IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

1.1. Nel settembre del 2019, alcuni istituti di credito hanno chiesto a questa Autorità di esprimersi sul ruolo e sulla corrispondente qualifica di titolare o responsabile del trattamento da attribuire ai soggetti (banche; società di gestione del risparmio; ecc.) che erogano a terzi specifici servizi su base contrattuale (servizi di tesoreria; servizi di regolamento, custodia e amministrazione di strumenti finanziari; ecc.). 1.2 A seguito della richiesta formulata da questo Ufficio, codesta associazione ha avviato un’apposita indagine conoscitiva presso i propri iscritti volta a verificare la rilevanza del problema sia sul piano quantitativo (numero degli istituti di credito o di gruppi bancari che avessero difficoltà a definire i ruoli da attribuire ai soggetti in questione) che su quello delle tipologie di rapporti contrattuali in relazione alle quali fossero sorte eventuali difficoltà interpretative, notiziando l’Autorità di possibili criticità solo rispetto al ruolo da attribuire alle banche affidatarie del c.d. “servizio di tesoreria” (v. Vs. nota del 14/2/2020, prot. 302). In particolare, veniva rilevato che l’impostazione sinora seguita nella prassi bancaria – che attribuisce il ruolo di “responsabile del trattamento” alle banche incaricate del servizio in esame – potesse essere contraria all’operatività corrente e non rispondente alle norme di legge contenute, principalmente, nel d.lgs. n. 267/2000 (di seguito TUEL). Secondo quanto sostenuto, infatti, l’affidamento del servizio di tesoreria alle banche non costituirebbe una scelta organizzativa e discrezionale dell’ente affidante, bensì una modalità di svolgimento del servizio prevista ex lege. Inoltre, la sua contiguità ad altri servizi ordinariamente erogati dalle stesse banche – tale per cui i relativi dati personali non potrebbero che essere trattati secondo modalità e con misure di sicurezza già autonomamente stabilite da queste ultime nell’esercizio dell’attività loro tipicamente ed esclusivamente riconosciuta −farebbe propendere per un’autonoma titolarità del trattamento in capo agli operatori bancari, conformemente a quanto stabilito in precedenti pronunce dell’Autorità su fattispecie reputate analoghe a quella in esame. 1.3. Tale prospettiva è stata successivamente ribadita con la nota del 29/12/2020 (prot. 2693), che nel riaffermare il servizio di tesoreria quale “servizio specialistico di natura bancaria” ne assimilerebbe le caratteristiche ad altri servizi offerti o forniti dagli istituti di credito in qualità di autonomi titolari dei trattamenti. A detta di codesta associazione, infatti, l’inquadramento degli operatori bancari quali autonomi titolari dei trattamenti troverebbe riscontro in specifiche norme del TUEL (anzitutto, negli artt. 93, 213, 225 e 226, che riconoscerebbero agli operatori medesimi alcuni margini di autodeterminazione nello svolgimento del servizio in esame), oltre che nella stessa operatività legata al SIOPE (la quale permetterebbe alle banche di svolgere in autonomia i compiti relativi alle segnalazioni a Banca d’Italia dei movimenti finanziari legati alla spesa pubblica); per contro, sono state espresse perplessità in merito all’impostazione “tradizionale” finora seguita − secondo cui, come detto, gli operatori bancari dovrebbero essere designati responsabili dei trattamenti effettuati nell’espletamento dei servizi di tesoreria −, ritenuta non rispondente alla corrente operatività bancaria e alle stesse norme che disciplinano il servizio. È stato pertanto richiesto, al riguardo, un opportuno “chiarimento” da parte del Garante, pur nella consapevolezza che “la rivisitazione normativa in […] materia [di protezione dei dati personali] non ha introdotto, nell’ambito in esame, elementi di novità tali da indurre a riconsiderare gli assetti interni e i ruoli”. 2. Questo dipartimento, valutati gli elementi forniti e le osservazioni formulate, ha sottoposto la questione al collegio del Garante, che nell’adunanza del 25 marzo u.s. ha ritenuto di poter condividere le seguenti considerazioni. 3.1. Come ricordato da codesta associazione, il “tesoriere” è un agente contabile esterno, tenuto a rendere il conto giudiziale inerente alla propria gestione. Per gli enti locali, tale figura è prevista e regolata dal TUEL, che prevede una disciplina articolata relativa, più in generale, al “servizio di tesoreria”. L’art. 208 del TUEL dispone che il servizio di tesoreria possa essere espletato da “una banca autorizzata a svolgere l’attività di cui all’articolo 10 del decreto legislativo 1° settembre 1993, n. 385”, da “società per azioni […] aventi per oggetto la gestione del servizio di tesoreria e la riscossione dei tributi degli enti locali”, ovvero da “altri soggetti abilitati per legge”. L’affidamento del servizio deve essere effettuato mediante procedure ad evidenza pubblica, con modalità idonee a rispettare i principi della concorrenza (art. 210 del TUEL). Secondo le previsioni di legge, il servizio di tesoreria consiste nel “complesso di operazioni legate alla gestione finanziaria dell'ente locale e finalizzate in particolare alla riscossione delle entrate, al pagamento delle spese, alla custodia di titoli e valori ed agli adempimenti connessi previsti dalla legge, dallo statuto, dai regolamenti dell'ente o da norme pattizie”. Tali operazioni vengono eseguite dal tesoriere nel rispetto della l. n. 720/1984 (art. 209 del TUEL). Numerose norme, infine, disciplinano puntualmente gli obblighi e i compiti del tesoriere, senza riconoscere in capo a quest’ultimo alcuna discrezionalità in proposito (v. a titolo esemplificativo, l’art. 209, comma 3-bis: “Il tesoriere tiene contabilmente distinti gli incassi […]”; l’art. 210, comma 3: “La convenzione [con cui viene regolato l’affidamento del servizio] può prevedere l’obbligo per il tesoriere di accettare […] crediti pro soluto certificati dall'ente […]”; l’art. 212: “I soggetti di cui all'articolo 208 che gestiscono il servizio di tesoreria per conto di più enti locali devono tenere contabilità distinte e separate per ciascuno di essi”; l’art. 220: “A seguito della notifica degli atti di delegazione di pagamento […] il tesoriere è tenuto a versare l'importo dovuto ai creditori alle scadenze prescritte”; l’art. 225, comma 1: “Il tesoriere è tenuto, nel corso dell'esercizio, ai seguenti adempimenti: a) aggiornamento e conservazione del giornale di cassa; b) conservazione del verbale di verifica di cassa […]; c) conservazione per almeno cinque anni delle rilevazioni di cassa previste dalla legge”). Al contrario, è spesso il regolamento di contabilità dell’ente affidante a disciplinare taluni aspetti del servizio in questione (art. 210, comma 1: “L'affidamento del servizio viene effettuato mediante le procedure ad evidenza pubblica stabilite nel regolamento di contabilità di ciascun ente”; art. 215, comma 1: “Il regolamento di contabilità dell'ente stabilisce le procedure per la fornitura dei modelli e per la registrazione delle entrate; disciplina, altresì le modalità per la comunicazione delle operazioni di riscossione eseguite, nonché la relativa prova documentale”; art. 221, comma 3: “Il regolamento di contabilità dell'ente locale definisce le procedure per i prelievi e per le restituzioni”; art. 223, comma 2: “Il regolamento di contabilità può prevedere autonome verifiche di cassa da parte dell'amministrazione dell'ente”) o, per altri versi, l’ente medesimo (v. l’art. 217: “L'estinzione dei mandati da parte del tesoriere avviene nel rispetto della legge e secondo le indicazioni fornite dall'ente”; l’art. 222, comma 1: “Il tesoriere, su richiesta dell'ente […], concede allo stesso anticipazioni di tesoreria […]”), cui il legislatore riconosce anche un potere di verifica e controllo (v. l’art. 218, comma 2: “Su richiesta dell'ente locale il tesoriere fornisce gli estremi di qualsiasi operazione di pagamento eseguita nonché la relativa prova documentale”; l’art. 223, comma 1: “L'organo di revisione economico-finanziaria dell'ente provvede […] alla verifica […] della gestione del servizio di tesoreria […]”). Si tratta di disposizioni che, nel confermare il ruolo di agente contabile esterno del tesoriere, consentono di inquadrarlo come un organo di esecuzione del soggetto pubblico, deputato alla gestione di beni di proprietà dell’ente stesso, inclusa la parte finanziaria. 3.2. Al fine di favorire la transizione verso il digitale delle pubbliche amministrazioni, l’Agenzia per l’Italia Digitale ha reso disponibile sul proprio sito web, nel 2020, un apposito “schema di convenzione per la gestione del servizio di tesoreria” che tiene conto dell’evoluzione normativa e tecnologica registratasi negli ultimi anni; tale documento, a quanto risulta dallo stesso sito dell’AgID, sarebbe stato redatto “con il supporto tecnico dell’ABI-Associazione Bancaria Italiana e di Poste Italiane s.p.a.” , tenendo a tal fine conto “di [tutta] una serie di elementi tratti dal [precedente] schema di convenzione predisposto nel 2001, frutto [anch’esso] della collaborazione tra Anci ed ABI" (https://www.agid.gov.it/it/piattaforme/pagopa/schema-convenzione-tesoreria). Parrebbe desumersi, pertanto, che sia lo schema del 2001 che quello del 2020 siano stati elaborati da AgID con il contributo di codesta associazione, senza peraltro che siano mai state sollevate in precedenza questioni su aspetti di possibile interesse del Garante. Il nuovo schema, peraltro, conferma in capo alla banca tesoriere il ruolo di responsabile del trattamento dei dati eventualmente trattati dall’ente affidante in qualità di titolare (art. 23), in linea con l’impostazione rinvenuta anche in alcune convenzioni antecedenti all’entrata in vigore del RGPD. 3.3. Come noto, l’art. 4, n. 7), del RGPD definisce “titolare del trattamento” la persona fisica o giuridica, l’Autorità pubblica, il servizio o ogni altro organismo che, singolarmente o insieme ad altri, determina finalità e mezzi del trattamento effettuato;

il n. 8) dello stesso articolo definisce il “responsabile del trattamento” come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Con norme in larga parte sovrapponibili a quelle previgenti, il RGPD ha poi precisato e delimitato i compiti che possono essere attribuiti dal titolare del trattamento al responsabile, individuando espressamente l’ambito delle rispettive attribuzioni, le modalità, nonché gli obblighi di cooperazione cui quest’ultimo è tenuto esclusivamente in funzione delle attività svolte per conto del titolare (v. artt. 30, 33, par. 2 e 82 del RGPD). Occorre dunque valutare, in tale quadro, in capo a quale soggetto possa davvero riconoscersi un effettivo potere decisorio in merito al trattamento dei dati personali in questione, dovendosi distinguere la posizione di quello che − ancorché dotato di autonomia tecnico-organizzativa − si limiti a trattare dati personali in ragione dell’incarico ricevuto (contenente anche istruzioni sulle modalità della prestazione o del servizio) dalla diversa ipotesi in cui lo stesso eserciti, invece, un potere decisionale realmente autonomo circa le “finalità” e i “mezzi del trattamento”, non limitandosi a svolgere attività meramente esecutive di trattamenti “per conto” altrui; nel primo caso, il soggetto dovrà essere inquadrato come responsabile del trattamento, nel secondo, il ruolo non potrà essere che quello di titolare. 3.4. Riassumendo quanto inferibile dal complessivo quadro sopra delineato, questo dipartimento rileva che: − il servizio di tesoreria non costituisce appannaggio esclusivo delle banche, ben potendo essere svolto anche da “altri soggetti abilitati per legge”; − le finalità del servizio sono espressamente stabilite dalla legge e perseguite attraverso soggetti tenuti a operare secondo modalità, compiti e funzioni anch’essi legislativamente predefiniti (artt. 209, comma 2, 211, 212, 214 e 225 del TUEL). Nessun margine di autonomia decisionale, pertanto, parrebbe riconosciuto al tesoriere in relazione a molteplici segmenti della sua attività, mentre i presunti e circoscritti profili di autonomia individuati da codesta associazione (v. supra) non parrebbero giustificare, per sé soli, l’accoglimento di un’impostazione diversa da quella che, a quanto consta,è stata finora seguita in sede di affidamento del servizio in esame; − i poteri − tipici anche del titolare del trattamento − di istruzione, decisione, verifica e controllo in ordine all’operato dei tesorieri restano riconosciuti in capo agli enti pubblici affidanti (v. artt. 215, comma 1, 217 e 218, comma 2, 221, comma 3, 223, 226, comma 1 del TUEL); − come riconosciuto anche da codesta Associazione, l’avvento del RGPD non ha apportato significativi elementi di novità, tali da giustificare un cambiamento di prospettiva rispetto a quella finora autonomamente seguita dalle parti interessate – peraltro senza mai porre la tematica in argomento al vaglio del Garante − e mai messa in discussione in precedenza; − lo schema di convenzione recentemente adottato da AgID (con il contributo, peraltro, della stessa ABI) conferma la prassi sinora seguita, individuando nelle banche affidatarie del servizio di tesoreria i responsabili del trattamento di eventuali dati personali; − la pronuncia da Voi richiamata ad adiuvandum si riferisce a un caso peculiare, che non trova parallelismo nell’ambito della normativa bancaria di riferimento, né riscontro nella stessa disciplina relativa ai servizi di tesoreria (già puntualmente regolati dal TUEL, pur nella necessità di una loro ulteriore declinazione su base convenzionale). 4. Gli elementi sopra richiamati, considerati singolarmente e nel loro insieme, parrebbero convergere verso una sostanziale conferma dell’impostazione sinora seguita nella prassi vigente (che, come detto, individua nella figura del tesoriere un responsabile del trattamento dei dati personali eventualmente trattati nell’esecuzione del servizio), non rinvenendosi per contro specifici indici normativi volti a riconoscere, in capo alle banche, autonomi poteri decisionali rispetto al servizio in esame; ciò non osta, peraltro, a che queste ultime godano comunque di sufficienti margini di discrezionalità tecnico-operativa e organizzativa – riconosciuti, indirettamente, anche dall’art. 28 del RGPD − necessari alla predisposizione del servizio in questione e all’erogazione del medesimo secondo le modalità ritenute più opportune (nello stesso senso già Provv. 5 giugno 2008 [doc. web n. 1531604], non incompatibile in parte qua con il vigente quadro regolatorio: art. 22, comma 4, del d.lgs. n. 101/2018). 5. È dunque parere di questo Ufficio, in considerazione di quanto sopra espresso, che la pratica di designare le banche affidatarie dei servizi di tesoreria quali responsabili del trattamento sia corretta e risponda, in termini di maggiore aderenza, alle disposizioni di cui al RGPD. 6. Nel ringraziare per la consueta attenzione riservata da codesta associazione all’attività istituzionale di questa Autorità, l’occasione è gradita per informare che l’esame della richiesta in oggetto si intende concluso con la presente, resa ai sensi dell’art. 35, comma 1 del regolamento del Garante n. 1/2019, recante le “procedure interne dell’Autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali nonché all'adozione dei provvedimenti correttivi e sanzionatori”, adottato con delibera n. 98 del 4 aprile 2019, pubblicata su GU Serie Generale n.106 dell’8 maggio 2019, consultabile anche sul sito dell’Autorità, doc. web n. 9107633.

Fonte: Autorità Garante - Parere relativo ai rapporti contrattuali stipulati in ambito bancario e “ruolo privacy” da attribuire alle banche affidatarie dei “servizi di tesoreria” - 13 aprile 2021