GARANTE PRIVACY – Parere 26 novembre 2020, n. 231 – Parere sullo schema di provvedimento dell’INPS che disciplina la tipologia dei dati, le modalità di acquisizione e le misure a tutela degli interessati ai fini della verifica del possesso dei requisiti per il riconoscimento del Reddito di cittadinanza

Parere sullo schema di provvedimento dell’INPS che disciplina la tipologia dei dati, le modalità di acquisizione e le misure a tutela degli interessati ai fini della verifica del possesso dei requisiti per il riconoscimento del Reddito di cittadinanza

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO il decreto legge 28 gennaio 2019, n. 4, come convertito, con modificazioni, dalla legge 28 marzo 2019, n. 26, in materia di reddito di cittadinanza, il quale stabilisce, in particolare, che il Reddito di cittadinanza (di seguito, Rdc) è riconosciuto ai nuclei familiari in possesso cumulativamente, al momento della presentazione della domanda e per tutta la durata dell’erogazione del beneficio, di una serie di requisiti (art. 2, comma 1), nonché definisce le condizioni concernenti i componenti il nucleo familiare beneficiario che consentono la variazione del parametro della scala di equivalenza (art. 3, comma 13);

VISTO, in particolare, l’art. 5, comma 3, del medesimo d.l. 4/2019, ai sensi del quale “Il Rdc è riconosciuto dall’INPS ove ricorrano le condizioni. Ai fini del riconoscimento del beneficio, l’INPS verifica, entro cinque giorni lavorativi dalla data di comunicazione di cui al comma 1, il possesso dei requisiti per l’accesso al Rdc sulla base delle informazioni pertinenti disponibili nei propri archivi e in quelli delle amministrazioni titolari dei dati. A tal fine l’INPS acquisisce, senza nuovi o maggiori oneri per la finanza pubblica, dall’Anagrafe tributaria, dal Pubblico registro automobilistico e dalle altre amministrazioni pubbliche detentrici dei dati, le informazioni necessarie ai fini della concessione del Rdc. Con provvedimento dell’INPS, sentito il Garante per la protezione dei dati personali, sono definite, ove non già disciplinate, la tipologia dei dati, le modalità di acquisizione e le misure a tutela degli interessati. In ogni caso il riconoscimento da parte dell’INPS avviene entro la fine del mese successivo alla trasmissione della domanda all’Istituto”;

VISTA la nota del 20 novembre 2020, con cui l’INPS ha trasmesso al Garante lo schema di provvedimento avente ad oggetto “Reddito di cittadinanza. Acquisizione da parte dell’INPS – ai sensi dell’articolo 5, comma 3, del decreto-legge 28 gennaio 2019, n. 4, convertito, con modificazioni, dalla l. 28 marzo 2019, n. 26 – delle informazioni necessarie ai fini della concessione della misura. Individuazione delle tipologie di dati, modalità di acquisizione e misure a tutela degli interessati” (corredato di allegato in materia di misure di sicurezza), ai fini dell’acquisizione del previsto parere, in cui è stato peraltro aggiunto che “in considerazione della necessità di procedere successivamente alla verifica della permanenza dei requisiti durante tutto il periodo di fruizione del beneficio, l’acquisizione delle informazioni pertinenti disponibili negli archivi delle amministrazioni titolari dei dati – con particolare riferimento al Pubblico Registro Automobilistico, all’Anagrafe Tributaria e alle altre amministrazioni pubbliche detentrici dei dati – verrà effettuata nel rispetto dei principi fissati nel disciplinare allegato”;

VISTA, altresì, la nota del 23 novembre 2020, con cui l’INPS, ad integrazione della predetta richiesta di parere, ha specificato che “il provvedimento INPS, oggetto di esame ai fini del rilascio del prescritto parere, contiene la declinazione delle misure – così come individuate dall’Istituto anche congiuntamente con gli Uffici di codesta Autorità – ritenute adeguate a un livello di sicurezza parametrato ai rischi ed in tale ambito, più in generale, si assicura che quanto è definito nel Disciplinare in argomento sarà contenuto nella Valutazione d’Impatto sulla protezione dei dati, effettuata da questo Istituto ai sensi dell’art. 35 del Regolamento UE 2016/679, con riferimento ai controlli dell’INPS in tema di Reddito di cittadinanza di cui al decreto-legge 28 gennaio 2019, n. 4, convertito, con modificazioni, dalla L. 28 marzo 2019, n. 26”;

CONSIDERATO che tale schema di provvedimento prevede, in particolare, che:

– l’INPS acquisisca, dalle corrispondenti amministrazioni titolari del trattamento, le informazioni necessarie “ai fini del riconoscimento del beneficio RDC e della correlata verifica del possesso dei requisiti d’accesso” (art. 1);

– gli scambi informativi tra l’INPS e le suddette amministrazioni abbiano ad oggetto i dati personali di seguito indicati, con le modalità corrispondentemente descritte (art. 2):

— relativamente alla verifica del requisito concernente, da parte dei componenti il nucleo familiare, l’intestazione o la piena disponibilità di autoveicoli o motoveicoli aventi le caratteristiche fissate dalla legge (lett. A)): l’INPS fornisce all’ACI i codici fiscali dei componenti maggiori di età e la data di presentazione della domanda di Rdc, ed acquisisce i nominativi e i codici fiscali dei componenti che si trovino in tale condizione, unitamente alle pertinenti informazioni (targa, tipo veicolo, cilindrata, data di immatricolazione, provenienza e data atto di proprietà), con esclusione dei riferimenti ad autoveicoli e i motoveicoli per cui è prevista una agevolazione fiscale in favore delle persone con disabilità;

— relativamente alla verifica del requisito concernente il patrimonio immobiliare del nucleo familiare (lett. B)): l’INPS fornisce all’Agenzia delle entrate i codici fiscali di tutti i componenti del nucleo, aggregati per codice identificativo della domanda e con indicazione della data di presentazione della stessa, ed acquisisce i relativi dati (valore catastale dell’immobile, comune di ubicazione e codice fiscale del proprietario) nel caso in cui tale patrimonio immobiliare superi il valore stabilito per legge;

— relativamente alla verifica del requisito concernente la sottoposizione, da parte dei componenti il nucleo familiare, a misure cautelari personali, l’irrogazione di condanne definitive per i reati indicati dalla legge nei dieci anni precedenti la richiesta di Rdc o la sottoposizione ad uno stato detentivo (lett. C)): l’INPS fornisce al Ministero della giustizia i codici fiscali di tutti i componenti del nucleo familiare di età non inferiore a 14 anni, con indicazione della data di presentazione della domanda, ed acquisisce il codice fiscale del componenti che versino nelle predette condizioni;

— relativamente alla verifica del requisito concernente il ricovero, per i componenti il nucleo familiare, in istituti di cura di lunga degenza o altre strutture residenziali a totale carico dello Stato o di altra amministrazione pubblica (lett. D)): l’INPS fornisce all’amministrazione in questione (Regione o Provincia autonoma) i codici fiscali di tutti i componenti del nucleo familiare, con indicazione della data di presentazione della domanda, e acquisisce i codici fiscali dei componenti che versino in questa condizione, con indicazione della data di inizio del ricovero;

– al fine di acquisire i dati necessari, “l’INPS trasmette, per i codici fiscali del richiedente e dei componenti del nucleo familiare, l’indicazione della data di presentazione della domanda, quale riferimento temporale al quale deve essere effettuata la verifica di veridicità di quanto nella stessa autodichiarato ai sensi del D.P.R. n. 445/2000” (art. 3, comma 1);

– i flussi verranno attivati sulla base di apposite convenzioni con le predette amministrazioni, adottando le misure di sicurezza indicate nell’apposito allegato (artt. 3, comma 2, e 4);

– i trattamenti dei dati personali in esame verranno effettuati “esclusivamente per le finalità di controllo di cui alla normativa citata in premessa, avuto particolare riguardo all’articolo 5, comma 3” del d.l. 4/2019, e l’INPS e le amministrazioni coinvolte sono considerati titolari del trattamento (art. 5, comma 1);

– i tempi di conservazione dei dati acquisiti dall’INPS saranno di periodo “non superiore a 10 anni dal termine dell’erogazione dei benefici, salvo eventuali contenziosi”, che scenderanno a “5 anni dalla notifica all’interessato del provvedimento di diniego” nel caso di “domande di benefici di Rdc e Pdc non accolte” (art. 5, comma 3);

– i dati personali forniti dall’INPS alle citate amministrazioni saranno “trattati dalle medesime esclusivamente al fine di restituire le informazioni richieste per il controllo oggetto del presente Disciplinare”, adottando “misure per scongiurare la divulgazione non autorizzata o l’accesso, in modo accidentale o illegale, ai dati personali ricevuti dall’INPS, assicurando che gli stessi non siano comprensibili a chiunque non sia autorizzato ad accedervi” e procedendo “alla conservazione delle informazioni per il solo tempo strettamente necessario alla fornitura dei riscontri all’INPS. Appena trasmessi i predetti riscontri, le Amministrazioni procedono alla cancellazione dei dati ricevuti dall’INPS” (art. 5, commi 4 e 5);

– in generale, i dati personali saranno trattati adottando misure tecniche e organizzative idonee a garantire un’adeguata sicurezza degli stessi, anche con riferimento all’aspetto delle autorizzazioni agli accessi (art. 5, commi 8 e 9);

RILEVATO che lo schema di provvedimento in esame tiene conto delle indicazioni fornite dall’Ufficio del Garante nel corso delle interlocuzioni intercorse, in base alle quali è stato stabilito che, in particolare:

– le tipologie di dati oggetto di scambio informativo tra l’INPS e le amministrazioni titolari dei dati siano limitate a quelle strettamente necessarie ai fini dell’effettuazione delle verifiche previste dalla legge, in ossequio al principio di minimizzazione dei dati (art. 5, par. 1, lett. c), del Regolamento);

– le finalità per le quali vengono instaurati tali flussi di dati personali siano limitate a quelle previste dalla legge, in ossequio al principio di limitazione della finalità (art. 5, par. 1, lett. b), del Regolamento);

– i tempi di conservazione dei dati acquisiti dall’INPS siano conformi a quanto indicato nel modulo per la presentazione della domanda di Rdc (sul quale il Garante ha espresso parere favorevole con il provvedimento n. 82 del 29 marzo 2019, doc. web n. 9106306), in ossequio al principio di limitazione della conservazione (art. 5, par. 1, lett. e), del Regolamento);

– le amministrazioni destinatarie dei dati personali forniti dall’INPS adottino adeguate misure per assicurarne l’integrità e la riservatezza da divulgazioni e accessi non autorizzati o illeciti e procedano alla loro immediata cancellazione una volta fornito all’INPS il riscontro richiesto (in conformità agli artt. 5, par. 1, lett. e) e f), e 32 del Regolamento);

– sempre a garanzia della sicurezza dei trattamenti, nei flussi informativi tra INPS e le altre amministrazioni, siano adottate misure tecniche e organizzative in grado di assicurare l’integrità, la riservatezza e la non ripudiabilità dei dati, quali, in particolare, la cifratura delle informazioni e la firma digitale;

RILEVATO che i trattamenti in esame sono effettuati per l’esecuzione di un compito di interesse pubblico e presentano rischi elevati per i diritti e le libertà degli interessati, ai sensi degli artt. 35 e 36, par. 5, del Regolamento e dell’art. 2-quinquiesdecies del Codice, in quanto prevedono scambi di dati personali, su larga scala e con modalità telematiche, relativi alla salute, alla condizione sociale e alla situazione economica e finanziaria, nonché a condanne penali e reati, riferiti principalmente a soggetti vulnerabili, anche minori d’età, che condizionano l’accesso a servizi e prestazioni sociali;

CONSIDERATO che l’INPS ha dichiarato, nella nota integrativa del 23 novembre 2020, che i predetti rischi e le relative misure per farvi fronte sono stati tenuti in considerazione nel corso delle interlocuzioni informali intrattenute con l’Ufficio e saranno ricompresi nella valutazione d’impatto sulla protezione dei dati effettuata dal medesimo Istituto con riferimento ai controlli svolti dall’Istituto in tema di Rdc;

CONSIDERATO, altresì, che i trattamenti disciplinati dallo schema di provvedimento in esame, sono finalizzati a verificare il possesso dei predetti requisiti al momento della presentazione della domanda, nei termini posti dall’art. 5, comma 3, del d.l. 4/2019, mentre l’INPS, nella nota del 20 novembre 2020 di trasmissione dello schema di provvedimento, ha rappresentato che è intenzione dell’Istituto acquisire, con le modalità ivi disciplinate, anche le informazioni necessarie ai fini dello svolgimento delle successive verifiche sulla permanenza dei requisiti durante tutto il periodo di fruizione del beneficio;

RILEVATO al riguardo che, ferma restando l’adeguatezza delle misure di sicurezza individuate nello schema di provvedimento in esame, tali ulteriori controlli sono caratterizzati da differenti profili concernenti, in particolare, il contesto, i presupposti, le tipologie di informazioni verificabili e l’intervallo temporale di riferimento delle stesse, e che, pertanto, si rende necessario esaminare tali aspetti in esito alla summenzionata valutazione di impatto predisposta dall’INPS con riferimento ai controlli svolti in tema di Rdc;

RITENUTO, pertanto, che lo schema di provvedimento in esame ha recepito tutte le indicazioni volte ad assicurare il rispetto del Regolamento, in una prospettiva di privacy by design e by default, individuando le misure idonee a garantire un livello di sicurezza adeguato ai rischi dei trattamenti ivi disciplinati (cfr. spec. artt. 5, 24, 25 e 32 del Regolamento), e di poterli, quindi, autorizzare ai sensi dell’art. 2-quinquiesdecies del Codice;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

Tutto ciò premesso, il Garante

a) ai sensi degli artt. 36, par. 4, e 57, par. 1, lett. c), del Regolamento, nonché dell’art. 5, comma 3, del d.l. 4/2019, esprime parere favorevole sullo schema di provvedimento dell’INPS avente ad oggetto “Reddito di cittadinanza. Acquisizione da parte dell’INPS – ai sensi dell’articolo 5, comma 3, del decreto-legge 28 gennaio 2019, n. 4, convertito, con modificazioni, dalla l. 28 marzo 2019, n. 26 – delle informazioni necessarie ai fini della concessione della misura. Individuazione delle tipologie di dati, modalità di acquisizione e misure a tutela degli interessati”;

b) ai sensi dell’art. 58, par. 3, lett. c), del Regolamento e dell’art. 2-quinquiesdecies del Codice, autorizza i trattamenti dei dati personali effettuati in esecuzione del predetto schema di provvedimento.