Testo del quesito:
“Ogniqualvolta occorre inserire i dati anagrafici di una persona fisica, negli applicativi per il Protocollo messi a disposizione per la Pubblica Amministrazione, è richiesto l’inserimento del Codice fiscale quando si inserisce a titolo di esempio in rubrica un mittente o un destinatario ex novo. Tale campo non è considerato obbligatorio e purtroppo di conseguenza, tale passaggio non è soggetto a verifica di coerenza (considerato il fatto che in un codice alfanumerico è piuttosto semplice fare errori di trascrizione quando il dato non viene a sua volta estratto da un data-base preesistente). Il problema sorge nel momento in cui tale campo ‘Codice fiscale’ è contrassegnato dalla nota seguente ‘Informazione soggetta alla tutela dei dati personali (Dlgs. n. 196/2003). Inserirla solo se si ha avuto il consenso’; scoraggiandone di fatto l’inserimento.
Oltre al riferimento normativo datato, quale sarebbe la corretta procedura ? E’ sufficiente inserire i dati minimi necessari alla spedizione (nome, cognome, indirizzo fisico o telematico che sia) o è lecito inserire sempre anche il Codice fiscale ?”
La risposta dei ns. esperti.
La questione, a parere dello scrivente, deve essere analizzata sotto un duplice aspetto:
- la modalità di trattamento di dati personali, particolari e giudiziari da parte di un’Autorità pubblica;
- quali dati personali sono pertinenti e non eccedenti nell’anagrafica del gestionale di Protocollo.
In merito al primo punto, occorre richiamare l’art. 6 del “Gdpr”, nel quale si stabilisce che il trattamento di dati personali da parte di un’Autorità pubblica è lecito se “è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.
Resta evidente che la registrazione a Protocollo del corrispondente rientra tra l’esecuzione di un compito di interesse pubblico disposto e disciplinato da norme nazionali.
Oltre a ciò, il processo di digitalizzazione disposto dal “Cad” pone al centro il diritto del cittadino a comunicare in digitale con la P.A. e l’obbligo di quest’ultima di mettere a disposizione servizi on line al fine di semplificare il rapporto tra P.A. e cittadino, rendendo più semplice ed economico chiedere e ricevere servizi. In questo senso il “Cad” dispone l’utilizzo di sistemi di identificazione mediante “Spid”, “Cie” e “Cns” in grado di identificare in modo certo il cittadino e mettergli a disposizione servizi che vanno dalla presentazione dell’istanza, al monitoraggio del procedimento alla consultazione dei propri dati, documenti e fascicoli presso l’Archivio dell’Ente. A tal fine occorre che l’Ente organizzi il proprio Archivio e lo valorizzi con opportuni metadati in grado di garantire l’accesso in sicurezza e in modalità riservata anche al cittadino esterno che intende avvalersi dei servizi on line. In tal senso, rispondendo al secondo punto, il Codice fiscale lo si ritiene un dato pertinente e non eccedente, in quanto metadato necessario per garantire puntuali ricerche documentali e strumento utile per erogare servizi on line in modalità riservata.
Occorre tuttavia sottolineare che il Codice fiscale è un buon metadato che permette di individuare l’interessato, ma non sempre è univoco. Infatti, il cambio di sesso o di cognome ne fa decadere l’efficacia, ed a tal fine potrebbe essere utile individuare altre modalità quali un id dell’anagrafica al quale agganciare tutte le modifiche che il soggetto interessato può subire nel tempo.
Infine, è utile ricordare che la presenza di dati personali, sensibili e giudiziari negli Archivi digitali e nei sistemi dell’Ente, necessita di procedure volte ad assicurare la gestione in sicurezza dell’intera infrastruttura informatica, preservandola da minacce informatiche (malware, cryptolocker e più in generale dal cybercrime) al fine di garantire l’integrità, la disponibilità e la riservatezza dei propri dati e sistemi. In tal senso, l’art. 32 del “Gdpr” impone al Titolare del trattamento di mettere in atto misure adeguate al fine di mitigare il rischio di perdita accidentale del dato. A tal fine, la Circolare Agid n. 2/2017 ha individuato i controlli che devono essere implementati da ciascuna Pubblica Amministrazione per gestire in sicurezza i propri sistemi.
È responsabilità del Titolare del trattamento garantire almeno l’implementazione delle misure minime di sicurezza previste dalla Circolare per dimostrare di aver adottato e rispettato le disposizioni contenute nell’art. 32 del “Gdpr”.
di Cesare Ciabatti