g-docweb-display Portlet

Disposizioni in materia di pagamenti da parte delle pubbliche amministrazioni - 25 luglio 2007 [1434395]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1434395]

Disposizioni in materia di pagamenti da parte delle pubbliche amministrazioni - 25 luglio 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

Vista la richiesta di parere del Ministero dell´economia e delle finanze;

Visto l´articolo 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Visto l´articolo 48-bis del d.P.R. 29 settembre 1973, n. 602, introdotto dall´art. 2, comma 9, del decreto-legge 3 ottobre 2006, n. 262, convertito, con modificazioni, dalla legge n. 286/2006;

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO:

Il Ministero dell´economia e delle finanze ha chiesto, ai sensi dell´art. 154, comma 4, del Codice in materia di protezione dei dati personali, il parere del Garante in ordine a uno schema di regolamento recante disposizioni in materia di pagamenti da parte delle pubbliche amministrazioni.

Il regolamento deve attuare l´articolo 48-bis del d.P.R. 29 settembre 1973, n. 602 a norma del quale le amministrazioni pubbliche, prima di effettuare, a qualunque titolo, il pagamento di una somma di importo superiore a diecimila euro, "verificano, anche in via telematica, se il beneficiario è inadempiente all´obbligo di versamento derivante dalla notifica di una o più cartelle di pagamento per un ammontare complessivo pari almeno a tale importo". Qualora risulti tale inadempimento, le pubbliche amministrazioni non devono procedere al pagamento, segnalando la circostanza al competente agente della riscossione per il recupero delle somme dovute.

Lo schema prevede che ciascuna pubblica amministrazione interessata verifichi la sussistenza di un eventuale inadempimento del beneficiario del pagamento in via telematica, inoltrando una richiesta a Equitalia Servizi S.p.a., società cui è attribuita la gestione dei servizi informatici di Equitalia S.p.a. (nuova denominazione di Riscossione S.p.a.) alla quale è attribuito per legge il compito di riscuotere coattivamente i crediti erariali. A tal fine, i soggetti pubblici devono segnalare nominativi di propri operatori da "accreditare", mediante una specifica procedura, quali esclusivi titolari della facoltà di effettuare la predetta verifica.

Lo schema prevede poi che, ricevuta la richiesta di verifica, Equitalia Servizi S.p.a. effettui il controllo sull´eventuale inadempimento del beneficiario "avvalendosi del sistema informativo" e riscontri, poi, la richiesta stessa.

OSSERVA:

1. Titolare, responsabile e incaricati del trattamento

Appare necessario chiarire chi sia il titolare (o i titolari) e il responsabile del trattamento dei dati, tenendo conto dei compiti attribuiti per legge ai soggetti pubblici interessati e di quelli specificamente assegnati a ogni altro soggetto o persona fisica cui si riferisce il regolamento (soggetti pubblici tenuti al pagamento di somme di denaro, persone fisiche operanti presso tali soggetti pubblici e abilitati alle verifiche, "agenti della riscossione", Equitalia S.p.a., Equitalia Servizi S.p.a.).

Lo schema, infatti, non reca indicazioni univoche al riguardo, né specifica a quale titolo, sul piano del trattamento dei dati personali, Equitalia S.p.a. ed Equitalia Servizi S.p.a. potranno avvalersi, consultandolo, di un non meglio identificato "sistema informativo" della riscossione.

Tale chiarimento si rende necessario anche in considerazione del fatto che, a seguito delle recenti modifiche in materia di riscossione dei crediti erariali (art. 3, comma 7, d.l. n. 223/2005), che hanno attribuito tale funzione a Riscossione S.p.a. (ora Equitalia S.p.a.) anche mediante partecipazioni in altre società già concessionarie del servizio, il novero degli agenti della riscossione è ancora in via di definizione.

1.1. Nel preambolo del regolamento si precisa, peraltro, che "Equitalia Servizi S.p.a., società controllata da Equitalia S.p.a., gestisce le attività informatiche condivise fra gli agenti della riscossione". L´art. 1, comma 1, lett. c), dello schema definisce poi "agenti della riscossione" la stessa Equitalia S.p.a. e "le società dalla stessa partecipate". Se, quindi, come sembra, Equitalia Servizi S.p.a. è compresa fra gli agenti della riscossione, la stessa (in base all´articolo 5 dello schema) risulterebbe per un verso "titolare" del trattamento dei dati e invece, per espressa indicazione, "responsabile" del trattamento stesso.

Nella relazione allo schema di regolamento si legge inoltre che Equitalia Servizi S.p.a. "assume il ruolo di responsabile/titolare autonomo del trattamento dei dati contenuti nel sistema informativo".

Da ultimo, le funzioni attribuite dalla legge in materia di riscossione e la configurazione dei compiti e dei rapporti fra i diversi soggetti che sembra evincersi dallo schema di regolamento, inducono a ritenere che (nel rapporto fra le due predette società) "titolare" del trattamento dei dati relativi all´inadempimento dei beneficiari, nella parte oggetto del presente regolamento, sia Equitalia S.p.a. e che questa società debba, quindi, designare Equitalia Servizi S.p.a. quale responsabile del trattamento stesso.

Conseguentemente, ferma restando l´attribuzione a Equitalia Servizi S.p.a. del compito di curare la "gestione" del servizio di verifica, lo schema deve essere modificato precisando che le operazioni di trattamento di dati personali effettuate per verificare l´inadempimento dei beneficiari dei pagamenti e per comunicare l´esito della verifica ai soggetti pubblici interessati verranno effettuate da Equitalia S.p.a. in qualità di titolare del trattamento, "mediante" Equitalia Servizi S.p.a. (artt. 18 e 19 del Codice), fermo restando il possibile ruolo degli agenti della riscossione.

1.2. Resta, infatti, fermo che la titolarità del trattamento dei dati personali relativi all´inadempimento all´obbligazione tributaria può essere individuata anche in capo ad altri singoli agenti della riscossione eventualmente "competenti".

1.3. Sull´altro fronte, va rilevato che titolari del trattamento dei dati oggetto della verifica sono anche, per altri profili, i soggetti pubblici che devono disporre i pagamenti. Sotto questo aspetto, considerando che gli "operatori" da abilitare alle verifiche sono segnalati dai soggetti pubblici presso i quali operano, è, quindi, più rispondente alla reale configurazione del rapporto di collaborazione che tali operatori siano designati quali "incaricati" del trattamento dei dati e ricevano pertanto le relative istruzioni da tali soggetti, anziché da Equitalia Servizi S.p.a., come invece riportato nella relazione illustrativa (art. 30 del Codice).

1.4. In conclusione, lo schema di regolamento e, in particolare, l´articolo 5 devono essere, pertanto, modificati e integrati in base alle indicazioni sopra riportate, avendo cura di dettagliare le pertinenti disposizioni per quanto necessario.

 

2. La pertinenza e non eccedenza dei dati oggetto di comunicazione

2.1. Ai fini del rispetto del principio di pertinenza e non eccedenza dei dati personali (art. 11 del Codice) è necessario prevedere (cfr. art. 4, comma 4) che l´"importo" che il soggetto pubblico deve corrispondere sia comunicato solo se, dalla verifica svolta in via telematica, risulti un inadempimento del beneficiario.

Ciò, in quanto si tratta solo di una comunicazione preliminare.

2.2. All´articolo 4, comma 5, deve essere poi ribadito, inserendo le parole: "dei soli dati di cui all´articolo 3", che i dati e le informazioni che Equitalia S.p.a. deve comunicare al soggetto pubblico interessato sono solo quelli già indicati nello schema e, in particolare, "l´ammontare del debito del beneficiario per cui si è verificato l´inadempimento, comprensivo delle spese esecutive e degli interessi di mora dovuti", anziché altre eventuali informazioni concernenti la posizione debitoria del beneficiario, come per esempio la causale del debito.

 

3. La conservazione dei dati relativi alle verifiche

Infine, all´articolo 5, comma 3, dello schema deve essere precisato che le informazioni identificative di ogni verifica, riportate nella prevista stringa alfanumerica, non devono riguardare il "contenuto" della verifica stessa.

TUTTO CIÓ PREMESSO IL GARANTE:

esprime parere favorevole sullo schema di regolamento in materia di pagamenti da parte delle pubbliche amministrazioni a condizione che, nei termini di cui in motivazione:

a) all´articolo 5, siano chiarite univocamente le figure del titolare (o dei titolari) del trattamento, del responsabile e degli incaricati, tenendo conto dei compiti attribuiti o specificamente assegnati a ciascun soggetto o persona fisica (punto 1);

b) nello schema, tutte le volte che risulti necessario, sia precisato che le operazioni di trattamento dei dati sono effettuate da Equitalia S.p.a., anziché da Equitalia Servizi S.p.a. (punto 1);

c) all´articolo 4, comma 4, sia previsto che l´"importo" che il soggetto pubblico deve corrispondere non è indicato nella comunicazione preliminare, ed è comunicato solo se, dalla verifica svolta in via informatica, risulti un inadempimento del beneficiario (punto 2.1.);

d) all´articolo 4, comma 5, sia precisato che i dati e le informazioni che devono essere comunicati da Equitalia S.p.a. al soggetto pubblico interessato sono solo quelli già indicati nell´articolo 3 (punto 2.2.);

e) all´articolo 5, comma 3, sia ulteriormente precisato che le informazioni identificative di ogni verifica, riportate nella prevista stringa alfanumerica, non devono riguardare il "contenuto" della verifica stessa (punto 3).

Roma, 25 luglio 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli