Anche le Pubbliche Amministrazioni sono tenute adapplicare le norme che tutelano la riservatezza per il trattamentodei dati personali. Tuttavia il legislatore all'atto dell'emanazionedella legge sulla privacy aveva previsto che le norme relativeal trattamento di dati sensibili non si sarebbero applicate aisoggetti pubblici fino al 7 maggio 1998. Ora il Governo, nellasua funzione di legislatore delegato, è intervenuto ulteriormenteper dare ai soggetti pubblici una nuova proroga per adeguarsialla normativa, che tante difficoltà operative sta provocandoalle aziende private.

La proroga è operativa dal 9 maggio, giornodi entrata in vigore del decreto legislativo n. 135 del 1998,ed ha rinviato all'8 novembre 1998 l'entrata in vigore degli obblighifissati dalla legge sulla privacy per gli uffici pubblici in relazioneal trattamento dei dati sensibili. È stato, dunque, evitatoil blocco dell'attività delle pubbliche amministrazioni(Organi Statali, Regioni, Province, Comuni ed Enti pubblici):se fosse rimasta ferma la scadenza del 7 maggio 1998, previstadall'articolo 41, comma 5, della legge 675/96 sulla privacy probabilmentemolti uffici pubblici si sarebbero trovati nella sostanziale impossibilitàdi continuare ad operare.

La norma ha quindi concesso agli uffici pubbliciun tempo aggiuntivo di sei mesi per adeguarsi alle nuove regolesulla riservatezza dei dati personali. Questo dovrebbe consentirealla pubblica amministrazione di continuare a gestire i dati sensibili,ma allo stesso tempo per adeguarsi a quanto stabilisce l'articolo22, comma 3, della legge, che condiziona il trattamento delleinformazioni personali più riservate alla presenza di unalegge «nella quale siano specificati i dati che possono esseretrattati, le operazioni eseguibili e le rilevanti finalitàdi interesse pubblico perseguite».

Il regime di favore avrebbe dovuto aver termine il7 maggio 1998, ma questo significava gettare nel caos gli uffici.Sono, infatti, poche le leggi che affidano espressamente alleamministrazioni il compito di gestire i dati sensibili. Némolte altre se ne sono aggiunte nel corso di quest'ultimo anno.

In particolare : la privacy del contribuente edil trattamento di dati personali da parte dell'AmministrazioneFinanziaria

Nel decreto legislativo n.135/1998 è statainserita anche una norma per il raccordo della legge 675 con lapossibilità di trasmissione telematica delle dichiarazionidei redditi da parte delle Poste e delle banche all'AmministrazioneTributaria, operazione che partirà quest'anno. C'è,infatti, un problema di tutela della riservatezza dei dati personalicontenuti nelle denunce, in particolare delle informazioni sensibilirelative alla scelta circa l'assegnazione dell'8 per mille perfinalità sociali o religiose .

Se per il futuro verranno individuate le modalitàper inserire nelle dichiarazioni anche l'informativa all'interessatoe la richiesta del consenso al trattamento, per quest'anno siè ritenuto di considerare la sottoscrizione della denunciadei redditi sia come informativa che come autorizzazione allagestione dei dati. Si tratta di una soluzione che non rispettai principi generali fissati dalla legge n. 675/1996 e che dovràessere meglio definita in vista delle future dichiarazioni tributariema questa scelta legislativa ha il merito di rendere possibilel'utilizzo di uno strumento tecnico che consentirà un'agevoletrasmissione dei dati fiscali dei contribuenti.

Che esista un problema di riservatezza mal tutelatasembra indubbio. Anche perché in questo caso non si puòfar ricorso alla recente norma con la quale è stata sbloccatoil problema, sempre inerente alla privacy, relativo alla trasmissionetelematica dei circa 14 milioni di dichiarazioni, di cui quasicinque milioni compilate a mano. Secondo quanto prevedono le nuoveregole, come detto, a partire dal primo giugno e fino al 31 luglioi contribuenti dovranno presentare la denuncia dei redditi inuno dei 34mila sportelli abilitati: 14mila sportelli postali e20mila bancari. Poste e banche provvederanno, successivamente,a trasferire le dichiarazioni su supporto informatico e a trasmetterleal ministero delle Finanze.

Per eseguire l'operazione dovranno, però,rivolgersi ad altri soggetti esterni, che verranno necessariamentea conoscenza dei dati personali contenuti nella denuncia. Si è,pertanto, presentato il problema di rendere compatibile la nuovaprocedura con gli obblighi di informativa e di acquisizione delconsenso dell'interessato (in questo caso il contribuente) chela legge 675/96 impone per la diffusione e la comunicazione diinformazioni personali.: il decreto legislativo 135/98, ha equiparatola sottoscrizione della dichiarazione dei redditi ad una dichiarazionedi consenso al trattamento dei dati personali del contribuente.

Esite poi un ulteriore aspetto connesso alle problematichefiscali. Unico '98, il nuovo modello per la dichiarazione deiredditi che ha sostituito anche il "740", presenta infattialcuni aspetti problematici sui quali il Garante è statochiamato ad intervenire. La busta in cui inserire la dichiarazionepresenta, infatti, un'ampia finestra, attraverso la quale èpossibile leggere i dati del contribuente.

Il decreto legislativo 135/1998 non può esserechiamato in soccorso perché in questo caso la violazionedella privacy è alla radice. Ciascuno può, infatti,leggere i dati: a iniziare dall'impiegato postale o bancario chericeve la busta e che non necessariamente sarà quello incaricatodel trattamento delle informazioni (anzi, non lo sarà proprio,visto che banche e poste si rivolgeranno all'esterno).

3 L'intervento del Garante a proposito del nuovomodello di dichiarazione dei redditi Unico '98.

A questo proposito l'Autorità Garante perla protezione dei dati personali ha ritenuto inadeguata la soluzioneprescelta per la busta contenente il modello "Unico 98"per la dichiarazione dei redditi ed ha segnalato al Ministerodelle finanze la necessità di prevedere nelle convenzioniin fase di stipula con l'Associazione bancaria italiana e le Posteitaliane S.p.a. precise misure per la sicurezza e la riservatezzadei dati contenuti nelle dichiarazioni.

La segnalazione non blocca la procedura in atto perle dichiarazioni dei redditi. Tuttavia, ritenendo fondate alcuneosservazioni formulate attraverso reclami ed esposti, il Garanteha constatato che la "finestra" che figura sulla busta(prevista al fine di apporre presso la banca o l'ufficio postaleil numero di protocollo e la data di presentazione) puòpermettere di leggere il frontespizio della dichiarazione ed anchedi estrarre la stessa con relativa facilità. Questa soluzionepuò far accedere alle informazioni contenute nella dichiarazioneanche gli impiegati che non sono addetti alla ricezione delledichiarazioni o alla loro elaborazione in vista della successivatrasmissione telematica all'Amministrazione delle finanze, elaborazioneche può avvenire anche presso eventuali soggetti esternicui la banca o l'ufficio postale affideranno la concreta attivitàdi trattamento dei dati.

Il Garante ha osservato che la mancata rispondenzadella busta ai canoni di sicurezza previsti dall'art. 15 dellalegge n. 675/1996 avrebbe potuto rendere necessaria la sua sostituzionecon un modello basato su soluzioni più idonee (e giàdi uso corrente). Il Garante ha, tuttavia, tenuto conto dellasituazione eccezionale creata dalla scadenza del 1 giugno 1998e dei tempi tecnici che sarebbero risultati necessari per modificareil decreto di approvazione del modello, per ristamparlo e perdistribuirlo.

Peraltro, il Garante ha prescritto che sia delimitatoil numero degli addetti aventi legittimo accesso ai dati contenutinelle dichiarazioni e che questi siano designati formalmente quali"incaricati" del trattamento dei dati ai sensi dellalegge n. 675/1996 e, quindi, vincolati a mantenere il piùassoluto riserbo su1 contenuto delle dichiarazioni.

A prescindere dalla situazione relativa alle denuncedi quest'anno, il Garante ha inoltre sottolineato la necessitàche la procedura sia regolata diversamente a partire dalla prossimadichiarazione da presentare nel 1999, anche al fine di consentireal cittadino non solo di rivolgersi ad un libero professionistadi fiducia - come già previsto - ma anche di inviare direttamenteal Ministero delle Finanze la propria dichiarazione, per via telematicae senza alcuna intermediazione. Il Garante ha dunque inviato unasegnalazione allo stesso Ministero delle Finanze affinchéi trattamenti di dati relativi alle dichiarazioni dei redditisiano resi conformi alle disposizioni in materia di protezionedei dati personali.

Milano, maggio 1998