https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9195252
Precedenti pareri del Garante: parere 28 luglio 2016; parere 26 luglio 2017; parere 7 novembre 2018 (relativi all’estensione dei benefici economici della carta ai soggetti che compivano 18 anni nel 2017 e 2018); parere 17 gennaio 2019 (su uno schema di “contratto esecutivo” tra il MIBACT e SOGEI).
Fatto
La legge di bilancio del 2018 ha introdotto il cosiddetto “bonus cultura” per i diciottenni. In particolare, la suddetta normativa ha riconosciuto a tutti i soggetti residenti in Italia (eventualmente in possesso del permesso di soggiorno in corso di validità, laddove extracomunitari) e che abbiano compiuto 18 anni nel 2019, una carta elettronica contenente l’importo da determinarsi da parte del Ministero dell’economia di concerto con quello della cultura, che tali soggetti possono utilizzare per acquistare biglietti di teatro o cinema, libri, musica registrata, biglietti di musei, mostre e eventi culturali, biglietti di accesso a monumenti, gallerie, parchi naturali e archeologici oppure per sostenere i costi dei corsi di musica, di teatro o di lingua straniera.
In applicazione di tale normativa, il ministero per i beni e le attività culturali, di concerto con il ministero dell’economia, ha adottato uno schema di regolamento contenente le modalità per attribuire detta carta elettronica e quelle di suo utilizzo.
In considerazione del fatto che tale schema di regolamento incide sui dati personali, il ministero della cultura ha richiesto il parere al garante per la protezione dei dati personali.
Il parere del Garante
Il garante per la protezione dei dati personali, preliminarmente, ha rilevato come lo schema di regolamento, sostanzialmente, confermi i contenuti e le modalità che erano già previste nel regolamento che nel 2016 aveva disciplinato il “bonus cultura” per quell’anno (nonché quelli che nei successivi anni 2017 e 2018 avevano disciplinato i “bonus” per tali annualità).
In particolare, il garante ha rilevato come anche nell’ultimo regolamento venga prevista l’utilizzabilità della carta elettronica attraverso l’accesso alla rete Internet e l’importo riconosciuto ad ogni destinatario sia di €.500 e che lo stesso possa essere utilizzato attraverso voucher di spesa elaborati dopo registrazione in una piattaforma on-line appositamente dedicata.
Il primo elemento di particolarità rispetto ai regolamenti passati evidenziato dal garante riguarda il fatto che nello schema di regolamento in esame venga previsto che l’amministrazione, al momento dell’autenticazione nel portale da parte del beneficiario attraverso il sistema SPID, acquisisce anche l’indirizzo e-mail dei beneficiari. Per il resto viene confermato il sistema precedente, per il quale il destinatario della carta, successivamente alla registrazione nel portale, genera uno o più voucher, individuali e nominativi, che dovranno essere consegnati agli esercizi commerciali che si sono registrati della piattaforma al momento dell’acquisto dei prodotti. L’ultima novità prevista dallo schema di regolamento in esame riguarda, invece, il fatto che gli esercizi commerciali dove possono essere utilizzati i voucher sono obbligati a tenere un registro di vendita con i dati delle transazioni che hanno effettuato attraverso l’uso del voucher.
Premesso tutto quanto sopra, il garante per la protezione dei dati personali ha formulato alcune osservazioni rispetto allo schema di regolamento proposto dal ministero.
In primo luogo, per quanto riguarda la previsione secondo cui l’amministrazione acquisisce l’indirizzo e-mail dei beneficiari, con il fine di utilizzare tale dato come modalità di contatto con il beneficiario per fornirgli comunicazioni relative all’attribuzione e all’utilizzo della carta elettronica, il garante ha rilevato come tale dato del destinatario viene trattato dall’amministrazione ogni volta che l’interessato accede al servizio autenticandosi al portale. Ebbene, posto che tali dati vengono raccolti dalla società SOGEI, il nome per conto del ministero, il garante ha sollecitato il ministero richiedente a valutare se, rispetto alla finalità sopra indicata di comunicazione con il beneficiario, appare proporzionato il fatto che l’indirizzo e-mail dei beneficiari venga acquisito e memorizzato ad ogni singolo accesso al portale oppure se sia opportuno consentire all’interessato di indicare direttamente un indirizzo e-mail al quale ricevere le comunicazioni relative alla carta elettronica.
In secondo luogo, il garante per la protezione dei dati personali ha posto la propria attenzione sulla individuazione del titolare del trattamento dei dati personali e dei responsabili che, secondo quanto previsto dallo schema di regolamento, sono identificati rispettivamente nel ministero della cultura e nella società SOGEI e nel CONSAP. Rispetto a tale profilo, lo schema di regolamento stabilisce che il titolare del trattamento deve disciplinare le modalità e i tempi di gestione e di conservazione dei dati personali. Ebbene, il garante ha rilevato preliminarmente che gli anni precedenti (in particolare 2017 e 2018) il ministero aveva adottato dei provvedimenti attuativi per i bonus cultura di quegli anni che presentavano dei profili di criticità. In considerazione di ciò, il garante ha avvertito il ministero che egli è in attesa di ricevere lo schema del provvedimento attuativo relativo all’anno in corso per fornire il proprio parere. Con ciò, evidentemente, sollecitando in maniera implicita il ministero a superare le criticità che erano già state assegnate negli anni precedenti per quanto riguarda la designazione del responsabile del trattamento dei dati personali. Inoltre, posto che lo schema di regolamento attribuisce al ministero della cultura il compito di designare il responsabile, il garante ha evidenziato come la suddetta disposizione deve essere adeguata alla nuova normativa in materia di trattamento dei dati personali prevista dal regolamento europeo (GDPR), il quale stabilisce che i trattamenti di dati personali affidati ad un responsabile devono essere disciplinati da un contratto o da un altro atto giuridico per individuare gli obblighi e le responsabilità che hanno, da una parte, il titolare e, dall’altra parte, il responsabile del trattamento. Pertanto, secondo il garante, lo schema di regolamento dovrebbe prevedere che il ministero della cultura stipuli un contratto con il responsabile del trattamento o comunque emani un atto giuridico diverso (rientrante tra quelli previsti dal GDPR) per stabilire gli obblighi e le responsabilità del titolare e quelle del responsabile del trattamento.
In conclusione, per quanto riguarda il registro delle vendite che gli esercizi commerciali devono tenere con riferimento alle transazioni effettuate attraverso i voucher del “bonus cultura”, dallo schema di regolamento non è chiaro quali siano le informazioni che detti esercenti debbono trattare nel registro: ciò in considerazione del fatto che lo schema di regolamento rimanda genericamente alle “condizioni d’uso”. Ebbene, secondo il garante, l’amministrazione deve approfondire tale aspetto e verificare quali dati personali dei beneficiari devono essere trattati attraverso il registro vendite da parte degli esercenti commerciali e individuare le garanzie da applicare per tutelare detti dati.
Il garante ha, quindi, concluso il proprio parere formulando al ministero le suddette osservazioni affinché quest’ultimo possa integrare il proprio schema di regolamento.
Volume consigliato
Scrivi un commento
Accedi per poter inserire un commento