L’Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, ha presentato la Relazione sull’attività svolta nel 2019. La Relazione illustra i diversi fronti sui quali è stato impegnato il Collegio dell’Autorità nel corso dell’anno di proroga del suo mandato, caratterizzato in questi ultimi mesi dall’impatto determinato dall’emergenza sanitaria legata al Covid-19 su tutti i settori della vita nazionale. “Numerosi i provvedimenti normativi approvati nel 2019 con riflessi sulla protezione dei dati personali; fra questi, al fine di offrirne una ricognizione sintetica, ma in grado comunque di rendere conto dell’ampiezza e dell’eterogeneità delle materie che rientrano nell’area di interesse dell’Autorità, si menzionano in particolare: (…) La legge 27 dicembre 2019, n. 160, recante il bilancio di previsione dello Stato per l’anno finanziario 2020 e il bilancio pluriennale per il triennio 2020-2022, delle cui norme di interesse in materia di protezione dei dati personali si segnalano, in particolare, le seguenti: (…) il comma 728, in materia di apparecchi da gioco, secondo cui, fatta salva la disciplina in materia di protezione dei dati personali, l’utilizzo e l’analisi dei dati registrati e trasmessi da tali apparecchi sono riservati: al Ministero della salute e all’Osservatorio per il contrasto della diffusione del gioco d’azzardo e il fenomeno della dipendenza grave, per finalità di studio, monitoraggio e tutela della salute dei cittadini; all’Agenzia delle dogane e dei monopoli, per le finalità di pubblicazione dei report sul proprio sito e di documentazione su richiesta del Governo e di organi parlamentari; alla suddetta Agenzia, alle Forze dell’ordine ed ai soggetti istituzionali preposti, per i compiti di controllo e verifica degli adempimenti concessori ed esigenze di prevenzione e repressione del gioco illegale. Si prevede inoltre che con decreto del Ministro dell’interno siano disciplinati i criteri e le garanzie necessarie al rispetto delle disposizioni introdotte per tutti i soggetti coinvolti nella gestione della rete telematica e nei sistemi di conservazione dei dati raccolti; (…) Il decreto-legge 26 ottobre 2019, n. 124, recante disposizioni urgenti in materia fiscale, convertito dalla legge 19 dicembre 2019, n. 157, che contiene specifiche misure per esigenze fiscali e finanziarie indifferibili, anche mediante la lotta all’evasione fiscale e la pertinente disciplina penale. Tra le norme di interesse sotto il profilo della protezione dei dati personali si segnalano in particolare le seguenti: (…) gli artt. 19 e 20, che disciplinano la cd. lotteria dei corrispettivi (o degli scontrini). In particolare, l’art. 19 (Esenzione fiscale dei premi della lotteria nazionale degli scontrini ed istituzione di premi speciali per il cashless) riscrive il comma 542 dell’art. 1, l. n. 232/2016 (legge di stabilità per l’anno 2017), disponendo l’istituzione di premi speciali da attribuire mediante estrazioni aggiuntive a quelle ordinarie in favore di soggetti che effettuano transazioni utilizzando strumenti di pagamento elettronici al fine di incentivarne l’utilizzo. L’art. 20 disciplina più compiutamente la lotteria prevedendo che i contribuenti, per partecipare all’estrazione, debbano comunicare all’esercente al momento dell’acquisto uno specifico “codice lotteria” (la disposizione previgente riferiva l’obbligo comunicativo al codice fiscale) che sarà individuato con provvedimento del Direttore dell’Agenzia delle dogane e dei monopoli, d’intesa con l’Agenzia delle entrate (comma 1, lett. b ). Il consumatore potrà segnalare nella sezione dedicata del portale “Lotteria” del sito internet dell’Agenzia delle entrate la circostanza che l’esercente, al momento dell’acquisto, ha rifiutato di acquisire il codice lotteria; tali segnalazioni sono utilizzate dall’Agenzia delle entrate e dalla Guardia di finanza per le analisi del rischio di evasione; (…) l’art. 29, relativo al potenziamento dei controlli in materia di giochi, che prevede la figura del cd. agente sotto copertura al fine di prevenire il gioco da parte dei minori, impedire l’esercizio abusivo del gioco con vincita in denaro e contrastare l’evasione fiscale e l’uso di pratiche illegali in elusione del monopolio pubblico del gioco”, si legge nella relazione. “Il Garante ha espresso parere favorevole su uno schema di decreto del Direttore dell’Agenzia delle dogane e dei monopoli che ha modificato le regole tecniche per la produzione dei sistemi di gioco VLT, in attuazione dell’art. 9-quater, d.l. 12 luglio 2018, n. 87. In base a tale disposizione, al fine di impedire l’accesso ai giochi d’azzardo da parte dei minori, è sempre necessario verificare l’età dei giocatori utilizzando la tessera sanitaria. Nell’ambito delle interlocuzioni intercorse con l’Ufficio, l’Agenzia ha individuato nello schema misure volte ad assicurare il rispetto
dei principi di minimizzazione e di privacy by design e by default, prevedendo che le
modalità di accertamento della maggiore età abbiano luogo mediante l’estrazione
delle informazioni registrate nella tessera sanitaria (codice fiscale ed identificativo
della tessera) senza che le stesse siano memorizzate nelle banche dati del sistema di
gioco VLT. Infatti, la verifica della maggiore età del giocatore deve essere effettuata
confrontando la data corrente con quella estratta dal codice fiscale della tessera sanitaria ed assicurando meccanismi idonei ad impedire l’avvio di una sessione di gioco
in tutti i casi in cui non sia accertata la maggiore età del giocatore tramite lettura
della tessera sanitaria e introducendo soluzioni tecniche in grado di visualizzare a
video la presenza/assenza della tessera sanitaria nell’apposito dispositivo di lettura
(provv. 24 luglio 2019, n. 151, doc. web n. 9126407)”, ha aggiunto. “Quattro opposizioni, tutte sostanzialmente respinte dai giudici aditi, hanno avuto ad oggetto il tema della videosorveglianza e, in particolare, la conservazione delle immagini per un periodo eccedente rispetto a quello suggerito all’interno del provvedimento generale del Garante dell’8 aprile 2010 (doc. web n. 1712680). In un primo caso il sistema di videosorveglianza era stato adottato da un comune (Trib. Bologna, 24 gennaio 2019, n. 20104), in due da una società privata (Trib. Nola, 28 marzo 2019, n. 533) e da un esercizio commerciale bar/birreria (Trib. Verona, 22 novembre 2019, n. 2592). In un ultimo caso, in un centro raccolta di scommesse sportive in un piano interrato ove erano collocate anche apparecchiature da gioco con vincite in denaro sulle quali puntava una videocamera ad infrarossi e il cui impianto di registrazione con relativo monitor era posto nel locale al piano terra ove avveniva l’esercizio di somministrazione di alimenti e bevande; rispetto a tale fattispecie, oltre al mancato rispetto dei termini di conservazione dei dati, sono stati contestati la mancata adozione di misure di sicurezza e l’informativa nella forma della cartellonistica che dà evidenza della presenza di un sistema di videosorveglianza (Trib. Novara, 28 novembre 2019, n. 880)”, continua. “Interlocuzioni con l’Agenzia delle dogane e dei monopoli e l’Agenzia delle entrate sono state avviate per la realizzazione della lotteria dei corrispettivi prevista dall’art. 1, commi 540 ss., l. 11 dicembre 2016, n. 232, e ss.mm. (legge di bilancio 2017) nel rispetto del RGPD e del Codice. Al fine di attuare in modo efficace i principi di protezione dei dati fin dalla progettazione ( privacy by design: cfr. art. 25 del RGPD), ai fini della partecipazione è stato stabilito che, in luogo del proprio codice fiscale, i contribuenti comunichino agli esercenti al momento dell’acquisto un cd. codice lotteria (pseudonimo del codice fiscale). Tale codice lotteria consiste in un codice alfanumerico, composto da otto caratteri generati in modo casuale, univocamente associato al codice fiscale del consumatore finale, e rilasciato dall’Agenzia delle dogane e dei monopoli, senza obbligo alcuno di identificazione del consumatore. Il consumatore ha la facoltà di generare più codici, tutti ugualmente validi ai fini della lotteria. Il Garante ha quindi reso parere favorevole sul primo provvedimento del Direttore dell’Agenzia delle entrate attuativo della lotteria, recante memorizzazione elettronica e trasmissione telematica dei dati dei corrispettivi validi ai fini della lotteria di cui all’art. 1, commi da 540 a 544, l. 11 dicembre 2016, n. 232, nel quale si sono individuati i dati che gli esercenti devono memorizzare nei registratori telematici e trasmettere all’Agenzia delle entrate ai fini della lotteria. Nel parere è stato rilevato che l’utilizzo del codice lotteria costituisce un’efficace misura di garanzia per gli interessati, fermo restando che i dati oggetto di memorizzazione elettronica e di trasmissione telematica all’Agenzia delle entrate, seppur sottoposti a pseudonimizzazione, debbono essere considerati dati personali in quanto rappresentano informazioni su persone fisiche identificabili (cfr. cons. 26, e art. 4, nn. 1) e 5), del RGPD). È stato invece rinviato al successivo provvedimento dell’Agenzia delle entrate in tema di sicurezza l’esame delle misure tecniche e organizzative che gli esercenti dovranno adottare per il trattamento dei dati effettuato attraverso i registratori telematici (provv. 31 ottobre 2019, n. 197, doc. web n. 9175238). Il Garante si è quindi espresso favorevolmente sullo schema di provvedimento del Direttore, recante modifiche al provvedimento del Direttore dell’Agenzia delle entrate n. 182017 del 28 ottobre 2016, e successive modificazioni, in tema di memorizzazione elettronica e trasmissione telematica dei dati dei corrispettivi giornalieri e il relativo documento di specifiche tecniche. In tali atti sono state individuate adeguate misure di garanzia riferite, in particolare, al trattamento dei dati conservati presso gli esercenti nella cd. memoria permanente dei registratori telematici o nei cd. server RT. Lo schema esaminato ha tenuto conto delle indicazioni fornite nelle interlocuzioni intercorse con i rappresentati dell’Agenzia delle entrate al fine di assicurare, in vista dell’avvio della lotteria dei corrispettivi, la conformità al RGPD del trattamento effettuato dagli esercenti nell’ambito della memorizzazione elettronica e trasmissione telematica degli stessi all’Agenzia delle entrate, tenuto conto del fatto che, come detto, seppur sottoposti a pseudonimizzazione, i dati oggetto di trattamento debbono essere considerati come dati personali e quindi, come ribadito anche nel documento contenente le specifiche tecniche, l’esercente in quanto titolare del trattamento dei dati presenti nelle memorie del registratore telematico (o del server RT) deve mettere in atto adeguate misure tecniche e organizzative al fine di garantire la conformità del trattamento al RGPD (art. 24). Anche a fronte della prevista conservazione decennale da parte degli esercenti delle cd. memorie permanenti di riepilogo e di dettaglio ai sensi dell’art. 2220 c.c. (nelle quali sono memorizzati, tra gli altri, i dati dei corrispettivi), le misure di garanzia – individuate nel documento contenente le specifiche tecniche, dirette, oltre che ai produttori dei registratori telematici, anche agli esercenti – prevedono che il registratore telematico (o il server RT) sia configurato in modo da permettere all’esercente di disciplinare l’accesso, anche da remoto, ai dati contenuti nelle memorie permanenti di riepilogo e di dettaglio, nonché da inibire o abilitare, in qualunque momento, la lettura, l’esportazione e la ristampa, anche virtuale, dei dati contenuti nelle memorie; con un superamento, quindi, della disciplina precedente che non consentiva modalità di accesso riservato ai dati contenuti all’interno delle memorie. Inoltre, la trasmissione dei file dei corrispettivi all’Agenzia delle entrate deve avvenire mediante API REST su canale cifrato esclusivamente con protocollo TLS 1.2 e, per essere validi, gli aggiornamenti del firmware fiscale (effettuati sia localmente che da remoto dai tecnici abilitati) del registratore telematico (o del server RT) devono essere firmati elettronicamente dal produttore e approvati dall’Agenzia. Infine, le operazioni di lettura delle memorie e di chiusura giornaliera, di definizione e modifica della mappa dei punti cassa connessi a un server RT nonché quelle di modifica del firmware fiscale devono essere registrate nel registratore telematico (o nel server RT). Il Garante, rilevando i maggiori rischi insiti nei trattamenti effettuati dagli esercenti nei possibili utilizzi impropri dei dati, soprattutto nei casi di utilizzo di registratori telematici accessibili o gestibili da remoto o di server RT, ha sottolineato perciò la necessità che esercenti e produttori, in conformità ai principi di privacy by design e by default, valutino adeguatamente l’idoneità dei prodotti e dei servizi in uso a soddisfare i requisiti del RGPD (provv. 18 dicembre 2019, n. 221, doc. web n. 9217337)”, conclude. cdn/AGIMEG
