Reddito di cittadinanza e privacy, l’Autorità Garante: rilevanti criticità

13 Mar, 2019

Reddito di cittadinanza e privacy, l’Autorità Garante: rilevanti criticità

Reddito di cittadinanza e privacy, l’Autorità Garante per la protezione dei dati personali: rilevanti criticità nel sistema. Dall’ISEE precompilato alla card, i punti da rivedere nella memoria depositata al Senato.

Reddito di cittadinanza e privacy, l’Autorità Garante per la protezione dei dati personali: il sistema presenta “rilevanti criticità”. Dall’ISEE precompilato al monitoraggio della card, il presidente dell’Autorità ha depositato alla Commissione Lavoro pubblico e privato, previdenza sociale del Senato una memoria nell’ambito del ddl di conversione in legge del decreto-legge 28 gennaio 2019, n. 4 recante disposizioni urgenti in materia di reddito di cittadinanza e di pensioni.

Nel documento tutti i punti critici su cui si richiede un intervento per adeguare le procedure alle norme europee sulla protezione e sicurezza dei dati.

Dal 6 marzo sarà possibile presentare la domanda per ottenere il reddito di cittadinanza: l’analisi passa a rassegna vari elementi della macchina operativa e si sofferma sia sulla natura, delicata, dei dati che si raccoglieranno che sugli strumenti che ne ospiteranno il flusso.

Partendo da quelli più semplici, come il portale informativo online dal 4 febbraio, fino ad arrivare al sistema di monitoraggio degli acquisti tramite la card: punti da rivedere e possibili soluzioni.

Reddito di cittadinanza e privacy: le criticità nell’analisi del Garante

Memoria del Presidente del Garante per la protezione dei dati personali nell’ambito del ddl di conversione in legge del decreto-legge 28 gennaio 2019, n. 4 recante disposizioni urgenti in materia di reddito di cittadinanza e di pensioni (AS 1018).

Reddito di cittadinanza e privacy, il Garante: rilevanti criticità

L’Autorità Garante per la protezione dei dati personali con il documento pubblicato l’8 febbraio 2019 richiama l’attenzione sulla necessità di un bilanciamento.

L’attuazione del Rdc non può, infatti, eludere le garanzie dei diritti e delle libertà sancite dalla disciplina di protezione dati, in danno proprio delle persone che tale beneficio intende invece tutelare.

Quest’ultima demanda al legislatore nazionale la previsione delle condizioni e dei limiti necessari, secondo il canone di proporzionalità, a coniugare la dignità e i diritti fondamentali della persona con esigenze di interesse generale quali quella al contrasto di frodi e abusi, nonché alla realizzazione di percorsi di inclusione sociale e altri obiettivi di politica attiva del lavoro.

La memoria si articola su cinque riflessioni:

  • Il patrimonio informativo complesso e articolato e la delicatezza delle informazioni che circolano tra vari soggetti pubblici necessitavano di un parere dell’Autorità che non è stato richiesto. In ogni caso il meccanismo di riconoscimento, erogazione e gestione del reddito di cittadinanza deve adeguarsi ai principi del Regolamento europeo sulla protezione dei dati.
  • Il decreto-legge contiene previsioni di portata generale, inidonee a definire con sufficiente chiarezza le modalità di svolgimento delle procedure di consultazione e verifica delle varie banche dati, ospitate sulle piattaforme istituite presso l’ANPAL e presso il Ministero del lavoro e al centro di flussi informativi che coinvolgeranno anche a centri per l’impiego e comuni.
  • la disciplina del monitoraggio sull’utilizzo della carta Postepay grazie alla quale si usufruisce dell’assegno viene descritta come un’intrusione nella vita privata degli interessati.
  • l’ISEE precompilato può pregiudicare la sicurezza dei dati contenuti nell’Anagrafe tributaria e, soprattutto, nell’archivio dei rapporti finanziari dell’Agenzia delle entrate.
  • il portale dedicato al reddito di cittadinanza, per ora solo informativo e dal 6 marzo utile per presentare la richiesta, presenta delle criticità per quanto riguarda l’informativa sul trattamento dei dati e le modalità tecniche di implementazione che, ad oggi, comportano un’indebita e non trasparente trasmissione a terzi dei dati di navigazione.

Reddito di cittadinanza e privacy, il Garante: gli interventi necessari

L’Autorità Garante per la protezione dei dati personali partendo dalla riflessione sui punti critici sottolinea gli interventi necessari per adeguare il sistema alla normativa europea.

Innanzitutto, come si legge nel documento, le disposizioni normative devono individuare con precisione, conformemente ai principi di trasparenza nei confronti degli interessati, minimizzazione dei dati trattati, privacy per progettazione e impostazione predefinita:

  • i titolari del trattamento;
  • le tipologie di dati trattati;
  • i soggetti ai quali essi possono essere comunicati e le rispettive finalità;
  • termini di conservazione dei dati proporzionati (e non eccedenti) rispetto agli scopi perseguiti.

Anche per quanto riguarda i flussi di informazioni che si irradiano dalle piattaforme e dagli enti coinvolti è necessario delineare regole di accesso selettivo alle banche dati, accorgimenti utili a garantire la qualità e l’esattezza dei dati, misure tecniche e organizzative volte a scongiurare rischi di accessi indebiti, utilizzi fraudolenti dei dati o di violazione dei sistemi informativi.

Ferma e allarmante è la posizione del Garante sulle attività di monitoraggio delle spese effettuate con la card del reddito di cittadinanza.

Le legittime esigenze di verifica di eventuali abusi e comportamenti fraudolenti, si traducono in una sorveglianza su larga scala, continua e capillare sugli utilizzatori della carta, determinando così un’intrusione sproporzionata e ingiustificata su ogni aspetto della vita privata degli interessati.

Per tali ragioni, le disposizioni in esame dovrebbero essere attuate previa un’attenta opera di valutazione dei rischi, in conformità a quanto richiede il Regolamento europeo (artt. 25 e 35).

Reddito di cittadinanza e privacy, il Garante: il paradosso dell’ISEE precompilato

Con il reddito di cittadinanza dovrebbe debuttare anche l’ISEE precompilato, una novità che semplifica la procedura della Dichiarazione Sostitutiva Unica, ma che potrebbe costare cara in termini di tutela dei dati personali.

L’Autorità Garante richiama l’attenzione sul punto sottolineando che questo aspetto ha una portata ancora più ampia: eventuali falle nel sistema, in questo caso, interessano tutti i cittadini che hanno bisogno del calcolo ISEE e non solo quelli che richiedono il reddito di cittadinanza.

Con l’ISEE precompilato il cittadino avrà a disposizione le informazioni contenute nelle banche dati dell’Inps e dell’Agenzia delle entrate, inclusi i dati sui saldi dei rapporti finanziari e le relative giacenze medie, riferite a terzi, ovvero a tutti componenti del suo nucleo familiare.

Si tratta di contenuti delicati che vanno salvaguardati, anche e soprattutto dal rischio di fraudolente sostituzioni di identità e da eventuali attacchi informatici. Per farlo, gli strumenti previsti, ad oggi, non sono adeguati.

Nel documento si legge:

In questo quadro, si inseriscono le disposizioni del decreto-legge che, pur in un’ottica di semplificazione, subordinano la precompilazione della Dsu al rilascio del consenso, o al mancato divieto del trattamento dei propri dati, che ogni componente il nucleo familiare, se maggiorenne, potrà manifestare presso le sedi Inps, sul sito dell’Istituto o dell’Agenzia, e presso i Caf (cfr. il nuovo comma 2-bis dell’art. 10 del d.lgs. 147 del 2017).

Tuttavia, l’introduzione di questo complesso accorgimento del consenso/inibizione al trattamento da parte degli interessati – peraltro non conforme ai requisiti del diritto europeo, non potendo in questo caso il consenso costituire un valido presupposto di liceità del trattamento stesso – non rappresenta un presidio adeguato rispetto alla sicurezza di tali informazioni.

Il documento sottolinea, infine, un altro paradosso: anche in contrasto con la manifestazione di volontà dell’interessato, in caso di presentazione della DSU in modalità cartacea da parte di un componente del nucleo familiare devono essere restituite al dichiarante (e quindi anche al Caf), al momento del rilascio dell’attestazione Isee, informazioni di dettaglio relative a eventuali omissioni o difformità riscontrate negli archivi dell’Inps e dell’Agenzia delle Entrate, di tutti i componenti il nucleo familiare, incluse quelle relative ai saldi e alle giacenze medie del patrimonio mobiliare.

Sicurezzaintegrità e riservatezza dei dati sono da tutelare in tutto il sistema del reddito di cittadinanza, e in questo ultimo caso sono da anteporre alla logica della semplificazione.

Il Direttore Generale Rete di Veneto Eccellenze