Garante per la protezione dei dati personali: provvedimento n. 156 del 30 luglio 2019
Premessa
La legge sul reddito di cittadinanza ha previsto i lavoratori possano richiedere, nel caso in cui abbiano delle apposite certificazioni rilasciate dall’ente che eroga il trattamento di fine rapporto lavorativo, un’anticipazione di detto trattamento di fine rapporto attraverso la richiesta di finanziamento di una somma, corrispondente all’importo che dovrebbero ottenere a titolo di TFR, rivolta a banche e intermediari finanziari che aderiscono all’apposito accordo quadro che dovrà essere stipulato tra i ministeri competenti e l’associazione bancaria italiana.
Detta legge prevede, poi, l’adozione di un Regolamento ministeriale per dare attuazione a tale possibilità di richiesta di anticipo del TFR.
La Presidenza del consiglio dei ministri ha così richiesto al Garante per la protezione dei dati personali di esprimersi, con il parere oggetto del presente commento, su di uno schema del suddetto regolamento attuativo il quale reca la disciplina dei criteri, delle condizioni e degli adempimenti per richiedere l’anticipo del trattamento di fine rapporto, nonché i criteri, le condizioni e le modalità di funzionamento dell’istituendo Fondo di garanzia, che sarà gestito dall’INPS, necessario per poter accedere al suddetto finanziamento / anticipo.
Lo schema di regolamento si compone di 16 articoli e, come detto, si occupa – in primo luogo – di individuare i criteri, le condizioni e gli adempimenti per l’accesso all’anticipo della liquidazione dell’indennità di fine servizio, del trattamento di fine rapporto, dell’indennità di premio di servizio e di buonuscita, di anzianità e delle altre indennità di fine servizio o indennità equipollenti corrisposte una-tantum comunque esse siano denominate, che spettano al lavoratore che ha cessato, a vario titolo, il proprio rapporto di impiego. In secondo luogo, lo schema di regolamento disciplina il funzionamento del Fondo di garanzia.
Per quanto riguarda gli articoli di interesse ai fini della disciplina in materia di protezione personali, l’articolo 3 identifica i soggetti che possono ottenere l’anticipo del TFR, mentre il successivo articolo 4 stabilisce le caratteristiche e la natura giuridica del contratto di anticipazione del TFR.
L’articolo 5 si occupa, invece, di disciplinare le modalità con cui deve essere presentata la domanda per ottenere le certificazioni necessarie, da parte dell’Ente che eroga il TFR, per ottenere la anticipazione. In particolare, viene previsto che tale domanda sia presentata all’INPS o all’ente che si occupa della erogazione del TFR, anche attraverso domanda on-line direttamente dall’utente attraverso un proprio PIN oppure attraverso patronati o intermediari INPS. Dopo aver ricevuto la domanda, l’INPS o l’altro ente interessato comunica, anche attraverso modalità telematiche, la certificazione del diritto all’anticipo e il suo ammontare oppure il rigetto della domanda (in caso di mancanza dei requisiti).
L’articolo 6 disciplina la fase successiva: quella della richiesta del finanziamento alla banca. In particolare, viene previsto che l’interessato presenti alla banca la domanda di anticipo, la relativa documentazione e la propria accettazione della proposta di contratto di anticipo che è predisposta dalla banca in base a un modello che sarà concordato con il Ministero. Dopo di che l’INPS o l’ente erogatore del TFR acquisisce la garanzia dal Fondo di garanzia e comunica alla banca di aver preso atto della conclusione del contratto e di aver conseguentemente dichiarato indisponibile l’importo dell’anticipo del TFR. L’iter si conclude nei successivi 15 giorni entro i quali la banca deve accreditare le somme sul conto corrente del lavoratore richiedente.
L’articolo 8 si occupa delle ipotesi in cui la richiesta di anticipo non viene accolta in quanto il lavoratore risulta iscritto negli archivi della centrale rischi della Banca di Italia o in altri registri privati di informazione creditizia per debiti scaduti.
Gli articoli da 9 a 13 si occupano del Fondo di garanzia, disciplinando il suo funzionamento.
Infine, l’articolo 15 disciplina l’accordo quadro che dovrà essere stipulato tra i Ministeri coinvolti e l’ABI (sentito il parere dell’INPS).
Il parere del Garante
Preliminarmente il garante per la protezione dei dati personali ha rilevato come il trattamento di dati personali che verrà compiuto in base a quanto previsto dal regolamento esaminato, appare necessario per l’esecuzione di un compito di interesse pubblico o comunque connesso all’esercizio di pubblici poteri (quale base giuridica del trattamento ai sensi del Regolamento europeo n. 679 del 2016) e pertanto tali pubblici poteri dovranno individuare delle disposizioni specifiche per il bilanciamento dell’interesse alla tutela dei dati personali con quelli connessi al trattamento stesso, stabilendo le condizioni di liceità del trattamento, i periodi di conservazione e le misure di sicurezza.
Ciò detto, il Garante ha analizzato i vari articoli contenuti nello schema di regolamento formulando le proprie osservazioni.
In primo luogo, il Garante ha rilevato che il trattamento dati compiuto nel procedimento di richiesta di anticipo del TFR coinvolge un numero di soggetti elevato: INPS, enti pubblici erogatori del TFR, patronati, intermediari INPS, banche, Ministero dell’economia. In ragione di ciò, nel Regolamento dovranno essere individuati con precisione tali soggetti coinvolti che possono trattare i dati personali dell’interessato e dovranno essere altresì individuati in maniera chiara i rispettivi compiti e le rispettive responsabilità: soprattutto, dovrà essere attribuita la qualifica di titolare del trattamento e quella di responsabile ad ognuno dei suddetti soggetti (a seconda dei rispettivi compiti). Inoltre, tutte queste informazioni dovranno essere fornite all’interessato.
Per fare ciò, secondo il Garante dovrà essere prevista un apposito articolo dedicato alla disciplina della privacy: con l’indicazione del ruolo dei soggetti coinvolti, delle finalità del trattamento, delle modalità di trasmissione dei dati e dei periodi di conservazione.
Per quanto riguarda l’articolo 5, il Garante suggerisce che i patronati e gli intermediari che possono essere delegati alla presentazione della domanda debbano avere una specifica delega da parte dell’interessato e debbono controllare la validità di tale delega.
Per quanto riguarda le modalità di presentazione on-line della domanda, il garante suggerisce che per poter accedere a tale modalità l’INPS debba rilasciare al lavoratore un PIN oppure un altro dispositivo di autenticazione previsto dal CAD (codice dell’amministrazione digitale).
Relativamente, infine, alle specifiche tecniche e alle misure di sicurezza dei flussi di dati, le quali dovranno essere definite con l’accordo quadro che dovrà essere stipulato tra i ministeri competenti e l’ABI, il Garante ricorda che tali misure dovranno necessariamente rispettare i principi di minimizzazione e di integrità dei dati di cui alla normativa in materia di privacy, e suggerisce di sottoporre al Garante lo schema di detto accordo quadro al fine di esprimere il proprio parere sulla idoneità delle misure che saranno previste a garantire il rispetto della normativa in materia di protezione dei dati personali.
Volume consigliato
Scrivi un commento
Accedi per poter inserire un commento