Privacy e trattamento dati personali: quando manca il consenso all’uso del Codice fiscale

Privacy e trattamento dati personali: quando manca il consenso all’uso del Codice fiscale

Testo del quesito:

Ogniqualvolta occorre inserire i dati anagrafici di una persona fisica, negli applicativi per il Protocollo messi a disposizione per la Pubblica Amministrazione, è richiesto l’inserimento del Codice fiscale quando si inserisce a titolo di esempio in rubrica un mittente o un destinatario ex novo. Tale campo non è considerato obbligatorio e purtroppo di conseguenza, tale passaggio non è soggetto a verifica di coerenza (considerato il fatto che in un codice alfanumerico è piuttosto semplice fare errori di trascrizione quando il dato non viene a sua volta estratto da un data-base preesistente). Il problema sorge nel momento in cui tale campo ‘Codice fiscale’ è contrassegnato dalla nota seguente ‘Informazione soggetta alla tutela dei dati personali (Dlgs. n. 196/2003). Inserirla solo se si ha avuto il consenso’; scoraggiandone di fatto l’inserimento.

Oltre al riferimento normativo datato, quale sarebbe la corretta procedura ? E’ sufficiente inserire i dati minimi necessari alla spedizione (nome, cognome, indirizzo fisico o telematico che sia) o è lecito inserire sempre anche il Codice fiscale ?

La risposta dei ns. esperti.

La questione, a parere dello scrivente, deve essere analizzata sotto un duplice aspetto:

  • la modalità di trattamento di dati personali, particolari e giudiziari da parte di un’Autorità pubblica;
  • quali dati personali sono pertinenti e non eccedenti nell’anagrafica del gestionale di Protocollo.

In merito al primo punto, occorre richiamare l’art. 6 del “Gdpr”, nel quale si stabilisce che il trattamento di dati personali da parte di un’Autorità pubblica è lecito se “è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.

Resta evidente che la registrazione a Protocollo del corrispondente rientra tra l’esecuzione di un compito di interesse pubblico disposto e disciplinato da norme nazionali.

Oltre a ciò, il processo di digitalizzazione disposto dal “Cad” pone al centro il diritto del cittadino a comunicare in digitale con la P.A. e l’obbligo di quest’ultima di mettere a disposizione servizi on line al fine di semplificare il rapporto tra P.A. e cittadino, rendendo più semplice ed economico chiedere e ricevere servizi. In questo senso il “Cad” dispone l’utilizzo di sistemi di identificazione mediante “Spid”, “Cie” e “Cns” in grado di identificare in modo certo il cittadino e mettergli a disposizione servizi che vanno dalla presentazione dell’istanza, al monitoraggio del procedimento alla consultazione dei propri dati, documenti e fascicoli presso l’Archivio dell’Ente. A tal fine occorre che l’Ente organizzi il proprio Archivio e lo valorizzi con opportuni metadati in grado di garantire l’accesso in sicurezza e in modalità riservata anche al cittadino esterno che intende avvalersi dei servizi on line. In tal senso, rispondendo al secondo punto, il Codice fiscale lo si ritiene un dato pertinente e non eccedente, in quanto metadato necessario per garantire puntuali ricerche documentali e strumento utile per erogare servizi on line in modalità riservata.

Occorre tuttavia sottolineare che il Codice fiscale è un buon metadato che permette di individuare l’interessato, ma non sempre è univoco. Infatti, il cambio di sesso o di cognome ne fa decadere l’efficacia, ed a tal fine potrebbe essere utile individuare altre modalità quali un id dell’anagrafica al quale agganciare tutte le modifiche che il soggetto interessato può subire nel tempo.

Infine, è utile ricordare che la presenza di dati personali, sensibili e giudiziari negli Archivi digitali e nei sistemi dell’Ente, necessita di procedure volte ad assicurare la gestione in sicurezza dell’intera infrastruttura informatica, preservandola da minacce informatiche (malware, cryptolocker e più in generale dal cybercrime) al fine di garantire l’integrità, la disponibilità e la riservatezza dei propri dati e sistemi. In tal senso, l’art. 32 del “Gdpr” impone al Titolare del trattamento di mettere in atto misure adeguate al fine di mitigare il rischio di perdita accidentale del dato. A tal fine, la Circolare Agid n. 2/2017 ha individuato i controlli che devono essere implementati da ciascuna Pubblica Amministrazione per gestire in sicurezza i propri sistemi.

È responsabilità del Titolare del trattamento garantire almeno l’implementazione delle misure minime di sicurezza previste dalla Circolare per dimostrare di aver adottato e rispettato le disposizioni contenute nell’art. 32 del “Gdpr”.

di Cesare Ciabatti


Related Articles

Iva: la rilevanza dei canoni di concessione di beni (e servizi) è legata principalmente al concetto di distorsione di concorrenza

  Con riferimento alla problematica in oggetto, relativa all’attribuzione o meno della rilevanza Iva ai canoni di concessione di beni

Istituto del comando: rientra nel limite di spesa per assunzioni a tempo determinato

Con la Delibera n. 95 del 21 maggio 2015, la Corte dei conti Umbria si pronuncia sul tema dell’utilizzo temporaneo,

Istruzione: la Camera approva la Proposta di legge di iniziativa popolare per introdurre l’educazione civica nelle Scuole

Con 451 sì, nessuno voto contrario e3 astenuti, la Camera dei deputati ha approvato ieri, 2 maggio 2019, la Proposta

Non ci sono commenti per questo articolo

Scrivi un commento
No Comments Yet! You can be first to comment this post!

Only registered users can comment.