Diritti interna

Doveri interna

ricerca avanzata

Parere su un atto recante le specifiche tecniche delle procedure di registrazione, accreditamento e consultazione del Registro degli operatori compro oro - 26 luglio 2018 [9025512]

[doc. web n. 9025512]

Parere su un atto recante le specifiche tecniche delle procedure di registrazione, accreditamento e consultazione del Registro degli operatori compro oro - 26 luglio 2018

Registro dei provvedimenti
n. 447 del 26 luglio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere dell’Organismo per la gestione degli elenchi degli agenti in attività finanziaria e dei mediatori creditizi (OAM);

Visto l’articolo 36, par. 4, del Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento);

Vista la documentazione in atti;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000; 

Relatore il dott. Antonello Soro;

PREMESSO

L’Organismo per la gestione degli elenchi degli agenti in attività finanziaria e dei mediatori creditizi (di seguito OAM) ha richiesto il parere del Garante su un atto recante le  specifiche  tecniche  delle  procedure di   registrazione, accreditamento e consultazione del Registro degli operatori compro oro, in attuazione di quanto previsto dall’articolo 6 del decreto del Ministro dell’economia e delle finanze del 14 maggio 2018, recante le “Modalità tecniche di invio dei dati e di alimentazione del registro degli operatori compro oro”.

L’articolo 6 del predetto decreto, sul cui schema il Garante ha espresso parere il 12 aprile 2018 [doc. web n. 8576294], prevede, infatti, che “Le  specifiche  tecniche  delle  procedure  di   registrazione, accreditamento e utilizzo del  servizio  di  iscrizione  al  registro degli operatori compro oro nonché di quelle relative alle  modalità di accreditamento ed accesso alla sottosezione ad  accesso  riservato da parte delle autorità competenti sono individuate in appositi atti dell'OAM, sentito il parere del Garante per la  protezione  dei  dati personali”.

RILEVATO

Lo schema di atto descrive gli elementi costitutivi della procedura di gestione informatica degli operatori compro oro che intendano presentare istanza di iscrizione, cancellazione o variazione dei dati precedentemente comunicati nell’apposito registro tenuto dall’OAM.

In particolare, in esso viene definita la procedura di registrazione (punto  2) e accesso al servizio telematico che è riservato agli utenti registrati e che avviene tramite il servizio disponibile sul portale web, gestito dall’Organismo (www.organismo-am.it).

Si prevede anche che l’utente debba preventivamente dotarsi di un indirizzo di posta elettronica certificata (PEC) e compilare il modulo elettronico di registrazione. 

Completata la fase di registrazione, l’utente potrà accedere ai servizi disponibili nell’area privata, utilizzando le proprie credenziali, username e password (punto 3). 

Ai fini dell’iscrizione nel registro degli operatori compro oro, l’interessato è tenuto ad utilizzare esclusivamente il servizio di iscrizione dedicato e il servizio di variazione nel caso voglia comunicare eventuali cambiamenti di dati comunicati in sede di iscrizione (punto 3.1). 

Nel testo dell’atto, inoltre, si prevede che l’operatore compro oro possa richiedere la cancellazione di dati dal registro e trasmettere documentazione ulteriore (rispetto a quella già presentata in fase di iscrizione, variazione e cancellazione dal Registro), utilizzando un apposito servizio presente in area privata (punti da 3.3. a 3.7).

Al punto 4 sono disciplinate le procedure di accesso alla sottosezione del registro ad accesso riservato da parte delle Autorità autorizzate, sia per quanto riguarda l’accreditamento dei soggetti aventi accesso alle informazioni, sia rispetto all’aggiornamento e alla gestione dei documenti e dei dati registrati, nonché alla registrazione degli accessi in file di log, conservati per un periodo di 10 anni.

RITENUTO

Lo schema di atto in esame tiene conto delle indicazioni - fornite dall’Ufficio del Garante ai competenti uffici dell’OAM nel corso di un incontro di lavoro e di contatti anche informali - volte a rendere conforme il documento ai principi in materia di protezione dei dati personali e di sicurezza, in particolare, di cui al Regolamento (UE) 2016/679 e a garantire un elevato livello di tutela dei diritti e delle libertà fondamentali.

In particolare, facendo seguito alle osservazioni rese dell’Autorità, l’OAM ha modificato lo schema di provvedimento in termini di maggiori garanzie di sicurezza nella scelta e nell’aggiornamento delle credenziali (password) (punto 2).

Si è inoltre precisato, nella parte relativa ai servizi di accreditamento, che gli utenti accederanno alla sottosezione solo dopo essere stati autorizzati dall’Autorità accreditata, la quale provvederà anche alla profilazione degli accessi (punto 4.1).

Nella parte relativa all’interfaccia con gli altri elenchi o registri tenuti dall’OAM, sono stati accolti i suggerimenti del Garante di integrare il testo specificando che nella sottosezione ad accesso riservato sono annotati, in conformità a quanto previsto dal decreto del 14 maggio 2018 (art. 4, comma 4, lett. d)) anche gli estremi di tutti i provvedimenti sanzionatori irrogati dall’OAM nei confronti di un medesimo soggetto, iscritto nel registro o titolare di poteri di amministrazione, direzione e controllo del soggetto stesso, e  relativi altresì ad altri elenchi e registri tenuti dall’OAM, correlabili mediante  specifiche modalità tecniche di pseudonimizzazione (punto 4.2.1.).

A seguito delle modifiche apportate allo schema, l’Autorità non rileva profili di criticità nel testo esaminato. 

Valuti infine codesta Amministrazione l’opportunità di integrare lo schema in esame con riferimento alla determinazione del tempo massimo di conservazione dei dati personali nel Registro degli operatori compro oro, in linea con quanto osservato dal Garante nel proprio parere (punto 3 del parere cit. del 12 aprile 2018) e poi recepito nell’art. 6 comma 1, lett. i) del decreto del 14 maggio 2018, nonché con i principi sanciti dal Regolamento (UE) 2016/679 (cfr. artt. 5, par 1, lett. e) e 6, par. 3, lett. b) dello stesso).

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere favorevole sullo schema di atto dell’ Organismo per la gestione degli elenchi degli agenti in attività finanziaria e dei mediatori creditizi (OAM)recante le  specifiche  tecniche delle procedure di registrazione, accreditamento e consultazione del registro degli operatori compro oro.

Roma,  26 luglio 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia