Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Regioni e riqualificazione professionale: sì del Garante privacy alla consultazione della banca dati dell'Inps - 7 ottobre 2009 [1658413]

[doc. web n. 1658413]

[vedi newsletter]

Regioni e riqualificazione professionale: sì del Garante privacy alla consultazione della banca dati dell’Inps - 7 ottobre 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la comunicazione dell'Istituto nazionale per la previdenza sociale ai sensi degli artt. 19 e 39 del Codice (prot. n. 0061.06.10.2009.000249);

Visto l'art. 17 del regolamento n. 1/2007 del 14 dicembre 2007 concernente le procedure interne all'Autorità aventi rilevanza esterna, disponibile sul sito istituzionale www.garanteprivacy.it, doc. web n. 1477480, e pubblicato in G.U. n. 7 del 9 gennaio 2008;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale, ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

L'Istituto nazionale per la previdenza sociale (Inps) ha comunicato al Garante, ai sensi degli artt. 19, comma 2, e 39, comma 1, lett. a), del Codice, di voler consentire alle Regioni e alle Province autonome, pur in assenza di un'espressa previsione di legge o di regolamento, l'accesso al sistema informativo dei percettori delle misure di sostegno al reddito (di seguito, banca dati percettori) istituita presso l'Inps ai sensi dell'art. 19, comma 4, del d.l. 29 novembre 2008, n. 185 recante "Misure urgenti per il sostegno a famiglie, lavoro, occupazione e impresa e per ridisegnare in funzione anti-crisi il quadro strategico nazionale" conv. con modif. in l. 28 gennaio 2009, n. 2.

Secondo quanto rappresentato dall'Inps, l'accesso da parte di tali enti alla predetta banca dati sarebbe giustificato dalla necessità di consentire a questi ultimi lo svolgimento delle funzioni istituzionali in materia di politiche attive del lavoro (cfr. art. 2 d.lg. 23 dicembre 1997, n. 469) in ragione della prevista compartecipazione -con le risorse dei programmi operativi regionali cofinanziati dal Fondo sociale europeo- al finanziamento delle misure di sostegno al reddito introdotte per fronteggiare la crisi economica (artt. 18 e 19, comma 8, del citato d. l. n. 185/2008; accordo fra Governo, Regioni e Province autonome del 12 febbraio 2009).

La contribuzione finanziaria regionale sarebbe, infatti, destinata ad "azioni combinate di politica attiva e di completamento del sostegno al reddito" sulla base di quanto deciso dal citato accordo fra Governo, Regioni e Province autonome siglato il 12 febbraio 2009, comportando quindi la responsabilità in capo a tali enti di programmare, gestire e attuare gli interventi, oltre che di rendicontare successivamente a livello europeo le spese sostenute.

In particolare, secondo quanto convenuto in sede comunitaria in data 27 maggio 2009 e documentato in atti, affinché le spese sostenute dalle Regioni e dalle Province autonome siano ammesse al cofinanziamento del Fondo sociale europeo, è necessario che:

• il percorso di politiche attive sia stato effettivamente realizzato;

• il beneficiario del percorso e dell'indennità di sostegno al reddito sia il medesimo, nominativamente individuato;

• l'indennità rendicontabile sia stata percepita nell'ambito del percorso di politica attiva;

• il percorso attivato sia idoneo a giustificare l'erogazione dell'indennità; esiste cioè una proporzione equilibrata tra le operazioni realizzate e il valore dell'indennità erogata.

Per quanto concerne i profili relativi al rispetto dei principi di pertinenza e non eccedenza dei dati trattati di cui all'art. 11, comma 1, lett. d), del Codice, l'Inps ha dichiarato che è stato implementato "un sistema di accessibilità differenziata alle informazioni contenute nella banca dati, consentendo l'accesso ai singoli soggetti in relazione allo specifico ruolo istituzionale svolto da ciascuno nonché all'ambito territoriale della propria azione".

L'Istituto ha specificato, quindi, che i dati consultabili da parte delle Regioni e delle Province autonome saranno circoscritti ai seguenti, così selettivamente individuati:

• anagrafica (codice fiscale, nome e cognome, data e luogo di nascita, residenza, domicilio, cittadinanza);

• prestazioni (tipologia, decorrenza, data fine prevista, giornata/ore beneficiate; indennità spettante, importo erogato, sospensione, rigetto);

• rapporto di lavoro (dati anagrafici dell'azienda, data inizio, data fine, macrocategoria di qualifica, settore professionale, ultima retribuzione, giornate utili al calcolo della prestazione);

• Fondo a cui fanno carico le prestazioni;

• dichiarazione di immediata disponibilità (DID) e esistenza di susseguenti offerte di lavoro e di formazione accettate/rifiutate/in corso di svolgimento;

• sgravi contributivi e incentivi per il datore di lavoro che assume il percettore del trattamento.

Con riferimento alla sicurezza degli accessi, l'Inps ha inoltre evidenziato che saranno adottate adeguate misure di sicurezza, nel pieno rispetto del Codice. In particolare, l'Istituto ha assicurato che "ai fini dell'accesso, gli utenti legittimati dovranno munirsi di apposito Pin e password che l'Inps provvederà a modificare periodicamente, in attesa di applicare un sistema evoluto di accesso in corso di sperimentazione. Tali credenziali saranno rilasciate dalle sedi Inps a fronte di regolare richiesta proveniente dalla regione. Le richieste di accesso così formulate riguarderanno singole persone fisiche che opereranno sotto la loro responsabilità civile e penale".

Occorre, infine, precisare che la richiesta formulata dall'Inps tiene conto delle modifiche e integrazioni suggerite all'Istituto nel corso di contatti informali e di un incontro, in particolare per quanto riguarda l'individuazione della tipologia di informazioni da comunicare alle Regioni e alle Province autonome.

OSSERVA

Allo stato degli elementi esaminati, in considerazione delle prospettate esigenze derivanti dalla compartecipazione regionale al finanziamento dei c.d. ammortizzatori sociali in deroga alla normativa vigente, introdotti dal Governo a tutela dei lavoratori colpiti dalla crisi economica, l'accesso delle Regioni e delle Province autonome al sistema informativo dei percettori di misure di sostegno al reddito istituito presso l'Inps ai sensi dell'art. 19, comma 4, del d.l. n. 185/2008 conv. con modif. in l. n. 2/2009 risulta necessario, pur in assenza di un'espressa previsione di legge o di regolamento, al fine di consentire agli enti regionali il corretto svolgimento delle proprie funzioni istituzionali in materia di offerta di percorsi formativi e di politiche attive del lavoro, nonché l'ottenimento del previsto rimborso da parte della Commissione europea.

In particolare, le finalità istituzionali perseguite dalle Regioni e dalle Province autonome attraverso l'accesso alla predetta banca dati possono essere correttamente ricondotte all'avviamento al lavoro e alla formazione professionale dei lavoratori residenti da reinserire nel mercato del lavoro, nonché alla rendicontazione del sostegno economico erogato; rispetto a tali finalità risultano quindi pertinenti e non eccedenti i dati personali oggetto di comunicazione da parte dell'Inps sopra individuati.

Al riguardo, non vi sono osservazioni da formulare a condizione che l'Inps, in conformità a quanto dichiarato in atti, assicuri l'accesso selettivo alle informazioni individuate in premessa ed il loro utilizzo proporzionato rispetto alle finalità perseguite in relazione allo specifico ruolo istituzionale svolto, nonché all'ambito territoriale delle azioni di competenza al fine di garantire il rispetto dei principi di proporzionalità, pertinenza e non eccedenza nel trattamento dei dati (art. 11 del Codice).

In considerazione della temporaneità delle previste modalità di compartecipazione regionale alle misure di sostegno al reddito, l'Inps dovrà individuare un termine entro il quale disabilitare l'accesso degli enti regionali alla banca dati in funzione dell'esaurimento dei compiti regionali in materia di gestione e attuazione degli interventi, nonché di rendicontazione a livello europeo (art. 11 del Codice; accordo fra Governo, Regioni e Province autonome del 12 febbraio 2009).

Sotto il profilo della sicurezza nella trasmissione delle informazioni e degli accessi alla banca dati, occorre tuttavia rilevare che sulla base di quanto dichiarato dall'Inps non è possibile, allo stato degli atti, valutare in concreto la conformità delle misure previste rispetto alle prescrizioni contenute nel Codice.

In ogni caso, fermo restando il rispetto delle misure previste dagli artt. 33 e ss. del Codice e dal relativo disciplinare tecnico (cfr. in particolare, regole 2, 5, 6 e 14), in presenza di un sistema informativo che prevede accessi da parte di soggetti esterni all'amministrazione, occorre che l'Inps predisponga strumenti e procedure, individuati con dettaglio nel dispositivo, per rafforzare il meccanismo di autorizzazione e autenticazione di soggetti abilitati ad accedere alla banca dati e per delimitare nel tempo e nella localizzazione sulla rete la possibilità di accesso alla banca dati.

Ciò, ferma restando l'esigenza di esaminare organicamente, in altra sede e in un più ampio contesto, l'ulteriore incremento di livelli di sicurezza da garantire rispetto a trattamenti di dati quali quelli in esame.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 39, comma 2, e 154, comma 1, lett. c), del Codice, non ha osservazioni da formulare in ordine all'accesso da parte delle Regioni e delle Province autonome alla banca dati dei percettori di misure di sostegno istituita ai sensi dell'art. 19, comma 4, del d.l. 29 novembre 2008, n. 185 conv. con modif. in l. 28 gennaio 2009, n. 2, a condizione che l'Inps:

A. assicuri l'accesso selettivo alle informazioni individuate in premessa;

B. individui un termine entro il quale disabilitare l'accesso delle Regioni e delle Province autonome alla banca dati in funzione dell'esaurimento dei compiti regionali in materia di gestione e attuazione degli interventi, nonché di rendicontazione a livello europeo;

C. predisponga strumenti e procedure per rafforzare il meccanismo di autorizzazione e autenticazione degli soggetti abilitati ad accedere alla banca dati e per delimitare nel tempo e nella localizzazione sulla rete la possibilità di accesso alla banca dati prevedendo che:

1. gli accessi alla banca dati avvengano soltanto tramite l'uso di postazioni di lavoro appartenenti alla rete Ip dell'ente autorizzato o/e dotate di certificazione digitale che identifichi univocamente la postazione di lavoro nei confronti dell'erogatore del servizio;

2. laddove l'accesso alla banca dati avvenga su rete pubblica (Internet) e in forma di web application, l'applicazione sia implementata con protocolli https/ssl provvedendo ad asseverare l'identità digitale dei server erogatori dei servizi tramite l'utilizzo di certificati digitali emessi da una Certification Authority ufficiale;

3. l'accesso ai dati avvenga previa stipula di apposite convenzioni tra l'Inps e le Regioni e delle Province autonome volte a circoscrivere, in conformità al presente provvedimento, le finalità (formazione, reinserimento nel mercato del lavoro e rendicontazione) per le quali è consentito il trattamento dei dati comunicati dall'Inps all'interno dell'ente e i vincoli per assicurarne la correttezza; le convenzioni devono predefinire anche le soglie relative al numero di utenti abilitabili da ciascuna Regione e Provincia autonoma;

4. nelle convenzioni sia disciplinata altresì la procedura da seguire per le autenticazioni e le autorizzazioni degli utenti; tale procedura deve individuare, all'interno dell'ente regionale, il soggetto giuridicamente preposto alla designazione degli utenti e dei rispettivi profili, il quale deve istruire adeguatamente il personale incaricato in ordine alla correttezza degli accessi; le Regioni e le Province autonome devono assicurare un flusso di comunicazione tra tale soggetto e l'articolazione interna che si occupa della gestione delle risorse umane al fine di procedere alla tempestiva revisione del profilo di abilitazione o alla disabilitazione dei soggetti preposti ad altre mansioni o che abbiano cessato il rapporto di lavoro, anche con apposite verifiche a cadenza almeno trimestrale;

5. sia previsto che la password, comunicata al singolo incaricato separatamente rispetto al codice per l'identificazione, sia modificata dallo stesso al primo utilizzo e, successivamente, almeno ogni tre mesi;

6. siano introdotti meccanismi volti a garantire che gli accessi avvengano esclusivamente nell'ambito di intervalli temporali o di data predeterminati, definiti sulla base delle esigenze d'ufficio;

7. nella prima schermata successiva al collegamento con la banca dati, siano visualizzabili le informazioni relative all'ultima sessione effettuata con le stesse credenziali (almeno con l'indicazione di data, ora e indirizzo di rete da cui è stata effettuata la precedente connessione). Le stesse informazioni devono essere riportate anche relativamente alla sessione corrente;

8. venga disciplinata la possibilità di effettuare accessi contemporanei con le medesime credenziali, limitandone l'utilizzo ai soli casi necessari per esigenze di servizio.

Roma, 7 ottobre 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Patroni Griffi