Memoria del Presidente del Garante per la protezione dei dati personali nell'ambito del ddl di conversione in legge del decreto-legge 28 gennaio 2019, n. 4 recante disposizioni urgenti in materia di reddito di cittadinanza e di pensioni

Il decreto-legge in esame introduce importanti, innovative misure volte al sostegno economico e all’inserimento lavorativo e sociale dei soggetti a rischio di emarginazione nella società e nel mondo del lavoro. 

Sotto il profilo della protezione dei dati personali, occorre in particolare soffermarsi sulle specifiche disposizioni che disciplinano il reddito di cittadinanza, rispetto alle quali pertanto, si formuleranno alcune osservazioni.

 

1 - Preliminarmente, si evidenzia che il prospettato meccanismo di riconoscimento, erogazione e gestione del reddito di cittadinanza (di seguito: Rdc) comporta trattamenti su larga scala di dati personali, riferiti ai richiedenti e ai componenti il suo nucleo familiare (anche minorenni) ai quali è riconosciuta la massima tutela in ragione della loro attinenza alla sfera più intima della persona o perché suscettibili di esporre l’interessato a discriminazioni.

Si tratta, in particolare, dei dati relativi allo stato di salute e alla eventuale sottoposizione a misure restrittive della libertà personale, nonché alle condizioni di disagio, in particolare sotto il profilo economico, familiare o sociale.

Tale meccanismo, così come delineato, presuppone un patrimonio informativo complesso e articolato, fondato sull’interconnessione di molteplici banche dati, la circolazione di delicatissime informazioni tra una pluralità di soggetti pubblici, nonché il monitoraggio e la valutazione dei consumi e dei comportamenti dei singoli familiari del beneficiario. 

Al riguardo, non essendo stato, precedentemente, richiesto il parere di cui all’art.36, par 4 del Regolamento generale sulla protezione dei dati, che disciplina la consultazione preventiva dell’Autorità, non è stato possibile evidenziare nel dettaglio i rischi derivanti dalle diverse attività di trattamento (che, come si dirà, incidono su un numero elevato di cittadini, ivi inclusi coloro i quali non sono interessati a richiedere il Rdc) - e individuare preventivamente misure idonee a mitigarli, così da evitare limitazioni dei diritti degli interessati sproporzionate ed ingiustificate rispetto al legittimo obiettivo di interesse pubblico perseguito. 

Le norme del decreto-legge presentano, sotto questo profilo, rilevanti criticità, alcune delle quali suscettibili di superamento nell’ambito di specifici provvedimenti attuativi (attualmente non previsti), altre già in questa fase, in sede di conversione.

Il trattamento dei dati personali, anche se effettuato da amministrazioni pubbliche e preordinato - come in questo caso - al perseguimento di motivi di rilevante interesse generale, deve essere progettato e impostato secondo i principi del Regolamento europeo sulla protezione dei dati. 

L’attuazione del Rdc non può, infatti, eludere le garanzie dei diritti e delle libertà sancite dalla disciplina di protezione dati, in danno proprio delle persone che tale beneficio intende invece tutelare.

Quest’ultima demanda al legislatore nazionale la previsione delle condizioni e dei limiti necessari, secondo il canone di proporzionalità, a coniugare la dignità e i diritti fondamentali della persona con esigenze di interesse generale quali quella al contrasto di frodi e abusi, nonché alla realizzazione di percorsi di inclusione sociale e altri obiettivi di politica attiva del lavoro. 

In altri termini, le previsioni normative nazionali devono essere proporzionate alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati personali, nonché prevedere misure adeguate e specifiche a tutela dei diritti, delle libertà e dei legittimi interessi delle persone coinvolte. 

Le disposizioni normative devono, quindi, individuare con sufficiente precisione, conformemente ai principi di trasparenza nei confronti degli interessati, minimizzazione dei dati trattati, privacy per progettazione e impostazione predefinita: i titolari del trattamento, le tipologie di dati trattati, i soggetti ai quali essi possono essere comunicati e le rispettive finalità,  nonché termini   di conservazione dei dati proporzionati (e non eccedenti) rispetto agli scopi perseguiti.

Sotto questi aspetti, la disciplina del Rdc, così come formulata, non appare, in più punti, idonea a soddisfare i requisiti richiesti dal diritto europeo.

 

2 - Il decreto-legge contiene, infatti, previsioni di portata generale, inidonee a definire con sufficiente chiarezza le modalità di svolgimento delle procedure di consultazione e verifica delle varie banche dati. 

Non sono individuati con sufficiente chiarezza i soggetti pubblici coinvolti, né fissati i criteri in base ai quali si possa ritenere di volta in volta giustificato, rispetto agli specifici obiettivi perseguiti e in ottemperanza ai principio di proporzionalità, l’utilizzo di determinate categorie di informazioni.

Più nel dettaglio, si prevede l'istituzione di “due piattaforme digitali”, rispettivamente presso l'ANPAL e presso il Ministero del lavoro, al fine di consentire l’attivazione e la gestione dei Patti per il lavoro e dei Patti per l’inclusione sociale connessi al Rdc, nonché per finalità di analisi, monitoraggio, valutazione e controllo del beneficio erogato. 

Tali piattaforme vengono definite quali strumenti di condivisione, rispettivamente, con i centri per l’impiego e con i comuni, delle informazioni relative ai beneficiari residenti nei territori di competenza (art. 6, comma 1). A tal fine, viene registrata ogni informazione presente negli archivi dell’INPS e funzionale all’attuazione della misura, riferita ai componenti dei nuclei familiari beneficiari (art. 6, comma 3).

Alle stesse piattaforme sono comunicate anche le eventuali anomalie, nei consumi e nei comportamenti dei beneficiari, segnalate dai centri per l’impiego e dai comuni (art. 6, comma 6). 

Per altro verso, una volta inoltrata la richiesta del beneficio presso gli uffici postali e i Caf, si attribuisce all’INPS un generale compito di verifica del possesso dei requisiti previsti per l’accesso al beneficio, sulla base delle informazioni disponibili nei propri archivi e in quelli delle amministrazioni collegate, quali l’Anagrafe tributaria, il PRA e le altre amministrazioni pubbliche detentrici dei dati (art. 5, comma 3). Parallelamente, i comuni verificano i requisiti di residenza e di domicilio e ne comunicano i risultati alle predette piattaforme (art. 5, comma 4).

Sebbene alcune disposizioni del decreto-legge demandino la disciplina di dettaglio a decreti attuativi (sui quali comunque dovrà necessariamente essere richiesto il parere del Garante), esse, così come formulate, presuppongono un massivo flusso di informazioni tra quelle assistite dalla maggiore tutela, ivi incluse quelle presenti nell’archivio dei rapporti finanziari, tra diversi soggetti pubblici

E questo, in assenza di un’adeguata cornice di riferimento che individui pertinenti regole di accesso selettivo alle banche dati, introduca accorgimenti idonei a garantire la qualità e l’esattezza dei dati, nonché misure tecniche e organizzative volte a scongiurare i rischi di accessi indebiti, utilizzi fraudolenti dei dati o di violazione dei sistemi informativi, oltre a procedure idonee a  garantire agli interessati l’agevole esercizio  dei loro diritti.

 

3 - Sono presenti, inoltre, rilevanti criticità nella disciplina  del “monitoraggio” sull’utilizzo della carta Rdc, da parte dei beneficiari, ai quali è precluso l’utilizzo della stessa per partecipare a giochi che prevedano vincite in denaro o altre utilità. Al tal fine, si dispone che tutte le movimentazioni sulla carta siano messe a disposizione delle piattaforme digitali presso l’Anpal e il Ministero del lavoro, per il tramite del Mef (art. 5, comma 6). 

Viene poi demandata a un decreto del Ministro del lavoro (di concerto con il Mef) la definizione delle modalità̀ con le quali possa essere verificata, mediante il monitoraggio delle spese effettuate sulla carta, l’effettiva fruizione del beneficio (art. 3, comma 15).

Altrettante perplessità suscita la disposizione che attribuisce agli operatori dei centri per l’impiego e dei servizi comunali la funzione di monitoraggio dei consumi e dei comportamenti dei beneficiari, nonché di valutazione di eventuali anomalie dalle quali si possa dedurre l’insussistenza dei requisiti dichiarati (art. 6, comma 6).

Alle attività di monitoraggio centralizzato e sistematico degli acquisti effettuati tramite la carta - suscettibili di comportare l’acquisizione anche di dati particolarmente sensibili - si aggiungono, quindi, i controlli puntuali sulle scelte di consumo individuali, condotti dagli operatori dei centri per l’impiego e dei servizi comunali, in assenza di procedure ben definite e di criteri normativamente individuati. 

In tale contesto, le legittime esigenze di verifica di eventuali abusi e comportamenti fraudolenti, si traducono in una sorveglianza su larga scala, continua e capillare sugli utilizzatori della carta,  determinando così un’intrusione sproporzionata e ingiustificata su ogni aspetto della vita privata degli interessati. 

Al riguardo, non può non essere evidenziato il palese contrasto di tali previsioni con le garanzie sancite dalla disciplina di protezione dati - e con effetto limitativo della discrezionalità legislativa oltre che amministrativa - a tutela dei diritti e delle libertà fondamentali dei cittadini, rispetto alle più varie forme di violazione.

Per tali ragioni, le disposizioni in esame dovrebbero essere attuate previa un’attenta opera di valutazione dei rischi, in conformità a quanto richiede il Regolamento europeo (artt. 25 e 35).

In particolare, anche in sede attuativa, dovranno essere puntualmente definiti i presupposti per l’avviamento di tali attività di monitoraggio e individuati le tipologie di controllo, i criteri per la classificazione dei comportamenti anomali, nonché i soggetti legittimati allo svolgimento di tali attività, le garanzie per gli interessati e i tempi di conservazione dei dati.

4 - Forti perplessità destano, infine, alcune disposizioni sulla disciplina di rilascio delle attestazioni ISEE (art. 11, c. 2, lett. d),numero 2), suscettibili di pregiudicare la sicurezza dei dati contenuti nell’Anagrafe tributaria e, soprattutto, nell’archivio dei rapporti finanziari dell’Agenzia delle entrate, finora inaccessibili persino nell’ambito delle ordinarie attività di controllo tributario, in ragione degli elevati rischi connessi al relativo trattamento di tali informazioni.

Presupposto per il riconoscimento del Rdc è il conferimento della Dichiarazione sostituiva unica (Dsu) (prodromica al rilascio dell’attestazione Isee), nel cui ambito occorre dichiarare all’Inps, sul sito istituzionale o attraverso i Caf, le informazioni anagrafiche, reddituali, finanziarie e patrimoniali relative a tutti i componenti il nucleo familiare. 

La disciplina in materia stabilisce che, a decorrere da quest’anno, la dichiarazione venga precompilata a cura dell’INPS, con la collaborazione dell’Agenzia delle entrate che, a tal fine, mette a disposizione dell’Istituto le informazioni presenti nel Catasto e nell’Anagrafe tributaria, ivi comprese quelle sui rapporti  finanziari con saldi e giacenze medie del patrimonio mobiliare di tutti i componenti il nucleo familiare (art. 10, d.lgs. n. 147 del 2017).

Con la precompilazione, il dichiarante avrà così a propria disposizione - sul sito dell’Inps o presso i Caf - non solo le informazioni da lui stesso fornite, ma anche quelle contenute nelle banche dati dell’Inps e dell’Agenzia delle entrate, inclusi i dati sui saldi dei rapporti finanziari e le relative giacenze medie, riferite a terzi, vale a dire tutti componenti del suo nucleo familiare.

Su tale tematica il Garante aveva già interloquito con il Ministero del Lavoro, l’Inps e l’Agenzia delle entrate, rappresentando l’imprescindibile esigenza di assicurare misure di sicurezza tecniche e organizzative idonee alla protezione di informazioni tanto preziosi, sia per altri componenti il nucleo familiare, che per i terzi. 

Occorre, infatti, tutelare tali dati in modo adeguato, evitando anche soltanto il rischio di fraudolente sostituzioni di identità presso i Caf, ovvero di attacchi informatici, facilitati anche dal coinvolgimento degli stessi Caf e dei relativi sistemi informativi (non sempre adeguatamente protetti), nella filiera del trattamento.

In questo quadro, si inseriscono le disposizioni del decreto-legge che, pur in un’ottica di semplificazione, subordinano la precompilazione della Dsu al rilascio del consenso, o al mancato divieto del trattamento dei propri dati, che ogni componente il nucleo familiare, se maggiorenne, potrà manifestare presso le sedi Inps, sul sito dell’Istituto o dell’Agenzia, e presso i Caf (cfr. il nuovo comma 2-bis dell’art. 10 del d.lgs. 147 del 2017). 

Tuttavia, l’introduzione di questo complesso accorgimento del consenso/inibizione al trattamento da parte degli interessati - peraltro non conforme ai requisiti del diritto europeo, non potendo in questo caso il consenso costituire un valido presupposto di liceità del trattamento stesso - non rappresenta un presidio adeguato rispetto alla sicurezza di tali informazioni. 

Ciò, soprattutto se si considera l’ulteriore paradosso introdotto dal decreto legge in esame (cfr. il nuovo comma 2-ter dell’art. 10 del d.lgs. 147 del 2017) secondo cui, anche in contrasto con la predetta manifestazione di volontà dell’interessato, in caso di presentazione della DSU in modalità cartacea da parte di un componente il nucleo familiare, debbano comunque essere restituite al dichiarante (e quindi anche al Caf) al momento del rilascio dell’attestazione Isee, informazioni di dettaglio relative a eventuali omissioni o difformità riscontrate negli archivi dell’Inps e dell’Agenzia delle entrate, di tutti i componenti il nucleo familiare, incluse quelle relative ai saldi e alle giacenze medie del patrimonio mobiliare.

Le predette disposizioni - prescindenti dal funzionamento del reddito di cittadinanza e suscettibili quindi di incidere anche su coloro i quali non siano interessati a tale beneficio - andrebbero pertanto riformulate. 

Le pur condivisibili esigenze di semplificazione, infatti, non possono essere realizzate in maniera tale da pregiudicare la sicurezza, l’integrità e la riservatezza dei dati contenuti negli archivi dell’Inps e dell’Agenzia delle entrate, gestiti fino ad oggi nel rispetto di stringenti misure di sicurezza, anche in attuazione di puntuali indicazioni fornite dal Garante.

Andrebbero, in particolare, introdotte misure tecniche e organizzative volte a scongiurare i rischi di utilizzi fraudolenti dei dati, accessi indebiti  o violazione dei sistemi informativi. 

5 - Un’ultima osservazione va riferita  all’architettura del sito web del Governo, dedicato al reddito di cittadinanza. 

Si segnala, al riguardo, che il sito rivela, già nel suo attuale stato di sviluppo, alcune carenze, in particolare, nell’informativa sul trattamento dei dati e nelle modalità tecniche della sua implementazione (che, ad oggi, comportano un’indebita e non trasparente trasmissione a terzi dei dati di navigazione, quali indirizzi IP e orario di connessione, da parte dei visitatori del medesimo sito). 

E’ necessario che la realizzazione di questo strumento avvenga previa  adozione di misure tecniche idonee ad attuare in modo efficace i principi di protezione dei dati (quello di minimizzazione dei dati in particolare), integrando nel trattamento le necessarie garanzie per ridurne i rischi a tutela dei i diritti dei cittadini.

Tali misure risulteranno ancor più essenziali ove si dovesse fare ricorso - al prospettato fine di incrementare l’efficienza del programma e l’allocazione del lavoro - a strumenti e piattaforme informatici messi a disposizione da enti controllati o vigilati da parte di amministrazioni dello Stato, ovvero da società in house (art. 6, comma 8).