Tutela dei dati personali e ritardi della Pubblica Amministrazione centrale e locale.
di Michele Gorga Avvocato
La recentissima ricerca della Rete globale delle autorità incaricate di dare attuazione alle norme sulla privacy (Global Privacy Enforcement Network) pubblicata a inizio marzo 2019 dalla rete GPEN coordinata dall’Information Commissioner del Regno Unito e dall’Office of the Privacy Commissioner della Nuova Zelanda, fa segnare un preoccupante ritardo delle Pubbliche Amministrazioni centrali e locali ispezionate.
Per le amministrazioni pubbliche i risultati del monitoraggio a livello europeo hanno portato a risultati non confortanti in quanto l’interesse pubblico delle istituzioni all’applicazione principi di protezione dei dati hanno fatto registrare carenze e ritardi . In Italia un quinto delle Regioni non ha ancora adottato una procedura per la gestione dei dati personali nell’organizzazione interna e oltre il 20 degli incaricati interni a responsabile alla protezione dei dati personali per mancanza di specifica formazione si avvale di professionisti esterni e di conseguenza la maggior parte delle Regioni riconosce l’importanza e la necessità di avere un’adeguata formazione dei dipendenti in materia di protezione dei dati personali.
Circa il 40% delle P.A. ispezionate sono risultate, poi, carenti nel monitoraggio in merito all’attuazione di corrette pratiche nel trattamento dei dati personali e il 24% delle società in-house nonché il 48% delle Regioni risultano carenti nelle policy privacy e nelle procedure per la gestione delle richieste e dei reclami da parte degli interessati, o dell’Autorità Garante Nazionale. Da qui la necessità di procedure regolamentari di conciliazione ADR-ODR tra amministrazione Pubblica, Imprese, Garante Privacy e titolari dei dati per prevenire un possibile contenzioso massivo in sede giudiziario. L’indagine ha evidenziato, infatti, forti carenze in merito alla gestione degli incidenti di sicurezza – i cosiddetti Data Breach – tanto che un quinto delle organizzazioni (20%) non ha implementato una procedura di risposta agli incidenti di sicurezza che includa, tra l’altro, la notifica all’Autorità e, in caso di alto rischio per le libertà e i diritti la relativa comunicazione agli interessati.
In questo contesto di criticità attuative si inseriscono i recentissimi provvedimenti del parlamento che attengono, in modo rilevante ed assorbente, i dati personali dei soggetti richiedenti le misure volte al sostegno economico e all’inserimento lavorativo e sociale, sia nell’ipotesi in cui la richiesta di erogazione del beneficio sarà inoltrata tramite i Caf, sia nel caso in cui essa sia inoltrata presso gli uffici postali, è sempre nella titolarità dell’Istituto Nazionale della Previdenza Sociale.
La titolarità dell’INPS è senza ombra di dubbio nel meccanismo di riconoscimento del beneficio predisposto per l’erogazione e la gestione della misura che implica e comporta trattamenti automatizzati su larga scala di dati personali, riferiti al richiedente e ai componenti il relativo nucleo familiare, inclusi i soggetti minorenni, ai quali dovrà essere riconosciuta massima tutela in ragione della possibilità di esporli a possibili discriminazioni.
Il riconoscimento dei benefici previsti dalle nuove misure, infatti, sono speculari, in quanto relativi a dati sullo stato di salute, sulle condizioni di disagio, in particolare economico, familiare o sociale e rientrano perciò a pieno titolo nella previsione del Nuovo Codice Privacy 167/2003, come modificato ed integrato dal D. Lgs. n. 101/2018, che all’ art. 2-ter presuppone che la base giuridica del trattamento dei dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, come nella fattispecie specifica, sia costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, da una norma regolamentare che, ex art. 2-septies del Codice, per i dati relativi alla salute potranno essere trattati solo in presenza di una delle condizioni elencate al par. 2 della suddetta norma, in conformità alle misure di garanzia stabilite dal Garante nel provvedimento che sarà adottato con cadenza almeno biennale volto a garantire la necessaria trasparenza del trattamento.
Il trattamento di tali dati “particolari” da parte del titolare INPS, che dovrà essere specificato in una chiara ed esaustiva informativa, dovrà essere funzionale all’erogazione dei benefici per il soggetto interessato, erogazione che dovrà avvenire, quindi, nel rispetto delle disposizioni del Regolamento 2016/679 (UE) e del Codice come novellato in materia di protezione dei dati personali e, in particolare, conformemente ai canoni di ragionevolezza e proporzionalità valorizzati peraltro dalla Corte costituzionale, con la recentissima sentenza n. 20 del 2019.
Il sistema di gestione del reddito di cittadinanza presuppone, quindi, la costituzione di un patrimonio informativo complesso, cioè l’interconnessione di molteplici archivi contenenti dati personali tra i più rilevanti, anche attraverso il monitoraggio dei consumi dei componenti il nucleo familiare del beneficiario e il relativo trattamento dei dati, a livello locale, in capo ai navigator in relazione all’analisi e proposta delle opportunità di lavoro relativamente alle “piattaforme digitali”, finalizzate a consentire l’attivazione e la gestione dei Patti per il lavoro e dei Patti per l’inclusione sociale connessi al reddito, che renderanno disponibili e accessibili le informazioni “sensibili” alle amministrazioni centrali e ai servizi territoriali coinvolti e tutto ciò nel rispetto dei principi di minimizzazione, integrità e riservatezza dei dati personali.
E’ stato previsto dalla normativa che l’Inps metterà a disposizione del Sistema informativo dedicato al Reddito di cittadinanza soltanto le informazioni presenti negli archivi dell’Istituto, strettamente necessarie all’attuazione della misura e, inoltre, che lo stesso Istituto dovrà verificare il possesso dei requisiti per l’accesso al beneficio, sulla base delle informazioni disponibili nei propri archivi e in quelli di altre amministrazioni, quali l’Anagrafe tributaria. Al Garante Nazionale privacy è stato, poi, riservato il parere sulle regole di accesso selettivo alle banche dati e del relativo modulo di domanda – che conterrà anche dati sensibili – per ottenere il beneficio cosi come sensibili saranno i dati delle movimentazioni sulla carta elettronica della spesa da controllare mediante la verifica dei soli importi complessivamente spesi e prelevati, senza entrare nel merito, pena la violazione di dati sensibilissimi e le stesse informazioni, prive in ogni caso dei dati identificativi dei beneficiari, potranno essere utilizzate dal Ministero del lavoro, ma solo ed esclusivamente ai fini statistici e di ricerca scientifica.
Non marginali sono poi le problematiche di protezione relative all’attribuzione, agli operatori dei centri per l’impiego e dei servizi comunali, delle funzioni di controllo puntuale sulle scelte di consumo individuali e sui comportamenti dei beneficiari, nonché di valutazione di eventuali anomalie suscettibili di rivelare l’insussistenza dei requisiti dichiarati, con la conseguente segnalazione alle piattaforme per il reddito di cittadinanza, attività che implicano la designazione da parte dei relativi responsabili al trattamento dei dati personali pena la non liceità dei trattamenti stessi.
E’ stato previsto, poi, che l’attività di controllo sui beneficiari del reddito di cittadinanza, così come sugli enti di formazione accreditati, potrà essere oggetto di una specifica convenzione tra Ministero del lavoro, Ministero dell’economia e delle finanze e Guardia di finanza ma ciò nonostante restano i rischi di accessi abusivi anche da parte di soggetti inconsapevoli nelle attestazione ISEE anche per soggetti non interessati al beneficio essendo la disciplina proposta potenzialmente pregiudizievole per la sicurezza dei dati contenuti nell’Anagrafe tributaria e, soprattutto, nell’archivio dei rapporti finanziari dell’Agenzia delle entrate, in ragione della particolare rilevanza dei dati stessi e da qui la necessità della predisposizione di misure di sicurezza tecniche e organizzative idonee alla protezione di informazioni tanto rilevanti, quanto violabili con accessi abusivi o da attacchi informatici, anche in ragione del coinvolgimento nella filiera del trattamento dei Caf e dei relativi sistemi informativi.
Non minori sono le criticità conseguenti all’operato dell’Ispettorato Nazionale del Lavoro per le attività di vigilanza su eventuali abusi e comportamenti fraudolenti, nel rispetto della disciplina di protezione dati. In particolare, l’Ispettorato potrà accedere, sia in forma analitica che aggregata, alle informazioni nella disponibilità dell’Inps, ivi incluse quelle di natura patrimoniale, reddituale e finanziaria riferite ai soggetti che richiederanno il beneficio e ai componenti il loro nucleo familiare, nonché ai dati relativi alle prestazioni previdenziali per malattia, maternità e assegni familiari ovvero alle prestazioni di sostegno al reddito.
Tutto questo complesso meccanismo e la potenziale platea dei richiedenti implica e comporta la necessità di una rosa di esperti giuristi in materia di protezione dei dati personali e le pubbliche amministrazione interessate, senza eccezioni e senza deroghe, saranno, tenute, a conferire obbligatoriamente l’incarico di responsabile alla protezione dei dati a professionisti esterni da individuare mediante l’espletamento di una selezione comparativa, direttamente riconducibile ad esigenze proprie dell’Amministrazione, connesse all’esercizio di funzioni istituzionali, tra le quali devono essere incluse le competenze e le responsabilità in tema di protezione dei dati, introdotte e regolate dal GDPR. Selezione ai sensi dell’art. 26, comma 3, della Legge 23/12/1999 n. 488 e l’art. 1 del D.L. 6 luglio 2012 n. 95, convertito con modificazioni in legge 7 agosto 2012 n. 135, che prevede la nullità dei relativi contratti stipulati dalle pubbliche amministrazioni in violazione degli obblighi di approvvigionamento del servizio se non effettuato attraverso gli strumenti di acquisto messi a disposizione da Consip S.p.A. e dalle centrali di committenza regionali di riferimento.
