g-docweb-display Portlet

3.4 Registro generale dei trattamenti - Relazione 1999 - 03 maggio 2000

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Indice

3. Il Garante - Relazione 1999 - 3 maggio 2000

3.4. Registro generale dei trattamenti
Nel corso del 1999 il Garante ha proseguito e sviluppato le attività legate alla tenuta del registro generale dei trattamenti (art. 31, commi 1, lett. a) e 3, l. n. 675/1996). Come si era avuto modo di illustrare nella relazione per l´anno 1998, tale registro raccoglie le notificazioni che i titolari dei trattamenti dei dati devono inviare al Garante fuori dei casi di esonero (artt. 7 e 28).

Per adempiere all´obbligo di notificazione i titolari debbono avvalersi di un apposito modello cartaceo o di un programma su floppy disk, sulla base di quanto previsto dall´art. 12 del d.P.R. 501/1998, provvedendo altresì a versare i relativi diritti di segreteria, pari a 25.000 o 15.000 lire, a seconda del supporto utilizzato. Le notifiche sono inviate mediante raccomandata con avviso di ricevimento, oppure presentate direttamente all´Ufficio del Garante.

Il Garante ha profuso particolare impegno per assicurare che la distribuzione dei modelli e dei floppy disk agli utenti avvenisse gratuitamente ed in maniera capillare sul territorio. Essa viene svolta dalle agenzie di Poste italiane S.p.a. in base ad un´apposita convenzione rinnovabile anno per anno, nonché, in misura residuale, direttamente dall´Ufficio. La convenzione, già stipulata per gli anni passati, è stata rivista e aggiornata, adeguandola alle nuove esigenze anche in base all´esperienza maturata. Al fine di facilitare i cittadini, rendendo ancor meno oneroso tale adempimento, si è deciso di rendere possibile anche l´utilizzo della modulistica non direttamente distribuita dal Garante, purché conforme ai modelli approvati.

Le notificazioni complessivamente pervenute all´Ufficio dall´avvio delle procedure, fino al mese di febbraio del 2000, sono circa 270.000. La maggior parte di esse si riferiscono a nuovi trattamenti e costituiscono comunque la prima notificazione effettuata dal titolare, mentre in misura più contenuta giungono modifiche a precedenti notificazioni anche della cessazione di un trattamento. La registrazione di queste ultime è infatti necessaria anche al fine di tenere aggiornato il registro, nel quale sono riportate tutte le variazioni intervenute, salvaguardando così la serie storica degli avvenimenti.

Anche in relazione all´elevato numero di notificazioni risultate incomplete o irregolari (circa 42.000 pari all´11,4%), l´impegno dell´Ufficio non è limitato alla loro memorizzazione, ma si indirizza anche verso la loro possibile regolarizzazione. Procedura, questa, che si articola in maniera differente a seconda degli errori riscontrati, i più diffusi dei quali consistono nell´illeggibilità del dischetto, nella mancata firma da parte del titolare o responsabile, nella mancata compilazione di riquadri, nel fatto che il modello inviato non è conforme a quello prescritto o che i dischetti non sono accompagnati dalla stampa del relativo contenuto. A queste evenienze si devono aggiungere le numerose notificazioni che pervengono prive dell´attestato di pagamento dei diritti di segreteria e che conseguentemente devono essere anch´esse regolarizzate. In generale, si tratta di procedure non brevi, a volte complesse, il che differisce l´inserimento della notificazione nel registro essendo quest´ultima in relazione alla tempestività con cui il titolare provvede alla rettifica degli errori e alla spedizione la documentazione all´Ufficio.

In una prima fase, per lo svolgimento di alcuni degli adempimenti richiamati, ci si è avvalsi dei servizi di una società, che si è aggiudicata di servizio all´esito. Mediante detta società si è provveduto alla memorizzazione delle notificazioni pervenute e alla loro archiviazione.

L´Ufficio è stato particolarmente impegnato anche sul fronte dei numerosi quesiti, per lo più posti telefonicamente con una media di circa cinquanta telefonate giornaliere. Esse hanno costituito un onere non indifferente in considerazione della ridotta consistenza del personale che sarà nel prossimo futuro potenziato.

Come meglio illustrato al precedente punto 2.14, il d.P.R. n. 318/1999 ha individuato le diverse misure minime di sicurezza che i titolari dei trattamenti sono tenuti ad adottare per ridurre i rischi di distruzione, perdita, accesso non autorizzato, trattamento non conforme alle finalità della raccolta o comunque non consentito dei dati personali. Poiché nella notificazione deve essere fornita anche una descrizione generale di tali misure, gran parte dei soggetti che avevano effettuato già la notificazione avrebbero dovuto provvedere alla sua modifica in relazione a tale aspetto, inviando una nuova notificazione al Garante per la sola esigenza di dare comunicazione del doveroso adempimento ad un obbligo di legge. Per sgravare perciò i cittadini da tale onere, ed allo stesso tempo per evitare un nuovo ingente flusso di comunicazioni, il Garante, con proprio provvedimento, ha modificato i modelli per le notificazioni, prevedendo che quanti si adeguano alle disposizioni dal citato d.P.R. n. 318/1999 non debbano appunto, solo per tale ragione, effettuare una nuova notificazione. Per garantire il raggiungimento di tale obiettivo, l´Autorità si è impegnata a dare la massima diffusione di tale provvedimento sulla Gazzetta Ufficiale, sui mezzi di informazione, anche attraverso l´effettuazione di diversi comunicati stampa (v. il provvedimento riportato negli allegati).

Tutte le notificazioni pervenute, dopo una preliminare verifica di congruenza, sono confluite in un elaboratore, collegato in una lan, con un software che permette la gestione della banca dati. In questa fase sperimentale, il registro viene consultato esclusivamente tramite il personale del Garante. Questo, in base al livello di autorizzazione rilasciato, accede al sistema per effettuare verifiche, predisporre ispezioni e ricerche, nonché per altre finalità legate all´amministrazione del sistema.

In attuazione dell´art. 31 della legge n. 675/1996, il Garante ha adottato una deliberazione per la formale istituzione del registro, pubblicata anch´essa sulla Gazzetta Ufficiale. Il tale provvedimento ha fatto anche regolamentato l´accesso in modo che la consultazione ha effettuato senza particolari formalità a oneri di spesa da chiunque vi abbia interesse (art. 13, comma 2, d.P.R. n. 501/1998).

La complessità delle procedure legate alle notificazioni fanno ritenere che il registro generale dei trattamenti possa trovare il definitivo assestamento entro il 2000 consentendo così, superata la fase di sperimentazione e completate le necessarie misure organizzative e di sicurezza, una consultazione più diffusa da parte del cittadino. Ciò in attuazione dell´art. 31, comma 3, della legge, che prevede il raggiungimento di opportune intese con le province e le altre pubbliche amministrazioni, al fine di assicurare la consultazione tramite strumenti informatici costituiti da almeno un terminale dislocato su base provinciale, preferibilmente nell´ambito dell´ufficio per le relazioni con il pubblico (art. 12 d.lg. 3 febbraio 1993, n. 29 e successive modificazioni ed integrazioni).

Sul fronte delle modalità di compilazione delle notificazioni cartacee o informatiche, la produzione e la distribuzione del supporto informatico non ha ancora raggiunto risultati ottimali, come dimostra il fatto che le notificazioni presentate nella prima fase di applicazione della legge su modello cartaceo sono oltre l´80 per cento del totale.

Una volta completato il quadro normativo in materia di protezione dei dati, si potrà quindi completare la revisione del supporto informatico, aggiornandolo e semplificandone ancor più l´uso anche in relazione ai software più avanzati attualmente disponibili nel mercato. Probabilmente anche per il modello cartaceo sarà opportuno un perfezionamento, anche al fine di rendere possibile un´accelerazione dei tempi per la registrazione dei relativi dati.

Tali aspetti hanno indotto il Garante a prevedere, nel corso dell´anno 2000, una revisione di entrambi i supporti, introducendo elementi di semplificazione in vista di una loro ottimizzazione, pur nel rispetto della normativa europea. Ciò imporrà una valutazione rispetto ai moduli residui già in circolazione e relativamente alla loro distribuzione per via telematica (anche attraverso il sito web del Garante) o attraverso le convenzioni in essere.