| Garante per la protezione dei dati personali Revisione legale dei conti annuali edei conti consolidati mediante utilizzo delle tecnologie dell'informazione edella comunicazione PARERE DEL 20 SETTEMBRE 2012 Registro dei provvedimenti n. 248 del 20 settembre 2012 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale; Vistala richiesta di parere del Ministero dell'economia e delle finanze; Vistol'art. 154 del Codice in materia di protezione dei dati personali (d.lgs. 30giugno 2003, n. 196); Vistala documentazione in atti; Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; Relatoreil dott. Antonello Soro; PREMESSO IlMinistero dell'economia e delle finanze (infra MEF) ha richiesto ilparere del Garante in ordine a una determina del Ragioniere generale delloStato concernente le modalità di trasmissione e gestione di dati ecomunicazioni ai Registri di cui al decreto legislativo 27 gennaio 2010, n. 39,concernente la revisione legale dei conti annuali e dei conti consolidatimediante utilizzo delle tecnologie dell'informazione e della comunicazione,adottato in attuazione della direttiva europea 2006/43/CE del 17 maggio 2006. Sullabase del predetto decreto legislativo sono stati infatti emanati treregolamenti per il funzionamento e la gestione del Registro dei revisori legalie del Registro dei tirocinanti istituiti presso il MEF, sui quali il Garante hareso parere in data 10 novembre 2011. In particolare, si tratta del decreto delMinistro dell'economia e delle finanze n. 144 del 20 giugno 2012 emanato inapplicazione dell'articolo 6 del decreto legislativo n. 39/2010 in materia diiscrizione al Registro dei revisori legali; del decreto del Ministrodell'economia e delle finanze n. 145 del 20 giugno 2012 emanato in applicazionedegli articoli 2, commi 2, 3, 4, e 7, comma 7, concernente i requisiti diiscrizione al Registro dei revisori legali ed il contenuto informativo delRegistro, e del decreto del Ministro dell'economia e delle finanze n. 146 del25 giugno 2012 emanato in applicazione dell'articolo 3, in materia didisciplina del tirocinio. Ipredetti regolamenti ministeriali prevedono che il Garante esprima il parere dicompetenza sugli atti del MEF volti a disciplinare le modalità dipresentazione, trasmissione e gestione delle domande di iscrizione ai Registri,nonché le modalità di trasmissione delle pertinenti comunicazioni einformazioni, mediante l'impiego delle tecnologie dell'informazione e dellacomunicazione (art. 5 comma 4 e art. 6 comma 3 decreto n. 144 del 20 giugno2012; art. 16 comma 3 e art. 17 comma 3 decreto n. 145 del 20 giugno 2012; art.5 comma 3 e art. 18, comma 1, decreto n. 146 del 25 giugno 2012). RILEVATO Loschema in esame stabilisce che le istanze e le comunicazioni di daticoncernenti i registri in questione, previste dal decreto legislativo n.39/2010 e dai relativi regolamenti di attuazione, siano presentate mediante lacompilazione on-line di moduli sul sito internet del MEF, nonché trasmessemediante l'utilizzo delle tecnologie dell'informazione e della comunicazione aisensi delle disposizioni vigenti. In particolare, la Ragioneria generale delloStato consente l'utilizzo di modalità telematiche o digitali, ovvero lapresentazione a mezzo posta elettronica certificata (PEC) di documentiinformatici firmati digitalmente, o attraverso applicazioni informatiche chegarantiscano l'autenticità dell'origine, l'integrità del contenuto e lavalidazione temporale del documento informatico formato, nel rispetto dellemisure di sicurezza idonee a garantire l'identificazione certa del soggetto(art. 1). Iltitolare del trattamento dei dati personali raccolti per l'iscrizione neiregistri e il relativo funzionamento è il Ministero dell'economia e dellefinanze-Dipartimento della Ragioneria Generale dello Stato (art. 2). Loschema di determina prevede che i dati personali acquisiti dalla Ragioneriagenerale dello Stato siano trattati esclusivamente per le finalità, previste ingenerale all'articolo 21 del decreto legislativo n. 39/2010, di abilitazionealla professione, ivi compreso lo svolgimento del tirocinio, e diiscrizione nel Registro dei revisori legali e delle società di revisionelegale, nel rispetto della normativa in materia di protezione dei datipersonali (art. 2). Inoltre,lo schema di determina prevede che i dati personali siano conservati per iltempo strettamente necessario allo svolgimento delle finalità predette, e sianocancellati dal registro nei casi specifici previsti dai regolamenti (art. 10decreto n. 144 del 20 giugno 2012, artt. 14 e 16 decreto n. 146 del 25 giugno2012). Perquanto riguarda i profili più squisitamente tecnici, la Ragioneria generaledello Stato permette l'utilizzo di un'applicazione informatica per la presentazionedelle comunicazioni da parte degli interessati, ove l'utente accede secondo lemodalità stabilite nel documento tecnico di cui all'allegato A, che forma parteintegrante dell'odierno schema di determina. Il sistema verifica lacorrispondenza dei dati identificativi forniti al momento della registrazionepersonale al sistema con attribuzione delle relative credenziali di accesso. Iltitolare assicura il tracciamento delle operazioni svolte nel rispetto delledisposizioni in materia di protezione dei dati personali, garantendo lariservatezza, la sicurezza e l'integrità nel tempo delle informazioni (allegatoA) (art. 4). CONSIDERATO Ilparere è reso su di una versione dello schema di determina che tiene contodegli approfondimenti e delle indicazioni suggeriti dall'Ufficio del Garante aicompetenti uffici dell'Amministrazione interessata nel corso di riunioni econtatti informali, volti a perfezionare il testo e a renderlo pienamenteconforme alla disciplina in materia di protezione dei dati personali. Leosservazioni dell'Ufficio hanno riguardato, in particolare, la specificazionedelle finalità perseguite dal Ministero nella materia in esame; il richiamoespresso, con riferimento al principio di conservazione, alle ipotesi dicancellazione dei dati previste dai regolamenti ministeriali attuativi deld.lgs. 39/2010; la specificazione della figura del titolare del trattamento; edinfine, l'indicazione di puntuali misure di sicurezza, esplicitatenell'allegato tecnico alla determina. Atal riguardo, si richiama l'attenzione sulla previsione di cui al punto 3.3dell'allegato A (tracciatura degli accessi) in base alla quale il sistemaregistra (e conserva per un anno) le operazioni svolte dalle utenze e gliaccessi degli amministratori di sistema ai data base ed ai sistemi operativi. Inconclusione, lo schema di determina non presenta criticità sotto il profilodella protezione dei dati personali e, pertanto, il Garante non ha osservazionida formulare. Roma, 20 settembre 2012
|