g-docweb-display Portlet

Carte di pagamento e istituzione dell'archivio ''antifrode'' - 19 ottobre 2006 [1353472]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1353472]

Carte di pagamento e istituzione dell´archivio ´´antifrode´´ - 19 ottobre 2006

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

Vista la richiesta di parere del Ministero dell´economia e delle finanze;

Vista la legge 17 agosto 2005, n. 166, relativa all´istituzione di un sistema di prevenzione sulle carte di pagamento;

Visto l´articolo 154 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

Il Ministero dell´economia e delle finanze ha chiesto, ai sensi dell´art. 154, comma 4, del Codice in materia di protezione dei dati personali, il parere del Garante su uno schema di regolamento concernente l´istituzione di un sistema di prevenzione delle frodi sulle carte di pagamento.

Il regolamento, in attuazione della legge 17 agosto 2005, n. 166 (art. 7), deve individuare:

a) le modalità per istituire un elenco di "società segnalanti" (comprendente società, banche ed intermediari finanziari che emettono carte di pagamento e gestiscono reti commerciali di accettazione di dette carte), tenute ad effettuare alcune comunicazioni ad un apposito archivio informatizzato anti-frode, della cui gestione sarà responsabile, presso il Ministero, il relativo Ufficio centrale antifrode dei mezzi di pagamento (di seguito, Ucamp). Le comunicazioni riguardano dati ed informazioni relativi ad esercenti commerciali e a titolari di carte di pagamento (artt. 1, 2, 3 e 9 dello schema); le società sono autorizzate, a determinate condizioni, ad accedere a dati personali contenuti nel medesimo archivio (art. 10);

b) i dati e le informazioni che le medesime società devono inviare (artt. 5 e 6) per alimentare il menzionato archivio, che è strutturato su quattro livelli d´accesso (art. 4), nonché le modalità della loro immissione nel medesimo archivio (art. 9) e i tempi di conservazione (art. 12);

c) i presupposti che devono ricorrere affinché possa ritenersi sussistente un "rischio di frode" oggetto di monitoraggio e di segnalazione (artt. 7 e 8);

d) i soggetti abilitati a consultare i dati personali trattati nel menzionato archivio (artt. 10 e 15) e le modalità per lo scambio dei dati con la Banca d´Italia (art. 14).

OSSERVA

1. Considerazioni generali
Il provvedimento in esame prevede la centralizzazione presso il Ministero dell´economia e delle finanze di un numero cospicuo di informazioni personali relative ad esercenti commerciali e a titolari di carte di pagamento.

Le finalità sottese all´esigenza di prevenire l´uso indebito di tali carte sono lecite e svolte anche a garanzia di persone interessate. Il trattamento dei dati personali che si rende necessario presenta però "rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità" che richiedono attenta valutazione (art. 17 del Codice).

Ciò, in relazione alla natura delle informazioni e alle modalità del trattamento correlato alla menzionata centralizzazione, nonché agli effetti che possono determinarsi nella sfera giuridica degli interessati. Il trattamento può infatti incidere, in particolare, sulla decisione di concludere o di risolvere contratti da parte delle società che emettono le carte, come pure di accertare comportamenti fraudolenti (grazie anche ad attività investigative da parte dei soggetti a ciò istituzionalmente preposti), con le conseguenze anche penali che ne possono derivare.

La delicatezza di questo genere di trattamento è stata enunciata anche dal Gruppo dei Garanti europei in un apposito documento di lavoro (n. WP 65 adottato il 3 ottobre 2002, pubblicato in http://ec.europa.eu).

A prescindere dalle cautele ipotizzate nello schema di regolamento e sulle quali è espresso il presente parere, il Garante si riserva quindi la facoltà di prescrivere autonomamente altre misure ed accorgimenti che si rivelassero necessari a garanzia degli interessati, anche sulla base della prima esperienza applicativa (art. 17 del Codice).

Per quanto riguarda il contenuto del regolamento va anzitutto ravvisata la necessità che si preveda l´adozione di misure adeguate per assicurare la vigilanza sulla corretta utilizzazione delle informazioni, nonché serie garanzie per il puntuale rispetto della disciplina di protezione dei dati personali. Ciò, tenuto anche conto che i dati personali in questione possono essere messi a disposizione di un´ampia platea di destinatari (cfr. art. 10 dello schema).

In particolare, si ravvisa l´esigenza che si assicurino garanzie adeguate che tengano conto dei principi di qualità dei dati, necessità, pertinenza e non eccedenza (art. 11 del Codice) e che permettano di prevenire:

  • la segnalazione nell´archivio centralizzato di dati erronei;
  • l´utilizzazione dei dati contenuti nell´archivio per finalità diverse da quelle stabilite nella legge n. 166/2005, da esplicitarsi comunque nel regolamento in esame;
  • l´accessibilità da parte dei soggetti autorizzati ad informazioni contenute nell´archivio non pertinenti o eccedenti rispetto alle mansioni alle quali sono adibiti gli "incaricati del trattamento" che devono essere designati ai sensi dell´art. 30 del Codice;
  • la comunicazione dei dati contenuti nell´archivio a terzi non autorizzati.

2. Finalità del trattamento

2.1. Lo schema non individua chiaramente le finalità del trattamento legittimamente perseguibili mediante l´istituzione dell´archivio, mentre questo profilo richiederebbe un´esplicitazione rispetto alle previsioni contenute nella legge n. 166/2005.

Tale individuazione è invece necessaria, stante il principio secondo cui i dati devono essere trattati per scopi determinati, espliciti e legittimi (art. 11, comma 1, lett. b), del Codice), attesa anche la pluralità di organi e soggetti, pubblici (l´Ucamp, le forze di polizia, la Banca d´Italia) e privati (le c.d. società "segnalanti") che potranno conoscere le informazioni contenute nell´archivio, seppur con modalità differenziate. L´accesso ad esse è inoltre preordinato a perseguire finalità tra loro differenti a seconda del soggetto che le conosca, e che vanno ben oltre la mera (ed esclusiva) istituzione di "un sistema di prevenzione, sul piano amministrativo, delle frodi sulle carte di pagamento" (art. 1 l. n. 166/2005).

2.2. La necessità di individuare con maggiore chiarezza e puntualità le finalità legittimamente perseguibili mediante il nuovo archivio deriva anche dal principio secondo cui "qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali" (art. 18, comma 2 del Codice).

Tale più specifica individuazione consentirà, di conseguenza, di definire quali tipologie di operazioni di trattamento, che non sono, allo stato, indicate nello schema, possano essere effettuate legittimamente presso il Ministero (al di là dell´operazione di aggregazione delle informazioni provenienti dalle "società segnalanti").

L´identificazione specifica delle finalità consentirà altresì di coordinare sistematicamente, dal punto di vista delle operazioni di trattamento dei dati, la disciplina di settore introdotta con la legge n. 166/2005 con il precedente testo unico delle leggi in materia bancaria e creditizia (d.lg. 1° settembre 1993, n. 385), il quale (art. 146), in termini generali, attribuisce la vigilanza sui sistemi di pagamento alla Banca d´Italia.

2.3. Nello schema deve essere altresì esplicitato, per dare piena attuazione al richiamato principio di finalità (art. 11 del Codice), che le informazioni trattate presso il Ministero e da tutti i soggetti che accederanno all´archivio non potranno essere utilizzate per scopi incompatibili con quelli indicati nella legge n. 166/2005 (e da esplicitare nel regolamento).

3. Dati trattati

3.1. I dati e le informazioni registrati nell´archivio (artt. 5 e 6 dello schema) non sembrano dover contenere necessariamente "dati giudiziari" (art. 4, comma 1, lett. e), del Codice), fra i quali sono come noto compresi anche quelli "idonei a rivelare….la qualità di imputato o di indagato" e il cui trattamento è "consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili" (art. 21 del Codice).

La locuzione utilizzata all´art. 4, comma 1, n. 2 dello schema, secondo cui il secondo livello dell´archivio conterrebbe, in forma anonima, dati "concernenti le frodi realizzate con le carte di pagamento", rende però opportuna una rettifica che renda la locuzione stessa più coerente con il dettato della legge, la cui finalità è la "prevenzione delle frodi" e che prevede la raccolta di informazioni relative al "rischio di frode" (art. 3 l. n. 166/2005).

La locuzione attualmente adoperata allude, infatti, a comportamenti che potrebbero apparire già accertati come rilevanti sul piano penale (e quindi riconducibili alla menzionata nozione di "dati giudiziari"), anziché a mere anomalie o a condotte fraudolente denunciate, ma oggetto di verifiche. La medesima locuzione sarebbe quindi suscettibile di qualificare l´archivio (e, conseguentemente, i soggetti che in esso possono essere registrati) in termini univocamente stigmatizzanti o comunque "negativi", con immediate e dirette conseguenze sfavorevoli (se non discriminatorie) in relazione alla stipula (o all´esecuzione) di convenzioni con le società emittenti delle carte di pagamento.

La locuzione in questione potrebbe essere quindi perfezionata, ad esempio con una del tenore seguente o analogo: "…concernenti le anomalie e le possibili frodi rilevate in relazione all´utilizzo di carte di pagamento".

3.2. La causale della revoca della convenzione denominata "motivi di sicurezza" (art. 5, comma 1, lett. B), n. 15 a), dello schema), sebbene sia utilizzata all´art. 2, comma 1, lett. a), della legge n. 166/2005, merita di essere esplicitata; essa non risulta infatti idonea ad individuare chiaramente quali siano le circostanze che determinano la revoca e, per l´effetto, la comunicazione di dati all´archivio informatizzato.

3.3. In relazione all´art. 9, comma 3, dello schema non pare conforme alla disciplina di protezione dei dati personali la figura della "cancellazione temporanea". La cancellazione del dato implica infatti la sua distruzione e le misure temporanee (che, se disposte dal Garante, prevedono il solo "blocco" del trattamento) implicano la sola sospensione della visibilità dei dati.

Con riguardo alla medesima disposizione, in connessione con le considerazioni di seguito formulate a proposito del titolare del trattamento (cfr. il successivo punto 4.1.), va previsto che l´intervento sui dati trattati a seguito di provvedimenti giudiziari o del Garante possa essere effettuato anche dal titolare del trattamento e non sia rimesso all´esclusiva iniziativa delle "società segnalanti".

4. Titolare, responsabili e incaricati del trattamento

4.1. Appare necessario un approfondimento sulla figura del titolare del trattamento.

Il sistema di prevenzione in esame è infatti istituito presso il Ministero (art. 1, comma 1, l. n. 166/2005).

Le società segnalanti devono quindi comunicare i dati e le informazioni in questione al Ministero (art. 1, comma 4, l. n. 166/2005).

Tale legge specifica poi (art. 1, comma 5) che l´Ucamp esercita le sue funzioni "nell´ambito del Dipartimento del Tesoro".

Infine, la legge stessa demanda all´Ucamp il compito di designare "ulteriori" soggetti "responsabili ai sensi dell´art. 29 del decreto legislativo 30 giugno 2003, n. 196".

Queste disposizioni di legge, in armonia con le indicazioni del Codice sull´individuazione del titolare del trattamento e sulla designazione dei responsabili (artt. 28 e 29), inducono quindi a ritenere che, ferma restando la collocazione dell´archivio informatizzato presso l´Ucamp, che ne potrà curare la gestione con propria responsabilità e sfera di autonomia (art. 1, comma 5, della l. n. 166/2005 e art. 3, comma 1, dello schema), titolare del complessivo trattamento dei dati relativi al sistema di cui l´archivio rappresenta una componente resti il Ministero dell´economia e delle finanze. Vanno di conseguenza apportate le correlate precisazioni alle pertinenti disposizioni dello schema (in particolare, artt. 3 e 11).

4.2. Nell´art. 1, comma 1, dello schema, deve essere precisato che le società eventualmente delegate ad eseguire gli obblighi individuati nel decreto devono essere designate quali responsabili del trattamento ai sensi dell´art. 29 del Codice. Si suggerisce pertanto di sostituire la dizione "da altra società segnalante appositamente delegata" con la seguente: "da altra società appositamente delegata e a tal fine designata quale responsabile del trattamento ai sensi dell´art. 29 del decreto legislativo 30 giungo 2003, n. 196.".

4.3. Lo schema non fa riferimento, e merita di essere integrato, all´obbligo di identificazione e di designazione degli incaricati del trattamento presso l´Ucamp ai sensi dell´art. 30 del Codice.

Lo schema deve altresì contenere misure volte a delimitare il numero delle persone, operanti presso i soggetti autorizzati ad accedere alle informazioni contenute nell´archivio, in particolare con riferimento alle "società segnalanti", da designare anch´essi per iscritto quali incaricati dei trattamenti effettuati.

Si rileva altresì l´esigenza, attesa la delicatezza delle operazioni di trattamento effettuate tramite l´archivio, che gli incaricati (ivi compreso il personale indicato all´art. 17 dello schema e all´art. 7, comma 5 della l. n. 166/2005) possano fruire di adeguata formazione professionale anche in relazione ai pertinenti profili di protezione dei dati personali.

5. Misure di sicurezza
I dati personali oggetto del trattamento effettuato presso il Ministero hanno carattere riservato nei confronti di qualsiasi soggetto estraneo al sistema di prevenzione delle frodi. Lo schema non contiene invece alcuna indicazione relativa all´adozione di misure di sicurezza che garantiscano l´integrità, l´affidabilità e la riservatezza dei dati.

Al fine di garantire l´ordinato e sicuro svolgimento del servizio, lo schema deve quindi prevedere, indicandone i contenuti, che l´Ucamp e le "società segnalanti" adottino le misure tecniche ed organizzative idonee ad assicurare la protezione dei dati trattati. I sistemi informativi devono essere caratterizzati da un livello elevato di sicurezza. In particolare, nel quadro delle più ampie misure di sicurezza obbligatorie in base agli artt. 31 ss. del Codice, il regolamento dovrà prescrivere l´adozione di:

  • misure organizzative atte ad assicurare la separatezza del trattamento dei dati rispetto ad altre attività svolte presso il Ministero e, in particolare, presso l´Ucamp e ad evitare, comunque, l´accesso a soggetti non autorizzati, anche se appartenenti al Ministero stesso;
  • sistemi informativi idonei ad assicurare il controllo sulle attività svolte da ciascun incaricato: ogni accesso a dati personali contenuti nell´archivio deve essere tracciato tramite registrazione in un apposito audit log che consenta di verificare a posteriori il loro corretto utilizzo (in modo tale che risultino certi la persona fisica che vi ha avuto accesso, l´oggetto e la data del medesimo accesso) e che i dati non siano alterabili.

6. Informativa
Lo schema non contiene riferimenti in ordine all´informativa ai sensi dell´art. 13 del Codice, da rendere agli interessati (esercenti commerciali e titolari di carte di pagamento) in relazione alle operazioni di trattamento da effettuare nell´ambito del sistema di prevenzione.

Lo schema dovrà essere pertanto integrato prescrivendo alle "società segnalanti" di fornire adeguata informativa ai propri clienti in ordine alla comunicazione al Ministero e alle successive operazioni di trattamento dei dati ad essi riferiti nell´ambito dell´archivio, indicando il carattere obbligatorio e le finalità di tale comunicazione.

7. Esercizio del diritto di accesso
Lo schema non fornisce concrete indicazioni in ordine all´esercizio del diritto d´accesso e degli altri diritti degli interessati (artt. 7 e 10, comma 1, del Codice) segnalati nell´archivio. Si ricorda al riguardo che resta fermo l´obbligo del titolare del trattamento di adottare misure organizzative idonee ad agevolare tali istanze.

8. Archivio informatizzato e Centrale d´allarme interbancaria

8.1. L´art. 14 dello schema sembra far riferimento ad una registrazione presso l´archivio informatizzato dei dati personali relativi alle carte di pagamento smarrite o rubate (precisazione questa da inserire). Deve tuttavia rilevarsi che l´art. 5 della legge n. 166/2005 prevede, diversamente, la sola consultazione di tali informazioni, misura che consente di prevenire la duplicazione degli archivi e il rischio di un loro mancato aggiornamento.

8.2. Il regolamento dovrebbe inoltre chiarire, in conformità alle previsioni contenuta nell´art. 5, comma 2, e 7, comma 4, della medesima legge, le modalità di comunicazione alla Banca d´Italia delle informazioni in forma aggregata (che non permettono, quindi, di risalire agli interessati segnalati), modalità da osservare in termini sistematici in modo da evitare che le stesse siano stabilite solo di volta in volta.

9. Accesso all´archivio da parte delle forze di polizia
I principi di necessità e di proporzionalità nel trattamento dei dati (artt. 3 e 11 del Codice) in base ai quali, rispettivamente, "i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l´utilizzazione di dati personali e di dati identificativi" e i dati oggetto di trattamento devono essere "pertinenti…e non eccedenti rispetto alle finalità" perseguite, trovano applicazione anche ai trattamenti effettuati dalle forze di polizia (art. 53 del Codice).

È conseguentemente necessario che l´art. 15 dello schema specifichi che l´accesso ai dati e alle informazioni registrati nell´archivio sarà consentito soltanto al personale di polizia preposto alla prevenzione, all´accertamento e alla repressione di illeciti, anche penali, connessi o comunque collegati all´utilizzo di carte di credito o altri mezzi di pagamento per finalità fraudolente –come del resto l´art. 3, comma 3, della legge n. 166/2005 prevede per le altre informazioni che possono essere rese disponibili agli uffici del Dipartimento della pubblica sicurezza- e in relazione ai soli dati necessari a perseguire tali finalità.

Inoltre, il previsto collegamento fra l´archivio e il Centro elaborazione dati di tale Dipartimento dovrà essere realizzato in conformità a quanto previsto dall´articolo 54 del Codice, il quale disciplina in maniera organica le modalità applicative delle disposizioni di legge e di regolamento che permettono alle forze di polizia di acquisire dati, informazioni, atti e documenti da altri soggetti.

Le modalità previste dal medesimo art. 54 consentono un´agevole acquisizione di dati anche per via telematica, attraverso convenzioni fra il Ministero dell´interno e gli altri soggetti interessati; devono essere inoltre configurate in modo da favorire, da parte delle forze di polizia, la sola "consultazione…mediante reti di comunicazione elettronica di….banche di dati", senza una duplicazione dei dati acquisiti, in modo da assicurare anche "l´accesso selettivo ai soli dati necessari al perseguimento delle finalità".

Tale indicazione potrebbe essere recepita inserendo, al comma 1 dell´art. 15, in luogo delle previste "intese fra l´UCAMP e il Dipartimento", una locuzione del tenore seguente o analogo: "con modalità individuate in conformità a quanto previsto dall´articolo 54 del decreto legislativo 30 giugno 2003, n. 196".

Si rileva infine l´esigenza che alle medesime modalità –da definirsi in concreto nell´ambito delle predette convenzioni, qualora si tratti di dati personali– si faccia ricorso anche per l´acquisizione delle altre informazioni che il medesimo art. 15 rende disponibili ai competenti uffici del Dipartimento (art. 15, comma 2, dello schema).

10. Disposizioni transitorie e finali dello schema di regolamento

10.1. La disposizione contenuta nell´art. 18, comma 1, dello schema non trova fondamento nella disciplina di rango primario e la sua applicazione determinerebbe un trattamento illecito di dati personali rispetto ai quali nessuna informativa è stata fornita preventivamente agli interessati, ponendosi in violazione dell´art. 13 del Codice (e dell´art. 6 della direttiva 95/46/Ce).

La disposizione deve essere quindi espunta in quanto la disciplina contenuta nel regolamento potrà trovare applicazione soltanto per il futuro (salva la previsione contenuta nell´art. 9, comma 2, della legge n. 166/2005 e nell´art. 18, comma 2, dello schema).

10.2. Anche la disposizione contenuta nell´art. 18, comma 4, dello schema non sembra trovare fondamento nella disciplina di rango primario e potrebbe determinare l´estensione degli effetti previsti dalla legge n. 166/2005 ad ulteriori tipologie di carte di pagamento e, per l´effetto, ad una più ampia platea di interessati. Sembra peraltro più corretto che la misura, ove consentita dalla legge, sia comunque assunta dal Ministro dell´economia e delle finanze con proprio decreto, anziché dall´Ucamp, sentito in ogni caso il Garante.

In conclusione, il Garante esprime parere favorevole sullo schema a condizione che vengano apportate le modifiche sopra indicate, menzionando nelle premesse del decreto l´avvenuta consultazione dell´Autorità.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere favorevole sullo schema di regolamento concernente l´istituzione di un sistema di prevenzione sulle carte di pagamento, a condizione che lo schema sia modificato, nei termini di cui in motivazione:

a) individuando più chiaramente le finalità del trattamento legittimamente perseguibili mediante l´istituzione dell´archivio informatizzato e prevedendo espressamente che le informazioni trattate non possono essere utilizzate per scopi incompatibili con tali finalità (punti 2.1. e 2.3);

b) apportando le richieste modifiche e integrazioni delle locuzioni presenti nello schema di regolamento relative a taluni dati trattati e agli effetti di pronunce dell´autorità giudiziaria e del Garante (punto 3), ovvero al titolare, al responsabile e agli incaricati del trattamento (punto 4);

c) prevedendo che siano adottate misure tecniche ed organizzative idonee ad assicurare la protezione dei dati, indicandone i contenuti (punto 5);

d) prevedendo che sia fornita un´adeguata informativa agli interessati (punto 6);

e) individuando modalità per lo scambio di informazioni con la Banca d´Italia e per l´accesso delle forze di polizia ai dati registrati nell´archivio in conformità alle disposizioni di legge, assicurando anche un accesso selettivo alle informazioni (punti 8 e 9);

f) espungendo dall´articolo 18 la previsione di un "archivio storico" delle informazioni e modificando la disposizione sulla competenza ad individuare eventuali ulteriori tipologie di carte (punto 10).

Roma, 19 ottobre 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli