g-docweb-display Portlet

Parere sullo schema di provvedimento dell'INPS, da adottare ai sensi dell'art. 1, comma 563, della l. 30 dicembre 2018, n. 145, in materia di Carta europea della disabilità - 14 ottobre 2021 [9716806]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

NEWSLETTER DEL 10 NOVEMBRE 2021

 

[doc. web n. 9716806]

Parere sullo schema di provvedimento dell'INPS, da adottare ai sensi dell'art. 1, comma 563, della l. 30 dicembre 2018, n. 145, in materia di Carta europea della disabilità - 14 ottobre 2021

Registro dei provvedimenti
n. 368 del 14 ottobre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

PREMESSO

Con nota inviata in data 18 marzo 2021, l’Istituto nazionale previdenza sociale (di seguito, INPS) ha trasmesso al Garante “il documento di Valutazione d'impatto sulla protezione dei dati, realizzato […] in relazione al progetto “Carta europea della disabilità in Italia”, di cui al Decreto del Presidente del Consiglio dei Ministri, di concerto con il Ministro del lavoro e delle politiche sociali, il Ministro delle infrastrutture e dei trasporti, il Ministro dei beni e delle attività culturali e del turismo del 6 novembre 2020, recante la “Definizione dei criteri e delle modalità per il rilascio della Carta europea della disabilità in Italia””, corredato di una convenzione da stipularsi con l’Istituto poligrafico e Zecca dello Stato S.p.A. (di seguito, IPZS) in merito alla realizzazione, distribuzione e sviluppo della citata Carta.

A seguito del confronto instaurato tra l’Ufficio del Garante e l’INPS, e che ha coinvolto altresì l’Ufficio per le politiche in favore delle persone con disabilità presso la Presidenza del Consiglio dei Ministri, nonché tenendo conto delle modifiche nel frattempo intervenute sul quadro normativo di riferimento, in data 24 settembre 2021 l’INPS ha trasmesso all’Autorità, “Ai sensi dell’articolo 1, comma 563, della legge n. 145/2018, così come modificato […], […] la bozza di provvedimento con il quale questo Istituto individua la tipologia di dati soggetti al trattamento e le operazioni eseguibili necessarie al funzionamento della Carta europea della disabilità, nonché le misure necessarie alla tutela dei diritti fondamentali dell'interessato”, unitamente ad un allegato tecnico, la valutazione d'impatto sulla protezione dei dati di cui all’art. 35 del Regolamento e la bozza di informativa di cui all’art. 13 del medesimo Regolamento, rappresentando, in particolare, “l'esigenza di completare con urgenza il procedimento amministrativo di attuazione della suddetta Carta, al fine di consentire l'impiego nell'anno in corso delle risorse economiche stanziate in bilancio”.

1. Il quadro normativo relativo alla Carta europea della disabilità

L’art. 1, comma 563, della l. 30 dicembre 2018, n. 145, originariamente stabiliva che “Al fine di agevolare l'accesso a benefici, supporti ed opportunità utili alla promozione dei diritti delle persone con disabilità, con decreto del Ministro per la famiglia e le disabilità, di concerto con i Ministri del lavoro e delle politiche sociali, delle infrastrutture e dei trasporti e per i beni e le attività culturali, entro novanta giorni dalla data di entrata in vigore della presente legge, sono definiti i criteri per il rilascio della Carta europea della disabilità in Italia e sono determinate le modalità per l'individuazione degli aventi diritto e per la realizzazione e la distribuzione della stessa a cura dell'INPS. Le caratteristiche tecniche della Carta di cui al presente comma sono conformi alle indicazioni operative elaborate dalla Commissione europea ai fini del reciproco riconoscimento dello stato di disabilità dei cittadini negli Stati membri dell'Unione europea. Per le finalità di cui al presente comma è autorizzata la spesa di 1,5 milioni di euro per ciascuno degli anni 2019, 2020 e 2021”.

In data 6 novembre 2020, è stato adottato il decreto del Presidente del Consiglio dei Ministri (ancorché non pubblicato in Gazzetta ufficiale), di concerto con il Ministro del lavoro e delle politiche sociali, il Ministro delle infrastrutture e dei trasporti e il Ministro per i beni e le attività culturali e per il turismo, volto a disciplinare, ai sensi del richiamato art. 1, comma 563, della l. 145/2018, “i criteri per il rilascio della Carta europea della disabilità (di seguito denominata “Carta”), nonché le modalità per la realizzazione, la distribuzione e lo sviluppo della medesima” (art. 1, comma 1). In particolare, il suddetto d.P.C.M. stabilisce:

- le tipologie di dati personali che gli interessati devono conferire all’INPS in sede di presentazione della richiesta telematica di ottenimento della Carta, compresa una fototessera (art. 3, commi 3 e 4);

- il ruolo dell’Istituto poligrafico e Zecca dello Stato nella produzione della Carta, e di un Gestore esterno per il servizio di consegna (art. 3, comma 8);

- la natura di “carta-valori” della Carta, che deve essere realizzata secondo le indicazioni operative elaborate dalla Commissione europea e deve recare un QR code per verificare la validità della Carta mediante riscontro, per via telematica, con le informazioni contenute negli archivi informatici dell’INPS (art. 4, commi 1, 2 e 5, e all. A);

- l’utilizzabilità della Carta per l’accesso agevolato a beni e/o servizi forniti da soggetti pubblici o privati che abbiano stipulato appositi protocolli d’intesa o convenzioni con l’Ufficio per le politiche in favore delle persone con disabilità presso la Presidenza del Consiglio dei Ministri (art. 6, commi 1 e 2);

- la possibilità di usufruire delle agevolazioni mediante l’esibizione della Carta, da parte degli interessati, presso i soggetti convenzionati, fatta salva la verifica della titolarità della Carta, ovvero mediante identificazione informatica (art. 6, comma 5).

Successivamente, l’art. 66, comma 2, del d.l. 31 maggio 2021, n. 77, ha integrato il richiamato art. 1, comma 563, della l. 145/2018, anche sulla base di alcune interlocuzioni informali intercorse con l’Ufficio del Garante, aggiungendovi, dopo il primo periodo, i seguenti: "Esclusivamente per le medesime finalità, l'INPS consente ai soggetti erogatori di beni o servizi in favore delle persone con disabilità, l'accesso, su richiesta dell'interessato, alle informazioni strettamente necessarie contenute nei verbali di accertamento dello stato invalidante di cui alla legge 15 ottobre 1990, n. 295, attraverso lo strumento della Carta. L'INPS, sentito il Garante per la protezione dei dati personali, individua la tipologia di dati soggetti al trattamento e le operazioni eseguibili necessarie al funzionamento della Carta e all'accesso alle predette informazioni nonché le misure necessarie alla tutela dei diritti fondamentali dell'interessato".

Infine, la l. 29 luglio 2021, n. 108, nel convertire in legge il citato d.l. 77/2021, ha modificato il predetto art. 66, comma 2, andando sostanzialmente a riscrivere l’art. 1, comma 563, della l. 145/2018, nei seguenti termini: "Al fine di agevolare l'accesso a benefìci, supporti ed opportunità utili alla promozione dei diritti delle persone con disabilità, con decreto del Ministro per la famiglia e le disabilità, di concerto con i Ministri del lavoro e delle politiche sociali, delle infrastrutture e dei trasporti e per i beni e le attività culturali, entro novanta giorni dalla data di entrata in vigore della presente legge, sono definiti i criteri per il rilascio della Carta europea della disabilità in Italia e sono determinate le modalità per l'individuazione degli aventi diritto e per la realizzazione e la distribuzione della stessa a cura dell'INPS. Esclusivamente per le medesime finalità, l'INPS consente alle pubbliche amministrazioni, agli enti territoriali e alle associazioni di tutela delle persone con disabilità maggiormente rappresentative e capillarmente diffuse a livello territoriale, che erogano beni o servizi in favore delle persone con disabilità, l'accesso, temporaneo e limitato al solo disbrigo delle pratiche connesse all'erogazione di detti beni o servizi, su richiesta dell'interessato, alle informazioni strettamente necessarie contenute nei verbali di accertamento dello stato di invalidità o disabilità in tutti i casi stabiliti dalla legge, attraverso lo strumento della Carta. L'INPS, sentito il Garante per la protezione dei dati personali, individua la tipologia di dati soggetti al trattamento e le operazioni eseguibili necessarie al funzionamento della Carta e all'accesso alle predette informazioni nonché le misure necessarie alla tutela dei diritti fondamentali dell'interessato. Le caratteristiche tecniche della Carta di cui al presente comma sono conformi alle indicazioni operative elaborate dalla Commissione europea ai fini del reciproco riconoscimento dello stato di disabilità dei cittadini negli Stati membri dell'Unione europea. Per le finalità di cui al presente comma è autorizzata la spesa di 1,5 milioni di euro per ciascuno degli anni 2019, 2020 e 2021".

2. Lo schema di provvedimento in esame e l’ulteriore documentazione prodotta

Lo schema di provvedimento che, da ultimo, l’INPS ha trasmesso al Garante (altresì definito disciplinare), si occupa di individuare le tipologie di dati soggetti al trattamento, le operazioni eseguibili necessarie al funzionamento della Carta e all’accesso alle predette informazioni nonché le misure necessarie alla tutela dei diritti fondamentali dell’interessato. Nel fare ciò, stabilisce che la Carta venga “esibita dal titolare all’Erogatore di benefici, per dimostrare la propria condizione di cittadino invalido necessaria per acquisire il beneficio” in luogo del “verbale cartaceo anche in formato omissis”: in questo senso, tale Carta, “sebbene funzionalmente è perfettamente equivalente al verbale cartaceo, con il sistema del QR Code, senza fornire ulteriori informazioni o dati, consente di visionare lo stato invalidante attualizzato, evitando così che il soggetto possa sfruttare benefici che potrebbero derivare da un verbale ormai non più valido” (art. 1).

Sulla Carta viene riportata “una fotografia del titolare utile esclusivamente per evitare un’indebita cessione a terzi, fermo restando che l’accertamento dell’identità del possessore della carta medesima, la cui veridicità non è autenticata, né da procedure automatiche né da operatori avviene a mezzo dei documenti di identità riconosciuti dalla legge” (art. 2).

La Carta viene presentata dall’interessato all’erogatore “unitamente al proprio codice fiscale (non presente sulla Carta) e ad un suo documento di identità”, dopodiché, quest’ultimo, “attraverso l’utilizzo di un lettore QR Code e la digitazione del codice fiscale fornito dall’Interessato, richiama il servizio online di verifica messo a disposizione dall’INPS, secondo le specifiche tecniche di cui all’allegato A al presente Disciplinare”. A quel punto, l’erogatore può effettuare due tipologie di accessi (art. 3):

- accesso di I livello, che “consente all’Erogatore di verificare la validità della Carta che gli è stata esibita dall’Interessato, nonché che il medesimo Interessato appartenga, o meno, alla platea dei disabili destinatari della Carta di cui al DPCM”, con garanzia di aggiornamento, limitando la visualizzazione ai soli seguenti dati (art. 2): nome, cognome, data di nascita, codice fiscale, condizione generale di disabilità;

- accesso di II livello, mediante il quale, superato positivamente l’accesso di I livello (qualora ritenuto necessario), “l’Erogatore del beneficio può accedere a qualche informazione di dettaglio maggiore circa lo stato invalidante; i dati ai quali può accedere sono simili a quelli contenuti ed esibiti nel verbale cartaceo dell’invalidità civile omissis”. Si tratta di un accesso “subordinato ad un doppio livello di sicurezza”, che richiede, da parte dell’erogatore, il “possesso di un’identità digitale riconosciuta da INPS (SPID, CIE, CNS, PIN-INPS)”, nonché la digitazione di un “codice OTP, inviato via sms al numero di cellulare dell’Interessato (numero registrato sugli archivi INPS)”, che ha una validità temporale limitata. A quel punto, l’erogatore, può scegliere di visualizzare le seguenti categorie di dati personali: “giudizio medico legale (desunto dal verbale cartaceo di invalidità civile); eventuale percentuale di invalidità civile (desunta dal verbale cartaceo di invalidità civile); eventuali benefici fiscali (desunti dal verbale cartaceo di invalidità civile); pensione percepita”; nonché “se l’interessato ha diritto o meno all’Accompagnatore”. Inoltre, in nessun caso vengono fornite informazioni relative a patologie, anamnesi o diagnosi del cittadino interessato, e l’attività di verifica condotta dall’erogatore non comporta la conservazione dei dati dell’interessato in qualunque forma.

Lo schema di disciplinare, a seguire, nel configurare l’INPS quale titolare del trattamento, assicura il rispetto dei principi e delle regole in materia di protezione dei dati personali (art. 4), definisce le modalità di sottoposizione dell’informativa agli interessati (art. 5) e richiama gli obblighi in materia di violazione dei dati personali (art. 6).

Insieme allo schema di disciplinare vi è un allegato tecnico che si occupa dei trattamenti dei dati personali effettuati nell’ambito della Carta e dei meccanismi di sicurezza per la fruizione della stessa, nonché una bozza dell’informativa che l’INPS renderà disponibile agli interessati.

Essendo in presenza di un trattamento di dati personali svolto per l’esecuzione di un compito di interesse pubblico che può presentare rischi elevati per i diritti e le libertà degli interessati (coinvolgendo i dati relativi alla salute riferiti ad una platea estesa di interessati appartenenti a categorie di vulnerabili quali i disabili), l’INPS ha trasmesso altresì la valutazione d’impatto sulla protezione dei dati di cui all’art. 35 del Regolamento.

OSSERVA

3. Le interlocuzioni con l’Autorità

Il tema della Carta europea della disabilità – che nasce nell’ambito del programma “Diritti, uguaglianza e cittadinanza per il periodo 2014-2020” di cui all’art. 4, par. 1, lett. c), del reg. (UE) 1381/2013 – ha trovato un’iniziale disciplina normativa, all’interno dell’ordinamento italiano, con l’art. 1, comma 563, della l. 145/2018 e, successivamente, con il d.P.C.M. 6 novembre 2020 (peraltro, ad oggi, ancora non oggetto di pubblicazione in Gazzetta ufficiale), senza il coinvolgimento del Garante in fase consultiva.

Successivamente è stata avviata un’interlocuzione tra l’Ufficio del Garante e l’INPS, nonché l’Ufficio per le politiche in favore delle persone con disabilità presso la Presidenza del Consiglio dei Ministri, al fine di rendere conformi i trattamenti alla disciplina in materia di protezione dei dati personali, anche tenuto conto delle richiamate modifiche introdotte all’art. 1, comma 563, della l. 145/2018 ad opera del d.l. 77/2021 e della l. 108/2021 (di conversione).

La versione dello schema di provvedimento in esame, trasmesso dall’INPS il 24 settembre 2021, nonché la documentazione a corredo, tengono conto delle indicazioni fornite dall’Autorità, volte a individuare le opportune garanzie per rendere conforme, al Regolamento e al Codice, il trattamento dei dati personali.

In particolare:

l’utilizzo della Carta è stato definito quale modalità di attestazione dello stato invalidante, nei confronti degli erogatori, alternativa all’esibizione del verbale cartaceo, con omissis, in ossequio ai principi di liceità, correttezza, trasparenza e limitazione della finalità (art. 1 dello schema di provvedimento);

sono stati individuate con precisione le tipologie di dati personali oggetto di consultazione da parte degli erogatori, anche con riferimento alle categorie particolari di dati di cui all’art. 9 del Regolamento (art. 2 dello schema di provvedimento);

sono state chiarite le modalità di trattamento dei dati, con una puntuale definizione dei due livelli di accesso ai dati consentiti agli erogatori e l’adozione di misure volte a ridurre i rischi connessi all’utilizzo indebito, da parte degli erogatori medesimi, delle informazioni relative allo stato di salute riferite agli interessati (art. 3 dello schema di provvedimento);

è stato precisato che l’informativa deve essere resa disponibile al momento della presentazione del modulo di richiesta della Carta, sul sito dell’INPS (art. 5 dello schema di provvedimento);

è stato redatto l’allegato tecnico che, tra le altre, ha specificato le caratteristiche del QR code, nel rispetto del principio di integrità e riservatezza;

è stata perfezionata la valutazione d’impatto sulla protezione dei dati, con particolare riferimento alla descrizione dei due livelli di accesso, all’affermazione delle responsabilità degli erogatori e alla declinazione delle situazioni di rischio.

4. Osservazioni

Ciò posto, permangono ancora alcuni elementi che richiamano l’opportunità di ulteriori interventi correttivi, e che si vanno di seguito a descrivere.

4.1. Lo schema di disciplinare stabilisce che “In entrambe le tipologie di accesso condotte dall’Erogatore, […] sono visualizzabili le seguenti categorie di dati […]: a) dati identificativi dell’Interessato (specificare nome, cognome, data di nascita); b) codice fiscale dell’Interessato; c) condizione generale di disabilità”, salvo successivamente precisare che “La data di nascita  (presente sulla Carta) e i dati di residenza  non sono visibili nella procedura di consultazione e non sono mai resi visibili nella procedura informatica all’Erogatore del beneficio” (art. 2).

Tale previsione risulta fuorviante in quanto la data di nascita risulta già stampata sulla Carta e desumibile dal codice fiscale, e, pertanto, si invita l’INPS ad allineare coerentemente la relativa indicazione.

4.2. Lo schema di disciplinare, con riferimento all’accesso di II livello, stabilisce che “Una volta digitato l’OTP da parte dell’erogatore del servizio, l’applicazione visualizza una pagina in cui l’Erogatore medesimo è obbligato a scegliere le informazioni sanitarie che intende visualizzare; […]. Una volta effettuata la scelta, l’Erogatore del servizio potrà visualizzare le sole informazioni di dettaglio soddisfacenti i criteri di ricerca impostati” (art. 3).

A questo proposito, la valutazione d’impatto sulla protezione dei dati specifica che “l’Erogatore si assume la responsabilità di avere valutato come necessaria e strumentale all’attività da svolgere l’accesso ai dati contenuti nelle suddette funzioni rese disponibili dalla procedura” (cfr. pp. 7, 9 e 10). Nell’esplicitare le modalità attraverso le quali rendere possibile la selezione, tale ultimo documento aggiunge che “l’Erogatore, dovrà esplicitamente indicare quali tra le funzioni disponibili (attraverso un sistema informatico di selezione come per esempio il menù a tendina o similare) ha necessità di visualizzare per rendere il servizio all’Interessato” (p. 10).

Si tratta, questa, di una misura volta a responsabilizzare l’erogatore circa la scelta delle informazioni da consultare, ma che non consente di evitare, per impostazione predefinita, l’accesso a informazioni non indispensabili per l’erogazione del servizio richiesto, senza distinguere tra le diverse tipologie di servizi offerti.

Ciò in considerazione del fatto che si tratta di dati relativi alla salute, in relazione ai quali già nella base giuridica devono essere indicate le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato, ai sensi dell’art. 2-sexies del Codice.

Pertanto, si invita l’INPS a valutare l’adozione di misure volte ad assicurare che, per impostazione predefinita, venga garantito l’accesso alle sole informazioni indispensabili all’erogazione di ciascuna tipologia di servizio offerto. In ogni caso, si invita l’INPS a integrare lo schema di disciplinare con la previsione (o similare) secondo cui “L’Erogatore, con apposita funzionalità, dovrà indicare quali tra le funzioni disponibili ha necessità di visualizzare per rendere il servizio all’Interessato. Attraverso tale scelta, l’Erogatore si assume la responsabilità di avere valutato come necessaria e strumentale all’attività da svolgere l’accesso ai dati contenuti nelle suddette funzioni rese disponibili dalla procedura” – clausola peraltro già presente in una precedente versione dello schema di disciplinare medesimo.

4.3. Con riferimento ai ruoli connessi al trattamento dei dati personali, la valutazione d’impatto sulla protezione dei dati precisa: “Responsabile del trattamento: L'INPS, ai sensi dell’articolo 28 del Regolamento UE 2016/679, designa l’Istituto Poligrafico e Zecca dello Stato quale “Responsabile del trattamento” e, nel contempo, autorizza detto istituto alla nomina del Gestore esterno, quale Altro Responsabile ai sensi dell’articolo 28, comma 2, del Regolamento UE medesimo, per la sola fase di consegna della Carta” (p. 4; cfr. altresì p. 11).

L’indicazione circa l’avvalimento dell’Istituto poligrafico e Zecca dello Stato e del Gestore esterno, da parte dell’INPS, in qualità di responsabili del trattamento ai sensi dell’art. 28 del Regolamento – già descritta all’interno della valutazione d’impatto – sarebbe opportuno che fosse inserita anche all’interno dello schema di disciplinare, che invece non la menziona (in particolare nell’art. 4), completando la base giuridica del trattamento ai sensi degli artt. 6 e 9 del Regolamento.

4.4. Nello schema di disciplinare è previsto che “La Carta [riporti] una fotografia del titolare utile esclusivamente per evitare un’indebita cessione a terzi, fermo restando che l’accertamento dell’identità del possessore della carta medesima, la cui veridicità non è autenticata, né da procedure automatiche né da operatori avviene a mezzo dei documenti di identità riconosciuti dalla legge” (art. 2; cfr. altresì pp. 4 e 9 della valutazione d’impatto). L’allegato tecnico, a sua volta, aggiunge che “La Carta, infatti, non ha in nessun caso validità come documento di identità, sebbene riporti una fotografia del titolare, la cui veridicità non viene autenticata né da procedure automatiche né da operatori” (p. 6).

La presenza della fotografia sulla Carta è prevista, a monte, dal d.P.C.M. del 6 novembre 2020, che, a questo fine, riconduce la natura della Carta medesima ad un formato europeo (art. 3, comma 4, e combinato disposto tra art. 4 e all. A).

Occorre rappresentare che, nella procedura di rilascio della Carta, non vi è una procedura di identificazione de visu dell’interessato né di raffronto con l’immagine riportata su un documento di identità in corso di validità.

Al riguardo, si osserva che, pur essendo rimessa agli erogatori la verifica dell’identità dell’interessato in sede di erogazione dell’agevolazione, si rappresenta un rischio residuo di furto d’identità in danno del soggetto disabile cui sarebbe destinato il beneficio in questione, ovvero, più in generale, di condotte fraudolente; pertanto, si invita l’INPS a valutare adeguatamente tali rischi, all’interno della valutazione d’impatto.

RITENUTO

L’erogazione e l’utilizzo della Carta europea della disabilità persegue un compito di interesse pubblico volto a riconoscere agevolazioni, nell’acquisto di beni o nella fruizione di servizi, nei confronti di soggetti che presentano uno stato di invalidità certificata (in particolare, ai sensi dell’art. 9, par. 2, lett. g) del Regolamento, e dell’art. 2-sexies del Codice).

Il trattamento di dati personali in esame, che coinvolge, su larga scala, dati relativi alla salute riferiti a soggetti che si trovano in una particolare condizione di vulnerabilità, ai fini della fruizione di benefici, presenta rischi elevati per i diritti e le libertà delle persone fisiche ai sensi dell’art. 35 del Regolamento.

Ciò posto, alla luce di quanto riportato in motivazione, si ritiene che il trattamento dei dati personali, come definito nella documentazione fornita dall’INPS, rispetti, in termini generali, i principi del Regolamento (con particolare riferimento ai quelli di cui agli artt. 5 e 25), anche in considerazione del fatto che l’utilizzo della Carta, per decisione volontaria dell’interessato e in presenza di un erogatore di servizi, costituisce una modalità alternativa a quella, già prevista, dell’esibizione del verbale di accertamento dello stato di invalidità, dotato di omissis.

Pertanto, si esprime parere favorevole sullo schema di disciplinare, formulando le seguenti osservazioni, volte a perfezionare alcuni profili residui in materia di protezione dei dati personali:

a) all’art. 2 dello schema di disciplinare, allineare coerentemente l’indicazione sulla visibilità o meno, da parte dell’erogatore, della data di nascita dell’interessato, mediante l’accesso al servizio online di verifica (cfr. par. 4.1 del presente provvedimento);

b) all’art. 3 dello schema di disciplinare, valutare l’adozione di misure volte ad assicurare che, per impostazione predefinita, venga garantito l’accesso alle sole informazioni indispensabili all’erogazione di ciascuna tipologia di servizio offerto; in ogni caso, integrare lo schema di disciplinare con la previsione (o similare) secondo cui “L’Erogatore, con apposita funzionalità, dovrà indicare quali tra le funzioni disponibili ha necessità di visualizzare per rendere il servizio all’Interessato. Attraverso tale scelta, l’Erogatore si assume la responsabilità di avere valutato come necessaria e strumentale all’attività da svolgere l’accesso ai dati contenuti nelle suddette funzioni rese disponibili dalla procedura” (cfr. par. 4.2);

c) integrare l’art. 4 dello schema di disciplinare con l’indicazione sull’avvalimento dell’Istituto poligrafico e Zecca dello Stato e del Gestore esterno, da parte dell’INPS, in qualità di responsabili del trattamento ai sensi dell’art. 28 del Regolamento (cfr. par. 4.3);

d) nella valutazione d’impatto sulla protezione dei dati, valutare adeguatamente i rischi connessi al trattamento della fotografia dell’interessato (cfr. par. 4.4).

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 57, par. 1, lett. c), esprime parere favorevole sullo schema di provvedimento recante “Individuazione delle tipologie di dati soggetti a trattamento, delle operazioni eseguibili necessarie al funzionamento della Carta della disabilità e all’accesso alle predette informazioni, e delle misure necessarie alla tutela dei diritti fondamentali dell’interessato”, predisposto dall’INPS in attuazione dell’art. 1, comma 563, della l. 30 dicembre 2018, n. 145, formulando le seguenti osservazioni:

a) all’art. 2 dello schema di disciplinare, allineare coerentemente l’indicazione sulla visibilità o meno, da parte dell’erogatore, della data di nascita dell’interessato, mediante l’accesso al servizio online di verifica;

b) all’art. 3 dello schema di disciplinare, valutare l’adozione di misure volte ad assicurare che, per impostazione predefinita, venga garantito l’accesso alle sole informazioni indispensabili all’erogazione di ciascuna tipologia di servizio offerto; in ogni caso, integrare lo schema di disciplinare con la previsione (o similare) secondo cui “L’Erogatore, con apposita funzionalità, dovrà indicare quali tra le funzioni disponibili ha necessità di visualizzare per rendere il servizio all’Interessato. Attraverso tale scelta, l’Erogatore si assume la responsabilità di avere valutato come necessaria e strumentale all’attività da svolgere l’accesso ai dati contenuti nelle suddette funzioni rese disponibili dalla procedura”;

c) integrare l’art. 4 dello schema di disciplinare con l’indicazione sull’avvalimento dell’Istituto poligrafico e Zecca dello Stato e del Gestore esterno, da parte dell’INPS, in qualità di responsabili del trattamento ai sensi dell’art. 28 del Regolamento;

d) nella valutazione d’impatto sulla protezione dei dati, valutare adeguatamente i rischi connessi al trattamento della fotografia dell’interessato.

Roma, 14 ottobre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei