Diritti interna

Doveri interna

ricerca avanzata

Trattamento dei dati personali - Anagrafe dei valori mobiliari dell'Ufficio Italiano Cambi - 26 luglio 1999 [40991]

 [doc. web n. 40991]

Trattamento dei dati personali - Anagrafe dei valori mobiliari dell´Ufficio Italiano Cambi - 26 luglio 1999

Le pubbliche amministrazioni non devono richiedere il consenso degli interessati per poter trattare dati personali, dovendo piuttosto verificare che i singoli trattamenti e le categorie di dati siano riconducibili nella sfera delle proprie finalità istituzionali e siano posti in essere rispettando gli eventuali limiti previsti dalle normative di riferimento o da disposizioni speciali.

Roma, 26 luglio 1999

Ufficio Italiano Cambi
Via delle Quattro Fontane, 123
00184 Roma


OGGETTO: anagrafe dei valori mobiliari dell´Ufficio Italiano dei Cambi


Codesto Ufficio ha chiesto al Garante un parere in merito agli adempimenti da adottare, in ossequio alla legge n. 675/1996, per la raccolta, la comunicazione e la diffusione dei dati relativi alla c.d. anagrafe indicata in oggetto, che è composta da elementi informativi elaborati per banca, classi di operazioni e operatori (art. 21, comma 2, D.P.R n. 148/1988).

Al riguardo si precisa che per il trattamento dei dati in questione, non è necessario acquisire né il consenso degli interessati, né l´autorizzazione del Garante. Deve tenersi presente, infatti, che all´Ufficio Italiano Cambi si applica la particolare disciplina prevista, per i soggetti pubblici, dall´art. 27 della legge n. 675/1996.

Ciò premesso, per ogni opportuno chiarimento si ricorda che:

a) la legge 31 dicembre 1996, n. 675, si applica anche al trattamento di dati concernenti persone giuridiche;

b) la disciplina di riferimento per il trattamento dei dati da parte dei soggetti pubblici consente di compiere le operazioni di trattamento solo per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti dalla legge e dai regolamenti (art. 27, comma 1, legge n. 675/1996). Le pubbliche amministrazioni non devono quindi richiedere il consenso degli interessati per poter trattare dati personali, dovendo piuttosto verificare che i singoli trattamenti e le categorie di dati siano riconducibili nella sfera delle proprie finalità istituzionali e siano posti in essere rispettando gli eventuali limiti previste dalle normative di riferimento o da disposizioni speciali;

c) la legge n. 675 prevede inoltre una disciplina particolare per le operazioni di comunicazione e di diffusione dei dati personali da parte dei soggetti pubblici verso soggetti privati o enti pubblici economici. Tale disciplina esclude, anche in questo caso, la necessità di raccogliere il consenso degli interessati. In base ad essa, le pubbliche amministrazioni devono verificare che la comunicazione dei dati sia prevista espressamente da una norma di legge o di regolamento (art. 27, comma 3). Tuttavia, la divulgazione di dati ad altri soggetti pubblici è ammessa, in via residuale, anche in assenza di una puntuale disposizione normativa, quando sia necessaria per svolgere le funzioni istituzionali delle amministrazioni interessate (in quest´ultimo caso, occorre inviare un´apposita comunicazione al Garante, una tantum: art. 27, comma 2).

Alla luce di quanto sopra esposto, dal quadro normativo di riferimento si evince come la pubblicazione dei suddetti dati e la loro comunicazione ad alcune amministrazioni trovi fondamento nel d.P.R. 31 marzo 1988, n. 148 (recante il "Testo unico delle norme in materia valutaria" ) che, all´art. 21, attribuisce all´U.I.C. la funzione, poi confermata con il d.lg. 26 agosto 1998, n. 319 ("Riordino dell´Ufficio Italiano Cambi a norma dell´art. 1, comma 1 della legge 17 dicembre 1997, n. 433" ), di raccogliere ed elaborare le informazioni in materia valutaria a fini conoscitivi e statistici. Il comma 3 dell´art. 21 prevede poi che l´Ufficio proceda alla pubblicazione dei dati, precisando che gli stessi restano comunque coperti dal segreto d´ufficio fino a tale momento. Tale circostanza (fermo restando, poi, quanto previsto dal medesimo comma 3 riguardo alla comunicazione dei dati ai Ministri del tesoro e del commercio con l´estero e alla Banca d´Italia) permette di ritenere che le informazioni e i dati possono essere oggetto, dopo la loro pubblicazione, di ampia e tempestiva conoscibilità anche da parte di soggetti privati quali banche e intermediari finanziari, fermo restando il segreto d´ufficio fino al momento della pubblicazione.

Peraltro, tutto ciò non preclude che in armonia con quanto previsto dall´art. 27, comma 3, della legge n. 675, l´Ufficio stimoli l´emanazione di ulteriori norme, anche di rango secondario, volte a prevedere altre forme di comunicazione a privati o enti pubblici economici sulla base di una individuazione dei dati, delle modalità e delle finalità della stessa, degli ulteriori strumenti previsti all´art. 2, comma 3 dal decreto legislativo n. 319/1998.

È stato altresì richiesto, relativamente ai trattamenti in esame, di indicare gli adempimenti cui è tenuto l´U.I.C. ai sensi della normativa sulla protezione dei dati personali.

In proposito si ricorda quanto segue:

  • per quanto concerne la notificazione prevista dall´art. 7 della legge n. 675/1996 e il trasferimento di dati all´estero di cui all´art. 28, opera una duplice esenzione prevista per un verso dall´art. 7, comma 5 ter e relativamente ai trattamenti concernenti persone giuridiche, enti o associazioni dall´art. 26 della stessa legge;
  • occorre garantire la sicurezza dei trattamenti e dei dati (art. 15, comma 1) e assicurare inoltre il rispetto delle misure minime in materia previste dal d.P.R. recentemente approvato dal Consiglio dei Ministri (art. 15, comma 2). Nel merito l´U.I.C., come ogni altro soggetto pubblico e privato, che gestisce informazioni personali, deve osservare modalità di conservazione e di controllo dei dati idonee a ridurre al minimo i rischi di eventuale distruzione o perdita dei dati trattati, nonché l´accesso non autorizzato o un trattamento non conforme alla legge (art. 15, comma 1). Queste modalità comprendono anche l´adozione delle citate "misure minime di sicurezza" che sono state determinate con il regolamento governativo di prossima pubblicazione (art. 15, comma 2 e 41, comma 3);
  • relativamente ai dati raccolti successivamente all´8 maggio 1997 (data di entrata in vigore della legge n. 675), l´Ufficio è tenuto a fornire, oralmente o per iscritto, l´informativa prevista dall´art. 10 ai soggetti ai quali i dati si riferiscono. Relativamente ai dati forniti direttamente dagli interessati l´informativa deve essere resa in via preventiva, ma può non contenere gli elementi già conosciuti al soggetto che fornisce i dati (art. 10, comma 1 e 2). Nel caso in cui invece, i dati siano acquisiti presso terzi, non è necessario inviare l´informativa se il trattamento è effettuato in base ad un obbligo previsto da disposizioni di legge (vedi l´art. 10, comma 4, che prevede anche la possibilità di chiedere al Garante l´esonero o la semplificazione per tale adempimento, che è possibile anche effettuare in forme diverse da quella che presuppone un singolo avviso a ciascun interessato);
  • occorre rispettare comunque i requisiti di cui all´art. 9 sulla correttezza delle modalità di trattamento e sulla pertinenza ed esattezza dei dati.

Infine, per quanto riguarda la possibilità di annotare informazioni per quanto riguarda il c.d. rating inerente all´emittente non si ravvisano ostacoli di fondo. Infatti, il citato art. 27, comma 1, consente di trattare i dati personali pertinenti allo svolgimento dei fini istituzionali. Tale disposizione va applicata in armonia con l´art. 21 del decreto citato che permette di trattare "informazioni e dati concernenti la gestione valutaria e le operazioni con l´estero, valutarie e in cambi nelle quali sono a qualsiasi titolo intervenute" .

Questa Autorità resta, in ogni caso, a disposizione per ogni ulteriore chiarimento e per una eventuale collaborazione al fine della corretta applicazione da parte di codesto Ufficio delle regole introdotte dalla disciplina in materia di dati personali.

IL PRESIDENTE