[doc. web n. 9429241]

Parere al Ministero del lavoro e delle politiche sociali sullo schema di convenzione trasmesso di concerto con la Guardia di finanza per l’accesso al Sistema del Reddito di cittadinanza - 19 maggio 2020

Registro dei provvedimenti
n. 89 del 19 maggio 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice;

Visto il decreto legislativo 18 maggio 2018, n. 51, di attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio;

Visto il decreto del Presidente della Repubblica 15 gennaio 2018, n. 15, recante il “Regolamento a norma dell’articolo 57 del decreto legislativo 30 giugno 2003, n. 196, recante l'individuazione delle modalità di attuazione dei principi del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalità di polizia, da organi, uffici e comandi di polizia”;

Visto il decreto legge 28 gennaio 2019, n. 4, convertito, con modificazioni, dalla legge 28 marzo 2019, n. 26, recante disposizioni urgenti in materia di reddito di cittadinanza (di seguito Rdc) e di pensioni, che, all’art. 6, comma 1, prevede che “al fine di consentire l’attivazione e la gestione dei Patti per il lavoro e dei Patti per l’inclusione sociale, assicurando il rispetto dei livelli essenziali delle prestazioni, nonché per finalità di analisi, monitoraggio, valutazione e controllo del programma del Rdc, è istituito presso il Ministero del lavoro e delle politiche sociali il Sistema informativo del Reddito di cittadinanza. Nell’ambito del Sistema informativo operano due apposite piattaforme digitali dedicate al Rdc, una presso l’ANPAL, per il coordinamento dei centri per l’impiego, e l’altra presso il Ministero del lavoro e delle politiche sociali, per il coordinamento dei comuni, in forma singola o associata. Le piattaforme rappresentano strumenti per rendere disponibili le informazioni alle amministrazioni centrali e ai servizi territoriali coinvolti, nel rispetto dei principi di minimizzazione, integrità e riservatezza dei dati personali. A tal fine, con decreto del Ministro del lavoro e delle politiche sociali, sentiti l’ANPAL e il Garante per la protezione dei dati personali, previa intesa in sede di Conferenza unificata di cui all’articolo 8 del decreto legislativo 28 agosto 1997, n. 281, da adottare entro sessanta giorni dalla data di entrata in vigore del presente decreto, è predisposto un piano tecnico di attivazione e interoperabilità delle piattaforme e sono individuati misure appropriate e specifiche a tutela degli interessati, nonché modalità di accesso selettivo alle informazioni necessarie per il perseguimento delle specifiche finalità e adeguati tempi di conservazione dei dati”;

Visto, altresì, l’art. 6, comma 6, del medesimo decreto legge il quale prevede che “il Ministero del lavoro e delle politiche sociali, di concerto con il Ministero dell’economia e delle finanze, stipula apposite convenzioni con la Guardia di finanza per le attività di controllo nei confronti dei beneficiari del Rdc, nonché per il monitoraggio delle attività degli enti di formazione di cui all’articolo 8, comma 2, da svolgere nell’ambito delle ordinarie funzioni di polizia economico-finanziaria esercitate ai sensi del decreto legislativo 19 marzo 2001, n. 68. Per le suddette finalità ispettive, la Guardia di finanza accede, senza nuovi o maggiori oneri per la finanza pubblica, al Sistema informativo di cui al comma 1, ivi compreso il Sistema informativo unitario dei servizi sociali (SIUSS), di cui all’articolo 24 del decreto legislativo 15 settembre 2017, n. 147”;

Visto il decreto del Ministro del lavoro del 2 settembre 2019, in materia di Sistema informativo del Reddito di cittadinanza, attuativo del predetto art. 6, comma 1, sul quale il Garante si è espresso favorevolmente con il parere del 20 giugno 2019 (provvedimento n. 138 del 2019, doc. web n. 9122428), che, all’art. 7, prevede, in particolare, che:

“al Sistema informativo accede la Guardia di finanza per le attività di controllo nei confronti dei beneficiari del Rdc, nonché per il monitoraggio delle attività degli Enti di formazione di cui all’articolo 8, comma 2, del decreto-legge 28 gennaio 2019, n. 4, nei limiti e secondo modalità e termini di cui all’articolo 7 del presente decreto” (comma 2);

“per le attività di controllo nei confronti dei beneficiari, nonché per le attività di monitoraggio degli Enti di formazione, da svolgere nell’ambito delle ordinarie funzioni di polizia economico-finanziarie esercitate ai sensi del decreto legislativo 19 marzo 2001, n. 68, la Guardia di finanza, sulla base di apposite convenzioni stipulate con il Ministero del lavoro e delle politiche sociali di concerto con il Ministero dell’economia e delle finanze, ai sensi dell’art. 6, comma 6, del decreto-legge 28 gennaio 2019, n. 4, nonché dell’art. 47 del decreto legislativo 18 maggio 2018, n. 51, sentito il Garante per la protezione dei dati personali, accede, attraverso il Sistema informativo del Rdc, esclusivamente ai seguenti dati: a) dati personali di cui all’art. 3, comma 1, lettera a), numeri 1), 2), 3), 4), 6) e 9) e lettera b); b) comunicazioni obbligatorie di cui all’art. 9-bis del decreto-legge n. 510/1996; c) dati, eventualmente presenti relativi alle imprese, ai beneficiari del Rdc e agli enti, anche di formazione, destinatari degli incentivi; d) dati sui soggetti erogatori di servizi di assistenza intensiva cui sono corrisposti gli assegni di ricollocazione, ai sensi rispettivamente degli articoli 8 e 9 del medesimo decreto” (comma 3);

“nelle convenzioni di cui al comma 3 sono individuate misure atte ad assicurare che l’accesso ai dati personali trattati nell’ambito del Sistema informativo del Rdc da parte della Guardia di finanza, avvenga con misure tecniche e organizzative adeguate ai rischi presentati dal trattamento, idonee a garantire la sicurezza dei collegamenti e l’accesso selettivo alle informazioni necessarie alle specifiche finalità in concreto perseguite” (comma 4);

“con riferimento alle categorie particolari di dati personali di cui all’art. 9 del regolamento UE 2016/679 presenti tra le informazioni di cui al comma 3, l’accesso è limitato ai dati relativi alla salute dei beneficiari del Rdc ricavabili dalle prestazioni sociali erogate o contenuti nelle dichiarazioni presentate a fini ISEE ovvero nelle comunicazioni obbligatorie del datore di lavoro riguardo ai casi di collocamento mirato” (comma 5);

Vista la nota del 16 marzo 2020 con la quale il Ministero del lavoro e delle politiche sociali ha richiesto il parere del Garante sullo schema di convenzione da stipularsi, di concerto con il Ministero dell’economia e delle finanze, con la Guardia di finanza in attuazione dei citati art. 6, comma 6, del d.l. 4/2019 e dell’art. 7, comma 3, del decreto ministeriale, concernente le modalità operative di accesso al Sistema Rdc da parte della Guardia di finanza, nella quale è previsto, in particolare, che “il Ministero del lavoro delle politiche sociali e la Guardia di finanza mettono in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, ai sensi, rispettivamente, dell’articolo 32 del Regolamento (EU) 2016/679 e dell’articolo 25 del D.Lgs. 51/2018, tenuto anche conto delle modalità operative di accesso individuate nell’allegato 1” alla medesima convenzione;

Rilevato che nel predetto allegato 1 sono individuati, in particolare, i seguenti aspetti: le modalità di autenticazione, identificazione e gestione degli utenti, le modalità di identificazione degli utenti e relativo perimetro di sicurezza, gli utenti autorizzati ad accedere al Sistema Informativo del RdC, le modalità di avvio del servizio, i limiti e le condizioni relative al trattamento dei dati, il tracciamento degli accessi e delle operazioni, nonché l’attività di controllo sugli accessi e sulle operazioni compiute dagli utenti della Guardia di finanza;

Considerato che lo schema di convenzione e il relativo allegato 1, che ne costituisce parte integrante, tengono conto degli approfondimenti e delle indicazioni suggeriti dall’Ufficio del Garante ai competenti uffici del Ministero e della Guardia di finanza nel corso di riunioni e contatti informali, volti a perfezionare il testo e a rendere conformi alla disciplina in materia di protezione dei dati personali i trattamenti previsti dal provvedimento, riguardanti, in particolare:

la modalità di accesso al Sistema Informativo del RdC da parte della Guardia di finanza, basata sull’identità federata riservata agli utenti del Guardia di finanza;

la periodicità delle attività di verifica e revisione della sussistenza delle condizioni per la conservazione dei profili di autorizzazione attribuiti agli utenti della Guardia di finanza;

i limiti e le condizioni relative al trattamento dei dati effettuato nell’ambito del Sistema Informativo del RdC da parte della Guardia di finanza, prevedendo un divieto di utilizzo di dispositivi automatici (robot) che consentano di consultare in forma massiva i dati ivi contenuti, nonché l’introduzione di adeguati limiti al numero di soggetti interrogabili dagli utenti della Guardia di finanza con operazioni di consultazione multipla, sia in relazione a una singola operazione, sia alle operazione complessivamente effettuate in un giorno;

le modalità di tracciamento degli accessi e delle operazioni compiute sul Sistema Informativo del RdC dagli utenti della Guardia di finanza, i tempi di conservazione delle registrazioni degli accessi e delle operazioni, nonché il loro utilizzo a fini della verifica della liceità del trattamento.

Considerato, in ogni caso, che le categorie di dati accessibili e di interessati a cui i dati si riferiscono sono stati individuati direttamente nel citato art. 7, comma 3, del decreto ministeriale del 2 settembre 2019;

Ritenuto, pertanto, che lo schema di convenzione non presenta criticità, risultando conforme alla normativa in materia di protezione dei dati personali;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Licia Califano;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 58, par. 3, lett. b), del Regolamento, e dell’art. 37, comma 2, lett. c), del d.lgs. n. 51 del 2018, esprime parere favorevole sullo schema di convenzione tra il Ministero del lavoro e delle politiche sociali, di concerto con il Ministero dell’economia e delle finanze, e la Guardia di finanza, in attuazione dell’art. 6, comma 6, del d.l. 4/2019 e dell’art. 7, comma 3, del decreto del Ministro del Lavoro e delle politiche sociali del 2 settembre 2019.

Roma, 19 maggio 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia