Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

I - Stato di attuazione della legge n. 675/1996 - Settore del credito, finanziario ed assicurativo - Relazione 2000 - 17 luglio 2001

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1335443
Data:
17/07/01
Tipologia:
Relazione annuale

Indice

Relazione 2000

I - Stato di attuazione della legge n. 675/1996


Settore del credito, finanziario ed assicurativo

38. PROFILI GENERALI
Gli operatori del settore creditizio, finanziario ed assicurativo sono tra quelli maggiormente coinvolti dai principi e dalle disposizioni della legge n. 675/1996 sulla raccolta e sul trattamento dei dati, la quale ha comportato l´attuazione di diversi adempimenti che hanno avuto immediati e profondi riflessi nella loro normale attività imprenditoriale e nei quotidiani rapporti con la clientela.

Si tratta anche dei settori economici in cui, proprio per l´importanza rivestita dalle informazioni di carattere personale rispetto ai servizi erogati e la necessaria ampiezza degli archivi e dei flussi di dati che riguardano pressoché tutti i cittadini italiani, è emersa con grande evidenza la diffusa sensibilità dell´utente-consumatore verso le nuove forme di tutela introdotte dalla legge sulla privacy, con una sempre più frequente attivazione degli strumenti di difesa dei propri diritti e degli interessi fondamentali.

Nel corso del 2000, sono continuati ad affluire numerosi all´Ufficio del Garante i ricorsi, le segnalazioni, i reclami ed i quesiti in questi ambiti, con particolare riguardo a due filoni, per così dire, "patologici", nei quali a breve-medio termine (prima, cioè che vengano introdotti eventuali correttivi in sede legislativa, oppure stabilite da parte dell´Autorità regole uniformi mediante una valutazione più generale), sembra purtroppo destinato ad aumentare il già vasto contenzioso esistente:

  • per quanto concerne gli istituti di credito e finanziari, le questione legate al funzionamento ed all´operatività dai sistemi di rilevazione dei rischi creditizi, nonché le c.d. centrali rischi, gestite da privati, soprattutto con riferimento al credito al consumo;
  • per quanto riguarda il settore assicurativo, i problemi connessi all´accesso da parte degli assicurati interessati alle perizie medico-legali predisposte dai sanitari di fiducia delle compagnie di assicurazioni, in relazione alle richieste di risarcimento dei danni ed alla liquidazione dei sinistri (sia per le assicurazioni auto, sia per le polizze sanitarie).

Rispetto a questi due principali filoni, occorre segnalare alcuni altri significativi temi affrontati dall´Autorità nel decorso anno con riguardo ai trattamenti di dati svolti da banche e società finanziarie.

Sul fronte della semplificazione degli adempimenti per la tutela della privacy in questo settore, l´Autorità è tornata sul tema delle modalità alternative di informativa ai clienti interessati, utilizzabili in relazione a complesse operazioni di cartolarizzazione dei crediti (tema già ampiamente trattato nella Relazione per l´anno 1999, par. 2.6.2, p. 50). Il Garante ha infatti adottato il 4 aprile 2001 un provvedimento di carattere generale, con il quale ha autorizzato le società cessionarie di crediti a fornire l´informativa mediante pubblicazione nella Gazzetta Ufficiale, con modalità sostanzialmente analoghe a quelle previste dal testo unico in materia bancaria e finanziaria (che prevede tale forma di pubblicazione per rendere note le cessioni in blocco di rapporti giuridici: art. 58 d.lg. n. 385/1993).

Nel richiamare i propri precedenti orientamenti in materia (Provv. del 26 novembre 1998 e del 5 giugno 1999), l´Autorità ha precisato che l´autorizzazione si intende automaticamente concessa anche per le altre società che – trovandosi nelle medesime condizioni- ne abbiano fatto richiesta, decorsi trenta giorni dal ricevimento delle istanze senza che il Garante abbia chiesto chiarimenti o comunicato il rigetto. L´informativa da pubblicare nella Gazzetta Ufficiale -e da trasmettere prima in copia all´Ufficio del Garante- dovrà essere messa a disposizione degli interessati e resa agevolmente visibile nelle filiali e negli uffici delle società cessionarie, nonché pubblicata su almeno due quotidiani nazionali ed uno locale (del luogo in cui sono insediate le filiali che hanno intrattenuto il maggior numero di rapporti con i clienti interessati).

Riguardo alle segnalazioni presentate dai cittadini nei confronti del mondo bancario, va poi evidenziato un altro dato relativo al grave aumento, negli scorsi mesi, dei ricorsi e dei reclami contro le violazioni delle norme poste a tutela della riservatezza e della segretezza nei rapporti bancari, relativamente alla divulgazione a terzi di informazioni su operazioni o conti dei clienti, spesso, in collegamento a procedimenti pendenti presso l´autorità giudiziaria.

Nell´esaminare i diversi reclami pervenuti, il Garante ha spesso riscontrato che le lamentele degli interessati non potevano essere prese in considerazione in quanto riferite a circostanze generiche e non documentate -ad es., una telefonata effettuata ad alta voce da un impiegato in un locale della filiale dove potevano essere presenti altre persone oppure un colloquio tenutosi all´interno di un´agenzia di banca per la stipulazione di un mutuo richiesto da un familiare del cliente (Provv. del 6 febbraio 2001 in Bollettino n. 17, p. 28 e dell´11 dicembre 2000, in www.garanteprivacy.it). In uno specifico caso, l´Autorità ha ritenuto altresì infondate le doglianze di una società sulla presunta eccedenza delle informazioni riportate nella dichiarazione prodotta da una banca in una procedura esecutiva presso terzi (Provv. del 19 settembre 2000).

In un´altra ipotesi, è stato invece chiarito che anche gli eredi del cliente deceduto possono accedere ai dati relativi ai depositi e conti di quest´ultimo, in base all´art. 13, comma 3, della legge n. 675/1996, che permette a chiunque vi abbia interesse di esercitare i diritti ivi previsti relativamente a dati di persone decedute. Tuttavia, l´Autorità ha precisato che non è allo stesso modo conoscibile il nominativo del percettore del saldo di deposito, in quanto tale informazione non riguarda il cliente deceduto, ma un terzo (Provv. del 27 ottobre 2000, pubblicato sul sito www.garanteprivacy.it).

L´Autorità ha definito da ultimo un procedimento relativo ad interessanti questioni sul c.d. segreto bancario e sugli obblighi di riservatezza nel trattamento dei dati dei clienti, appurando che (Provv. Del 23 maggio 2001, in corso di pubblicazione) una banca aveva operato una comunicazione illecita di dati ad un legale relativamente a rapporti di conto corrente e di deposito titoli di una cliente.

Quest´ultimo provvedimento potrà risultare utile per definire criteri di comportamento e procedure uniformi nell´interesse sia dei cittadini sia delle banche, da poter sviluppare e fissare anche in sede di predisposizione da parte degli istituti di credito e finanziari del codice deontologico, i cui lavori sono stati avviati l´anno scorso (a seguito del provvedimento del 10 febbraio 2000 per la promozione della sottoscrizione di codici di buona condotta in diversi settori, allegato alla Relazione per l´anno 1999, par. 6.2.2, p. 223), e la cui adozione risulterà positiva anche per le scelte dei consumatori che, rivolgendosi agli istituti aderenti al codice, potranno vedere maggiormente tutelata la riservatezza dei dati relativi alla propria situazione economica o finanziaria.
top


39. PERIZIE MEDICO–LEGALI E CONTROVERSIE ASSICURATIVE

Nel corso dell´ultimo anno di attività numerosi sono stati i ricorsi presentati in relazione al trattamento dei dati personali nel settore assicurativo; si è quindi confermata quella tendenza ad un diffuso contenzioso in tale ambito già evidenziata da questa Autorità nello scorso anno (v. Relazione per l´anno 1999, p. 47).

È frequente, infatti, il caso di un soggetto coinvolto in un sinistro, o comunque interessato ad un risarcimento di danni fisici, che adisce l´Autorità per poter accedere ai propri dati personali contenuti nella perizia medico-legale redatta dal medico fiduciario della società di assicurazione cui è stata richiesta la liquidazione del danno. Se nel corso del precedente anno le modalità di presentazione e il contenuto delle richieste avanzate al titolare del trattamento e del ricorso successivamente presentato all´Autorità potevano risentire di una conoscenza ancora superficiale dei contenuti della legge, tali problematiche sono nettamente diminuite nel corso del 2000.

Questa circostanza, unita ad un orientamento giurisprudenziale costante dell´Autorità in materia, ha consentito di poter approfondire e specificare alcuni aspetti significativi.

L´Autorità ha infatti avuto modo di qualificare la natura delle informazioni contenute nelle perizie medico–legali fornendo chiarimenti sull´esatta portata della definizione di "dato personale".

Tali perizie contengono un complesso di informazioni che, pur nella loro eterogeneità, forniscono un insieme di elementi informativi, diretti e indiretti, sul soggetto interessato, sulle sue eventuali patologie, sul rapporto fra di esse ed altri eventi della vita del medesimo. In particolare le perizie sono composte di più parti. In esse compaiono infatti: 1) dati personali identificativi di tipo anagrafico; 2) dati storici sull´evento che ha dato luogo alla richiesta di risarcimento; 3) dati personali riferiti allo stato di salute; 4) elementi valutativi veri e propri in cui il medico legale esprime le sue considerazioni sul nesso di causalità fra eventi traumatici e danno, su importanti profili della sfera psicofisica dell´assicurato rilevati prima e nel corso della visita medica.

Il Garante, fin dalle sue prime decisioni concernenti il settore, ha evidenziato che si potevano ricomprendere nella nozione di "dato personale" tutte le informazioni contenute nelle perizie medico-legali, comprese quelle espresse in forma di valutazioni o di giudizi sull´invalidità o sull´inabilità dell´interessato (decisioni del 25 maggio e del 4 dicembre 2000). Infatti, la nozione di "dato personale" che è stata adottata dalla legge n. 675 – in ossequio ai principi espressi nell´art. 2, lettera a), della direttiva 95/46/CE – è particolarmente ampia. Essa comprende non solo l´informazione di tipo anagrafico o comunque oggettivo, ma anche ogni notizia o elemento che abbia un´efficacia informativa tale da fornire un contributo aggiuntivo di conoscenza rispetto ad un soggetto identificato o identificabile.

Anche nella parte in cui la perizia contiene elementi valutativi veri e propri nei quali il medico-legale esprime le proprie considerazioni su profili rilevanti della sfera psicofisica dell´interessato, tali valutazioni forniscono ulteriori elementi informativi che completano e arricchiscono il quadro di riferimento, clinico e personale, dell´interessato. Tali elementi che derivano dal libero convincimento del medico non possono essere per ciò stessi considerati espressione di conoscenze impermeabili all´accesso dell´interessato (Provv. del 22 novembre 2000 pubblicata sul sito dell´Autorità).

Tale opinione è inoltre ora supportata dalla Raccomandazione sui dati valutativi dei dipendenti approvata il 22 marzo 2001 dal Gruppo dei Garanti europei di cui all´art. 29 della direttiva n. 95/46/CE.Da tale documento si evince in maniera chiara che devono essere considerati dati personali anche i giudizi o le valutazioni sintetizzate attraverso un punteggio o una classifica, ovvero espressi attraverso criteri valutativi.

Ulteriore problema affrontato dall´Autorità nelle decisioni sui ricorsi è stato quello derivante dall´applicazione dell´art. 14, comma 1, lettera e) della legge n. 675, concernente il differimento del diritto di accesso di cui all´art. 13 della medesima legge n. 675/1996, limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio per lo svolgimento delle investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria.

Il Garante ha affermato che la valutazione del pregiudizio deve essere effettuata caso per caso e di esso il titolare del trattamento deve fornire adeguata motivazione (decisioni del 14 aprile 2000, 9 maggio 2000 e 25 ottobre 2000).

Nei ricorsi presentati, il Garante ha talvolta appurato che dalle deduzioni svolte non emergevano elementi idonei a considerare provato il pregiudizio. Non si poteva ad esempio ritenere sufficiente il mero disaccordo delle parti sull´esistenza del danno risarcibile (Provv. del 9 maggio 2000) per prevedere un temporaneo differimento del diritto di accesso dell´interessato ai dati personali contenuti nella perizia medico-legale. In altre situazioni, il Garante ha invece previsto che, al fine di garantire una tutela completa del diritto di difesa, occorre non pregiudicare le deduzioni delle parti in ordine alle prove e alle modalità della loro esibizione in giudizio, talora anche in una fase iniziale di una controversia giudiziaria (Provv. del 14 aprile 2000).

Se da un lato la legge n. 675 pone infatti limiti al diritto di accesso, dall´altro, nel bilanciamento tra le due situazioni giuridiche contrapposte (quella dell´interessato di conoscere i propri dati personali; quello della società di non vedere pregiudicato il proprio diritto di difesa in una causa sull´accertamento del diritto al risarcimento), si deve evitare che l´eccezione basata sul diritto di difesa possa vanificare la tutela dei diritti riconosciuti nell´art. 1 della medesima legge.

Va segnalato infine che le impugnative al giudice ordinario di decisioni riguardanti questo settore rappresentano, come si vedrà nello specifico paragrafo, un numero esiguo.
top


40. RACCOLTE DI DATI IN AMBITO ASSICURATIVO

A parte gli accennati problemi dell´accesso alle perizie medico-legali, nel campo assicurativo si sono poste in questi anni una serie di questioni relative agli adempimenti previsti dalla disciplina sulla tutela dei dati personali analoghe a quelle affrontate nel settore del credito, con – probabilmente- una maggiore criticità, dovuta alla più ampia presenza ed utilizzo in ambito assicurativo di informazioni personali di natura sensibile e, in particolare, di quelle riferite allo stato di salute degli interessati.

Come per le banche, l´Autorità è in procinto di completare, in collaborazione con la competente associazione di categoria, l´A.N.I.A., alcuni approfondimenti per addivenire ad una modulistica-tipo ancora più semplificata per l´informativa ed il consenso, che tenga conto della molteplicità di trattamenti di dati personali, anche sanitari, posti in essere dalle compagnie assicurative e da un complesso di soggetti coinvolti nella c.d. catena assicurativa (a partire dagli agenti e dalla variegata rete di intermediari assicurativi per finire ai periti, ai legali ed alle autofficine).

Come già detto, è connaturato all´attività assicurativa anche un ampio trattamento di dati sensibili relativi alla salute del cliente e di terzi, raccolti e trattati nel momento iniziale di specifici rapporti contrattuali (relativi ad esempio a polizze infortuni o sanitarie) o nell´ambito di operazioni di liquidazione dei sinistri e di risarcimento dei danni, che spesso sfociano in procedimenti arbitrali o giudiziari.

Di qui la specifica attenzione dedicata dal Garante nelle sette autorizzazioni generali sui dati sensibili rinnovate il 30 settembre 2000 (cfr. le autorizzazioni nn. 2/2000 e 5/2000, riportate nella documentazione allegata alla presente Relazione) o relativi a provvedimenti penali a carico degli assicurati. Categorie di dati che le compagnie possono trattare, tra l´altro, per accertare responsabilità in relazione a sinistri o ad eventi attinenti alla vita umana o situazioni di concreto rischio per il corretto esercizio dell´attività assicurativa, relativamente ad illeciti direttamente connessi all´attività medesima (v. capo IV autorizzazione n. 7/2000).

Per quanto concerne il trattamento dei dati relativi allo stato di salute da parte delle compagnie, l´Autorità ha avuto modo di chiarire, esaminando un ricorso, alcuni aspetti relativi agli obblighi di conservazione dei dati contenuti nella documentazione e nelle certificazioni sanitarie nell´ambito delle assicurazioni r.c. auto (Provv. del 14 settembre 2000 e del 24 ottobre 2000).

Sulla base delle disposizioni contenute nelle predette autorizzazioni generali nn. 2 e 5, il Garante ha infatti ritenuto che nel caso sottoposto alla sua attenzione, relativo non ad un cliente attuale della compagnia, ma ad un terzo danneggiato in un sinistro stradale risarcito più di cinque anni prima, non ricorressero né particolari ipotesi (ad es. impresa assicuratrice in liquidazione), né ragioni specifiche che avrebbero potuto giustificare un´ulteriore conservazione dei dati sanitari dell´interessato, essendo trascorsi appunto cinque anni dalla liquidazione dei danni (con prescrizione, peraltro, del termine per l´esercizio dei diritti relativi al risarcimento del sinistro) e non essendo in atto alcun contenzioso tra le parti.

Il Garante, avendo disposto il blocco dei dati, ha invitato la società a cancellare o a trasformare in forma anonima le informazioni relative allo stato di salute del ricorrente, non essendo risultata più giustificata la conservazione di dati eccedenti rispetto alle finalità dell´originaria raccolta e del loro attuale trattamento.

Occorre poi segnalare, come novità normativa di assoluto rilievo per i riflessi in materia di tutela dei dati personali, l´art. 2, commi 5-quater e 5-quinquies, della legge 26 maggio 2000, n. 137 (di conversione, con modificazioni, del d.l. 28 marzo 2000, n. 70, recante disposizioni urgenti per il contenimento delle spinte inflazionistiche: v. il testo coordinato pubblicato sulla G.U. n. 122 del 27 maggio 2000), con il quale è stata istituita presso l´ISVAP una banca dati dei sinistri relativi all´assicurazione obbligatoria per i veicoli a motore immatricolati in Italia, al fine di rendere più efficace la prevenzione ed il contrasto di comportamenti fraudolenti in tale settore. Le compagnie di assicurazioni sono obbligate, pena l´applicazione di sanzioni amministrative pecuniarie, a trasmettere periodicamente alla banca dati le informazioni riguardanti i sinistri dei propri assicurati a partire, come periodo di riferimento, dal 1° gennaio 2001.

Le concrete procedure e modalità di funzionamento devono essere stabilite con un provvedimento attuativo dell´Istituto di vigilanza. Tale problema assume quindi una particolare rilevanza anche per la definizione di delicati profili come, ad esempio, l´individuazione delle informazioni di carattere personale che dovranno confluire nella banca dati e la delimitazione dei soggetti pubblici e privati che potranno avervi accesso. Come già precisato nel par. 9, la questione verrà approfondita a breve termine con l´ISVAP.

Alla fine di quest´anno, il Garante ha inoltre attivato immediati accertamenti sulle notizie di stampa circa l´annunciata intenzione delle imprese assicuratrici di inviare moduli o questionari per la raccolta di dati personali da utilizzare, dopo la loro compilazione da parte della clientela, ai fini della gestione dei rapporti assicurativi o in relazione a frodi assicurative. In particolare, l´Autorità ha voluto verificare quali fossero le ipotizzate modalità di acquisizione ed utilizzazione dei dati in correlazione all´informativa fornita agli assicurati (con specifico riferimento alla natura obbligatoria o facoltativa del conferimento dei dati), nonché l´ambito di circolazione delle informazioni anche in relazione alle novità normative in materia di frodi assicurative. L´associazione di categoria ha al momento evidenziato che le imprese assicurative non hanno elaborato alcun questionario e che le notizie di stampa si riferivano a procedure adottate nel mercato inglese dell´assicurazione obbligatoria r.c. auto e non ancora presenti in quello italiano.
top


41. CENTRALI RISCHI E SOCIETÀ FINANZIARIE

Anche nell´anno 2000, una parte considerevole – peraltro ancora in costante crescita – del complessivo numero dei ricorsi e dei reclami presentati al Garante ha riguardato i trattamenti di dati personali svolti, per finalità di tutela connesse ai rapporti di finanziamento, dagli istituti di credito e finanziari, nonché dai soggetti che, in ambito pubblico (la Banca d´Italia) e privato (alcune note società, come Crif, Ctc, Experian, ecc.), gestiscono sistemi di rilevazione dei rischi creditizi.

Le attività degli operatori in questo settore sono incentrate sulla capillare raccolta ed ampia circolazione, in un medesimo circuito finanziario, di informazioni sulle esposizioni debitorie dei potenziali nuovi clienti, che dovrebbero essere finalizzate ad individuare eventuali posizioni di inadempimento ed a prevenire effettive situazioni di rischio nell´erogazione dei prestiti.

Tali attività, e i connessi trattamenti di dati, hanno una rilevante incidenza sui consumatori interessati, determinando in non pochi casi – nelle ipotesi, ad esempio, di segnalazione di dati inesatti o di annotazioni e giudizi sproporzionati rispetto a lievi inadempimenti relativi, magari, mancata informazione ed acquisizione del consenso degli interessati – non solo un´ingiustificata preclusione verso ogni forma di finanziamento, ma anche un´inaccettabile violazione dei più elementari principi di riservatezza, in relazione a fondamentali diritti relativi pure all´identità personale e alla dignità umana.

Come già evidenziato lo scorso anno (v. Relazione per l´anno 1999, par. 2.6.3, p. 51), l´introduzione di specifiche regole a tutela della sfera privata dell´individuo ha reso più evidenti alcuni punti critici delle attività svolte dalle c.d. centrali rischi private, soprattutto nel campo del credito al consumo, rendendo improcrastinabile l´individuazione di criteri e procedure omogenee per trovare un più adeguato equilibrio tra le equivalenti, ma contrapposte esigenze di tutela collegate ad una sana e prudente gestione del rischio creditizio, da un lato, e un lecito e corretto trattamento delle informazioni a carattere personale.

In questo senso, può risultare utile, anche al fine di prevenire una parte del vasto contenzioso esistente, l´inserimento nel citato codice deontologico in fase di predisposizione (v. par. 38), di apposite regole di comportamento per i gestori delle centrali di rischi, per quanto attiene ai tipi di dati che possono essere lecitamente annotati e conservati, i tempi di conservazione, l´ambito di comunicazione delle informazioni, il riscontro tempestivo alle richieste di accesso ai dati e la pronta rettificazione e cancellazione.

Riguardo ai problemi legati all´operatività delle centrali rischi private, il Garante ha nel frattempo avviato numerosi accertamenti a seguito, in particolare, di alcuni ricorsi relativi a richieste di cancellazione di dati rivolte da singoli cittadini a società finanziarie e ai gestori delle centrali (Provv. 26 luglio 2000).

Si tratta di questioni analoghe a quelle già esaminate lo scorso anno (v. Relazione per il 1999, par. 2.6.3, p. 52), concernenti spesso trattamenti di dati iniziati prima dell´entrata in vigore della legge n. 675, per i quali sono emerse clausole di "autorizzazione" con i quali gli interessati, prima dell´8 maggio 1997, avevano acconsentito a far registrare nelle centrali alcuni dati personali per finalità di tutela del credito e a farli comunicare a società di rilevazione dei rischi finanziari e ad altre società aderenti al circuito delle centrali.

Per questi casi e in riferimento a contratti di finanziamento più recenti, il Garante ha avviato procedimenti nei confronti di alcune società finanziarie e di centrali rischi private, chiedendo notizie e chiarimenti circa le formule di informativa e di consenso, sulla durata della conservazione dei dati nella centrale rischi (anche in rapporto ad inadempimenti lievi o temporanei) e su appositi codici utilizzati per distinguere i semplici ritardi nei pagamenti dalle situazioni più o meno gravi di morosità, magari sanate.

Il Garante è stato invece attivamente coinvolto dalla Banca d´Italia all´atto del varo delle istruzioni con le quali l´Istituto ha impartito disposizioni relative al sistema centralizzato per la rilevazione dei rischi creditizi affidato, su proposta dell´A.B.I., alla Società interbancaria per l´automazione S.p.a. (S.I.A.).

Il sistema è stato istituito con deliberazione del Cicr del 3 maggio 1999 (già richiamata nella Relazione per il 1999, par. 2.6.3, p. 52) per indebitamenti di importo inferiore a quelli censiti presso la centrale rischi della Banca d´Italia (150 milioni) e superiore al limite massimo stabilito per il credito al consumo (60 milioni).

L´Autorità ha potuto esprimere un generale parere favorevole, poiché nello schema delle istruzioni sono state recepite varie indicazioni già fornite, limitatamente ai profili della tutela dei dati personali, nel corso di precedenti consultazioni informali (così come previsto anche dall´art. 31, comma 6, l. n. 675).

Le banche e gli intermediari finanziari devono segnalare alla nuova centrale rischi i prestiti erogati per somme nei limiti degli importi sopra indicati. Il trattamento dei dati può essere quindi svolto senza acquisire il consenso dei clienti i quali devono però ricevere un´adeguata informativa.

Nelle predette istruzioni, che per gli aspetti procedurali richiamano quelle già emanate per il sistema di rilevazione dei rischi creditizi gestito dalla Banca d´Italia, sono contenute disposizioni in ordine alle misure di sicurezza e di riservatezza delle informazioni, nonché all´esercizio del diritto di accesso riconosciuto agli interessati.
top


42. L´ "ANAGRAFE DEI CONTI CORRENTI"
Nell´ottobre del 2000 è entrato in vigore il regolamento istitutivo dell´anagrafe dei rapporti di conto e di deposito (adottato dal Ministro del tesoro di concerto con i Ministri delle finanze e dell´interno con d. 4 agosto 2000, n. 269, pubblicato sulla G.U. 2 ottobre 2000, n. 230), incisivamente corretto dopo il parere espresso nel 1999 con il quale il Garante metteva in luce una serie di carenze per quanto riguarda gli aspetti della tutela dei dati personali e, in particolare, le finalità e modalità di accesso all´archivio (v. Relazione per l´anno 1999, par. 2.6.4, p. 53).

Il Ministero del tesoro, indicato nel regolamento come il titolare del trattamento, si avvale della rete telematica e del servizio forniti dalla Società interbancaria per l´automazione S.p.a. (S.I.A.), nominata a sua volta, con lo stesso regolamento, come responsabile del medesimo trattamento. È stato istituito un comitato di garanzia chiamato ad esprimere pareri su questioni rilevanti relative alle attività del centro, anche in tema di sicurezza e segretezza, presieduto da un magistrato e composto da diversi rappresentanti dei ministeri e delle autorità interessate (non è stata prevista la presenza di un rappresentante del Garante).

Sono stati inoltre stabiliti alcuni criteri per le richieste di accesso all´anagrafe (nelle quali devono essere evidenziati gli specifici motivi sottostanti), con individuazione dei soggetti abilitati e dei tempi -ancora ampi- di conservazione delle informazioni raccolte.

Sono stati altresì previsti obblighi di riservatezza per il personale addetto ad accedere alle informazioni, anche presso i soggetti e le autorità pubbliche richiedenti, nonché misure di sicurezza per la protezione delle informazioni e della loro trasmissione in rete.

L´Autorità mantiene un alto livello di attenzione in relazione all´anagrafe e al funzionamento dell´intero sistema, considerato anche che la disciplina di alcuni delicati profili, legati ad esempio alla comunicazione e all´acquisizione dei dati, è stata rimessa a fonti ulteriori. Per la completa attuazione dell´anagrafe sono stati infatti previsti ben tre ulteriori decreti ministeriali (di cui uno di approvazione della convenzione stipulata tra il centro operativo e la S.I.A.), per i quali dovrà obbligatoriamente essere acquisito il parere del Garante ai sensi dell´art. 31, comma 2, della legge n. 675/1996.
top


43. ANAGRAFE DEGLI ASSEGNI BANCARI E POSTALI

Come accennato nel par. 9, la collaborazione istituzionale con la Banca d´Italia e con il Ministero della giustizia si è sviluppata positivamente anche a proposito del costituendo archivio informatizzato degli assegni bancari e postali, che sarà concretamente istituito una volta entrato in vigore il regolamento attualmente all´esame del Consiglio di Stato.

Nel quadro degli ulteriori interventi di decriminalizzazione degli illeciti in materia di emissione di assegni, il d.lg. n. 507/1999 ha previsto (art. 36) una base dati informatizzata per rendere effettive le revoche e le temporanee interdizioni conseguenti ad atti illeciti.

Varie osservazioni e proposte dell´Autorità sono state già recepite nel quadro di un´attiva consultazione.
top