Garante per la protezione
    dei dati personali


PUBBLICA AMMINISTRAZIONE - 'ACCESSO DEI CONCESSIONARI DELLA RISCOSSIONE AGLI UFFICI PUBBLICI'

I soggetti pubblici non operano in base al consenso degliinteressati e possono effettuare solo i trattamenti di dati connessiall'esercizio delle proprie funzioni istituzionali e rispondenti, in caso didivulgazione a terzi, a puntuali previsioni di legge o di regolamento (art. 27legge n. 675/1996).

 

Roma, 16 giugno 1999

Ministero delle finanze
Dipartimento delle entrate
Direzione centrale per la riscossione
Servizio II - Div. III
Roma

OGGETTO: decreto ministeriale recante norme per stabilirei casi, i limiti e le modalità di esercizio delle facoltà di accesso deiconcessionari della riscossione agli uffici pubblici (art. 18, comma 3, d.lg.112/1999).

La legge-delega 28 settembre 1998, n. 337, recante normein materia di riordino della riscossione, prevede l'emanazione di unprovvedimento legislativo che disciplini l'accesso dei concessionari, con leopportune cautele e garanzie, alle informazioni disponibili presso l'anagrafetributaria, con obbligo di utilizzazione delle stesse ai soli finidell'espletamento delle procedure esecutive e con l'obbligo, per iconcessionari medesimi, di utilizzare sistemi informativi collegati fra loro econ quelli dell'amministrazione finanziaria e procedure informatiche uniformiper l'espletamento degli adempimenti amministrativo-contabili contemplati dallalegge (art. 1, comma 1, lett. h) nn. 7 e 8).

L'art. 18, comma 3, del decreto legislativo 13 aprile1999, n. 112, rubricato "Accesso dei concessionari agli ufficipubblici" , prevede che con decreto del Ministero delle finanze, sentitoil Garante per la protezione dei dati personali, sono stabiliti i casi, ilimiti e le modalità di esercizio delle facoltà di accesso dei concessionaridella riscossione agli uffici pubblici e le cautele a tutela della riservatezzadei debitori.

Con la nota in riferimento è stato qui inviato, ai finidel previsto parere, lo schema di decreto attuativo delle citate disposizionilegislative.

Al riguardo, si formulano le seguenti considerazioni.

Questa Autorità ravvisa l'esigenza che il decreto inesame chiarisca i ruoli e le responsabilità dell'Amministrazione finanziaria edei concessionari rispetto ai trattamenti di dati personali.

Com'è noto, la legge n. 675/1996 fissa un denominatorecomune di princìpi e di regole valido per qualunque trattamento (notificazione,requisiti di correttezza del trattamento e di pertinenza dei dati, informativaall'interessato, diritti di accesso alle informazioni personali, misure disicurezza, ecc.) e stabilisce poi ulteriori regole, differenziate a seconda cheil "titolare" sia un soggetto pubblico o privato.

Di regola, i soggetti pubblici non operano in base alconsenso degli interessati e possono effettuare solo i trattamenti di daticonnessi all'esercizio delle proprie funzioni istituzionali e rispondenti, incaso di divulgazione a terzi, a puntuali previsioni di legge o di regolamento(art. 27 legge n. 675/1996). I soggetti privati, invece, possono trattareinformazioni personali in presenza del consenso degli interessati o di unodegli altri presupposti equipollenti (artt. 12 e 20 legge n. 675/1996).

Nello svolgimento dei propri compiti istituzionali,ciascun soggetto pubblico può ricorrere, poi, a privati, affidando agli stessideterminate attività in concessione.

In riferimento a quest'ultima ipotesi, l'amministrazionefinanziaria deve precisare il ruolo assunto dai concessionari dellariscossione, i quali, ai sensi della legge n. 675/1996, possono essereconsiderati, alternativamente, come:

*    collaboratori esterni del soggettopubblico, qualora coadiuvino l'amministrazione trattando dati personali ancheal di fuori della relativa struttura, ma nell'ambito di un'attività che ricadenella sfera di titolarità e di responsabilità dell'amministrazione stessa;

*    figure soggettive del tutto distintedall'amministrazione, che decidono autonomamente in ordine al trattamento delleinformazioni e si assumono, in concreto, ogni responsabilità in proposito.

È opportuno che il Ministero faccia chiarezza sul punto,tenendo presente che ai fini dell'applicazione della legge n. 675/1996 iconcessionari, nel primo caso, sono parte sostanziale della struttura pubblica(e agli stessi è quindi applicabile il particolare regime previsto per lapubblica amministrazione), mentre nel secondo sono, al contrario, privati chedevono operare in base alle regole dettate dalla medesima legge per i soggettiprivati e gli enti pubblici economici.

In alcune ipotesi, la scelta di designare un responsabiledel trattamento può però apparire impraticabile, in particolare:
qualora i concessionari (e gli eventualisub-concessionari) siano numerosi, perché ciò determinerebbe alcuniinconvenienti nell'esecuzione degli adempimenti, ad esempio, dellanotificazione e dell'informativa;
laddove il privato abbia una piena ed effettiva autonomiariguardo non solo alla disciplina del servizio e alle scelte tecnico-operative,ma anche alle decisioni principali sulle finalità e sulle modalità diutilizzazione dei dati (qualità e quantità delle informazioni trattabili,operazioni eseguibili, logiche di aggregazione e di elaborazione dei dati,misure di sicurezza).

Tuttavia, l'attuale schema di decreto non sembraattribuire al concessionario un ruolo autonomo rispetto all'Amministrazionefinanziaria o particolari poteri sui trattamenti di dati ad esso affidati (lecui principali caratteristiche dovrebbero essere determinate con precisionenello schema di decreto medesimo).

In ogni caso, si evidenzia che l'art. 18, commi 1 e 2,del d.lg. 112/1999 consente ai concessionari della riscossione, ai soli finidella riscossione mediante ruolo, di accedere sia agli uffici pubblici, perconoscere gli atti riguardanti i beni dei debitori iscritti a ruolo e deicoobbligati, sia ai sistemi informativi del Ministero delle finanze e deglialtri soggetti creditori, per conoscere le informazioni in essi contenute.

Va però tenuto conto che per l'eventuale comunicazione aiconcessionari di dati c.d. sensibili o attinenti a provvedimenti giudiziari,dovrà osservarsi la disciplina introdotta dagli artt. 1-5 e 10 del d.lg. 11maggio 1999, n. 135.

Per un compiuto esame dei presupposti e dei requisiti deltrattamento effettuato dal concessionario, è opportuno, poi, chiarire se ildecreto ministeriale in esame abbia o meno natura regolamentare, poiché lalegge n. 675/1996 rende possibile l'utilizzazione e la divulgazione diinformazioni personali qualora tali operazioni siano previste da puntualidisposizioni di legge o di regolamento (cfr. artt. 12, comma 1, lett. a), 20,comma 1, lett. c) e 27, commi 2 e 3).

Ciò premesso in linea generale, è necessario formulareulteriori osservazioni su alcuni profili dello schema che hanno riflessi piùimmediati nella materia del trattamento di dati personali.

All'art. 1 si ritiene opportuno sostituire le parole"..ad acquisire con sistemi informatici .." con le parole "..arichiedere anche mediante connessione telematica.." .

Si deve altresì segnalare nel medesimo articolo che laprevisione relativa alle "informazioni disponibili presso il Sistemainformativo del Ministero delle finanze, ivi comprese quelle contenute presso isistemi ad esso collegati" è generica e che è quindi necessariospecificare meglio i tipi di dati a cui si intende far accedere il concessionario,nel rispetto dei princìpi di pertinenza e non eccedenza dei dati sancitidall'art. 9, comma 1, lett. d), della legge n. 675 (che il citato d.lg. n.135/1999 rafforza in riferimento ai dati c.d. sensibili e giudiziari),precisando altresì quali siano le informazioni contenute presso i non meglioindividuati "sistemi ad esso collegati" .

Analogamente, occorre specificare con particolareattenzione la natura delle "..informazioni disponibili presso gli Ufficipubblici, per prendere visione e per estrarre copia in carta libera degli atti,ovvero delle notizie necessarie.." (art. 6).

Si ritiene altresì opportuno che sia lo stesso decreto inesame a disciplinare gli aspetti relativi all'individuazione delle modalità perl'accesso alle informazioni del sistema informativo del Ministero delle finanzee che non siano pertanto "sub-delegati" (art. 3, 2¡ periodo, e art.4) ad altra fonte (Istruzioni del Centro informativo del Dipartimento delleentrate).

All'art. 4, ultimo periodo, è opportuno sostituire leparole "..ai soli fini della riscossione dei tributi." con le parole"..ai soli fini della riscossione mediante ruolo." Ciò in conformitàal disposto di cui all'art. 18, commi 1 e 2, del citato d.lg. n. 112/1999.

All'art. 7, primo periodo, non è chiaro il motivo per cuila conoscibilità da parte dei concessionari delle informazioni detenute datutti gli altri uffici pubblici circa i beni dei debitori e dei coobbligatiriguardi soltanto "i crediti non erariali" .

Si nutrono perplessità, sotto il profilo di conformità ald.lg. n. 112/1999, in merito alla costituzione, con il decreto in esame, di unabanca dati contenente sia l'elenco degli enti impositori che hanno fornitoinformazioni ai concessionari, sia la tipologia delle informazioni stesse (art.7, ultimo periodo).

Non è precisato altresì se i concessionari siano tenuti aregistrare le informazioni acquisite in appositi archivi elettronici e se sianotenuti a darne comunicazione anche agli enti impositori; né è stabilito inquale maniera i concessionari siano abilitati a gestire tutte le informazioniacquisite (con riferimento alle misure organizzative e tecniche per laprotezione e la sicurezza dei dati).

Si rileva, infine, che gli artt. 1, 3, 4, 5 e 6 recanouna clausola di stile generica con la quale si dispone il rispetto delle normea tutela della riservatezza dei dati personali. Al riguardo si ritieneopportuno espungere tali clausole generiche introducendo, in un appositoarticolo, puntuali indicazioni in ordine alle finalità e ai limitidell'utilizzazione delle informazioni personali da parte dei concessionaridella riscossione, con particolare riguardo all'individuazione di appropriatemisure relative alla sicurezza dei dati (art. 15, legge n. 675/1996).

Queste indicazioni dovrebbero specificare che i trattamentieffettuati dai concessionari possono riguardare le finalità e i datistrettamente collegati all'espletamento delle procedure esecutive, secondomodalità connesse a tale scopo e con un generale divieto di divulgazione deidati fuori dei casi espressamente previsti. Appare altresì opportuno inserireun riferimento all'adozione di misure di sicurezza in relazione ai sistemi diconnessione telematica che verranno realizzati.

Questa Autorità resta a disposizione per ogni ulteriorecollaborazione ritenuta utile.

IL PRESIDENTE