Il ministero delle Finanze nel suo complesso è titolare del trattamento dei dati sensibili

Ministero delle Finanze - Segretariato generale - Circolare 27 ottobre 1998 n. 244/S

Nell'ambito del ministero delle Finanze la figura del titolare del trattamento dei dati, ai fini della legge sulla tutela della privacy, non può essere individuato in una persona fisica ma nell'entità nel suo complesso alla quale competono le scelte di fondo sulla raccolta e l'utilizzazione dei dati. Ne consegue che il ministero, come precisa la circolare 27 ottobre n. 244/S, in quanto entità autonoma è titolare dei trattamenti dei dati effettuati in seno alla propria struttura sia a livello centrale che periferico. I responsabili del trattamento dei dati, invece, sono individuati dai direttori centrali, regionali e compartimentali tra i soggetti posti a capo delle strutture dirigenziali presso le quali viene effettivamente svolto il trattamento. Questi ultimi poi mediante un ordine di servizio devono individuare gli incaricati del trattamento.

Con nota n. 5067 del 9 dicembre 1997 il Garante per la protezione dei dati personali, con specifico riferimento alle istruzioni contenute nella circolare di questo Segretariato n. 291/S inerente l'oggetto, ha richiamato l'attenzione su un importante aspetto relativo all'applicazione della legge n. 675 del 31 dicembre 1996 e successive modificazioni, ossia quello riguardante l'individuazione della figura del "titolare" del trattamento dei dati personali negli enti pubblici e privati.

In relazione a ciò, la predetta Autorità ha osservato che nel caso di strutture complesse (ministeri, società, associazioni, ecc.) il "titolare" del trattamento non può essere una persona fisica ma è "l'entità nel suo complesso" cui competono le scelte di fondo sulla raccolta e sull'utilizzazione dei dati.

Pertanto sorge ora l'esigenza di adeguare, alla luce delle nuove indicazioni del Garante, il testo delle precedenti istruzioni impartite in materia con circ. n. 132/S dell'8 maggio 1997 (prot. n. 5550/97) e con circ. n. 291/S del 13 novembre 1997 (prot. n. 14/97/man.), fornendo alcuni elementi chiarificatori che consentano una corretta osservanza delle disposizioni previste dalla citata legge n. 675/96.

Al riguardo si prende atto che il Ministero delle Finanze deve essere considerato "titolare" dei trattamenti effettuati nella propria struttura (dipartimenti e proprie strutture centrali o periferiche) in quanto entità autonoma, cui competono le scelte in ordine alla finalità e modalità di svolgimento del singolo trattamento.

Per il Ministero opereranno, nelle diverse scelte che sia necessario assumere, i rispettivi organi secondo le competenze e le regole loro assegnate dall'ordinamento interno.

Di norma il Ministero attende all'adempimento delle disposizioni di legge tramite quei suoi organi di vertice, che, ai sensi della legge 3 aprile 1997, n. 94, assumono la veste di "centri di responsabilità amministrativa" cui vengono affidate direttamente, con la legge annuale di bilancio, le risorse finanziarie per il raggiungimento degli obiettivi del Ministero stesso.

I soggetti preposti a detti organi non assumono personalmente la titolarità del trattamento dei dati personali, che, come abbiamo visto, spetta sempre al Ministero; ma essi, in virtù del rapporto organico che li lega a questo, sono investiti dall'onere di agire, ciascuno nell'ambito del proprio settore, per l'adempimento degli obblighi derivanti dalla legge sulla privacy.

Tali soggetti sono abilitati a nominare i "responsabili" dei trattamenti dei dati personali che, a parere di questo ufficio, dovrebbero essere individuati, nei preposti a capo di ogni singolo ufficio dirigenziale e non dirigenziale, normalmente di 3° livello, presso il quale si svolge il trattamento.

Tale indicazione è fondata sul presupposto che tali soggetti possiedano i requisiti previsti dall'art. 8, commi 1 e 2, della legge 675/96 in quanto preposti a ciascun ufficio o struttura proprio in virtù della loro preparazione ed esperienza professionale.

Qualora l'ufficio di 3° livello sia articolato al proprio interno in reparti, divisioni o sezioni aventi specifica autonomia e competenza, i "responsabili" saranno individuati nei preposti a capo di tali strutture.

La nomina a "responsabile" deve avvenire per il tramite dei competenti direttori di 2° livello (Direttori Centrali, Direttori Regionali e Direttori Compartimentali), con specifica indicazione dei compiti ad esso assegnati.

A loro volta i "responsabili" dovranno procedere all'individuazione degli "incaricati" dei trattamenti. Si precisa che gli "incaricati" debbono essere le persone fisiche addette al trattamento; essi saranno nominati con provvedimento scritto (ordine di servizio) da parte del "responsabile".

Si può ipotizzare che il "responsabile" (dirigente e/o reggente nell'ufficio o struttura) proceda alla nomina degli impiegati dipendenti come "incaricati", nell'ambito delle mansioni assegnate con espressa indicazione nell'ordine di servizio stesso.

L' Amministrazione, nell'esercizio della potestà discrezionale connessa agli ordinari compiti istituzionali, mediante la stipula di appositi contratti può affidare il trattamento dei dati a soggetti esterni: tali soggetti saranno individuati come "responsabili".

Le clausole dei contratti riporteranno in dettaglio le modalità di gestione del trattamento e le misure di sicurezza da adottare, e dovranno essere altresì integrate, contestualmente ovvero con altro documento, con la formale nomina a "responsabile" della ditta commissionaria.

Diverso è il caso in cui l'Amministrazione, a seguito di convenzioni o concessioni stipulate in virtù di un'espressa disposizione di legge, affida a soggetti esterni, pubblici o privati, lo svolgimento di determinati servizi; tali soggetti sono "titolari" del trattamento dei dati per quelle attività o per quei segmenti di procedura che sono stati loro affidati.

In tale fattispecie rientrano per esempio le convenzioni recentemente stipulate con Poste Italiane S.p.A. e A.B.I., limitatamente ai trattamenti derivanti dall'esercizio dei poteri trasferiti con detti atti di convenzione.

Al fine di favorire l'instaurarsi di un più funzionale e canalizzato rapporto dell'Amministrazione Finanziaria con il Garante e di ridurre il numero dei notificatori designati, è opportuno che gli organi di vertice si avvalgano di specifiche risorse interne al proprio ufficio, eventualmente organizzate in apposite strutture (centri di competenza privacy).

L'Amministrazione, per ottemperare agli obblighi su di essa gravanti entro il termine del 31 marzo 1998, sentito il Garante, ha provveduto a:

• notificare il trattamento dei dati personali (artt. 7 e 16 della legge);

• trasmettere una comunicazione al Garante relativamente alla trasmissione dei dati all'estero da parte dell'Amministrazione (art. 28 della legge);

• comunicare i dati sensibili relativi ai versamenti dell'8 e del 4 per mille relativi alle dichiarazioni 1997 e i dati sanitari contenuti nelle dichiarazioni precedenti all'anno 1993, ancora in lavorazione (art. 22 della legge).

Inoltre con decreto legislativo 8 maggio 1998, n. 135 (G.U. n. 106 del 9/5/98) sono state emanate le seguenti disposizioni:

• proroga dal 7 maggio al 7 novembre 1998 per la notifica dei trattamenti dei dati sensibili effettuati nel corso del 1998;
• conferma temporanea del regime per il trattamento dei dati risultanti dalla dichiarazione dei redditi e dell'imposta sul valore aggiunto, e le particolari modalità cui sarà assoggettato il trattamento delle dichiarazioni presentate nel 1998.

Si rimane in attesa dell'emanazione di apposito decreto legislativo riguardante tutte le Pubbliche Amministrazioni, contenente una norma di carattere generale sul trattamento dei dati sensibili da parte dei soggetti pubblici.

Allo stato attuale, volendo procedere ad un riepilogo degli obblighi principali derivanti dalla legge sulla privacy, si possono rilevare le seguenti attività:

1. nomina dei "responsabili" e individuazione degli "incaricati" (come sopra evidenziato);

2. conferma delle misure di sicurezza già in essere, in quanto attualmente rispondenti (autorizzazione all'accesso, alle funzioni, ai servizi, ai locali, ai dati, registrazione degli ingressi, limiti all'utilizzo di supporti di archiviazione cartacea e riutilizzo di quelli per l'archiviazione elettronica/automatizzata, identificazione dell'utente, ecc.), in attesa dell'emanazione di apposito regolamento (art. 15 della L. 675/96);

3. risposte ai cittadini;

4. rapporti con il Garante;

5. notifica dei trattamenti dei dati sensibili a firma del preposto all'ufficio di vertice quale organo del Ministero e del responsabile del trattamento (entro il 7 novembre p.v.).

Per dare concreta attuazione alla legge sulla privacy, si ribadisce la necessità di procedere al più presto ad un accurato censimento dei trattamenti dei dati, personali e sensibili, che vengono svolti nell'ambito delle procedure correnti per ciascun settore.

Si fa presente che detto censimento appare indispensabile anche al fine dell'attuazione delle ultime leggi di riforma della P.A., ed in particolare, tra le altre, L. 59/97, L. 127/97, L. 241/90, L. 675/96 ecc.

A tal fine, allegate alla Determinazione del l° ottobre 1998, prot. n. 8623, sono state diramate le linee guida con le indicazioni metodologiche utilizzabili per la rilevazione dei procedimenti amministrativi, con i relativi attributi, per l'impianto di una vera e propria banca dati dei procedimenti stessi.

Tale banca dati è indispensabile, come sopra già accennato, e dovrà porre in particolare evidenza le informazioni idonee a rilevare i dati sensibili; più in generale essa dovrà soddisfare le esigenze conoscitive sia interne che esterne all'Amministrazione, normalizzando le informazioni disponibili.

Per concludere si invitano i destinatari della presente a voler procedere alle attività evidenziate ai punti 1-5.