Il Garante della Privacy, con il provvedimento n. 138 del 2019, ha adottato il proprio parere favorevole sullo schema di decreto del Ministro del Lavoro che disciplina gli aspetti tecnici del “Sistema informativo del reddito di cittadinanza”. In attesa del completamento dell’iter, con il parere della Conferenza Stato, Regioni ed Autonomie, il decreto supera le molteplici criticità segnalate dall’Autorità già in occasione delle audizioni tenutesi in sede di esame del DDL di conversione del D.L. n. 4/2019. Reddito di cittadinanza e piattaforme del Sistema informativo L’art. 6 del decreto legge dispone che, per consentire l’attivazione e la gestione dei Patti per il lavoro e dei Patti per l’inclusione sociale ed assicurare il monitoraggio del Reddito di Cittadinanza (RdC), è istituito presso il Ministero del lavoro il “Sistema informativo del reddito di cittadinanza”, composto da 2 piattaforme digitali dedicate: una presso l’ANPAL, per il coordinamento dei Centri per l’impiego, e l’altra presso il Ministero del Lavoro per il coordinamento dei Comuni. Le piattaforme renderanno disponibili le informazioni ai soggetti pubblici e privati coinvolti, nel rispetto della normativa privacy (GDPR). Il medesimo articolo prevede l'adozione, con DM, di un “piano tecnico” di attivazione e interoperabilità delle piattaforme, con individuazione di misure a tutela degli interessati, e di modalità di accesso selettivo alle informazioni necessarie per le specifiche finalità. In attuazione di tali disposizioni legislative, il Ministero ha quindi provveduto alla redazione della bozza del citato decreto, coinvolgendo - già nella fase istruttoria propedeutica al varo dello schema di provvedimento - il Garante della Privacy: di tal che – a fronte della richiesta di parere urgente del 18 giugno – il Collegio del Garante ha adottato il prescritto parere con provvedimento del successivo 20 giugno, poi reso pubblico attraverso la newsletter dell’Autorità del 5 luglio 2019. Cosa prevede lo schema di decreto Il parere esamina i contenuti dello schema di decreto approvando, prima di tutto, la modalità redazionale in forza della quale gli aspetti tecnici di dettaglio sono disciplinati in appositi “Piani tecnici” allegati al futuro decreto. Quindi, rileva che nella bozza di provvedimento: - sono individuati finalità e titolari del trattamento nell’ambito del “Sistema informativo del Rdc” in cui operano le piattaforme digitali e viene chiarito che le modalità di trattamento e le misure a tutela degli interessati, soprattutto con riferimento ai dati sensibili e giudiziari (artt. 9 e 10 GDPR), sono individuate nei Piani tecnici; - sono individuate le informazioni che INPS e ANPAL devono immettere nel Sistema e, per altro verso, quelle che il Sistema mette a disposizione delle piattaforme per la gestione dei rispettivi Patti; - sono disciplinati i trattamenti effettuati nell’ambito della piattaforma ANPAL per il Patto per il lavoro, per la quale tale Agenzia è titolare del trattamento, indicando le informazioni messe a disposizione dei servizi per il lavoro e che i servizi, a loro volta, forniscono, nonché le informazioni che l’ANPAL mette a disposizione dell’INPS; - vengono disciplinati i trattamenti effettuati nell’ambito della piattaforma per il patto per l’inclusione, per la quale il Ministero è titolare del trattamento; individuando le funzionalità e le informazioni messe a disposizione dei comuni per la gestione dei Patti e per le verifiche sui beneficiari, nonché i dati inseriti dagli stessi nella Piattaforma. Uno specifico focus è posto sui dati relativi ai bisogni di cura, che comprendono informazioni sensibili relative anche a minori e a disabili. Vengono altresì indicate le informazioni da mettere a disposizione dell’INPS, a fini sanzionatori e di verifica; - vengono specificate le modalità di interoperabilità delle piattaforme, individuando i dati oggetto di scambio e quelli che i comuni e i centri per l’impiego devono trattare per la gestione dei Patti; - viene disciplinato l’utilizzo dei dati da parte del Ministero, per fini di analisi, controllo e monitoraggio, e da parte delle Regioni, per fini di programmazione, statistica e ricerca e in relazione agli ambiti territoriali di competenza, in forma individuale anonimizzata o aggregata rinviando ad apposito allegato tecnico per la definizione delle modalità di anonimizzazione dei dati; - viene disciplinato l’accesso al “Sistema” da parte della Guardia di finanza per le attività di controllo, individuando le informazioni consultabili e rinviando ad apposite convenzioni, da stipularsi previa consultazione del Garante, per l’individuazione delle misure tecniche e organizzative adeguate ai rischi e idonee a garantire la sicurezza dei collegamenti e l’accesso selettivo alle informazioni necessarie; - infine, si prevede che le informazioni sono conservate presso il Sistema informativo del Rdc per un periodo massimo di 5 anni dalla conclusione dell’erogazione del beneficio: salvo alcune limitate informazioni che verranno conservate per 10 anni dalla data di dichiarazione del requisito. Parere del Garante L’Autorità dà conto di essere stata tempestivamente e continuativamente compulsata sin dalla fase di elaborazione dello schema e del fatto che la documentazione allegata alla richiesta di parere del Ministero, del 18 giugno, è stata “modificata e integrata” con l’ulteriore documentazione, tramessa il successivo 19 giugno 2019: documentazione, peraltro, obbligatoria, in quanto comprensiva delle “valutazioni di impatto sulla protezione dei dati personali”, da effettuarsi obbligatoriamente prima dell’avvio di un trattamento di dati personali, ai sensi dell’art. 35 del GDPR, da parte del Ministero, per il “Sistema informativo Rdc” e per la Piattaforma digitale per il Patto di inclusione sociale, e dall’ANPAL per la Piattaforma digitale per il Patto per il lavoro. Il Garante dà quindi conto del fatto che lo schema e i suoi allegati sono stati predisposti tenendo conto delle indicazioni fornite al Ministero dallo stesso Garante, per assicurare il rispetto dei principi di privacy by design e by default imposti, dal GDPR. Quindi, viene rilevato che il trattamento di dati oggetto dello schema di decreto: a) è effettuato per l’esecuzione di un compito di interesse pubblico; b) presenta rischi elevati per i diritti e le libertà degli interessati, ai sensi degli artt. 35 e 36, par. 5, del GDPR e art. 2-quinquiesdecies del Codice privacy; c) riguarda milioni di (potenziali) beneficiari e migliaia di enti pubblici e privati a vario titolo coinvolti. Evidenzia che nel “Sistema” verranno trattati, su larga scala, dati personali, anche sensibili, relativi principalmente a soggetti vulnerabili (disabili, anziani, persone in cerca di occupazione, minori). Quindi, nel dare parere favorevole al testo, il Garante da conto del fatto lo schema di decreto tiene conto nelle indicazioni fornite nel corso delle interlocuzioni intercorse, “con particolare riferimento a”: - l’integrazione della “base giuridica” del D.L. n. 4/19 con misure di garanzia, degli interessati, circa la liceità, correttezza e trasparenza del trattamento, individuando esattamente le finalità perseguite nei singoli trattamenti effettuati nel Sistema informativo del Rdc; - la puntuale indicazione delle fonti presso le quali sono raccolti i dati necessari all’individuazione delle platee di beneficiari da indirizzare alla stipula dei patti; - la minimizzazione dei dati personali e l’assicurazione – per ogni flusso informativo - del rispetto del principio di proporzionalità, con puntuale individuazione delle tipologie di dati, delle operazioni eseguite, dei soggetti cui possono essere comunicati e delle categorie di soggetti autorizzati all’accesso: con particolare attenzione ai dati sensibili e giudiziari, ed evitando il trattamento di tali informazioni quando non indispensabili, oltre che assicurando misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dei cittadini, in relazione ai rischi connessi ai trattamenti disciplinati dallo schema di decreto; - l’introduzione di differenti livelli di autorizzazione per il trattamento dei dati contenuti nel Sistema informativo, con garanzia di accessi selettivi da parte dei diversi soggetti autorizzati al trattamento; - l’utilizzo di adeguati sistemi di autenticazione informatica per l’accesso alle Piattaforme, con un livello di sicurezza differente in base alle tipologie di dati trattati e alle operazioni consentite; - l’utilizzo di canali di trasmissione sicuri per gli scambi di dati tra i diversi soggetti pubblici e privati coinvolti; - il tracciamento delle operazioni svolte mediante le Piattaforme da ciascun autorizzato al trattamento; - l’individuazione di tempi di conservazione dei dati proporzionati rispetto alle finalità perseguite; - l’utilizzo dei dati anonimi o aggregati da parte del Ministero, per fini di analisi, controllo e monitoraggio, e da parte delle Regioni, per fini di programmazione, statistica e ricerca e in relazione agli ambiti territoriali di competenza, ai fini del rispetto del principio di minimizzazione dei dati. E’ stata, infine, “promossa”, la decisione del Ministero di rinviare ad una successiva integrazione del decreto in esame, l’individuazione delle modalità attuative della specifica sezione della piattaforma del Patto per il lavoro contenente il “Sistema per la fruizione continua dei servizi di accompagnamento” e del trattamento dei dati relativi all’attribuzione del profilo occupazionale nell’ambito del Rdc. Ciò, al fine di individuare idonee garanzie per gli interessati nel rispetto dei principi di privacy by default e by design, nonché delle disposizioni dell’art. 22 del GDPR in materia di processi interamente automatizzati e profilazione.