[doc. web n. 9919882]

Parere su uno Schema di decreto del Ministero dello sviluppo economico attuativo dell'articolo 4, comma 6, del decreto legislativo n.219 del 2016, relativo alla formazione e gestione del fascicolo informatico d'impresa - 22 giugno 2023

Registro dei provvedimenti
n. 282 del 22 giugno 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere del Ministero delle imprese e del Made in Italy;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, paragrafo 4;

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

Il Ministero delle imprese e del Made in Italy (di seguito, per brevità: “Ministero”) ha richiesto il parere del Garante su di uno schema di decreto, di natura regolamentare, adottato in attuazione dell’articolo 4, comma 6, del decreto legislativo n. 219 del 2016, recante definizione dei termini e delle modalità operative di alimentazione del fascicolo informatico d’impresa, nonché delle modalità e dei limiti di accesso alle relative informazioni da parte dei soggetti pubblici e privati interessati.

Il testo proposto risulta innovato rispetto a quello già oggetto del parere reso dal Garante con provvedimento del 21 luglio 2022, n. 251 (doc. web 9806101).

Di tale parere- al quale si rinvia, sin d’ora, per l’illustrazione complessiva delle principali scelte regolatorie effettuate- l’odierno provvedimento recepisce, in parte, le indicazioni, nei termini di seguito esposti.

RILEVATO

Le innovazioni principali apportate allo schema di regolamento, rispetto al testo precedente, possono brevemente descriversi- con un parallelismo rispetto ai rilievi contenuti nel parere del Garante- nei termini seguenti. 

La modifica dell’articolo 5, in ordine alla tassonomia dei documenti, va analizzata alla luce del rilievo sub a), n. 2, espresso nel parere del 21 luglio 2022. In quella sede, in particolare, il Garante sottolineava l’esigenza di meglio definire - in conformità al principio di trasparenza del trattamento- gli elementi costitutivi delle classi 4 e 5 dell’indice tassonomico allegato al decreto, precisando la tipologia di documentazione considerata (es. accertamenti o sanzioni tributarie, previdenziali, etc.), ma anche i soggetti interessati cui essa si riferisca (con particolare riferimento alla nozione di “personale dell’impresa” di cui alla “classe 4”).

In particolare, la nuova formulazione del comma 2 ascrive alle Camere di commercio- alle quali è assegnata la gestione del fascicolo informatico- il compito di verificare costantemente l’adeguatezza della tassonomia e la sua rispondenza alle esigenze dei soggetti che alimentano il fascicolo o lo consultano trasmettendo, con cadenza annuale, una relazione al Ministero. Tale comunicazione è finalizzata – come si evince dal medesimo comma – ad esporre l’esigenza di eventuali modifiche alla tassonomia dei documenti conservati nel fascicolo. Sui decreti direttoriali che introdurranno tali modifiche è prevista l’acquisizione del parere del Garante (comma 3).

Il rilievo sub a), n. 3 del parere, invece, esprimeva l’esigenza di integrare l’articolato con l’indicazione dei tempi di conservazione dei dati d’impresa, di carattere personale, trattati nel fascicolo informatico. In relazione a tale indicazione, il nuovo schema di regolamento è stato modificato agli articoli 6 e 7.

Il nuovo articolo 6, rubricato “Conservazione dei documenti”, prevede ora che i documenti siano conservati nel fascicolo, da parte della camera di commercio territorialmente competente, a tempo indeterminato. Tale previsione è finalizzata – secondo quanto previsto dal comma 1- ad offrire una “esaustiva rappresentazione della situazione vigente” dell'impresa, nonché a garantire la “conservazione della memoria dello stato storico”.

La modifica dell’articolo 7, rubricato “Consultazione dei privati”, disciplina invece le condizioni per la consultabilità, da parte dei privati, dei documenti presenti nel fascicolo, prevedendone in linea generale l’ammissibilità “a tempo indeterminato”, salva diversa indicazione nell’ambito della tassonomia. 

Il rilievo sub a), n. 1, del parere, sottolineava l’esigenza di  integrare l’articolato individuando il titolare del trattamento dei dati personali funzionale alla gestione del fascicolo informatico d’impresa e il ruolo esercitato dagli altri soggetti, legittimati ad intervenire nei processi disciplinati dal regolamento.

In relazione a tale rilievo, è stato introdotto nello schema di regolamento un articolo (il n. 8), rubricato “Trattamento dei dati personali”.

Esso individua nei SUAP e nelle amministrazioni responsabili dei procedimenti i titolari del trattamento effettuato per le operazioni di alimentazione; nelle medesime amministrazioni responsabili del procedimento e nei privati i titolari del trattamento dei dati (personali: va precisato), acquisiti dal fascicolo; nella camera di commercio il titolare del trattamento dei dati (personali: va nuovamente precisato), acquisiti e conservati nel fascicolo informatico.

RITENUTO

Il nuovo schema di regolamento, pur recependo gran parte dei rilievi formulati dal Garante nel precedente parere necessita, tuttavia, di alcune, ulteriori modifiche, di seguito esposte, funzionali alla piena conformità del testo alla disciplina di protezione dei dati personali.

In primo luogo, come già rilevato nel precedente parere del 21 luglio 2022, la determinazione dei tempi di conservazione dei documenti (e, quindi, dei dati in essi contenuti) deve effettuarsi nel rispetto del principio di limitazione della conservazione di cui all’articolo 5, par. 1, lett. e), del Regolamento, in relazione alle specifiche finalità sottese al trattamento.

La previsione della generale conservazione di tutti i documenti “a tempo indeterminato” andrebbe, dunque, rivalutata alla luce dell’esigenza di differenziazione dei termini in ragione della finalità sottesa al trattamento della specifica categoria dei documenti (e quindi anche dei dati) considerati.

L’esigenza di individuazione di termini di conservazione dei dati personali conformi al principio di cui all’articolo 5, par.1, lett. e) del Regolamento non è, del resto, assorbita dalla per altro verso apprezzabile- differenziazione del regime di consultazione dei documenti di cui all’articolo 7. 

In ordine a tale ultimo profilo la caratterizzazione, come priva di limitazioni, della consultazione, da parte dei privati, dei documenti presenti nel fascicolo (art.7, c. 1, primo periodo), appare incongruente con i limiti e i presupposti propri dei regimi di ostensibilità oggetto della specifica clausola di salvaguardia inserita -anche in conformità alle indicazioni rese dal Garante nel precedente parere- al secondo periodo. Inoltre, la caratterizzazione come priva di limitazioni della consultazione, da parte dei privati, dei documenti presenti nel fascicolo, contraddice la qualificazione, all’articolo 2, comma 5, della medesima tipologia di accesso come soggetta, appunto, alle “limitazioni (…) di cui all’articolo 7”.

Peraltro, per quanto concerne la conformità alla disciplina di protezione dati, va considerato che l’ostensione documentale va limitata ai soli dati personali pertinenti e non eccedenti rispetto alla finalità sottesa all’accesso, nel rispetto del principio di minimizzazione di cui all’articolo 5, par. 1, lett. c), del Regolamento. 

Tale valutazione dovrà essere ancora più rigorosa qualora l’ostensione documentale comprenda anche dati personali soggetti a tutela rafforzata, quali quelli di cui agli articoli 9 e 10 del Regolamento (annoverati, peraltro, nell’indice tassonomico allegato allo schema di decreto).

Esigenze di coerenza (intra ed extra) sistematica del testo, oltre che di conformità con la disciplina unionale di protezione dati dovrebbero, pertanto, indurre a sopprimere, all’articolo 7, comma 1, le parole: “senza alcuna limitazione”.

IL GARANTE

ai sensi dell’articolo 36, paragrafo 4, del Regolamento, esprime parere favorevole sul proposto schema di regolamento, con:

a) la condizione, esposta nel “Ritenuto”, volte a sottolineare l’esigenza di sopprimere, all’articolo 7, c. 1, primo periodo, le parole: “senza alcuna limitazione”;

b) l’osservazione, esposta nel “Ritenuto”, volta a rappresentare l’opportunità di una rivalutazione della previsione, all’articolo 6, comma 1, della generale conservazione di tutti i documenti “a tempo indeterminato”, in ragione della finalità sottesa al trattamento della specifica categoria dei documenti (e quindi anche dei dati) considerati, nel rispetto del principio di limitazione della conservazione di cui all’articolo 5, par. 1, lett. e), del Regolamento.

Roma, 6 luglio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei