Según el Agi, la Autoridad Garante para la protección de datos personales en un memorando presentado a la Comisión Permanente del Senado destacó que las reglas para el acceso a las bases de datos, el "seguimiento" del uso de la tarjeta, la disciplina para la emisión Las certificaciones Isee, el sitio web presentan "problemas críticos importantes".
El mecanismo - dijo el Garante de Privacidad - implica "un procesamiento a gran escala de datos personales, referido a los solicitantes y miembros de su unidad familiar (incluidos los menores) a quienes se les otorga la máxima protección por su relevancia para el ámbito más íntimo de persona o porque pueden exponer al interesado a discriminación ". Pero "al no haber sido solicitado previamente el dictamen" exigido por el Reglamento General de Protección de Datos "no ha sido posible destacar con detalle los riesgos derivados de las distintas actividades de tratamiento (que afectan a un gran número de ciudadanos, incluidos los que no están interesados en solicitar las Rdc) e identificar con antelación las medidas adecuadas para mitigarlas ".
Las disposiciones reglamentarias "deben identificar con suficiente precisión, de acuerdo con los principios de transparencia hacia los interesados, minimización de los datos tratados, privacidad por diseño y configuración por defecto: los responsables del tratamiento, los tipos de datos tratados, los sujetos a los que pueden dirigirse. comunicados y sus respectivas finalidades, así como plazos de conservación de datos proporcionados (y no excesivos) respecto a las finalidades que se persiguen ". Pues bien, "en estos aspectos, las normas de la Rdc, tal como están formuladas, no parecen, en varios puntos, adecuadas para satisfacer las exigencias del Derecho europeo".
Plataformas digitales
Para el Garante, “el decreto-ley contiene disposiciones de alcance general, incapaces de definir con suficiente claridad los procedimientos para realizar los procedimientos de consulta y verificación de las distintas bases de datos. Los entes públicos implicados no están identificados con la suficiente claridad, ni se establecen los criterios a partir de los cuales el uso de determinadas categorías de información puede considerarse justificado en cada momento, respecto de los objetivos específicos que se persiguen y en cumplimiento del principio de proporcionalidad " .
Más concretamente, se prevé el establecimiento de "dos plataformas digitales", respectivamente en Anpal y en el Ministerio de Trabajo, para permitir la activación y gestión de los convenios laborales y los convenios de inclusión. seguridad social vinculada a la Rdc, así como para fines de análisis, seguimiento, evaluación y control del beneficio brindado. "Si bien algunas disposiciones del decreto-ley delegan la disciplina detallada a la ejecución de los decretos (sobre los que necesariamente debe solicitarse la opinión del Garante), estas, tal como están formuladas, presuponen un flujo masivo de información entre los asistidos por una mayor protección, en incluidos los presentes en el archivo de relaciones económicas entre distintas entidades públicas ".
Y esto, ante la falta de un marco de referencia adecuado que identifique reglas relevantes para el acceso selectivo a las bases de datos, introduce las medidas adecuadas para garantizar la calidad y veracidad de los datos, así como medidas técnicas y organizativas encaminadas a evitar los riesgos de acceso. uso indebido, uso fraudulento de datos o violación de los sistemas de información, así como procedimientos adecuados para garantizar a los interesados el fácil ejercicio de sus derechos ”, prosigue el comunicado.
Monitoreo de gastos
De manera similar, según la Autoridad se pueden identificar "problemas críticos importantes" en la disciplina de "monitorear" el uso de la tarjeta Rdc por parte de los beneficiarios. Además del seguimiento centralizado y sistemático de las compras realizadas a través de la tarjeta, que también puede implicar la adquisición de datos especialmente sensibles, existen, de hecho, los controles puntuales de las elecciones de consumo individuales, realizados por los operadores de los centros de empleo. y servicios municipales, en ausencia de procedimientos y criterios regulatorios bien definidos. En este contexto, las necesidades legítimas de verificación de abusos y comportamientos fraudulentos se traducen en una vigilancia a gran escala, continua y capilar de los usuarios de tarjetas, provocando así una intrusión desproporcionada e injustificada en todos los aspectos de la privacidad de los interesados " . Por estas razones, “las disposiciones en cuestión deben implementarse después de una cuidadosa evaluación de riesgos, de conformidad con los requisitos del Reglamento Europeo.
Los testimonios de Isee
"Fuertes perplejidades" suscitan algunas disposiciones sobre la disciplina para la emisión de certificados ISEE "susceptibles de poner en peligro la seguridad de los datos contenidos en el registro tributario y, sobre todo, en el archivo de los informes financieros de la Agencia Tributaria, hasta ahora inaccesibles incluso dentro del actividades ordinarias de control tributario, debido a los altos riesgos asociados al relativo procesamiento de dicha información ”.
Las disposiciones del decreto-ley, "aunque con miras a la simplificación, subordinan la precompilación del ESD (Declaración única sustituta) a la liberación del consentimiento, o al no prohibir el tratamiento de sus datos, que cada miembro de la familia , puede manifestarse en las oficinas del Inps, en la web del Instituto o de la Agencia, y en Caf. Sin embargo, la introducción de este complejo dispositivo de consentimiento / inhibición del procesamiento por parte de las partes interesadas, que no cumple con los requisitos de la ley europea, ya que el consentimiento en este caso no puede constituir un requisito previo válido para la legalidad del procesamiento en sí, no representa un supervisión adecuada de la seguridad de dicha información ".
Para el Garante, las disposiciones en cuestión "deberían reformularse" y "en particular, deberían introducirse medidas técnicas y organizativas para evitar los riesgos de uso fraudulento de los datos, acceso indebido o violación de los sistemas de información".
El sitio web
Incluso el sitio web del gobierno, dedicado a la renta de la ciudadanía "revela, ya en su estado actual de desarrollo, algunas deficiencias, en particular, en la información sobre el procesamiento de datos y en los métodos técnicos de su implementación (que, a la fecha, implican transmisión indebida y no transparente de datos de navegación a terceros, como direcciones IP y tiempos de conexión, por parte de los visitantes del mismo sitio). Es necesario que la realización de esta herramienta se produzca tras la adopción de las medidas técnicas adecuadas para implementar eficazmente los principios de protección de datos, integrando las garantías necesarias en el tratamiento para reducir los riesgos para proteger los derechos de los ciudadanos ”.