Prassi - GARANTE PRIVACY - Comunicato 06 marzo 2019

Memoria del Presidente del Garante per la protezione dei dati personali nell'ambito dell'esame del disegno di legge C.1637 Governo, approvato dal Senato, recante "Conversione in legge, con modificazioni, del decreto-legge 28 gennaio 2019, n. 4, recante disposizioni urgenti in materia di reddito di cittadinanza e di pensioni"

Il decreto-legge in esame introduce importanti misure volte al sostegno economico e all'inserimento lavorativo e sociale dei soggetti a rischio di emarginazione.

Nella memoria presentata l'8 febbraio alla Commissione lavoro del Senato, è stata esaminata la conformità delle disposizioni che disciplinano il reddito di cittadinanza alla normativa in materia di protezione dei dati personali.

1. In tale occasione è stato evidenziato, in particolare, come il prospettato meccanismo di riconoscimento, erogazione e gestione del Reddito di cittadinanza (di seguito Rdc) comporti trattamenti su larga scala di dati personali, riferiti al richiedente e ai componenti il suo nucleo familiare (ivi inclusi i minorenni), ai quali è riconosciuta la massima tutela in ragione della loro attinenza alla sfera più intima della persona o della suscettibilità di esporre l'interessato a discriminazioni.

Si tratta, in particolare, dei dati relativi allo stato di salute e alla eventuale sottoposizione a misure restrittive della libertà personale, nonché alle condizioni di disagio, in particolare sotto il profilo economico, familiare o sociale.

Il trattamento di tali dati, ancorché funzionale all'erogazione di benefici per l'interessato, deve avvenire nel rispetto delle disposizioni del Regolamento 2016/679 (UE) e del Codice novellato in materia di protezione dei dati personali e, in particolare, conformemente ai canoni di ragionevolezza e proporzionalità valorizzati peraltro, in questa materia, dalla Corte costituzionale, con la sentenza n. 20 del 2019.

Il sistema di gestione del Rdc presuppone la costituzione di un patrimonio informativo complesso, mediante l'interconnessione di molteplici archivi contenenti dati personali tra i più rilevanti, nonché attraverso il monitoraggio dei consumi dei componenti il nucleo familiare del beneficiario.

Rispetto alle criticità che tale sistema, nella sua architettura originaria, presentava - e per la cui descrizione si rinvia alla memoria presentata in Senato - il testo approvato in prima lettura appare in molti aspetti migliorato, avendo recepito, in sede emendativa, i rilievi del Garante.

2. In particolare, al fine di evitare duplicazioni di banche dati, è stato istituito un unico Sistema informativo per il Reddito di cittadinanza, presso il quale opereranno le "due piattaforme digitali", finalizzate a consentire l'attivazione e la gestione dei Patti per il lavoro e dei Patti per l'inclusione sociale connessi al Rdc.

Tali piattaforme sono ora definite quali strumenti per rendere disponibili le informazioni alle amministrazioni centrali e ai servizi territoriali coinvolti, nel rispetto dei principi di minimizzazione, integrità e riservatezza dei dati personali (cfr. art. 6, c. 1, 3, 4 e 5).

A tal fine, si prevede che l'Inps metta a disposizione del Sistema informativo dedicato al Rdc soltanto le informazioni presenti negli archivi dell'Istituto, strettamente necessarie all'attuazione della misura, secondo modalità e termini che saranno individuati con decreto ministeriale (cfr. art. 6, c. 3).

Con questo stesso decreto - da emanarsi peraltro previo parere del Garante - verrà predisposto un piano tecnico di attivazione e interoperabilità delle due piattaforme dedicate al Rdc e saranno previsti misure a tutela degli interessati, modalità di accesso selettivo alle informazioni necessarie per il perseguimento delle specifiche finalità perseguite, nonché adeguati tempi di conservazione dei dati (cfr. art. 6, c. 1).

Per altro verso, le modalità attraverso le quali l'Inps verificherà il possesso dei requisiti per l'accesso al beneficio, sulla base delle informazioni disponibili nei propri archivi e in quelli di altre amministrazioni, quali l'Anagrafe tributaria, saranno dettagliate in uno specifico provvedimento dello stesso Istituto.

Con tale atto, su cui dovrà essere richiesto il parere del Garante, dovranno essere stabilite pertinenti regole di accesso selettivo alle banche dati, individuando, ove non già disciplinate, le tipologie di dati accessibili, le modalità di acquisizione delle informazioni, nonché le misure a tutela degli interessati (cfr. art. 5, c. 3).

È inoltre prevista la consultazione dell'Autorità in ordine alla predisposizione, da parte dell'Inps, del modulo di domanda per ottenere il beneficio e alla definizione delle comunicazioni dovute allo stesso Istituto in caso di variazione dei requisiti posseduti dai beneficiari (cfr. art. 5, c. 1).

Al riguardo, al fine di garantire la necessaria trasparenza del trattamento, va specificato con chiarezza, nell'informativa agli interessati, che il titolare è l'Inps, sia nell'ipotesi in cui la richiesta di erogazione del beneficio sia inoltrata tramite i Caf, sia nel caso in cui essa sia inoltrata presso gli uffici postali.

3. Grazie alle modifiche approvate in prima lettura, sono state superate anche le criticità riscontrate in ordine al "monitoraggio" centralizzato e sistematico dei singoli acquisti effettuati dai beneficiari tramite la carta del Rdc che, così come prospettato, era suscettibile di comportare l'acquisizione anche di dati particolarmente sensibili.

Al tal fine, si dispone ora che tutte le movimentazioni sulla carta siano controllate mediante la verifica dei soli importi complessivamente spesi e prelevati e secondo modalità che saranno definite con decreto, previo parere del Garante (cfr. art. 3, c. 15).

Le stesse informazioni, prive in ogni caso dei dati identificativi dei beneficiari, potranno essere utilizzate dal Ministero del lavoro, a fini statistici e di ricerca scientifica (cfr. art. 5, c. 6).

In linea con le perplessità evidenziate dall'Autorità, è stata espunta anche la previsione relativa all'attribuzione, agli operatori dei centri per l'impiego e dei servizi comunali, di funzioni di controllo puntuale sulle scelte di consumo individuali e sui comportamenti dei beneficiari, nonché di valutazione di eventuali anomalie suscettibili di rivelare l'insussistenza dei requisiti dichiarati, con la conseguente segnalazione alle piattaforme per il Rdc, in assenza di procedure a tutela degli interessati e di criteri normativamente individuati.

L'attività di controllo sui beneficiari del Rdc, così come sugli enti di formazione accreditati, potrà essere oggetto di una specifica convenzione tra Ministero del lavoro, Ministero dell'economia e delle finanze e Guardia di finanza (cfr. art. 6, c. 6).

4. Sono state recepite le obiezioni sollevate dall'Autorità in ordine alle modifiche apportate dal decreto-legge alla disciplina di rilascio delle attestazioni Isee (art. 10, d.lgs. n. 147 del 2017), che - anche prescindendo dal funzionamento del reddito di cittadinanza - erano suscettibili di esporre a rischi di accessi abusivi anche soggetti inconsapevoli, non interessati a tale beneficio.

La disciplina proposta, infatti - come già evidenziato nella memoria presentata al Senato - rischiava di pregiudicare la sicurezza dei dati contenuti nell'Anagrafe tributaria e, soprattutto, nell'archivio dei rapporti finanziari dell'Agenzia delle entrate, soggetti a strettissimi vincoli d'accesso persino nell'ambito delle ordinarie attività di controllo tributario, in ragione della particolare rilevanza dei dati stessi.

Su tale aspetto il Garante aveva già avuto modo di rappresentare al Governo l'esigenza di predisporre misure di sicurezza tecniche e organizzative idonee alla protezione di informazioni tanto rilevanti, dal rischio di accessi abusivi (anche mediante furto d'identità o sostituzione di persona) o di attacchi informatici, anche in ragione del coinvolgimento nella filiera del trattamento dei Caf e dei relativi sistemi informativi (non sempre adeguatamente protetti).

In conformità ai rilievi del Garante, sono state riformulate le disposizioni che subordinavano la precompilazione della Dichiarazione sostitutiva unica (Dsu) a un complesso meccanismo di consenso/inibizione al trattamento da parte di ogni componente maggiorenne del nucleo familiare, foriero di un'ingiustificata comunicazione al dichiarante dei dati dei componenti il suo nucleo familiare - anche in contrasto con la loro volontà - presenti negli archivi dell'Inps e dell'Agenzia delle entrate (cfr. i commi 2-bis e 2- ter introdotti dal testo originario del decreto-legge all'art. 10 del d.lgs. 147 del 2017).

In particolare, ferma restando la possibilità di presentazione della Dsu in modalità non precompilata, si demanda a un decreto ministeriale - da adottarsi previo parere del Garante - l'individuazione delle modalità tecniche necessarie a consentire l'accesso, da parte del cittadino, alla dichiarazione precompilata resa disponibile in via telematica dall'Inps (cfr. art. 11).

In tale sede, potranno quindi essere introdotte misure tecniche e organizzative (ivi incluse opportune modalità di comunicazione al dichiarante di eventuali difformità riscontrate), idonee a scongiurare rischi di violazioni della sicurezza dei dati e dei sistemi.

5. Un'ultima osservazione va riferita alle previsioni introdotte in prima lettura, per consentire, all'Ispettorato Nazionale del Lavoro, un efficace svolgimento delle attività di vigilanza su eventuali abusi e comportamenti fraudolenti, nel rispetto della disciplina di protezione dati. In particolare, l'Ispettorato potrà accedere, sia in forma analitica che aggregata, alle informazioni - specificate in allegato al decreto-legge - nella disponibilità dell'Inps, ivi incluse quelle di natura patrimoniale, reddituale e finanziaria riferite ai soggetti che richiederanno il beneficio e ai componenti il loro nucleo familiare, nonché i dati relativi alle prestazioni previdenziali per malattia, maternità e assegni familiari ovvero alle prestazioni di sostegno al reddito.

L'elenco delle informazioni e delle banche dati accessibili potrà essere integrato con decreto ministeriale, da adottarsi previo parere del Garante. Inoltre, le categorie di dati e i relativi tempi di conservazione, le modalità di accesso e le misure a tutela degli interessati saranno stabiliti con provvedimento dell'Ispettorato sul quale sarà acquisito, altresì, il parere del Garante (cfr. art. 7, c.15-ter).

6. Riguardo infine all'architettura del sito web del Governo, dedicato al Rdc, permangono ancora alcune criticità relative - nell'attuale stato di sviluppo - alle modalità tecniche della sua implementazione (che, ad oggi, comportano una trasmissione a terzi dei dati di navigazione - quali indirizzi IP e orario di connessione - dei visitatori del medesimo sito, non necessaria in termini funzionali e dunque eccedente).

Al riguardo, si ribadisce la necessità che la realizzazione di questo strumento avvenga previa adozione di misure tecniche idonee ad attuare in modo efficace i principi di protezione dei dati (in particolare, quello di minimizzazione), integrando nel trattamento le necessarie garanzie per ridurne i rischi a tutela dei i diritti dei cittadini.

Nel caso specifico del ricorso a font tipografici ("stili di carattere") esterni, appare preferibile configurare il sito web - pur mantenendone invariate le caratteristiche grafiche e funzionali - in modo da evitare il conferimento a fornitori esterni di dati riferibili ai suoi visitatori.