27 aprile 2018 – Con un recente parere il Garante per la privacy ha indicato al Mef le misure e gli accorgimenti per rendere pienamente conformi alla normativa sulla protezione dei dati personali le modalità tecniche di invio dei dati al Registro degli operatori compro oro. Lo schema sottoposto all’Autorità si compone di dieci articoli in cui sono stabiliti, tra l’altro, la struttura del registro (composto di due sezioni: una ad accesso pubblico e una ad accesso riservato); le modalità di iscrizione degli operatori; l’obbligo della tempestiva messa a disposizione dei dati a Mef, Uif, Guardia di finanza, autorità giudiziaria. Il parere sullo schema di decreto – che segue quello espresso nel 2017 sul decreto legislativo che recepiva la direttiva europea sulla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo. Per assicurare il pieno rispetto dei principi di finalità e proporzionalità del trattamento e pertinenza dei dati, il Garante ha chiesto al Mef di effettuare una selezione attenta dei dati da inserire nel registro. Lo schema attuale prevede infatti che nella sezione del registro ad accesso pubblico siano annotate e consultabili, indiscriminatamente, tutte le informazioni trasmesse dall’operatore al momento dell’iscrizione (dati anagrafici, residenza, codici fiscali, estremi dei conti correnti dedicati, indirizzi Pec per comunicazioni con l’Oam, l’Organismo degli agenti in attività finanziaria e dei mediatori creditizi che gestisce il Registro). Dati non tutti liberamente accessibili secondo 
il Garante: tra questi, ad esempio, gli indirizzi Pec, sicuramente utili all’Oam per contattare gli operatori, potrebbero essere conservati nell’archivio dell’Organismo senza essere resi “pubblici” tramite il registro. Per quanto riguarda poi la sottosezione ad accesso riservato – in cui, oltre ai dati di carattere generale, sono registrati anche gli estremi di provvedimenti sanzionatori, di sospensione dell’attività, di cancellazione dal registro – il Garante ha chiesto al Mef di specificare che l’accesso avvenga su connessione protetta e previa procedura di autenticazione e autorizzazione e di precisare le modalità, ora non indicate, di interfaccia con gli altri elenchi o registri tenuti dall’Oam.
C.S. Garante per la protezione dei dati personali
