Alla luce delle nuove misure reddito di cittadinanza e Quota cento, introdotte con la Legge di bilancio 2019 dal Governo, si pone il dubbio su quali soggetti siano titolari o responsabili del trattamento dei dati personali di chi richiede tali servizi, in relazione al GDPR. Necessario dunque fare chiarezza sui ruoli dell’INPS e degli altri enti preposti.
In primis, va sottolineato che i dati personali dei soggetti richiedenti le misure volte al sostegno economico e all’inserimento lavorativo e sociale, sia nell’ipotesi in cui la richiesta di erogazione del beneficio sarà inoltrata tramite i Caf, sia nel caso in cui essa sia inoltrata presso gli uffici postali, è sempre nella titolarità dell’INPS. Si presenta anche l’eventualità di conferire a professionisti esterni, con selezione tramite gli strumenti di procurement pubblico, il ruolo di responsabili del trattamento.
Il contesto
La ricerca della Rete globale delle autorità incaricate di dare attuazione alle norme sulla privacy (Global Privacy Enforcement Network) pubblicata a marzo 2019 dalla rete GPEN coordinata dall’Information Commissioner del Regno Unito e dall’Office of the Privacy Commissioner della Nuova Zelanda, fa segnare un preoccupante ritardo delle Pubbliche Amministrazioni centrali e locali ispezionate. Per le amministrazioni pubbliche i risultati del monitoraggio a livello europeo hanno portato a risultati non confortanti in quanto l’interesse pubblico delle istituzioni all’applicazione principi di protezione dei dati hanno fatto registrare carenze e ritardi . In Italia un quinto delle Regioni non ha ancora adottato una procedura per la gestione dei dati personali nell’organizzazione interna e oltre il 20 degli incaricati interni a responsabile alla protezione dei dati personali per mancanza di specifica formazione si avvale di professionisti esterni e di conseguenza la maggior parte delle Regioni riconosce l’importanza e la necessità di avere un’adeguata formazione dei dipendenti in materia di protezione dei dati personali.
Circa il 40% delle PA ispezionate sono risultate, poi, carenti nel monitoraggio in merito all’attuazione di corrette pratiche nel trattamento dei dati personali e il 24% delle società in-house nonché il 48% delle Regioni risultano carenti nelle policy privacy e nelle procedure per la gestione delle richieste e dei reclami da parte degli interessati, o dell’Autorità Garante Nazionale. Da qui la necessità di procedure regolamentari di conciliazione ADR-ODR tra amministrazione Pubblica, Imprese, Garante Privacy e titolari dei dati per prevenire un possibile contenzioso massivo in sede giudiziario. L’indagine ha evidenziato, infatti, forti carenze in merito alla gestione degli incidenti di sicurezza – i cosiddetti Data Breach – tanto che un quinto delle organizzazioni (20%) non ha implementato una procedura di risposta agli incidenti di sicurezza che includa, tra l’altro, la notifica all’Autorità e, in caso di alto rischio per le libertà e i diritti la relativa comunicazione agli interessati. In questo contesto di criticità attuative si inseriscono i recentissimi provvedimenti del parlamento che attengono, in modo rilevante ed assorbente, i dati personali dei soggetti richiedenti le misure volte al sostegno economico e all’inserimento lavorativo e sociale.
La titolarità dell’INPS nel trattamento dei dati
La titolarità dell’INPS è senza ombra di dubbio nel meccanismo di riconoscimento del beneficio predisposto per l’erogazione e la gestione della misura che implica e comporta trattamenti automatizzati su larga scala di dati personali, riferiti al richiedente e ai componenti il relativo nucleo familiare, inclusi i soggetti minorenni, ai quali dovrà essere riconosciuta massima tutela in ragione della possibilità di esporli a possibili discriminazioni.
Il riconoscimento dei benefici previste dalle nuove misure, infatti, sono speculari, in particolare, in quanto relativi a dati sullo stato di salute, sulle condizioni di disagio, in particolare economico, familiare o sociale e rientrano perciò a pieno titolo nella previsione del Nuovo Codice Privacy 167/2003, come modificato ed integrato dal D. Lgs. n. 101/2018, che all’ art. 2-ter presuppone che la base giuridica del trattamento dei dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, come nella fattispecie specifica, sia costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, da una norma regolamentare che ex art. 2-septies del Codice per i dati relativi alla salute potranno essere trattati solo in presenza di una delle condizioni elencate al par. 2 della suddetta norma in conformità alle misure di garanzia stabilite dal Garante nel provvedimento che sarà adottato con cadenza almeno biennale volto a garantire la necessaria trasparenza del trattamento.
Il trattamento di tali dati particolari da parte del titolare INPS, che dovrà essere specificato in una chiara ed esaustiva informativa, dovrà essere funzionale all’erogazione dei benefici per il soggetto interessato, erogazione che dovrà avvenire, quindi, nel rispetto delle disposizioni del GDPR e del Codice Privacy come novellato in materia di protezione dei dati personali e, in particolare, conformemente ai canoni di ragionevolezza e proporzionalità valorizzati peraltro dalla Corte costituzionale, con la recente sentenza n. 20 del 2019.
La gestione del Reddito di cittadinanza e i dati
Il sistema di gestione del reddito di cittadinanza presuppone, quindi, la costituzione di un patrimonio informativo complesso, cioè l’interconnessione di molteplici archivi contenenti dati personali tra i più rilevanti, nonché anche attraverso il monitoraggio dei consumi dei componenti il nucleo familiare del beneficiario e il relativo trattamento dei dati, a livello locale, in capo ai navigator in relazione all’analisi e proposta delle opportunità di lavoro in relazione alle “piattaforme digitali”, finalizzate a consentire l’attivazione e la gestione dei Patti per il lavoro e dei Patti per l’inclusione sociale connessi al reddito che renderanno disponibili ed accessibili le informazioni “sensibili” alle amministrazioni centrali e ai servizi territoriali coinvolti e tutto ciò nel rispetto dei principi di minimizzazione, integrità e riservatezza dei dati personali.
È stato previsto dalla normativa che l’Inps metterà a disposizione del Sistema informativo dedicato al reddito di cittadinanza soltanto le informazioni presenti negli archivi dell’Istituto, strettamente necessarie all’attuazione della misura e, inoltre, che lo stesso Istituto dovrà verificare il possesso dei requisiti per l’accesso al beneficio, sulla base delle informazioni disponibili nei propri archivi e in quelli di altre amministrazioni, quali l’Anagrafe tributaria. Al Garante Nazionale privacy è stato, poi, riservato il parere sulle regole di accesso selettivo alle banche dati e del relativo modulo di domanda – che conterrà anche dati sensibili – per ottenere il beneficio cosi come sensibili saranno i dati delle movimentazioni sulla carta elettronica della spesa da controllare mediante la verifica dei soli importi complessivamente spesi e prelevati, senza entrare nel merito, pena la violazione di dati sensibilissimi e le stesse informazioni, prive in ogni caso dei dati identificativi dei beneficiari, potranno essere utilizzate dal Ministero del lavoro, ma solo ed esclusivamente ai fini statistici e di ricerca scientifica.
I rischi di accessi abusivi
Non marginali sono poi le problematiche di protezione all’attribuzione, agli operatori dei centri per l’impiego e dei servizi comunali, delle funzioni di controllo puntuale sulle scelte di consumo individuali e sui comportamenti dei beneficiari, nonché di valutazione di eventuali anomalie suscettibili di rivelare l’insussistenza dei requisiti dichiarati, con la conseguente segnalazione alle piattaforme per il reddito di cittadinanza, attività che implicano la designazione da parte dei relativi responsabili al trattamento dei dati personali pena la non liceità dei trattamenti stessi.
È stato previsto, poi, che l’attività di controllo sui beneficiari del reddito di cittadinanza, così come sugli enti di formazione accreditati, potrà essere oggetto di una specifica convenzione tra Ministero del lavoro, Ministero dell’economia e delle finanze e Guardia di finanza ma ciò nonostante restano i rischi di accessi abusivi anche da parte di soggetti inconsapevoli nelle attestazione ISEE anche per soggetti non interessati al beneficio essendo la disciplina proposta potenzialmente pregiudizievole per la sicurezza dei dati contenuti nell’Anagrafe tributaria e, soprattutto, nell’archivio dei rapporti finanziari dell’Agenzia delle entrate, in ragione della particolare rilevanza dei dati stessi e da qui la necessità della predisposizione di misure di sicurezza tecniche e organizzative idonee alla protezione di informazioni tanto rilevanti, quanto violabili con accessi abusivi o da attacchi informatici, anche in ragione del coinvolgimento nella filiera del trattamento dei Caf e dei relativi sistemi informativi.
Non minori sono le criticità conseguenti all’attività dell’Ispettorato Nazionale del Lavoro per le attività di vigilanza su eventuali abusi e comportamenti fraudolenti, nel rispetto della disciplina di protezione dati. In particolare, l’Ispettorato potrà accedere, sia in forma analitica che aggregata, alle informazioni nella disponibilità dell’Inps, ivi incluse quelle di natura patrimoniale, reddituale e finanziaria riferite ai soggetti che richiederanno il beneficio e ai componenti il loro nucleo familiare, nonché i dati relativi alle prestazioni previdenziali per malattia, maternità e assegni familiari ovvero alle prestazioni di sostegno al reddito.
Selezionare competenze tramite il procurement
Tutto questo complesso meccanismo e la potenziale platea dei richiedenti implica e comporta la necessità di una schiera di esperti giuristi in materia di protezione dei dati personali e le pubbliche amministrazioni interessate, senza eccezioni e senza deroghe, saranno, tenute, a conferire obbligatoriamente l’incarico di responsabile alla protezione dei dati a professionisti esterni da individuare mediante l’espletamento di una selezione comparativa, direttamente riconducibile ad esigenze proprie dell’Amministrazione, connesse all’esercizio di funzioni istituzionali, tra le quali devono essere incluse le competenze e le responsabilità in tema di protezione dei dati, introdotte e regolate dal GDPR.
Selezione ai sensi dell’art. 26, comma 3, della Legge 23/12/1999 n. 488 e l’art. 1 del D.L. 6 luglio 2012 n. 95, convertito con modificazioni in legge 7 agosto 2012 n. 135 che prevede la nullità dei relativi contratti stipulati dalle pubbliche amministrazioni in violazione degli obblighi di approvvigionamento del servizio se non effettuato attraverso gli strumenti di acquisto messi a disposizione da Consip e dalle centrali di committenza regionali di riferimento.
