Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

2.6 Settore del credito e assicurativo - Relazione 1999 - 3 maggio 2000

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1335520
Data:
03/05/00
Tipologia:
Relazione annuale

Indice

2. Stato di attuazione della legge n. 675/1996 e nodi da affrontare - Relazione 1999 - 3 maggio 2000


2.6. Settore del credito e assicurativo

2.6.1. Accesso alle perizie medico legali in ambito assicurativo
Fin dalla prima fase di applicazione della legge n. 675, il settore assicurativo si è rivelato come un campo nel quale le nuove disposizioni sulla protezione dei dati personali hanno avuto una forte incidenza sul rapporto fra clienti e imprese di assicurazione già caratterizzato, tra l´altro, da un diffuso contenzioso.

In particolare, diversi contraenti hanno esercitato il diritto di accedere ai propri dati personali detenuti dalle imprese, innestando poi alcuni ricorsi al Garante ai sensi dell´art. 29 della legge n. 675 per la tutela dei diritti di cui all´art. 13.

Il principale denominatore comune di tali ricorsi è stato rappresentato dalle richieste di accesso da parte degli interessati alle perizie medico-legali redatte dai sanitari di fiducia delle imprese.

Le richieste si sono innestate a margine di una specifica fase del rapporto assicurativo che si verifica in rapporto ad una richiesta di risarcimento a seguito di un sinistro. La persona che in conseguenza di incidenti di qualsiasi tipo ha riportato danni specie fisici viene invitata dall´impresa a sottoporsi ad una visita medica presso lo studio di un medico di sua fiducia. Quest´ultimo, compiuta un´anamnesi del soggetto visitato, esprime le proprie valutazioni (alla stregua di giudizio peritale) in ordine all´entità del danno sofferto, al rapporto di causalità fra il danno ed il sinistro, alla percentuale di invalidità che residua, ecc… Non di rado il medico esprime all´impresa alcune valutazioni personali e suggerimenti in ordine alla condotta da osservare sia in rapporto agli esiti di eventuali perizie di parte già effettuate, sia in relazione alla perizia tecnica d´ufficio che potrebbe essere richiesta nel corso dell´eventuale controversia civile.

Si tratta, come è evidente, di un momento molto delicato nella gestione delle richieste di risarcimento, nel quale l´impresa di assicurazione acquisisce elementi di valutazione e di giudizio che possono ispirare e condizionare la sua condotta successiva, inducendola, ad esempio, a resistere in giudizio alle richieste della controparte, a formulare proposte transattive, ad accogliere le richieste del sinistrato, ecc. In casi particolari la valutazione peritale si inserisce anche in un momento in cui la società di assicurazione può acquisire elementi in ordine alla veridicità del fatto denunciato e apprestare quindi idonee misure a tutela della propria posizione anche attraverso ulteriori investigazioni o tramite denunce penali. Si tratta di situazioni di particolare delicatezza, specie in presenza del fenomeno delle truffe assicurative.

È però evidente come un diritto eguale e contrapposto esista in capo all´interessato (cioè alla persona i cui dati, ordinari e sensibili, siano stati appunto trattati nell´ambito della visita medica) per conoscere, in base alla legge n. 675, dati personali a sé riferiti e caratterizzati da così delicati profili.

La situazione evidenziata dà luogo ad uno dei confronti fra situazioni soggettive che frequentemente si manifestano nell´ambito della disciplina sulla protezione dei dati personali. Di questa evenienza si è fatta carico la stessa legge n. 675, la quale, nell´art. 14, comma 1, lettera e), ha previsto che i diritti di cui all´art. 13, comma 1, lettere c) e d) non possano essere esercitati nei confronti dei trattamenti di dati personali raccolti ai sensi dell´art. 12, comma 1, lettera h) "limitatamente al periodo durante il quale potrebbe derivarne pregiudizio per lo svolgimento delle investigazioni o per l´esercizio del diritto di cui alla medesima lettera h)".

La legge ha quindi previsto che possano esistere situazioni nelle quali, in ragione della specifica esigenza di salvaguardare il diritto di difesa del titolare del trattamento, possa essere consentito il temporaneo differimento dell´esercizio del diritto di accesso e di eventuale rettifica.

I recenti ricorsi presentati al Garante in materia di accesso ai dati contenuti nelle perizie medico/legali hanno appunto messo in luce la necessità di precisare limiti e portata della citata disposizione dell´art. 14.

Al riguardo sono emersi due profili specifici sui quali il Garante ha avuto modo di pronunciarsi più volte:

  • la ricomprensione di larga parte delle informazioni contenute nelle predette perizie medico-legali nel novero dei "dati personali";
  • i limiti di applicabilità della disposizione sul differimento del diritto di accesso di cui all´art. 14, comma 1, lettera e).

Fin dalla sua prima decisione in proposito, risalente al 21 giugno 1999, il Garante ha avuto modo di precisare che le valutazioni espresse dal medico in sede di perizia (e relative al giudizio formulato in ordine all´entità del danno subito dalla vittima del sinistro e alla quantificazione del periodo di inattività della stessa) rientrano pienamente nel concetto di dato personale di cui all´art. 1, comma 2, lettera c) della legge.

Le perizie in questione contengono anche valutazioni e giudizi di tipo soggettivo del medico fiduciario della società di assicurazione. Ma, come il Garante ha constatato fin dalla decisione del 2 giugno 1999 (relativa al diverso tema dell´accesso alle note di qualifica dei lavoratori dipendenti, in Bollettino n. 9, pag. n. 34) anche i rilievi, i giudizi, le valutazioni di tipo soggettivo rientrano nell´ambito di applicazione della legge. L´espressione "dato personale" comprende infatti ogni notizia, informazione o elemento che abbia un´efficacia informativa tale da fornire un contributo di conoscenza rispetto ad un soggetto identificato o identificabile.

Così chiarita la natura di dato personale delle informazioni contenute nelle perizie, il Garante ha affrontato il problema dell´applicabilità della citata disposizione dell´art. 14 relativa al temporaneo differimento del diritto di accesso. Al riguardo si è precisato (vedi, in particolare, le decisioni del 13 ottobre e del 9 dicembre 1999) che tale disposizione è di carattere eccezionale e impone pertanto di effettuare caso per caso una valutazione attenta dell´effettivo pregiudizio che potrebbe derivare al titolare del trattamento, nell´immediato, a seguito dell´ostensione dei dati personali richiesti. Inoltre, di tale pregiudizio il titolare medesimo deve sempre fornire all´interessato adeguata motivazione, comprovando le esigenze difensive che giustificherebbero tale differimento.

Come è stato ribadito in più occasioni, la mera pendenza di un giudizio non è, infatti, di per sé sufficiente per rendere applicabile la norma, dovendo l´impresa titolare del trattamento dimostrare i riflessi che l´immediata disponibilità dei dati accordata all´interessato avrebbe sulla posizione difensiva del titolare. In concreto, nei numerosi casi esaminati in sede di ricorso, è stata ravvisata più volte l´esistenza delle ragioni di tutela di cui al predetto art. 14, anche con riferimento a situazioni pre/contenziose nelle quali vi era ad esempio la temporanea necessità di non pregiudicare l´attività delle parti in ordine ad un determinato accertamento probatorio (riguardo, ad esempio, all´espletamento di perizie contrattuali previste nella polizza o alla determinazione delle modalità di svolgimento di una consulenza tecnica d´ufficio).

Va però precisato che il Garante, nel riconoscere in più occasioni la legittimità del differimento del diritto di accesso, ha però circoscritto rigorosamente questa parziale e temporanea limitazione dei diritti dell´art. 13, anzitutto in relazione alle parti propriamente valutative delle perizie medico-legali, statuendo che tali diritti sono comunque pienamente operanti per i dati personali dell´interessato di tipo meramente identificativo o aventi carattere oggettivo o comunque non incidenti sulle specifiche ragioni di tutela prospettate dal titolare del trattamento.

Inoltre, è stato rimarcato che la limitazione in parola del diritto di accesso è temporanea.

Cessate infatti le esigenze di tutela cui l´art. 14 fa riferimento, il diritto di accesso può riespandersi e i dati devono essere comunicati integralmente all´interessato che li richieda.

 

262. Semplificazione dell´informativa nel settore bancario
Il Garante ha reso noto, nel maggio del 1999, uno schema di un nuovo modello semplificato di informativa e per il consenso che potrebbe essere opportunamente fornito ai clienti di istituti di credito.

Una prima bozza era stata messa a punto nel mese di febbraio (e proposta alla riflessione e ai contributi di tutti i cittadini e delle categorie coinvolte: v. Relazione per l´anno 1998, par. 2.10, pag. 66), a seguito di un´indagine conoscitiva condotta presso diversi istituti di credito, da cui era emerso che una parte consistente della clientela non aveva ancora risposto alle comunicazioni inviate dalle banche, anche a causa della loro non agevole comprensibilità.

In tali, assai numerosi, casi di mancato riscontro alle informative bancarie, altre prestazioni richieste dall´utenza (quali, ad esempio, un bonifico o un assegno) erano state finora considerate come provvisorie manifestazioni di consenso implicito. Anche per uscire da questa situazione di anomalia rispetto al dettato legislativo (in base al quale è, per diversi casi, richiesta invece la raccolta di un consenso espresso per determinate operazioni di trattamento quale la comunicazione), l´Autorità ha ritenuto opportuno suggerire agli operatori del settore un nuovo modello che, pur mantenendo ferme le garanzie sancite dalla legge sulla privacy, renda più snello e chiaro l´adempimento "burocratico" nei confronti del pubblico, armonizzando peraltro i diversi modelli già in circolazione (analizzati nell´ambito della verifica di oltre ottocento esemplari utilizzati dai diversi istituti).

Il nuovo modello suggerito dal Garante è il risultato dello sforzo volto a sintetizzare al massimo le informazioni da fornire agli interessati e a dare alle stesse una veste meno giuridica e più vicina al c.d. "uomo della strada" (con eliminazione di ripetizioni inutili, passaggi generici e "tautologici", nonché di complicati riferimenti e di citazioni normative allorché superflue). Tale modulo può rappresentare, per alcuni aspetti, una svolta significativa rispetto ai moduli già in circolazione, nella direzione di un´attuazione più sostanziale e meno formalistica dei princìpi di lealtà e correttezza stabiliti dalla legge n. 675.

Si ricordano qui di seguito alcune delle maggiori innovazioni che verrebbero introdotte dal modello:

  • la significativa riduzione delle firme che il cliente deve apporre per la manifestazione del consenso (da cinque o più, ad una o, al massimo, due);
  • l´indicazione a parte di alcune caselle da barrare per i trattamenti di dati non strettamente collegati ai servizi attivati dalla clientela (per lo più, iniziative promozionali e di marketing);
  • la possibilità per gli istituti di credito di predisporre a parte, di aggiornare e di mettere a disposizione degli interessati, in modo agevole e gratuito (attraverso anche un numero verde od un sito web), il lungo elenco delle società di fiducia che svolgono per conto della banche compiti di natura tecnica od organizzativa (ad eccezione, quindi, di taluni soggetti come, ad es., le centrali rischi private che effettuano stabilmente complessi trattamenti dei dati: v. il prossimo paragrafo);
  • l´analoga facoltà di indicare ai clienti il servizio o la persona responsabile del trattamento a cui rivolgere eventualmente le proprie richieste di conoscenza, cancellazione o rettificazione dei dati, accedendo poi alla lista completa ed aggiornata di tutti gli altri responsabili (lista che le banche possono comunque rendere disponibile mediante numero verde o sito web);
  • il sostanziale rinvio ad una ulteriore e specifica richiesta di consenso, manifestato volta per volta, per servizi che comportano la conoscenza e il trattamento da parte della banca di dati sensibili (mutui assistiti da assicurazione, polizze vita, ecc.), ferma restando, invece, l´idoneità dell´attuale modulo a "coprire" anche situazioni relative a versamenti che riguardano sindacati, forze politiche e determinate associazioni e ad accreditamenti di alcune pensioni o di speciali rimborsi assicurativi.

Nell´ambito delle iniziative assunte e dei chiarimenti forniti con riferimento alla semplificazione degli adempimenti per la tutela della privacy nel settore bancario, va poi segnalato un provvedimento del 5 giugno 1999, con il quale, in relazione ad un´operazione di cartolarizzazione relativa all´acquisto in blocco di migliaia di posizioni creditizie tra alcuni istituti di credito, il Garante ha autorizzato la Paribas succursale di Milano ad effettuare l´informativa ai debitori ceduti nelle stesse forme previste dal testo unico delle leggi in materia bancaria e creditizia per l´annuncio della cessione dei rapporti giuridici in blocco (art. 58 d.lg. n. 385/1993), ovvero mediante pubblicazione della medesima informativa, per classi di operazioni, nella Gazzetta Ufficiale.

Nel richiamare una propria precedente pronuncia sugli esoneri dall´obbligo dell´informativa rispetto ai dati raccolti presso terzi e sulla possibilità di adottare modalità di informazione sostitutive (provvedimento del 26 novembre 1998, in Relazione per l´anno 1998, pag. 33), l´Autorità ha ritenuto infatti che, in considerazione anche del quadro normativo sulla cessione del credito, la singola informativa da parte della banca fiduciaria a ciascun interessato avrebbe comportato un impiego di mezzi sproporzionato rispetto al diritto tutelato e allo specifico contesto in cui esso si colloca, pur essendo necessario assicurare un´informativa generale adeguata.

Per questo motivo, la banca è stata autorizzata a ricorrere alle modalità già utilizzate per informare gli interessati in base al citato testo unico bancario, purché siano garantite forme concorrenti di informazione volte ad assicurare l´effettiva conoscibilità dell´inserzione nella Gazzetta Ufficiale. Ciò attraverso la comunicazione della data di pubblicazione nell´estratto conto degli interessati e la messa a disposizione dell´informativa nelle filiali che intrattengono rapporti con gli stessi, mediante opportuni accorgimenti che la rendano agevolmente visibile.

 

263. Le ´centrali rischi´ gestite dalla Banca d´Italia e dai privati
Nel settore bancario e finanziario, si è registrata in questi ultimi anni una crescente proliferazione di iniziative di privati volte a realizzare, soprattutto per le attività di credito al consumo, sistemi di rilevazione del rischio creditizio. Tali sistemi, che sono meglio noti al pubblico con la denominazione di "centrali rischi", permettono alle banche e alle società finanziarie di segnalare e di conoscere la situazione debitoria di nuovi potenziali clienti e rispondono, più in generale ad un´esigenza di circolazione delle informazioni nel mercato creditizio, nonché di sana e prudente gestione delle proprie attività.

Le centrali rischi private sono in qualche misura complementari al servizio di centralizzazione dei rischi gestito dalla Banca d´Italia, disciplinato da alcune disposizioni del t.u. bancario (artt. 53, comma 1, lett. b), 67, comma 1, lett. b) e 107, secondo comma), che attribuiscono a tale Autorità, nello svolgimento della funzione di vigilanza regolamentare, il compito di emanare, in conformità alle deliberazioni del Comitato interministeriale per il credito ed il risparmio, disposizioni per il contenimento del rischio nelle sue diverse configurazioni (v. la delibera Cicr del 29 marzo 1994 e le norme attuative adottate dalla Banca d´Italia). Tale servizio fornisce, appunto, a banche ed intermediari finanziari informazioni sull´indebitamento della clientela verso il sistema creditizio e finanziario, allo scopo di contenere i rischi derivanti dalla presenza di alcune condizioni derivanti, in particolare, dal cumulo di finanziamenti di importo pari o superiore ai 150 milioni o comunque in sofferenza.

La legge sulla privacy non ha posto particolari ostacoli al trattamento dei dati personali effettuato nell´ambito della centrale dei rischi gestita dalla Banca d´Italia, ferma restando, più in generale, l´esigenza di un´integrazione normativa sotto il profilo della tutela dei dati.

Tale trattamento è, infatti:

  • assoggettato alla particolare disciplina prevista per i soggetti pubblici (che consente a questi ultimi di operare senza il consenso dell´interessato, per lo svolgimento delle funzioni istituzionali e in base a quanto stabilito dalla legge e dai regolamenti: v. l´art. 27 legge n. 675/1996);
  • oggetto di una specifica deroga per quanto riguarda le modalità di esercizio da parte degli interessati dei diritti di cui all´art. 13, rientrando nell´ambito dei trattamenti dei dati raccolti "per esclusive finalità inerenti la politica monetaria e valutaria, il sistema dei pagamenti, il controllo degli intermediari e dei mercati creditizi e finanziari nonché la tutela della loro stabilità" (art. 14, comma 1, lett. d) legge n. 675/1996: v. il provvedimento del 9 gennaio 1999, in Bollettino n. 7/1999, pag. 42, con cui è stato dichiarato inammissibile un ricorso per la cancellazione dei dati dalla centrale rischi della Banca d´Italia).

Anche per quanto concerne la comunicazione alla centrale dei dati relativi ai clienti, appare evidente che le previsioni del citato testo unico in materia bancaria, in base alle quali gli istituti di credito e finanziari sono obbligati a fornire all´autorità di vigilanza del settore le informazioni sugli indebitamenti della propria clientela, rendono superflua l´acquisizione da parte dei medesimi istituti di un preventivo consenso degli interessati (art. 20, comma 1, lett. c), legge n. 675/1996).

Le disposizioni introdotte dalla legge n. 675/1996 hanno fatto invece emergere alcuni problemi per i complessi e delicati trattamenti di dati personali svolti nell´ambito delle centrali rischi gestite da società. Per queste ultime, dopo l´entrata in vigore della legge n. 675, si è posta la questione dei presupposti di liceità del relativo trattamento dei dati, con particolare riguardo agli adempimenti dell´informativa e del consenso, nonché ai diritti degli interessati di accesso ai dati che li riguardano e di loro eventuale rettificazione o cancellazione.

Sono, infatti, in rapida crescita le segnalazioni, i reclami e i ricorsi presentati al Garante circa le attività e i connessi trattamenti di dati effettuati dalle centrali rischi gestite da privati. Ciò evidenzia la particolare delicatezza che tali attività rivestono nei riguardi dei diritti e delle libertà degli interessati, rendendo necessaria una riflessione più generale da parte degli operatori del settore bancario e finanziario (in particolare, delle società che gestiscono le centrali rischi), del Garante e dello stesso legislatore per trovare un giusto equilibrio tra le esigenze di tutela del credito e di salvaguardia della riservatezza.

Nei diversi provvedimenti adottati nel corso del 1999 (v. i provvedimenti del 9 gennaio 1999 e del 29 settembre 1999, pubblicati, rispettivamente, nei bollettini del 1999 nn. 7, p. 44, e 10, pag. 45), il Garante ha comunque sottolineato che non è di per sé illecita la comunicazione alle centrali rischi private dei dati personali inerenti ai finanziamenti richiesti dagli interessati, ferma restando l´esigenza che nei relativi contratti sia presente una clausola per la manifestazione del consenso informato.

L´Autorità ha, infatti, esaminato numerosi casi di cittadini che chiedevano la cancellazione dei dati contenuti negli archivi di società finanziarie ritenute responsabili di aver comunicato a società di rilevazione dei rischi finanziari, senza il loro previo consenso, informazioni circa l´ insolvenza e l´inaffidabilità patrimoniale (i ricorrenti hanno fatto invocato la norma che consente la cancellazione dei dati quando questi sono trattati in violazione di legge: v. anche il provvedimento del 9 dicembre 1999, pubblicato nel Bollettino n. 10/1999, pag. 48).

Il Garante ha però constatato che alcune doglianze non erano fondate. In taluni casi la manifestazione di consenso di cui l´interessato invocava la necessità non era, in realtà, un presupposto indefettibile del trattamento dei dati da parte della società finanziaria, in quanto quest´ultimo era stato effettuato prima dell´entrata in vigore della legge n. 675 del 1996. Per quanto riguarda, in secondo luogo, la divulgazione dei dati a terzi, il Garante ha evidenziato che nei contratti era presente un´apposita clausola di autorizzazione che, pur non essendo perfettamente conforme alle indicazioni contenute nella legge n. 675, perché redatta prima della sua entrata in vigore, poteva essere considerata come una manifestazione sostanziale di consenso alla comunicazione dei dati alle categorie di soggetti ivi indicati, e cioè alle società di rilevazione dei rischi creditizi.

Poiché tali clausole di trasmissione dei dati alle centrali rischi erano contemplate specificamente dai contratti di finanziamento ed espressamente accettate dagli interessati, è apparsa corretta la registrazione dei dati in questione presso le centrali rischi per un certo periodo (in genere, cinque anni), allo scadere del quale essi vengono di regola cancellati.

Recentemente, peraltro, nel sistema bancario è stata avvertita l´esigenza di rilevare in maniera più capillare, attraverso un´unica struttura centralizzata (anziché mediante più "centrali rischi" gestite da diversi soggetti privati), anche gli indebitamenti di importo inferiore a quelli censiti presso la Banca d´Italia, allo scopo di ridurre il più possibile il rischio creditizio e di salvaguardare la stabilità finanziaria degli istituti di credito e finanziari.

Con deliberazione del 3 maggio 1999 (pubblicata sulla G.U. n. 158 dell´8/7/99), il Cicr ha quindi previsto l´istituzione di un sistema centralizzato dei rischi riguardanti affidamenti di importo inferiore a quelli rilevati dalla Banca d´Italia. Tale sistema prevede per le banche e le società finanziarie, in analogia e secondo le procedure previste per la centrale rischi già gestita presso la Banca d´Italia, sia l´obbligo di comunicare i dati relativi alle esposizioni creditizie della clientela, sia la possibilità di ricevere i dati relativi alla situazione complessiva di ogni cliente segnalato. Per gli aspetti inerenti al trattamento dei dati personali, la stessa Banca d´Italia dovrà quindi emanare, sentito il Garante, le istruzioni necessarie per l´attuazione della deliberazione Cicr, verificandone poi il rispetto.

 

264. C.d. "anagrafe dei conti correnti"
Con provvedimento in data 17 novembre 1999 (in Bollettino n. 10, pag. 22), il Garante ha espresso, ai sensi dell´art. 31 della legge n. 675, il richiesto parere in ordine allo schema di regolamento concernente l´istituzione della c.d. "anagrafe dei rapporti di conto e di deposito".

La legge n. 413 del 1991 ha previsto un regolamento per stabilire "la destinazione e le modalità delle comunicazioni da parte delle aziende ed istituti di credito e dell´amministrazione postale nonché delle società fiduciarie e di ogni altro intermediario finanziario dei dati identificativi, compreso il codice fiscale, di ogni soggetto che intrattenga con loro rapporti di conto o deposito o che comunque possa disporre del medesimo, nonché i criteri per le relative utilizzazioni".

La finalità è quindi quella di creare uno strumento che, data la natura dei dati conservati, riguarderebbe pressochè tutti i cittadini e potrebbe agevolare le indagini investigative e fiscali.

L´estensione ed il rilievo dello strumento pongono però rilevanti problemi di protezione dei dati personali trattati, che già erano stati percepiti dal legislatore del 1991 (quindi in un momento precedente l´adozione della stessa legge n. 675), il quale ha stabilito (art. 20) che l´emanando regolamento dovesse essere caratterizzato da una assai rigorosa disciplina dei vari profili di riservatezza.

Più specificamente il modello proposto con lo schema vedrebbe la costituzione di un apposito "centro operativo" presso il Ministero del tesoro, del bilancio e della programmazione economica.

A tale centro una serie di soggetti (autorità giudiziaria, UIC, SECIT, funzionari degli uffici delle entrate del Ministero delle finanze, ufficiali della Guardia di Finanza) potrebbe richiedere "con riferimento a persone fisiche o giuridiche specificamente individuate, l´eventuale esistenza di rapportidi conto o di deposito alle medesime intestati…o relativamente ai quali esse agiscono in nome e per conto o ne possono disporre nell´ambito dell´archivio unico informatico tenuto dagli intermediari creditizi o finanziari e dalle Poste italiane S.p.A. ai sensi della legge 5 luglio 1991, n. 197".

Il centro operativo presso il Ministero, ai fini dell´acquisizione dei predetti elementi informativi, si dovrebbe avvalere poi del servizio fornito da una società attraverso la rete telematica da questa gestita.

Nell´esprimere il prescritto parere su tale schema di regolamento, il Garante ha messo in luce una serie di carenze dell´articolato, che richiedono significative modifiche per assicurare il pieno rispetto dei principi della legge n. 675.

In primo luogo è stato messo in luce che lo schema non disciplina, come necessario, tutti i profili relativi alla destinazione e alle modalità di comunicazione dei dati, effettuando anzi una subdelega a distinte fonti di disciplina.

Il Garante ha inoltre messo in luce la necessità di precisare con maggiore chiarezza le finalità che giustificano l´accesso all´archivio che si intende costituire, evitando formule generiche. In questo quadro la previsione, ad esempio, di un accesso ai dati per "l´espletamento di attività di prevenzione" è apparsa formula senza dubbio equivoca da circoscrivere con riferimento alle attività di prevenzione puntualmente previste da norme (ad esempio in materia tributaria).

Si è evidenziato infine come il regolamento debba prevedere espressamente che le richieste di accesso siano accompagnate dall´indicazione delle finalità e del procedimento di riferimento. In caso contrario non sarebbe infatti possibile verificare la legittimità della richiesta e, all´occorrenza, del successivo utilizzo dei dati.

Si è sottolineata poi la necessità di contenere il numero degli "incaricati" che avranno accesso ai dati ed ai quali andranno impartite precise istruzioni, nonché la necessità di evitare la conservazione dei dati relativi a rapporti ormai cessati, coerentemente con il disposto di cui all´art. 9 della legge n. 675 che prevede la conservazione dei dati per un periodo non superiore a quello necessario per gli scopi per i quali i dati stessi sono raccolti o successivamente trattati.

Le osservazioni relative al predetto schema regolamentare non riguardavano, invece, le disposizioni del decreto 9 dicembre 1999 del Ministero delle finanze (sul quale peraltro non è stato richiesto il previo parere di questa Autorità ai sensi dell´art. 31 della legge) con il quale è stata invece semplicemente approvata la nuova modulistica che potrà essere impiegata dagli uffici e dai servizi preposti agli accertamenti tributari per richiedere alle banche e a Poste italiane S.p.A. "dati, notizie e documenti di carattere specifico relativi ai conti intrattenuti con il contribuente".

 

265. Anagrafe degli assegni
L´art. 36 del decreto legislativo n. 507 del 1999 concernente la depenalizzazione di alcuni reati minori (che ha introdotto nella legge 15 novembre 1990, n. 386, il nuovo art. 10 bis), ha previsto l´istituzione di un archivio informatizzato.

La disposizione, al fine di assicurare il regolare funzionamento dei sistemi di pagamento, mira a creare un archivio unico informatizzato nel quale saranno inseriti i nominativi dei soggetti traenti degli assegni bancari o postali emessi senza autorizzazione o senza provvista, nonché gli elementi identificativi degli assegni emessi nelle medesime circostanze e l´indicazione delle sanzioni amministrative e penali comminate per la violazione della relativa disciplina. Nell´archivio confluiranno altresì l´indicazione delle carte di pagamento e degli assegni di cui sia stato denunciato il furto o la smarrimento.

I commi 2, 3 e 4 del citato art. 36 contengono significativi richiami alla disciplina sul trattamento dei dati personali, prevedendo la possibilità per la Banca d´Italia di avvalersi di un ente esterno per la gestione dell´archivio, da nominarsi responsabile ai sensi dell´art. 8 della legge n. 675, nonché il diritto per ogni soggetto interessato di accedere alle informazioni che lo riguardano e di esercitare anche gli altri diritti di cui all´art. 13 della medesima legge.

Con successivo regolamento in corso di emanazione su iniziativa del Ministro della giustizia, sentita la Banca d´Italia ed il Garante per la protezione dei dati personali, saranno individuate le norme necessarie per disciplinare la trasmissione, l´iscrizione, la raccolta, la conservazione e la consultazione dei dati.