita le proprie funzioni di prevenzione e contrasto dei fenomeni di riciclaggio di denaro e di finanziamento del terrorismo in autonomia e indipendenza, avvalendosi di risorse umane e tecniche, di mezzi finanziari e di beni strumentali della Banca d'Italia (artt. 6 e 62). In applicazione di tali principi, l'organizzazione e il funzionamento dell'Uif, sono disciplinate con regolamento della Banca d'Italia, ivi compresa la riservatezza delle informazioni acquisite (art. 6, c. 2, d.lg. n. 231/2007; regolamento per l'organizzazione e il funzionamento dell'Uif adottato con provv. della Banca d'Italia del 21 dicembre 2007).

In conformit al mutato quadro normativo sopra delineato, lo schema di regolamento in esame, ai sensi degli artt. 20, c. 2, e 154, c. 1, lett. g), del Codice individua i tipi di dati sensibili e giudiziari e di operazioni eseguibili dalla Banca d'Italia e dall'Uif, in relazione a specifiche finalit di rilevante interesse pubblico legislativamente individuate, nello svolgimento delle rispettive funzioni istituzionali.

Il parere reso su una versione aggiornata dello schema di regolamento che tiene conto degli ampi approfondimenti e delle indicazioni rese per le vie brevi dall'Ufficio del Garante ai competenti uffici della Banca d'Italia nel corso di varie riunioni e contatti informali a livello tecnico, volte a garantire un pi elevato standard di tutela del diritto alla protezione dei dati personali. Le osservazioni dell'Ufficio hanno riguardato, in particolare, l'eccedenza della prospettata raccolta da parte della Banca d'Italia presso il casellario giudiziale e il casellario dei carichi pendenti dei dati giudiziari dei lavoratori delle imprese appaltatrici di opere e servizi addetti allo svolgimento di tali attivit presso i locali dell'Istituto per finalit di sicurezza e di controllo degli accessi.

Sullo schema di regolamento sottoposto al parere di questa Autorit, si formulano i seguenti rilievi.

OSSERVA:

1. Informazioni sui pagamenti regolati nel sistema Target2-Banca d'Italia (scheda n. 6)
Nello schema di regolamento in esame (scheda n. 6), sono individuati i tipi di dati trattati e di operazioni eseguibili dalla Banca d'Italia nell'ambito del "sistema di regolamento lordo in tempo reale" dei pagamenti nell'area dell'euro (Target2). Talune informazioni sui pagamenti per conto della clientela, acquisite dalla Banca d'Italia in occasione dell'attivit di Target-2 e risultanti dalla combinazione tra i dati identificativi del soggetto ordinante o beneficiario, da un lato, e della relativa causale, dall'altro, potrebbero configurarsi come "sensibili" potendo essere idonee a rivelare, ad esempio, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso filosofico, politico o sindacale (art. 4, c. 1, lett. d) del Codice). Il trattamento di queste informazioni, anche sensibili, da parte della Banca d'Italia per la finalit di assicurare il regolare funzionamento dei sistemi di pagamento pu ritenersi in termini generali lecito in quanto rispondente a una finalit di rilevante interesse pubblico (v., in particolare, art. 146 d.lg. 1 settembre 1993, n. 385 e art. 67 del Codice), ferma restando la necessit di individuare un termine congruo di conservazione dei medesimi dati presso l'Istituto anche in conformit agli indirizzi della Banca centrale europea-Bce (artt. 32 e 39 dell'indirizzo del 26 aprile 2007 relativo ad un sistema di trasferimento espresso transeuropeo automatizzato di regolamento lordo in tempo reale (Target2) (Bce/2007/2) e art. 11 del Codice).

Tra le operazioni eseguibili indicate nella predetta scheda n. 6 viene poi menzionata la comunicazione all'Uif, "su specifica richiesta", dei dati sensibili contenuti nel sistema "ai fini di prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attivit criminose e di finanziamento del terrorismo".

Per prevenire e contrastare il riciclaggio e il finanziamento del terrorismo, l'Uif analizza infatti le operazioni sospette segnalate dagli intermediari finanziari e da altri soggetti a ci obbligati, nonch ogni fatto che potrebbe essere correlato a riciclaggio o finanziamento del terrorismo. A tal fine l'Uif acquisisce ulteriori dati dagli intermediari finanziari e dagli altri soggetti, potendosi avvalere del contributo delle autorit di vigilanza anche mediante scambio di informazioni (artt. 9, c. 2 e 6, 47, comma 1, lett. b), e 53 d.lg. n. 231/2007; artt. 5, c. 5, 6, c. 2, e 8, c. 2, regolamento per l'organizzazione e il funzionamento dell'Uif cit.; v. anche artt. 38 e 39 indirizzo della Bce cit. del 26 aprile 2007). In tale quadro, la Banca d'Italia e l'Uif hanno concluso il 27 febbraio 2009 un protocollo d'intesa che disciplina lo scambio di informazioni tra i medesimi soggetti, stabilendo tra l'altro le modalit e i limiti di accesso da parte dell'Uif ai dati relativi al sistema Target2 (artt. 3, 9 e all. n. 3 al medesimo protocollo).

Al riguardo, poich l'operazione di comunicazione all'Uif dei predetti dati sensibili menzionata nella predetta scheda n. 6 dello schema di regolamento in esame, rientra tra quelle che possono spiegare effetti maggiormente significativi per gli interessati, necessario:

 evidenziare nella scheda tale operazione in modo pi specifico, indicando le disposizioni normative che ne costituiscono il presupposto;

 integrare la sintetica descrizione del trattamento, in conformit al principio di indispensabilit, in modo da specificare che le richieste provenienti dall'Uif possono essere formulate soltanto "al fine di integrare l'analisi delle operazioni sospette e lo studio dei flussi finanziari effettuati sulla base dei dati e delle informazioni di cui l'Ufficio viene a conoscenza ai sensi e per gli effetti della disciplina sulla prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attivit criminose e di finanziamento del terrorismo con riferimento "a soggetti (persone fisiche e giuridiche) espressamente individuati"; ci, anche in conformit a quanto prevede sul punto il citato protocollo d'intesa sullo scambio di informazioni tra la Banca d'Italia e l'Uif del 27 febbraio 2009 che va opportunamente richiamato nella medesima scheda.

TUTTO CI PREMESSO IL GARANTE:

ai sensi degli artt. 20, c. 2, 154, c. 1, lett. g) del Codice esprime parere favorevole in ordine allo schema di regolamento sul trattamento dei dati sensibili e giudiziari effettuati dalla Banca d'Italia e dall'Ufficio Italiano dei Cambi che abroga i precedenti regolamenti adottati rispettivamente dalla Banca d'Italia e dall'Uic il 5 dicembre 2003 e il 25 maggio 2006, a condizione che siano rispettate le indicazioni formulate nel presente parere riguardanti i trattamenti di dati sensibili relativi ai pagamenti regolati nel sistema Target2-Banca d'Italia.

Roma, 13 gennaio 2011

Il presidente
Pizzetti

Il relatore
Chiaravalloti

Il segretario generale
Daniele De Paoli