Garante Privacy: “Criticità su dati per reddito di cittadinanza”

Secondo quanto riporta l’Agi, l’Autorità garante per la protezione dei dati personali in una memoria presentata alla Commissione permanente del Senato ha evidenziato che le regole di accesso alle banche dati, “monitoraggio” sull’utilizzo della card, disciplina di rilascio delle attestazioni Isee, sito web presentano “rilevanti criticità”.

Il meccanismo – premette il Garante della privacy – comporta “trattamenti su larga scala di dati personali, riferiti ai richiedenti e ai componenti il suo nucleo familiare (anche minorenni) ai quali è riconosciuta la massima tutela in ragione della loro attinenza alla sfera più intima della persona o perché suscettibili di esporre l’interessato a discriminazioni”. Ma “non essendo stato, precedentemente, richiesto il parere” previsto dal Regolamento generale sulla protezione dei dati “non è stato possibile evidenziare nel dettaglio i rischi derivanti dalle diverse attività di trattamento (che incidono su un numero elevato di cittadini, ivi inclusi coloro i quali non sono interessati a richiedere il Rdc) e individuare preventivamente misure idonee a mitigarli”.

Le disposizioni normative “devono individuare con sufficiente precisione, conformemente ai principi di trasparenza nei confronti degli interessati, minimizzazione dei dati trattati, privacy per progettazione e impostazione predefinita: i titolari del trattamento, le tipologie di dati trattati, i soggetti ai quali essi possono essere comunicati e le rispettive finalità, nonché termini di conservazione dei dati proporzionati (e non eccedenti) rispetto agli scopi perseguiti”. Ebbene, “sotto questi aspetti, la disciplina del Rdc, così come formulata, non appare, in più punti, idonea a soddisfare i requisiti richiesti dal diritto europeo”.

Le piattaforme digitali

Per il Garante, “il decreto-legge contiene previsioni di portata generale, inidonee a definire con sufficiente chiarezza le modalità di svolgimento delle procedure di consultazione e verifica delle varie banche dati. Non sono individuati con sufficiente chiarezza i soggetti pubblici coinvolti, né fissati i criteri in base ai quali si possa ritenere di volta in volta giustificato, rispetto agli specifici obiettivi perseguiti e in ottemperanza ai principio di proporzionalità, l’utilizzo di determinate categorie di informazioni”.

Più nel dettaglio, si prevede l’istituzione di “due piattaforme digitali”, rispettivamente presso l’Anpal e presso il ministero del Lavoro, al fine di consentire l’attivazione e la gestione dei Patti per il lavoro e dei Patti per l’inclusione sociale connessi al Rdc, nonché per finalità di analisi, monitoraggio, valutazione e controllo del beneficio erogato. “Sebbene alcune disposizioni del decreto-legge demandino la disciplina di dettaglio a decreti attuativi (sui quali comunque dovrà necessariamente essere richiesto il parere del Garante), esse, così come formulate, presuppongono un massivo flusso di informazioni tra quelle assistite dalla maggiore tutela, ivi incluse quelle presenti nell’archivio dei rapporti finanziari, tra diversi soggetti pubblici”.

“E questo, in assenza di un’adeguata cornice di riferimento che individui pertinenti regole di accesso selettivo alle banche dati, introduca accorgimenti idonei a garantire la qualità e l’esattezza dei dati, nonché misure tecniche e organizzative volte a scongiurare i rischi di accessi indebiti, utilizzi fraudolenti dei dati o di violazione dei sistemi informativi, oltre a procedure idonee a garantire agli interessati l’agevole esercizio dei loro diritti”, prosegue la memoria.

Il monitoraggio delle spese

Analoghe, “rilevanti criticità” sono individuabili secondo l’Authority nella disciplina del “monitoraggio” sull’utilizzo della carta Rdc, da parte dei beneficiari. “Alle attività di monitoraggio centralizzato e sistematico degli acquisti effettuati tramite la carta – suscettibili di comportare l’acquisizione anche di dati particolarmente sensibili – si aggiungono, infatti, i controlli puntuali sulle scelte di consumo individuali, condotti dagli operatori dei centri per l’impiego e dei servizi comunali, in assenza di procedure ben definite e di criteri normativamente individuati. In tale contesto, le legittime esigenze di verifica di eventuali abusi e comportamenti fraudolenti, si traducono in una sorveglianza su larga scala, continua e capillare sugli utilizzatori della carta, determinando così un’intrusione sproporzionata e ingiustificata su ogni aspetto della vita privata degli interessati”. Per tali ragioni, “le disposizioni in esame dovrebbero essere attuate previa un’attenta opera di valutazione dei rischi, in conformità a quanto richiede il Regolamento europeo.

Le attestazioni Isee

“Forti perplessità” destano alcune disposizioni sulla disciplina di rilascio delle attestazioni ISEE “suscettibili di pregiudicare la sicurezza dei dati contenuti nell’Anagrafe tributaria e, soprattutto, nell’archivio dei rapporti finanziari dell’Agenzia delle entrate, finora inaccessibili persino nell’ambito delle ordinarie attività di controllo tributario, in ragione degli elevati rischi connessi al relativo trattamento di tali informazioni”.

Le disposizioni del decreto-legge, “pur in un’ottica di semplificazione, subordinano la precompilazione della Dsu (Dichiarazione sostitutiva unica) al rilascio del consenso, o al mancato divieto del trattamento dei propri dati, che ogni componente il nucleo familiare, se maggiorenne, potrà manifestare presso le sedi Inps, sul sito dell’Istituto o dell’Agenzia, e presso i Caf. Tuttavia, l’introduzione di questo complesso accorgimento del consenso/inibizione al trattamento da parte degli interessati – peraltro non conforme ai requisiti del diritto europeo, non potendo in questo caso il consenso costituire un valido presupposto di liceita’ del trattamento stesso – non rappresenta un presidio adeguato rispetto alla sicurezza di tali informazioni”.

Per il Garante, le disposizioni in questione “andrebbero riformulate” e “andrebbero, in particolare, introdotte misure tecniche e organizzative volte a scongiurare i rischi di utilizzi fraudolenti dei dati, accessi indebiti o violazione dei sistemi informativi”.

Il sito web

Anche il sito web del governo, dedicato al reddito di cittadinanza “rivela, già nel suo attuale stato di sviluppo, alcune carenze, in particolare, nell’informativa sul trattamento dei dati e nelle modalità tecniche della sua implementazione (che, ad oggi, comportano un’indebita e non trasparente trasmissione a terzi dei dati di navigazione, quali indirizzi IP e orario di connessione, da parte dei visitatori del medesimo sito). È necessario che la realizzazione di questo strumento avvenga previa adozione di misure tecniche idonee ad attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento le necessarie garanzie per ridurne i rischi a tutela dei i diritti dei cittadini”.

 

 

Garante Privacy: “Criticità su dati per reddito di cittadinanza”