Garante per la protezione dei dati personali: provvedimento n. 136 del 20 giugno 2019
Fatto
Il ministero del lavoro e delle politiche sociali ha richiesto al garante per la protezione dei dati personali, in data 13 giugno 2019, un parere relativamente ad uno schema di decreto destinato a individuare la disciplina per l’utilizzo della dichiarazione sostitutiva unica ai fini ISEE (cioè la cosiddetta DSU) pre-compilata.
In particolare, il decreto legislativo che ha introdotto la misura unica nazionale di contrasto alla povertà, modificato nel gennaio di quest’anno dalla legge sul reddito di cittadinanza, ha previsto la possibilità che la suddetta dichiarazione sostitutiva unica possa essere precompilato a da parte dell’Inps attraverso l’inserimento di informazioni che sono contenute all’interno dell’anagrafe tributaria, del catasto e della stessa Inps nonché attraverso le informazioni relative ai saldi e alle giacenze medie del patrimonio mobiliare l’interessato e del suo nucleo familiare. Il citato decreto legislativo ha altresì previsto che le modalità tecniche per l’utilizzo da parte dei cittadini della suddetta dichiarazione pre-compilata dall’Inps debbano essere individuate da un decreto del ministro del lavoro e delle politiche sociali, il quale dovrà definire anche le modalità attraverso le quali verranno riportate le eventuali omissioni o difformità che saranno riscontrate nei dati dichiarati dal cittadino qualora egli decida di non utilizzare la dichiarazione pre-compilata nonché individuare il momento dal quale sarà possibile utilizzare la modalità pre-compilata di presentazione della dichiarazione.
Il parere del Garante
Il garante per la protezione degli dati personali ha espresso parere favorevole rispetto allo schema di decreto che è stato sottoposto alla sua valutazione ai sensi dell’art. 36 del regolamento europeo, non avendo alcun rilievo da formulare.
In primo luogo, la autorità di controllo ha analizzato l’art. 2 del predetto schema di decreto, il quale si occupa di stabilire, al comma 2, le modalità con le quali il soggetto che effettua la dichiarazione può accedere direttamente alla DSU precompilata (non solo per sé stesso, ma anche per tutti gli altri soggetti maggiorenni che fanno parte del suo nucleo familiare e che lo hanno appositamente delegato in tal senso), stabilendo che lo stesso possa accedervi solo dopo aver fornito gli opportuni elementi di riscontro. Ebbene, secondo quando ritenuto dal garante privacy, detto articolo tiene conto dei rischi presentati dal trattamento dati effettuato attraverso detto accesso (rischi che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati) e – con la previsione di fornire i necessari elementi di riscontro –, stabilisce un adeguato livello di sicurezza ai sensi dell’art. 32, §2, del Regolamento europeo.
Per quanto riguarda l’art. 2, comma 3, il quale prevede che il soggetto che vuole utilizzare la DSU precompilata debba fornire gli stessi elementi di riscontro anche nel caso in cui egli intenda presentare la DSU tramite un CAF delegato, il Garante ha ritenuto che detto accorgimento appare rispettoso del livello di sicurezza richiesto dal predetto art. 32, § 2, del Regolamento europeo.
L’art. 2, comma 5, per il caso in cui l’interessato non voglia utilizzare la DSU precompilata ma invece voglia presentare una DSU in modalità NON precompilata, impone all’Inps e all’Agenzia delle Entrate di mettere a disposizione di detto interessato degli strumenti che siano in grado di impedire che vengano trattati i dati personali necessari all’elaborazione della DSU precompilata e all’attestazione dell’ Isee. Secondo il Garante privacy, quindi, la possibilità prevista dal citato comma 5 a favore dell’interessato di utilizzare strumenti con i quali impedire il trattamento dei dati personali, qualora non voglia usare il sistema della DSU precompilata, appare rispettoso ed attuativo del diritto di opposizione al trattamento sancito dall’ 21 del Regolamento europeo.
Il comma 6, dell’ art. 2, stabilisce che i riferimenti di eventuali DSU presentate e il nominativo del dichiarante che ha richiesto tali DSU vengano portati a conoscenza dell’ interessato all’interno delle apposite aree riservate dei siti dell’ Inps e dell’ Agenzia delle entrate. Secondo il Garante, quindi, tale disciplina appare rispettosa e attuativa del principio sancito dall’ art. 5, paragrafo 1, lettera a), del Regolamento europeo, secondo cui i dati personali devono essere trattati in modo trasparente nei confronti dell’ interessato (cd. principio di trasparenza).
Per quanto riguarda, infine, la disciplina della tempistica di utilizzo del sistema precompilato introdotto dal decreto legislativo di cui si è detto sopra, l’art. 2, comma 7, dello schema di decreto esaminato dal Garante, stabilisce che l’accesso all’ISEE precompilato sia consentito a decorrere dal 1° gennaio 2020.
L’ art. 4 del suddetto schema di decreto, invece, si occupa di individuare quali siano le informazioni, riferite anche agli altri componenti maggiorenni del nucleo familiare, che devono essere riportate nell’attestazione ISEE, qualora il dichiarante abbia omesso di indicare dei valori inerenti il patrimonio mobiliare oppure abbia fornito dei valori errati. Secondo il Garante privacy, quindi, l’individuazione specifica delle informazioni da inserire (e quindi da trattare) all’interno dell’ ISEE “in via correttiva” da parte del sistema, appare rispettoso e attuativo del principio sancito dall’ art. 5, paragrafo 1, lett. c), del Regolamento europeo, secondo cui i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (cd. Principio di minimizzazione dei dati).
In conclusione, per quanto riguarda le specifiche tecniche per poter accedere alla DSU precompilata e i meccanismi di delega da parte degli interessati, l’art. 6 non individua tali aspetti, ma rimanda a un successivo disciplinare tecnico, che dovrà essere approvato con un provvedimento congiunto del Direttore dell’ INPS e del Direttore dell’Agenzia delle entrate, sentito il Garante per la protezione dei dati personali. Inoltre, tale disciplinare tecnico, dopo aver compiuto una adeguata valutazione di impatto sulla protezione dei dati, dovrà altresì adottare le misure appropriate, anche sul piano della sicurezza, per la tutela dei dati personali.
In ragione di ciò, il Garante della privacy si è riservato di valutare detto disciplinare tecnico al fine di controllare e accertare se le misure individuate per la protezione dei dati personali appaiano effettivamente efficaci per tutelare i diritti e le libertà degli interessati.
Volume consigliato
Scrivi un commento
Accedi per poter inserire un commento