Reddito di cittadinanza e tutela della Privacy

Con memoria in data 08 febbraio 2019, il Garante Privacy interviene sul ddl di conversione del D.L. 28 gennaio 2019, n. 4, Recante disposizioni urgenti in materia di reddito di cittadinanza e pensioni.

Il Garante osserva anzitutto che «il prospettato meccanismo di riconoscimento, erogazione e gestione del reddito di cittadinanza (di seguito Rdc) comporta il trattamento su larga scala di dati personali, riferiti ai richiedenti e ai componenti il suo nucleo famigliare» trattandosi di «dati relativi allo stato di salute e all'eventuale sottoposizione a misure restrittive della libertà personale».

In modo particolare e preliminarmente si rileva come non sia stato richiesto il parere «di cui all’art. 36, par. 4 del Regolamento Generale sulla protezione dei dati ove è disciplinata la consultazione preventiva dell’Autorità» con la conseguente impossibilità di «evidenziare nel dettaglio i rischi derivanti dalle diverse attività di trattamento (…) individuare preventivamente misure idonee a mitigarli così da evitare limitazioni dei diritti degli interessati sproporzionate e ingiustificate rispetto al legittimo obiettivo di interesse pubblico perseguito».

Fatta questa premessa il Garante rileva che il decreto legge contiene previsioni «inidonee a definire con sufficiente chiarezza le modalità di svolgimento delle procedure di consultazione e verifica delle varie banche dati»: nel dettaglio alcune disposizioni del decreto legge «presuppongono un massivo flusso di informazioni tra quelle assistite dalla maggior tutela, ivi incluse quelle presenti negli archivi dei rapporti finanziari tra diversi soggetti pubblici».

Si imputa al Governo di avere previsto tutto questo «in assenza di un'adeguata cornice di riferimento che individui pertinenti regole di accesso selettivo alle banche dati, introduca accorgimenti idonei a garantire la qualità e l’esattezza dei dati, nonché misure tecniche e organizzative volte a scongiurare i rischi di accessi indebiti, utilizzi fraudolenti dei dati o violazione dei sistemi informativi, oltre a procedure idonee a garantire agli interessati l’agevole esercizio dei loro diritti».

Venendo poi alle attività di monitoraggio delle quali tanto si è parlato all’epoca dell'approvazione del decreto legge «altrettante perplessità» suscita nel Garante «la disposizione che attribuisce agli operatori dei Centri per l’Impiego e dei servizi comunali la funzione di monitoraggio dei consumi e dei comportamenti dei beneficiari, nonché di valutazione di eventuali anomalie dalle quali si possa dedurre l'insussistenza dei requisiti dichiarati (art. 6, comma 6)».

Ad interessare l’attività di vigilanza cui è preposto il Garante sono in modo particolare «i controlli puntuali sulle scelte di consumo individuali, condotti dagli operatori dei centri per l'impiego e dei servizi comunali in assenza di procedure ben definite e di criteri normativamente individuati» cosicché «le legittime esigenze di verifica di eventuali abusi e comportamenti fraudolenti si traducono in una sorveglianza su larga scala continua e capillare sugli utilizzatori della carta, determinando così un’intrusione sproporzionata e ingiustificata su ogni aspetto della vita privata degli interessati». In conclusione il Garante rileva come il Decreto Legge sia stato approvato e venga attuato in aperta violazione «rispetto a quanto richiede il Regolamento Europeo (Artt. 24 e 25)».

Venendo a cosa il Garante richiede per la riconduzione in un ambito di conformità al regolamento del decreto, «dovranno essere puntualmente definiti i presupposti per l'avviamento di tali attività di monitoraggio e individuate le tipologie di controllo, i criteri per la classificazione dei comportamenti anomali, nonché i soggetti legittimati allo svolgimento di tali attività, le garanzie per gli interessati e i tempi di conservazioni dei dati», in pratica l’intero arco di tutela dei dati sensibili che, stando a questa valutazione del Garante, il Decreto istitutivo del Reddito di cittadinanza, al momento, non tutelerebbe in alcun modo.

E pure in relazione alle «attestazioni ISEE (art. 11, comma 2, lett. d) n. 2)» non mancano le perplessità, visto che esse sono «suscettibili di pregiudicare la sicurezza dei dati contenuti nell'anagrafe tributaria e, soprattutto, nell’archivio dei rapporti finanziari dell’Agenzia delle Entrate, finora inaccessibili persino nell’ambito delle normali attività di controllo tributario, in ragione degli elevati rischi connessi al relativo trattamento di tal informazioni».

Il garante fa un preciso richiamo alla necessità di evitare «anche soltanto il rischio di fraudolente sostituzioni di identità presso i CAF, ovvero di attacchi informatici, facilitati anche dal coinvolgimento degli stessi CAF e dei relativi sistemi informativi (non sempre adeguatamente protetti) nella filiera del trattamento».