g-docweb-display Portlet

Parere sullo schema di “Disciplinare tecnico sulla sicurezza del trattamento dei dati sulla titolarità effettiva”, predisposto da InfoCamere S.C.p.A. ai sensi dell’art. 11, comma 3, del decreto del Ministro dell’economia e delle finanze, di concerto con il Ministro dello sviluppo economico, 11 marzo 2022, n. 55 - 6 ottobre 2022 [9817361]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9817361]

Parere sullo schema di “Disciplinare tecnico sulla sicurezza del trattamento dei dati sulla titolarità effettiva”, predisposto da InfoCamere S.C.p.A. ai sensi dell’art. 11, comma 3, del decreto del Ministro dell’economia e delle finanze, di concerto con il Ministro dello sviluppo economico, 11 marzo 2022, n. 55 - 6 ottobre 2022

Registro dei provvedimenti
n. 316 del 6 ottobre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO l’art. 21, comma 5, del decreto legislativo 21 novembre 2007, n. 231, ai sensi del quale l’attuazione della disciplina normativa in merito alla comunicazione e all’accesso, per finalità di antiriciclaggio, alle informazioni relative alle persone fisiche che risultano titolari effettivi di persone giuridiche e trust viene rimessa a un decreto del Ministro dell'economia e delle finanze, di concerto con il Ministro dello sviluppo economico, sentito il Garante per la protezione dei dati personali;

VISTO il “Regolamento recante disposizioni in materia di comunicazione, accesso e consultazione dei dati e delle informazioni relativi alla titolarità effettiva di imprese dotate di personalità giuridica, di persone giuridiche private, di trust produttivi di effetti giuridici rilevanti ai fini fiscali e di istituti giuridici affini al trust”, adottato in data 11 marzo 2022, n. 55, ai sensi del richiamato art. 21, comma 5, del d.lgs. 231/2007, con decreto del Ministro dell’economia e delle finanze, di concerto con il Ministro dello sviluppo economico, (pubblicato nella Gazzetta ufficiale n. 121 del 25 maggio 2022), su cui il Garante ha espresso parere favorevole in data 14 gennaio 2021 (con provv. n. 2, disponibile sul sito istituzionale www.garanteprivacy.it, doc. web n. 9541019) e su cui, successivamente, si è pronunciato anche il Consiglio di Stato (parere n. 252 del 23 febbraio 2021/ 9 marzo 2021 e parere n. 1835 del 23 novembre 2021);

VISTO, in particolare, l’art. 11, comma 3, del predetto decreto, ai sensi del quale “Entro trenta giorni dalla data di entrata in vigore del presente decreto e, in ogni caso, prima del trattamento dei dati, il gestore, per conto del titolare del trattamento, predispone un disciplinare tecnico, sottoposto alla verifica preventiva del Garante per la protezione dei dati personali, volto a definire misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, ai sensi dell'articolo 32 del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e della vigente normativa nazionale in materia di protezione dei dati personali”;

VISTA la richiesta di parere pervenuta in data 9 agosto 2022, con la quale InfoCamere S.C.p.A. ha sottoposto all’Autorità lo schema di “Disciplinare tecnico sulla sicurezza del trattamento dei dati sulla titolarità effettiva”, ai sensi del citato art. 11, comma 3, del citato reg. 55/2022;

RILEVATO che il suddetto schema di disciplinare tecnico, adottato “anche ai sensi dell’art. 35, par. 10, del GDPR, quale misura di coordinamento e semplificazione per i numerosi titolari”, si propone di mettere a disposizione “le informazioni necessarie per valutare la necessità e proporzionalità delle operazioni di trattamento dei dati personali predisposte dal Gestore, in relazione alla finalità dei trattamenti […], in un’ottica di Privacy-by-Design”, nonché di descrivere “le misure di sicurezza adottate dal Gestore, che sono state progettate ed implementate tenendo in debita considerazione i rischi per i diritti e le libertà delle persone fisiche che possono derivare dal trattamento di informazioni personali”, con particolare riferimento alle “misure tecniche ed organizzative, progettate ed implementate in conformità all’art. 32 del GDPR in modo da risultare adeguate al rischio e conformi alle indicazioni normative generali e specifiche, anche alla luce dei principi di cui all’art. 5 del GDPR”, considerando, a questo fine, “i rischi afferenti: la riservatezza delle informazioni, con particolare riferimento a quelle non destinate alla libera consultazione pubblica e, tra queste, a quelle relative all’identità dei soggetti che effettuano le segnalazioni delle difformità; l’integrità delle informazioni, riferita all’intero ambito della Titolarità Effettiva; la disponibilità delle informazioni trattate” (cfr. par. 1.3);

RILEVATO, pertanto, che lo schema di disciplinare tecnico stabilisce le predette misure tecniche e organizzative, adottate dal gestore – ossia, la medesima InfoCamere S.C.p.A., ai sensi dell’art. 1, comma 2, lett. e), del reg. 55/2022, che viene all’uopo individuata quale responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, per conto delle Camere di commercio, titolari del trattamento – e volte a garantire un adeguato livello di sicurezza, sia con riferimento all’infrastruttura tecnologica (cfr. par. 2) che con riferimento alle procedure informatiche predisposte per la gestione dei dati e delle informazioni sulla titolarità effettiva nelle relative sezioni (cfr. par. 3);

RILEVATO, altresì, che, con riguardo a quest’ultimo aspetto, lo schema definisce le misure con particolare riferimento alle seguenti procedure applicative:

- l’iscrizione nelle sezioni dedicate alla titolarità effettiva (cfr. par. 3.2), precisando che “i dati e le informazioni sulla titolarità effettiva sono comunicati al solo Registro delle Imprese attraverso la comunicazione unica d’impresa”;

- la gestione degli accessi e delle abilitazioni (cfr. par. 3.3), evidenziando che “Le regole per l’accesso da parte delle Autorità sono contenute nelle convenzioni previste dall’art. 5, comma 2 del [reg. 55/2022 e] sottoscritte da Unioncamere, dal Gestore e dalle autorità [medesime]” (ossia, quelle di cui all’art. 21, comma 2, lett. a), b), c) e d), e comma 4, lett. a), b) e c) del d.lgs. 231/2007);

- la consultazione di dati e informazioni inerenti alla titolarità effettiva da parte delle summenzionate autorità (cfr. par. 3.4);

- la comunicazione delle difformità da parte dei soggetti obbligati e la loro consultazione (cfr. par. 3.5), precisando che “Il processo di comunicazione tratta in modo separato i dati e le informazioni personali dei soggetti segnalanti in modo da non rendere disponibili gli estremi identificativi del segnalante, garantendone pertanto l’anonimato (come previsto dall’art. 6 comma 5 del Regolamento) in fase di consultazione da parte esclusiva delle Autorità competenti, secondo le modalità previste in sede di convenzionamento ed in linea con quanto indicato nel paragrafo relativo alla Consultazione per le Autorità”;

CONSIDERATO che la versione dello schema di disciplinare tecnico in esame tiene conto delle osservazioni fornite dall’Ufficio nel corso delle interlocuzioni informali intercorse al fine di rendere conformi, in ossequio ai principi di integrità e riservatezza e di privacy by design e by default (artt. 5, par. 1, lett. f), e 25 del Regolamento) e agli obblighi di sicurezza (art. 32 del Regolamento), i trattamenti ivi disciplinati alla normativa in materia di protezione dei dati personali, che hanno riguardato, nello specifico:

- l’integrazione del testo con gli elementi tipici di una valutazione d’impatto generale ai sensi dell’art. 35, par. 10, del Regolamento, a fini di coordinamento e semplificazione degli adempimenti in capo ai numerosi titolari del trattamento coinvolti (tutte le Camere di commercio, ai sensi dell’art. 11, comma 1, del reg. 55/2022) che, a questo fine, si avvalgono dello stesso responsabile del trattamento (InfoCamere S.C.p.A.), già gestore, per conto delle medesime, del sistema  informativo  nazionale camerale di cui all’art. 8, comma 6, della legge 29 dicembre 1993, n. 580;

- il perfezionamento delle misure tecniche e organizzative, anche a fronte di una rivalutazione dei rischi specifici, al fine di assicurare la sicurezza dell’infrastruttura tecnologica e delle procedure informatiche concernenti la titolarità effettiva, con particolare riferimento a profili quali: la gestione degli incidenti di sicurezza e delle violazioni dei dati personali; la sicurezza delle comunicazioni; il tracciamento degli accessi; l’utilizzo della crittografia; la limitazione e l’aggiornamento dell’elenco dei soggetti autorizzati ad accedere; le garanzie per assicurare l’anonimato del segnalante;

RITENUTO, alla luce di quanto osservato, che lo schema di decreto in esame non presenta criticità in ordine ai profili di protezione dei dati personali;

RILEVATO, inoltre, che, con riferimento alla consultazione di dati e informazioni relativi alla titolarità effettiva da parte dei soggetti di cui agli artt. 6 e 7 del reg. 55/2022 (ossia, i soggetti obbligati, il pubblico e qualunque persona fisica e giuridica, compresa quelle portatrici di interessi diffusi), lo schema di disciplinare tecnico richiama l’art. 8 del citato reg. 55/2022, laddove rinvia ad appositi decreti ministeriali la definizione dei “diritti di segreteria che definisce gli importi, con riferimento ai diversi canali di accesso” (ai sensi dell'art. 18 della legge 29 dicembre 1993, n. 580) e dei “contenuti informativi nella loro forma certificativa” (ai sensi dell’art. 24 del decreto del Presidente della Repubblica 7 dicembre 1995, n. 581), precisando che “il presente documento dovrà essere adeguato successivamente alla loro adozione, per riportare le misure di sicurezza relative alla consultazione, che sarà differenziata per le diverse tipologie di soggetti richiedenti” e che, in ogni caso “i contenuti informativi relativi alla Titolarità Effettiva saranno predisposti in ottemperanza a quanto previsto dal Regolamento e dal decreto adottato ai sensi dell’art. 24 del decreto del Presidente della Repubblica 581/1995. Pertanto, tali contenuti informativi saranno distinti in base del soggetto che ne richiede la consultazione: si distingueranno i contenuti informativi riservati - disponibili esclusivamente per i soggetti obbligati e le Autorità competenti - da quelli pubblici, i cui dati ‘ridotti’ sono indicati nell’art. 7 del Regolamento. Inoltre, tali contenuti informativi saranno erogati tramite i canali di accesso ai dati del Registro Imprese come saranno specificati nel decreto del MiSE adottato ai sensi dell’art. 18 della Legge 580/1993” (par. 3.6);

CONSIDERATO che i profili da ultimo citati dovranno essere oggetto di attenta valutazione tenendo conto della necessità di assicurare un’adeguata tutela dei diritti e delle libertà fondamentali degli interessati, soprattutto in presenza delle circostanze eccezionali indicate ai fini dell'esclusione dell'accesso alle informazioni concernenti la titolarità effettiva, di cui all'art. 21, comma 2, lett. f), secondo periodo, e comma 4, lettera d-bis), terzo periodo, del d.lgs. 231/2007, anche alla luce della questione pregiudiziale pendente dinanzi alla Corte di giustizia dell’UE concernente, nel contesto della disciplina sulla prevenzione del riciclaggio di denaro e del finanziamento del terrorismo, proprio l’accesso a tali informazioni (cause riunite C-37/20, C-601/20, C-37/20 e C-601/20, instaurate contro i Registri delle imprese del Lussemburgo);

RITENUTO, pertanto, che, al fine di prevenire i rischi connessi alla divulgazione indebita di informazioni concernenti la titolarità effettiva nel momento in cui verrà consentito l’accesso ai soggetti obbligati, al pubblico e a qualunque persona fisica e giuridica, compresa quella portatrice di interessi diffusi, il Garante si riserva di valutare le misure tecniche e organizzative che saranno individuate integrando il disciplinare tecnico – sulla base dei decreti che il Ministero dello sviluppo economico andrà ad adottare ai sensi dell’art. 8 del reg. 55/2022 – da sottoporre nuovamente alla verifica del Garante, ai sensi dell’art. 11, comma 3, del citato reg. 55/2022;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

TUTTO CIO’ PREMESSO, IL GARANTE

1) ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di “Disciplinare tecnico sulla sicurezza del trattamento dei dati sulla titolarità effettiva”, predisposto da InfoCamere S.C.p.A. ai sensi dell’art. 11, comma 3, del decreto del Ministro dell’economia e delle finanze, di concerto con il Ministro dello sviluppo economico, 11 marzo 2022, n. 55;

2) dispone la trasmissione del presente provvedimento anche al Ministero dell’economia e delle finanze e al Ministero dello sviluppo economico per le valutazioni di competenza.

Roma, 6 ottobre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei