A tre mesi dall’entrata in vigore della legge n. 26/2019 che ha introdotto il reddito di cittadinanza (RdC) siamo ancora in attesa dei decreti di attuazione volti a regolamentare molti degli aspetti di cui la disciplina è risultata carente a seguito del vaglio compiuto dal Garante per la Privacy.
Tre almeno i decreti correttivi che dovranno essere pronunciati e che riguardano:
- il sistema informativo per la gestione dei dati;
- il monitoraggio delle spese effettuate con PostePay;
- la DUS e l’ISEE precompilato.
Il Garante Privacy dovrà ovviamente esprimere il proprio parere su tali decreti di attuazione così da verificarne la conformità ai principi fondamentali garantiti dal GDPR.
Reddito di cittadinanza e privacy
Il disegno di legge n. 4/2019 recante disposizioni urgenti in materia di reddito di cittadinanza e di pensioni è stato emanato senza il preventivo parere dell’Autorità per la Privacy.
Il Garante è quindi intervenuto in via autonoma, in un momento successivo, evidenziando gravi criticità nel testo del decreto stesso, le quali sono state poi parzialmente superate in sede di conversione in legge n. 26/2019. Se ciò ha condotto l’Autorità per la Privacy ad esprimersi positivamente sulla nuova legge, non si può sottacere la presenza di ulteriori aspetti della nuova legge rispetto ai quali si attende ancora l’emanazione, proprio nel mese in corso, di appositi decreti correttivi, i quali, si ripete, dovranno anch’essi essere sottoposti alla valutazione del Garante per la Privacy.
Occorre dare atto come le indicazioni fornite dal Garante per la Privacy con la Memoria dell’8 febbraio scorso siano state recepite in sede di conversione del decreto legge n. 4/2019. Tuttavia, nella legge n. 26/2019 vi sono vari richiami a decreti correttivi che dovranno completare la disciplina prestando particolare attenzione all’individuazione di misure tecniche, le quali si configurano estremamente importanti per assicurare la sua effettiva e concreta applicazione. Inevitabilmente, nasce la preoccupazione in merito alla capacità del governo di garantire il rispetto dei principi fondamentali sanciti a livello europeo in virtù del GDPR.
In particolare, ci si chiede: sono state effettuate le prodromiche analisi dei rischi che la messa in atto della normativa in esame comporta? Ed ancora, tali verifiche hanno condotto ad ideare e predisporre le misure organizzative e tecniche necessarie per scongiurare detti rischi?
Con riferimento ad alcuni aspetti della normativa tali misure dovranno essere definite, come abbiamo detto, con i decreti correttivi che dovrebbero essere emessi a breve, proprio nel corso del mese corrente stando al testo della legge n. 26/2019. Misure di sicurezza indispensabili per garantire la tutela dei diritti del cittadino sia perché il trattamento dei dati viene compiuto ad opera di una pluralità di soggetti distinti, ciascuno dei quali entra nel possesso di un grande patrimonio di informazioni, sia perché siamo di fronte ad un trattamento svolto su larga scala di una enorme varietà di dati che appartengono non solo alla persona richiedente il sostegno economico di cittadinanza ma anche agli altri membri della famiglia, inclusi i soggetti minorenni.
Reddito di cittadinanza: in cosa consiste e come si richiede
Come sopra anticipato, il decreto legge n. 4/2019, convertito nella legge n. 26/2019, ha introdotto il cosiddetto “reddito di cittadinanza”. Con tale espressione si intende il sussidio previsto nell’ordinamento giuridico italiano da circa tre mesi (la legge è entrata in vigore come ben noto lo scorso 6 marzo) volto a fornire un contributo economico ad integrazione dei redditi familiari inferiori ad una certa soglia. Nonostante la denominazione, in realtà, vi possono ricorrere non solo i cittadini italiani ma anche quelli europei o extracomunitari. Quest’ultimi, però, devono dimostrare di essere in regola con il permesso di soggiorno e risiedere da almeno dieci anni in Italia.
Il beneficio economico può essere erogato per un tempo non superiore a 18 mesi, periodo tuttavia rinnovabile, e prevede una erogazione annuale fino ad €. 9.360,00. Il soggetto interessato deve farne apposita richiesta sottoscrivendo una dichiarazione in cui manifesta sia la disponibilità immediata ad una posizione lavorativa che ad un percorso volto all’inserimento sociale. Il beneficio è riconosciuto in presenza di alcuni aspetti inerenti il patrimonio, il reddito e la composizione del nucleo familiare. La predetta dichiarazione deve essere presentata presso le Poste italiane, il proprio Caf oppure sul sito internet a ciò dedicato, creato dal Ministero dell’Economia e Finanze tramite lo Spid, ovvero, il sistema pubblico di identità digitale.
Conseguenze in caso di false dichiarazioni
Entro il breve termine di cinque giorni, l’Inps valuta il rispetto dei requisiti per ottenere l’erogazione. In caso di esito positivo dei controlli, esso è rilasciato attraverso l’utilizzo di una apposita carta elettronica nota con il nome di Carta del reddito di cittadinanza. Questo dunque il processo di funzionamento relativo al rilascio del contributo economico, in ordine al quale non sono da sottovalutare la conseguenze penali derivanti da dichiarazioni false dei dati, implicanti la reclusione da due a sei anni. Il reato è comunque già punito nel nostro ordinamento ex art. 640 bis, che prevede la truffa aggravata per il conseguimento di erogazioni pubbliche, con pene da due a sette anni.
I punti di criticità indicati dal Garante Privacy
Come anticipato, con riferimento alla disciplina nazionale contenuta nel decreto legge n. 4/2019 sul riconoscimento del diritto al reddito di cittadinanza non è stato osservato né il disposto di cui all’art. 35 del GDPR sulla valutazione d’impatto per i trattamenti che possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, né la previsione contenuta all’art. 36 co. 4 del GDPR sull’obbligo di consultazione preventiva del Garante per la Privacy richiesta in fase di elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali. L’osservanza di tali due norme è di fondamentale importanza per l’adozione di misure di sicurezza, tecniche ed organizzative, nell’ottica di garantire il rispetto alla normativa europea. Tutto ciò è ancora più vero se consideriamo che il trattamento previsto dalla normativa sul reddito di cittadinanza impone una tutela rafforzata dettata sia dalla natura dei dati personali oggetto dello stesso, relativi alle condizioni economiche, allo stato di salute (dati particolari ex art. 9 GDPR) e ad eventuali misure restrittive della libertà personale (ex art. 10 GDPR), dei soggetti richiedenti e dei componenti l’interno nucleo familiare, sia perché fondato sull’interconnessione di molteplici banche dati (concretizzando quindi un trattamento su larga scala)
Dal momento che non è possibile sottovalutare l’impatto della disciplina del reddito di cittadinanza sulle modalità di trattamento dei dati personali del soggetto richiedente, il Garante della Privacy, non essendo stato informato in precedenza, è intervenuto autonomamente e con la Memoria resa lo scorso 8 febbraio, recante le “disposizioni urgenti in materia di reddito di cittadinanza e di pensioni” ha evidenziato in maniera chiara e puntuale quali sono gli aspetti della nuova disciplina che effettivamente violano il GDPR ed i principi in esso contenuti.
Con la stessa chiarezza di cui si connota l’analisi del Garante per la Privacy in detta Memoria, riportiamo qui di seguito i punti del decreto legge n. 4/2019 che, secondo il Garante stesso, violano la normativa europea ed esattamente:
- la mancanza di “accorgimenti idonei a garantire la qualità e l’esattezza dei dati nonché di misure tecniche e organizzative volte a scongiurare i rischi di accessi indebiti, utilizzi fraudolenti dei dati o di violazione dei sistemi informativi, oltre a procedure idonee a garantire agli interessati l’agevole esercizio dei loro diritti”. In presenza di un flusso di informazioni così rilevante non sono stati definiti i soggetti coinvolti nel trattamento e neppure i criteri e le finalità per le quali di volta in volta sono utilizzati i dati. Il rilascio del beneficio impone la verifica sul possesso di determinati requisiti; stessa verifica è richiesta dalla normativa anche per controllare la destinazione delle somme erogate. Tali controlli si realizzano attraverso due piattaforme digitali in cui sono messe a disposizione le tante informazioni dei soggetti richiedenti e delle proprie famiglie. Su tali piattaforme arrivano dati degli archivi Inps, dell’anagrafe tributaria, dei centri per l’impiego etc.. Pertanto, secondo il Garante per la Privacy sono state previste norme generiche che non individuano i procedimenti attraverso cui deve essere svolto il controllo delle varie banche dati;
- il controllo sull’utilizzo della carta del reddito di cittadinanza da parte del soggetto richiedente implica l’acquisizione di dati sensibili, tale da configurare una vera e propria misura di sorveglianza su larga scala che determina “un’intrusione sproporzionata e ingiustificata su ogni aspetto della vita privata degli interessati”. In altre parole, la verifica condotta su ogni singola spesa fatta tramite la Carta del reddito di cittadinanza è una misura ritenuta eccessivamente invasiva;
- il sito web appositamente creato in materia di reddito di cittadinanza pecca sia nell’informativa, la quale si configura inadeguata al trattamento dei dati, sia nell’individuazione dei soggetti chiamati ad aggiornare i dati stessi;
- dubbi, infine, sono sollevati dal Garante per la Privacy con riferimento al rilascio delle dichiarazioni ISEE (Indicatore Situazione Economica Equivalente) ed alla precompilazione della Dichiarazione Unica Sostitutiva.
Come vedremo infra, alcune delle criticità evidenziate dal Garante per la Privacy sono state superate in sede di conversione in legge.
Le considerazioni del Garante a seguito dell’emanazione della legge n. 26/2019.
“Rispetto alle criticità che tale sistema, nella sua architettura originaria, presentava – e per la cui descrizione si rinvia alla memoria presentata in Senato – il testo approvato in prima lettura appare in molti aspetti migliorato, avendo recepito, in sede emendativa i rilievi del Garante”. Si esprime così il Garante per la Privacy nella seconda Memoria presentata il 6 marzo scorso sulla “Conversione in legge, con modificazioni, del decreto legge 28 gennaio 2019 n. 4, recante disposizioni urgenti in materia di reddito di cittadinanza e di pensioni”. A ben vedere, il provvedimento del Garante per la Privacy non si è fatto attendere dato che la sua seconda Memoria in materia è intervenuta proprio nel giorno in cui l’istituto in esame è divenuto legge.
Il Garante per la Privacy valuta positivamente le modifiche apportate al testo di legge in sede di conversione. Tuttavia, come detto, la normativa si caratterizza per rinvii costanti a decreti di attuazione che dovranno completare la disciplina.
I decreti correttivi riguarderanno tre aspetti:
Sistema informativo per la gestione dei dati
Viene introdotto un unico sistema informativo in sostituzione delle due piattaforme digitali precedentemente previste nel disegno di legge. In tale contesto, si stabilisce che nel sistema saranno immesse esclusivamente le informazioni presenti negli archivi Inps, strettamente necessarie all’attuazione della misura, in conformità al principio di minimizzazione sancito a livello europeo. Inoltre, si rimanda al decreto di attuazione la determinazione delle modalità e dei tempi di conservazione dei dati. Ad un futuro provvedimento dell’Inps, quale titolare dei dati, si richiede invece di stabilire le modalità per la verifica del possesso dei requisiti di accesso al beneficio economico.
Controllo sugli acquisti effettuati tramite la carta RdC
“Grazie alle modifiche approvate in prima lettura, sono state superate anche le criticità riscontrate in ordine al monitoraggio centralizzato e sistematico dei singoli acquisti effettuati dai beneficiari tramite la carte RdC che, così come prospettato, era suscettibile di comportare l’acquisizione anche di dati particolarmente sensibili”. A tal fine si dispone ora che tutte le movimentazioni sulla carta siano controllate mediante verifica dei soli importi complessivamente spesi e prelevati e secondo modalità che saranno definite con decreto, previo parere del Garante”. Il controllo sugli acquisti, così come era previsto nel testo del decreto legge, configurava secondo l’Autorità per il trattamento dei dati personali una misura eccessivamente invasiva nella vita dei cittadini. E’ stata inoltre predisposta una lista degli acquisti vietati, tra cui sono ricompresi: i giochi che prevedono vincite in denaro o altre utilità; l’acquisto, noleggio o leasing di navi o imbarcazioni da diporto; servizi finanziari e creditizi; servizi di trasferimento di denaro; servizi assicurativi; articoli di gioielleria etc..
ISEE precompilata
La nuova disciplina introduce l’ISEE precompilata volta a semplificare la procedura della Dichiarazione Sostitutiva Unica, che coinvolge tutti i cittadini non solo il richiedente il reddito di cittadinanza. Con detto strumento il cittadino dispone di tutte le informazioni presenti nelle banche dati dell’Inps e dell’Agenzia delle entrate, inclusi i dati sui saldi dei rapporti finanziari, riferite a tutti i componenti del nucleo familiare. Si attende un decreto correttivo che integri la disciplina con riguardo alle misure di sicurezza e organizzative da adottare, affinché il cittadino possa inviare la dichiarazione precompilata dal portale dell’Inps; decreto correttivo sul quale ovviamente il Garante dovrà rendere il proprio parere.
Conclusioni
Come ogni legge di nuova introduzione che implica un trattamento di dati personali su larga scala, anche la normativa in esame ha imposto ed impone un necessario bilanciamento degli interessi contrapposti, un’attenta analisi dei rischi e l’individuazione di misure tecniche e organizzative idonee ad eludere, o almeno a mitigare, eventuali conseguenze negative che possono creare danni di portata devastante ed irreparabile. In altri termini, ogni normativa introdotta a livello nazionale deve superare un controllo connotato dalle tre verifiche descritte, al fine di garantire il rispetto dei principi del Regolamento Europeo 679/2016. A tal riguardo di rilevante interesse è il considerando 47 del Regolamento UE stesso secondo cui “I legittimi interessi di un titolare, compresi quelli del titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare.
Ciò posto, decorsi tre mesi dall’attivazione del sistema del riconoscimento del diritto al reddito di cittadinanza si attende fortemente l’emanazione dei decreti di attuazione, al fine di garantire la tutela dei diritti dei cittadini. Occorrono infatti misure tecniche ed organizzative idonee ad assicurare liceità e trasparenza nel trattamento di dati personali da parte di plurimi soggetti coinvolti in notevoli flussi di informazioni attinenti a dati personali della più svariata natura; sono necessari altresì misure che garantiscano un accesso vigilato alle informazioni connesse alla carta del RdC, nonché sistemi di sicurezza tesi al raggiungimento della massima tutela dei dati che richiede in particolare il rispetto del principio di minimizzazione dei dati sancito a livello europeo.