Privacy e trattamento dati personali: quando manca il consenso all’uso del Codice fiscale

Privacy e trattamento dati personali: quando manca il consenso all’uso del Codice fiscale

Testo del quesito:

Ogniqualvolta occorre inserire i dati anagrafici di una persona fisica, negli applicativi per il Protocollo messi a disposizione per la Pubblica Amministrazione, è richiesto l’inserimento del Codice fiscale quando si inserisce a titolo di esempio in rubrica un mittente o un destinatario ex novo. Tale campo non è considerato obbligatorio e purtroppo di conseguenza, tale passaggio non è soggetto a verifica di coerenza (considerato il fatto che in un codice alfanumerico è piuttosto semplice fare errori di trascrizione quando il dato non viene a sua volta estratto da un data-base preesistente). Il problema sorge nel momento in cui tale campo ‘Codice fiscale’ è contrassegnato dalla nota seguente ‘Informazione soggetta alla tutela dei dati personali (Dlgs. n. 196/2003). Inserirla solo se si ha avuto il consenso’; scoraggiandone di fatto l’inserimento.

Oltre al riferimento normativo datato, quale sarebbe la corretta procedura ? E’ sufficiente inserire i dati minimi necessari alla spedizione (nome, cognome, indirizzo fisico o telematico che sia) o è lecito inserire sempre anche il Codice fiscale ?

La risposta dei ns. esperti.

La questione, a parere dello scrivente, deve essere analizzata sotto un duplice aspetto:

  • la modalità di trattamento di dati personali, particolari e giudiziari da parte di un’Autorità pubblica;
  • quali dati personali sono pertinenti e non eccedenti nell’anagrafica del gestionale di Protocollo.

In merito al primo punto, occorre richiamare l’art. 6 del “Gdpr”, nel quale si stabilisce che il trattamento di dati personali da parte di un’Autorità pubblica è lecito se “è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.

Resta evidente che la registrazione a Protocollo del corrispondente rientra tra l’esecuzione di un compito di interesse pubblico disposto e disciplinato da norme nazionali.

Oltre a ciò, il processo di digitalizzazione disposto dal “Cad” pone al centro il diritto del cittadino a comunicare in digitale con la P.A. e l’obbligo di quest’ultima di mettere a disposizione servizi on line al fine di semplificare il rapporto tra P.A. e cittadino, rendendo più semplice ed economico chiedere e ricevere servizi. In questo senso il “Cad” dispone l’utilizzo di sistemi di identificazione mediante “Spid”, “Cie” e “Cns” in grado di identificare in modo certo il cittadino e mettergli a disposizione servizi che vanno dalla presentazione dell’istanza, al monitoraggio del procedimento alla consultazione dei propri dati, documenti e fascicoli presso l’Archivio dell’Ente. A tal fine occorre che l’Ente organizzi il proprio Archivio e lo valorizzi con opportuni metadati in grado di garantire l’accesso in sicurezza e in modalità riservata anche al cittadino esterno che intende avvalersi dei servizi on line. In tal senso, rispondendo al secondo punto, il Codice fiscale lo si ritiene un dato pertinente e non eccedente, in quanto metadato necessario per garantire puntuali ricerche documentali e strumento utile per erogare servizi on line in modalità riservata.

Occorre tuttavia sottolineare che il Codice fiscale è un buon metadato che permette di individuare l’interessato, ma non sempre è univoco. Infatti, il cambio di sesso o di cognome ne fa decadere l’efficacia, ed a tal fine potrebbe essere utile individuare altre modalità quali un id dell’anagrafica al quale agganciare tutte le modifiche che il soggetto interessato può subire nel tempo.

Infine, è utile ricordare che la presenza di dati personali, sensibili e giudiziari negli Archivi digitali e nei sistemi dell’Ente, necessita di procedure volte ad assicurare la gestione in sicurezza dell’intera infrastruttura informatica, preservandola da minacce informatiche (malware, cryptolocker e più in generale dal cybercrime) al fine di garantire l’integrità, la disponibilità e la riservatezza dei propri dati e sistemi. In tal senso, l’art. 32 del “Gdpr” impone al Titolare del trattamento di mettere in atto misure adeguate al fine di mitigare il rischio di perdita accidentale del dato. A tal fine, la Circolare Agid n. 2/2017 ha individuato i controlli che devono essere implementati da ciascuna Pubblica Amministrazione per gestire in sicurezza i propri sistemi.

È responsabilità del Titolare del trattamento garantire almeno l’implementazione delle misure minime di sicurezza previste dalla Circolare per dimostrare di aver adottato e rispettato le disposizioni contenute nell’art. 32 del “Gdpr”.

di Cesare Ciabatti


Related Articles

Patto di stabilità interno 2015: le indicazioni RgS per la certificazione del rispetto degli obiettivi

E’ stato pubblicato sul sito internet della Ragioneria generale dello Stato il testo del Dm. Mef–RgS 4 marzo 2015, n.

Appalti: individuati nuovi beni e servizi che gli Enti Locali devono acquisire tramite Consip o altri soggetti aggregatori

E’ stato pubblicato in G.U. n. 32 del 9 febbraio 2016 il Dpcm. 24 dicembre 2015, che individua le categorie

Anticorruzione: disponibile il Modello per la Relazione annuale del Responsabile della prevenzione

Coerentemente con quanto era stato annunciato con il Comunicato del 25 novembre 2014, l’Autorità nazionale anticorruzione ha reso disponibile sul

Non ci sono commenti per questo articolo

Scrivi un commento
No Comments Yet! You can be first to comment this post!

Only registered users can comment.