Diritti interna

Doveri interna

ricerca avanzata

Parere sullo schema di decreto del MEF concernente le modalità tecniche di invio dei dati di alimentazione del Registro degli operatori compro oro - 12 aprile 2018 [8576294]

 

VEDI ANCHE: Newsletter del 27 aprile 2018

 

[doc. web n. 8576294]

Parere sullo schema di decreto del MEF concernente le modalità tecniche di invio dei dati di alimentazione del Registro degli operatori compro oro - 12 aprile 2018

Registro dei provvedimenti
n. 211 del 12 aprile 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero dell´Economia e Finanze;

Visto l´art. 154, comma 4, del d.lgs. 30 giugno 2003, n. 196 recante Codice in materia di protezione dei dati personali (di seguito  Codice);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Il Ministero dell´Economia e delle Finanze ha richiesto il parere del Garante, ai sensi dell´articolo 154, comma 4, del Codice, su uno schema di decreto concernente le modalità tecniche di invio dei dati di alimentazione del registro degli operatori compro oro, istituito dall´articolo 3 del decreto legislativo 25 maggio 2017, n. 92, recante disposizioni per l´esercizio delle attività di compro oro.

Il decreto legislativo è stato adottato in attuazione della delega contenuta nell´articolo 15, comma 2, lettera l) della legge n. 170 del 12 agosto 2016 concernente disposizioni per l´adempimento degli obblighi di appartenenza dell´Italia all´Unione europea (legge europea 2015) volta ad attuare la Direttiva (UE) 2015/849 del 20 maggio 2015, circa la prevenzione dell´uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo (c.d. "quarta direttiva"), che modifica il regolamento (UE) n. 648/2012 e che abroga la direttiva 2005/60/CE e la direttiva 2006/70/CE della Commissione e, in particolare, l´articolo 2, paragrafo 7.

Sullo schema di decreto legislativo il Garante ha espresso parere il 9 marzo 2017 [doc. web n. 6285103].

RILEVATO

Lo schema di decreto in esame, ai sensi del comma 4 del predetto articolo 3 del decreto legislativo, è volto a definire le modalità tecniche di invio dei dati e di alimentazione del nuovo "Registro degli operatori compro oro" – definito dal decreto legislativo "registro pubblico informatizzato" - ai fini dell´esercizio dell´attività di compro-oro, assoggettata a licenza per attività in materia di oggetti preziosi ai sensi dell´articolo 127 del r.d. n. 773 del 1931 (Testo unico delle leggi di pubblica sicurezza), tenuto e gestito dall´Organismo degli agenti in attività finanziaria e dei mediatori creditizi (OAM).

Esso si compone di 10 articoli.

L´articolo 1 dello schema detta le definizioni necessarie ai fini della disciplina introdotta, riportandone alcune già presenti nel d.lgs. 92/2017 e inserendone di nuove per lo più a carattere "tecnico";

L´articolo 2 stabilisce le finalità del provvedimento dirette a garantire il costante aggiornamento dei dati contenuti nel registro e la tempestiva disponibilità dei medesimi alle autorità competenti (Ministero dell´economia e delle finanze, Unità d´informazione finanziaria per l´Italia e Guardia di finanza), all´autorità  giudiziaria, al Ministero dell´interno  (Dipartimento della pubblica  sicurezza) e alle altre amministrazioni interessate, intendendosi come tali le amministrazioni e istituzioni competenti al rilascio di autorizzazioni, licenze o altri titoli abilitativi comunque denominati e titolari di poteri di controllo nei confronti degli operatori compro oro.

Il medesimo articolo, inoltre, oltre a limitare il trattamento dei dati personali effettuato dall´OAM alle sole finalità di cui al decreto legislativo 92/2017, richiama al rispetto delle disposizioni in materia di protezione dei dati personali nel trattamento dei dati acquisiti e contenuti nel registro.

L´articolo 3 rubricato "Iscrizione nel registro degli operatori compro oro", stabilisce le modalità con cui avviene detta iscrizione, le informazioni e i documenti da allegare all´istanza d´iscrizione nonché le procedure di verifica della regolarità e completezza dell´istanza medesima svolte dall´OAM ai fini della disposizione o negazione dell´iscrizione nel registro.

All´articolo 4, lo schema di decreto definisce la struttura del registro individuando due distinte sezioni, una ad accesso pubblico ed un´altra ad accesso riservato e specificando quali informazioni debbano essere annotate in ciascuna sezione.

I successivi articoli 5 e 6 individuano, rispettivamente, i criteri per la determinazione dei contributi che i soggetti interessati all´iscrizione nel Registro sono tenuti a versare in sede di prima iscrizione e di rinnovo annuale e i criteri cui l´OAM è tenuta a conformarsi nell´adozione degli atti, a contenuto tecnico, relativi alle specifiche delle procedure di registrazione, accreditamento e consultazione del registro degli operatori compro oro.

L´articolo 7, infine, specifica che al momento dell´entrata in vigore del decreto, l´attività di compro oro già esercitata -pur in assenza dell´iscrizione al Registro- potrà essere provvisoriamente svolta dagli interessati che abbiano presentato istanza entro 30 giorni dall´avvio del registro, per tutta la durata dei termini previsti dal decreto per l´espletamento della procedura di iscrizione.

RITENUTO

1. Proporzionalità del trattamento e pertinenza dei dati.

L´articolo 3 del decreto legislativo n. 92/2017, rubricato "Registro degli operatori compro oro", individua le informazioni che gli interessati devono trasmettere all´OAM (comma 2) "ai fini dell´iscrizione nel registro" e demanda al decreto in esame di stabilire le "modalità tecniche di invio dei dati e di alimentazione del registro" in modo da garantire, fra l´altro, "la chiarezza, la completezza e l´accessibilità dei dati riportati nella sezione ad accesso pubblico del registro" (comma 4, lett. c)).

Il medesimo articolo 3 prospetta inoltre la costituzione di una "sottosezione ad accesso riservato" del registro al fine di rendere disponibili alle amministrazioni competenti la sussistenza di "eventuali provvedimenti di cancellazione o sospensione" dal registro a carico dell´operatore (comma 4, lett. e)).

Lo schema di decreto prevede che siano annotati nella sezione ad accesso pubblico, indiscriminatamente, tutte le informazioni trasmesse in fase di iscrizione dall´operatore come i dati anagrafici, di residenza e i codici fiscali delle persone fisiche, dei rappresentanti legali degli operatori e dei preposti a ciascuna sede operativa e gli estremi dei conti correnti dedicati, il "codice operatore professionale in oro", se posseduto, ed anche gli indirizzi di PEC utili per le comunicazioni fra OAM e interessato (art. 4, comma 2, lett. a), in relazione ad art. 3, comma 2).

Nella sottosezione ad accesso riservato, invece, sono annotati, oltre ai predetti dati, anche gli estremi dei provvedimenti di sospensione dall´attività, di cancellazione dal registro e sanzionatori (art. 4, comma 4).

Ciò considerato, per assicurare il rispetto dei principi di finalità e proporzionalità del trattamento e di pertinenza dei dati (art. 11 del Codice) si invita ad effettuare una selezione attenta dei dati da inserire nel Registro, nelle due sezioni sopra indicate, in relazione alle finalità dei trattamenti effettuati negli specifici casi e alla natura dei dati, tenendo conto delle disposizioni del decreto legislativo (ad esempio, i codici fiscali, specie se riferiti ai preposti di ciascuna sede operativa o gli estremi dei conti correnti dedicati sicuramente utili all´OAM per esercitare le necessarie verifiche, possono essere conservati nell´archivio dell´Organismo senza essere resi "pubblici" mediante inserimento nel registro).

2. Sottosezione ad accesso riservato.

Per quanto riguarda la sottosezione ad accesso riservato, si ritiene necessario specificare nello schema che l´accesso a tale area deve avvenire su connessione protetta e previa procedura di autenticazione e autorizzazione.

Si rileva, inoltre, che contrariamente a quanto previsto dal decreto legislativo (art. 3, comma 4, lett. d)), lo schema di decreto non specifica le modalità d´interfaccia tra la sottosezione ad accesso riservato del registro e gli altri elenchi o registri tenuti dall´OAM. Si rende, pertanto, necessario integrare lo schema in tal senso.

3. Specifiche tecniche

Lo schema di decreto in esame, relativamente alle procedure di registrazione, accreditamento e utilizzo del servizio di iscrizione al registro, nonché per le modalità di accreditamento e accesso alla sezione riservata dello stesso, rimanda a specifiche tecniche da individuarsi in appositi atti dell´OAM, su cui non è previsto il parere dell´Autorità (cfr. art. 6, comma 1).

Al riguardo, si ritiene necessario integrare i contenuti delle specifiche tecniche in questione con riferimento ai seguenti aspetti:

a) idonee e preventive misure adottate a protezione dei dati personali contenuti nel registro (sotto questo profilo si potrà fare utilmente riferimento a misure ormai standardizzate per l´accesso a banche dati come, ad esempio, quelle individuate dal Garante con il provvedimento n. 393 del 2 luglio 2015 rispetto a banche dati di soggetti pubblici);

b) il tempo massimo di conservazione dei dati personali;

c) la registrazione delle operazioni di accesso alla banca dati (file di log) nonché i tempi di conservazione degli stessi, ai fini della verifica della liceità del trattamento dei dati;

d) le informazioni contenute nei file di log (a titolo esemplificativo e non esaustivo: il soggetto -codice identificativo- che ha effettuato l´accesso, la data e l´ora dell´accesso, l´operazione effettuata) e le misure contro ogni uso improprio degli stessi.

Appare inoltre opportuno eliminare l´improprio riferimento al termine "condivisione" in relazione alle credenziali univoche di accesso alla banca dati (cfr. articolo 6, comma 1, lettera c).

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere, nei termini di cui in motivazione, sullo schema di decreto del Ministro dell´economia e delle finanze concernente le modalità tecniche di invio dei dati di alimentazione del Registro degli operatori compro oro, istituito dall´articolo 3 del decreto legislativo 25 maggio 2017, n. 92, con le seguenti osservazioni:

1) nel rispetto dei principi di finalità e proporzionalità dei dati, selezionare le informazioni da annotare nella sezione ad accesso pubblico e i provvedimenti da inserire nella sezione ad accesso riservato (punto 1);

2) specificare che l´accesso alla sottosezione riservata deve avvenire su connessione protetta e previa procedura di autenticazione e autorizzazione e individuare le modalità d´interfaccia tra questa e gli altri elenchi o registri tenuti dall´OAM (punto 2);

3) integrare le specifiche tecniche di cui all´articolo 6 dello schema nei termini di cui in motivazione (punto 3).

Roma, 12 aprile 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia