Con un recente parere il Garante per la privacy ha indicato al MEF (Ministero Economia e Finanze) le misure e gli accorgimenti per rendere pienamente conformi alla normativa sulla protezione dei dati personali le modalità tecniche di invio dei dati al Registro degli operatori compro oro.
Lo schema sottoposto all’Autorità si compone di dieci articoli in cui sono stabiliti:
- La struttura del registro (composto di due sezioni: una ad accesso pubblico e una ad accesso riservato);
- Le modalità di iscrizione degli operatori;
- L’obbligo della tempestiva messa a disposizione dei dati a MEF, UIF (Unità di informazione finanziaria), Guardia di finanza, autorità giudiziaria.
Il parere sullo schema di decreto – che segue quello espresso nel 2017 sul decreto legislativo che recepiva la direttiva europea sulla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo. (Ne abbiamo parlato qui.)
Per assicurare il pieno rispetto dei principi di finalità e proporzionalità del trattamento e pertinenza dei dati, il Garante ha chiesto al MEF di effettuare una selezione attenta dei dati da inserire nel registro. Lo schema attuale prevede, infatti, che nella sezione del registro ad accesso pubblico siano annotate e consultabili, indiscriminatamente, tutte le informazioni trasmesse dall’operatore al momento dell’iscrizione (dati anagrafici, residenza, codici fiscali, estremi dei conti correnti dedicati, indirizzi pec per comunicazioni con l’OAM (Organismo degli agenti e mediatori creditizi).
Dati non tutti liberamente accessibili secondo Il Garante distingue fra i dati quelli che potrebbero non essere liberamente accessibili come, ad esempio, gli indirizzi pec che potrebbero essere conservati nell’archivio dell’OAM senza essere resi “pubblici” tramite il registro.
Per quanto riguarda poi la sottosezione ad accesso riservato – in cui, oltre ai dati di carattere generale, sono registrati anche gli estremi di provvedimenti sanzionatori, di sospensione dell’attività, di cancellazione dal registro – il Garante ha chiesto al MEF di specificare che l’accesso avvenga su connessione protetta e previa procedura di autenticazione e autorizzazione e di precisare le modalità, ora non indicate, di interfaccia con gli altri elenchi o registri tenuti dall’OAM.