Il testo di conversione in legge, con modificazioni, del decreto-legge 28 gennaio 2019, n. 4 approvato in prima lettura dal Senato appare – dal punto di vista delle criticità riscontrate in materia di protezione dei dati personali – in molti aspetti migliorato avendo recepito, in sede emendativa, i rilievi del Garante della provacy esposti in apposita memoria.
Il decreto-legge n. 4/2019 recante disposizioni urgenti in materia di reddito di cittadinanza e di pensioni introduce importanti misure volte al sostegno economico e all’inserimento lavorativo e sociale dei soggetti a rischio di emarginazione nella società e nel mondo del lavoro. Con Memoria del Presidente del Garante per la protezione dei dati personali nell’ambito del ddl di conversione in legge del decreto-legge in questione sono state sollevate una serie di criticità.
Il prospettato meccanismo di riconoscimento, erogazione e gestione del reddito di cittadinanza comporta trattamenti su larga scala di dati personali, riferiti ai richiedenti e ai componenti il suo nucleo familiare. Il testo di conversione approvato in prima lettura dal Senato appare in molti aspetti migliorato, avendo recepito, in sede emendativa, i rilievi del Garante.
In particolare, al fine di evitare duplicazioni di banche dati, è stato istituito un unico Sistema informativo per il Reddito di cittadinanza, presso il quale opereranno le “due piattaforme digitali”, finalizzate a consentire l’attivazione e la gestione dei Patti per il lavoro e dei Patti per l’inclusione sociale connessi al Rdc. Tali piattaforme sono ora definite quali strumenti per rendere disponibili le informazioni alle amministrazioni centrali e ai servizi territoriali coinvolti, nel rispetto dei principi di minimizzazione, integrità e riservatezza dei dati personali. A tal fine, si prevede che l’Inps metta a disposizione del Sistema informativo dedicato al Rdc soltanto le informazioni presenti negli archivi dell’Istituto, strettamente necessarie all’attuazione della misura, secondo modalità e termini che saranno individuati con decreto ministeriale.
Per altro verso, le modalità attraverso le quali l’Inps verificherà il possesso dei requisiti per l’accesso al beneficio, sulla base delle informazioni disponibili nei propri archivi e in quelli di altre amministrazioni, quali l’Anagrafe tributaria, saranno dettagliate in uno specifico provvedimento dello stesso Istituto. Con tale atto, su cui dovrà essere richiesto il parere del Garante, dovranno essere stabilite pertinenti regole di accesso selettivo alle banche dati, individuando, ove non già disciplinate, le tipologie di dati accessibili, le modalità di acquisizione delle informazioni, nonché le misure a tutela degli interessati.
Superate anche le criticità riscontrate in ordine al “monitoraggio” centralizzato e sistematico dei singoli acquisti effettuati dai beneficiari tramite la carta del Rdc che, così come prospettato, era suscettibile di comportare l’acquisizione anche di dati particolarmente sensibili. Si dispone ora che tutte le movimentazioni sulla carta siano controllate mediante la verifica dei soli importi complessivamente spesi e prelevati e secondo modalità che saranno definite con decreto, previo parere del Garante.
Sono state recepite altresì le obiezioni sollevate dall’Autorità in ordine alle modifiche apportate dal decreto-legge alla disciplina di rilascio delle attestazioni Isee, che – anche prescindendo dal funzionamento del reddito di cittadinanza – erano suscettibili di esporre a rischi di accessi abusivi anche soggetti inconsapevoli, non interessati a tale beneficio.
La disciplina proposta, infatti, rischiava di pregiudicare la sicurezza dei dati contenuti nell’Anagrafe tributaria e, soprattutto, nell’archivio dei rapporti finanziari dell’Agenzia delle entrate, soggetti a strettissimi vincoli d’accesso persino nell’ambito delle ordinarie attività di controllo tributario, in ragione della particolare rilevanza dei dati stessi.
In conformità ai rilievi del Garante, sono state riformulate le disposizioni che subordinavano la precompilazione della Dichiarazione sostitutiva unica a un complesso meccanismo di consenso/inibizione al trattamento da parte di ogni componente maggiorenne del nucleo familiare, foriero di un’ingiustificata comunicazione al dichiarante dei dati dei componenti il suo nucleo familiare – anche in contrasto con la loro volontà – presenti negli archivi dell’Inps e dell’Agenzia delle entrate.
In particolare, ferma restando la possibilità di presentazione della Dsu in modalità non precompilata, si demanda a un decreto ministeriale – da adottarsi previo parere del Garante – l’individuazione delle modalità tecniche necessarie a consentire l’accesso, da parte del cittadino, alla dichiarazione precompilata resa disponibile in via telematica dall’Inps.