Il fascicolo informatico delle imprese è una banca dati a rischio privacy. Alle Camere di commercio è assegnato il compito di alzare gli scudi contro hacker e cybercriminali. È quanto previsto dal regolamento ministeriale sul fascicolo d’impresa, approvato con decreto del ministero delle imprese e del made in Italy n. 159 del 17 settembre 2024 (pubblicato sulla Gazzetta Ufficiale n. 251 del 25/10/2024). La rete difensiva responsabilizza anche le amministrazioni che caricano dati sul fascicolo e i soggetti che si collegano per consultarlo: tutti, per quanto di loro competenza, sono titolari del trattamento di dati personali e devono rispettare il Gdpr (regolamento Ue sulla privacy n. 2016/679). D’altra parte, la quantità di dati personali, anche molto delicati, che riempiono il fascicolo (e cioè una copia di tutti i provvedimenti conclusivi di procedimenti amministrativi concernenti attività d’impresa), rappresenta un bottino molto appetibile e i tempi lunghi di conservazione danno spazio di manovra agli aggressori digitali.
Il regolamento dedica al trattamento dei dati personali, innanzi tutto, l’articolo 8, che esplicita i ruoli privacy dei vari soggetti coinvolti nella tenuta, gestione e fruizione del fascicolo. L’articolo è molto importante non solo perché risolve una volta per tutte un problema che, nella prassi, dà sempre molte gatte da pelare, ma anche perché così facendo individua il soggetto che è tenuto agli adempimenti privacy e che, conseguentemente, sarà sanzionato se non li esegue.
In base all’articolo 8, dunque, la Camera di commercio territorialmente competente è titolare del trattamento dei dati personali conservati nel fascicolo.
Sono titolari del trattamento anche gli enti, che caricano dati nel fascicolo (sportelli unici per le attività produttive, Suap, e le amministrazioni competenti per i procedimenti relativi alle imprese), e gli enti, che effettuano controlli sulle attività economiche: in queste ipotesi la qualifica è assegnata dall’articolo 8 a riguardo del trattamento dei dati personali effettuato per le operazioni di alimentazione del fascicolo (trasmissione alla Camera di commercio del duplicato informatico dei documenti relativi all’attività di impresa ai fini dell’inserimento nel fascicolo). Infine, relativamente al trattamento dei dati, una volta acquisiti dal fascicolo, sono titolari del trattamento le amministrazioni e i soggetti privati, abilitati all’accesso.
Il regolamento individua titolari autonomi, mentre non qualifica nessuno dei soggetti coinvolti né come contitolare né come responsabile del trattamento.
Per tutti questi soggetti e per tutti i trattamenti l’articolo 8, ai commi 4 e 5, scrive alcune raccomandazioni, che non hanno un valore normativo innovativo, ma rappresentano semplici promemoria di norme vigenti e vincolanti. Il primo promemoria (comma 4) rammenta che i trattamenti dei dati devono essere effettuati in conformità e nel rispetto delle disposizioni e dei principi fissati dal Gdpr e dal codice in materia di protezione dei dati personali. Gdpr e codice, ovviamente, sarebbero state fonti autonomamente applicabili anche se non fosse stato scritto il comma 4, ma, considerata la vulnerabilità degli archivi elettronici delle p.a., una ripetizione aiuta sempre.
Lo stesso si può affermare a proposito del comma 5 del citato articolo 8, nel quale tutti i titolari del trattamento sono sollecitati ad adottare le idonee misure tecniche per garantire la sicurezza informatica, al fine di assicurare un livello di sicurezza dei dati personali adeguato al rischio di distruzione, perdita, modifica o accesso non autorizzato ai dati trattati: sono, infatti, principi guida già esplicitati dal Gdpr, in particolare all’articolo 32.
Camere di commercio, p.a. e soggetti privati, pertanto, per alimentare, consultare, acquisire, custodire i dati devono autonomamente preoccuparsi di scrivere gli atti tipici della disciplina della privacy e di tenere tutte le azioni derivanti dalla stessa.Ciascun titolare del trattamento, per i propri trattamenti, dovrà redigere i seguenti atti: informative, atti di raccolta del consenso (se applicabile), atto di bilanciamento di interessi (per i privati, nei casi in cui possono trattare dati senza consenso), designazione degli autorizzati al trattamento (con specifiche istruzioni per le mansioni loro affidate), aggiornamento dell’analisi dei rischi, valutazione di impatto privacy (con richiesta di parere al Dpo), aggiornamento dei registri di trattamento. Con riferimento alle attività, tutti i titolari del trattamento dovranno:
L’articolo 6 del regolamento si occupa espressamente delle Camere di commercio per raccomandare loro di conservare i documenti osservando un’altra fonte normativa (di per sé autonomamente vigente) e cioè il Cad (codice dell’amministrazione digitale, dlgs 82/2005) e, inoltre, le linee guida sulla formazione, gestione e conservazione dei documenti informatici emanate dall’AgId (agenzia per l’Italia digitale). L’articolo 6 è, infine, molto rilevante perché prescrive il termine massimo di conservazione dei documenti nel fascicolo informatico: decorso il tempo necessario al conseguimento delle finalità per le quali essi sono trattati nel fascicolo informatico, sulla base del termine di dieci anni individuato nella tabella allegata al regolamento, i documenti presenti nel fascicolo relativo a una impresa individuale sono cancellati, mentre nei restanti casi i dati personali in essi presenti sono anonimizzati.
Il dm 159/2024 distingue il soggetto, cui è intestato il fascicolo, dagli altri soggetti interessati alla consultazione dello stesso.
Innanzi tutto, l’impresa o il soggetto economico ha diritto di accesso gratuito e senza limiti alla consultazione del proprio fascicolo.
Anche gli altri soggetti privati possono acquisire, tramite interrogazione puntuale del fascicolo, i dati e i documenti relativi all’esercizio dell’attività di ciascuna impresa iscritta o annotata nel registro delle imprese, o di ciascun soggetto economico iscritto nel Rea (repertorio economico amministrativo), ma potranno farlo, dichiara l’articolo 2 comma 6 del regolamento, con alcune limitazioni e previo pagamento di diritti di segreteria.
Alle limitazioni è dedicato l’articolo 7 del regolamento, il quale scrive un promemoria di raccordo con il Gdpr: nelle operazioni di consultazione e acquisizione dei documenti presenti nel fascicolo, bisogna rispettare il Gdpr e il codice della privacy.
In particolare, ciò significa che i soggetti privati devono avere una base giuridica e devono dare l’informativa ex articolo 14 Gdpr. Avere una base giuridica significa trovarsi in una delle condizioni previste dagli articoli 6 e 9 del Gdpr e, quindi, occorre disporre di un previo consenso oppure occorre rispettare un’altra condizione, elencata in quelle norme, diversa dal consenso. Può anche trattarsi di un legittimo interesse (iniziare una causa in tribunale, recuperare un credito, verifica dell’affidabilità, ecc.), ma in questi casi bisogna avere nel proprio apparato documentale “privacy” un atto di bilanciamento di interessi. L’articolo 7 aggiunge che l’accesso al fascicolo d’impresa può essere giustificato anche in applicazione della disciplina sulla trasparenza e accesso ai documenti amministrativi (legge 241/1990).
L’articolo 7 richiama, poi, le eccezioni all’accesso civico generalizzato (detto Foia, dlgs 33/2013) e, in dettaglio, il divieto di conoscibilità se c’è pregiudizio concreto per attività di indagine e perseguimento di reati o per il regolare svolgimento di attività ispettive nonché per la privacy o per gli interessi economici e commerciali di una persona fisica o giuridica, compresi la proprietà intellettuale, il diritto d’autore e i segreti commerciali. Per la consultazione dei privati, infine, è fissato il termine di dieci anni previsto dall’allegato al regolamento o il diverso termine al momento del caricamento del documento o del dato.
Riproduzione riservata