[doc. web n. 3843693]

Parere  sullo schema di decreto direttoriale Inps sui flussi informativi e sulla sicurezza della Banca dati delle prestazioni sociali agevolate - 2 aprile 2015

Registro dei provvedimenti
n. 195 del 2 aprile 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Codice in materia di protezione dei dati personali, d.lgs. 30 giugno 2003, n. 196 (di seguito Codice);

Visto il decreto legge 6 dicembre 2011, n. 201, convertito in legge, con modificazioni, dall´art. 1, comma 1, della legge 22 dicembre 2011, n. 214, recante "disposizioni urgenti per la crescita, l´equità e il consolidamento dei conti pubblici";

Visto l´art. 5 del citato decreto legge, in base al quale è previsto, in particolare, che "con decreto del Ministro del lavoro e delle politiche sociali, di concerto con il Ministro dell´economia e delle finanze, sono definite le modalità con cui viene rafforzato il sistema dei controlli dell´ISEE, anche attraverso la condivisione degli archivi cui accedono la pubblica amministrazione e gli enti pubblici e prevedendo la costituzione di una banca dati delle prestazioni sociali agevolate, condizionate all´ISEE, attraverso l´invio telematico all´INPS, da parte degli enti erogatori, nel rispetto delle disposizioni del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, delle informazioni sui beneficiari e sulle prestazioni concesse";

Visto il decreto interministeriale 8 marzo 2013, emanato, ai sensi dell´art. 5 del citato decreto legge, dal Ministero del lavoro e delle politiche sociali, recante la "definizione delle modalità di rafforzamento del sistema dei controlli dell´ISEE" e concernente la costituzione della Banca dati delle prestazioni sociali agevolate;

Visti, in particolare, gli artt. 2, comma 5, e 5, comma 5, del citato decreto interministeriale che prevedono, rispettivamente, che "le modalità attuative e le specifiche tecniche per l´acquisizione, la trasmissione e lo scambio delle informazioni e dei dati di cui al comma 2, sentito il Garante per la protezione dei dati personali, sono definite dall´INPS con decreto direttoriale, nel rispetto delle disposizioni del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196" (art. 2, comma 5) e che "al fine dell´applicazione delle disposizioni sulle misure di sicurezza, ai sensi dell´art. 31 e seguenti del decreto legislativo 30 giugno 2003, n. 196, l´INPS, sentiti il Ministero del lavoro e delle politiche sociali e il Garante per la protezione dei dati personali, approva con decreto direttoriale il disciplinare tecnico contenente le misure di sicurezza, atte a ridurre al minimo i rischi di distruzione o perdita anche accidentali dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. In particolare, il disciplinare specifica le regole tecniche in conformità alle quali le procedure di sicurezza relative al software e ai servizi telematici garantiscono la riservatezza dei dati trattati nell´ambito della banca dati" (art. 5, comma 5);

Viste le note con le quale l´Istituto Nazionale di Previdenza Sociale (di seguito Inps), ha chiesto il parere del Garante sullo schema di decreto direttoriale inerente le "modalità attuative dei flussi informativi e disciplinare tecnico per la sicurezza, ai sensi dell´art. 2, comma 5, e dell´art. 5, comma 5, del d.m. 8 marzo 2013- Banca dati delle prestazioni sociali agevolate" (nota INPS 0064. 27/02/2014.0001799 e INPS.0064.02/10/2014.0011675);

Vista la successiva nota con la quale l´Inps, facendo seguito alle citate richieste di parere, ha trasmesso un nuovo schema di decreto direttoriale inerente le "modalità attuative dei flussi informativi e disciplinare tecnico per la sicurezza, ai sensi dell´art. 2, comma 5 e dell´art. 5, comma 5, del d.m. 8 marzo 2013- Banca dati delle prestazioni sociali agevolate", "integrato e modificato alla luce dei chiarimenti intervenuti con i competenti Uffici" del Garante (nota prot. INPS.0070.10/03/2015.0000101.u );

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

L´Inps ha chiesto il parere del Garante sullo schema di decreto direttoriale inerente le "modalità attuative dei flussi informativi e disciplinare tecnico per la sicurezza, ai sensi dell´art. 2, comma 5 e dell´art. 5, comma 5, del d.m. 8 marzo 2013- Banca dati delle prestazioni sociali agevolate" (note INPS 0064. 27/02/2014.0001799, INPS.0064/02/10/2014.0011675 e INPS.0070.10/03/2015.0000101.u);

Al riguardo, deve preliminarmente evidenziarsi che il Ministero del lavoro e delle politiche sociali (di seguito Ministero), di concerto con il Ministero dell´economia e delle finanze, in forza dell´art. 5 del decreto legge 6 dicembre 2011 n. 201, convertito in legge, con modificazioni, dall´art. 1, comma 1, della legge 22 dicembre 2011, n. 214, ha emanato, il citato decreto interministeriale 8 marzo 2013 (di seguito decreto), sul quale il Garante ha fornito il parere di competenza con provvedimento del 17 gennaio 2013 (reperibile sul sito internet dell´Autorità www.garanteprivacy.it, doc. web n. 2300596). Il citato decreto, prevede, in particolare che:

• è istituita presso l´Inps la banca dati delle prestazioni sociali agevolate, al fine di rafforzare i controlli sull´Isee;

•  la banca dati è alimentata dalle informazioni sulle prestazioni sociali agevolate, condizionate all´Isee, e sui soggetti che ne hanno beneficiato;

• le informazioni che costituiscono la banca dati delle prestazioni sociali agevolate sono le seguenti:

a) dati identificativi dell´ente erogatore e del beneficiario;

b) tipologia delle prestazioni sociali agevolate;

c) informazioni relative alle caratteristiche e al valore economico delle prestazioni sociali agevolate;

• gli enti locali e ogni altro ente erogatore di prestazioni sociali agevolate trasmettono alla banca dati le predette informazioni di propria competenza, anche avvalendosi del sistema pubblico di connettività attraverso servizi di cooperazione applicativa (art. 2 commi 1, 2 e 3);.

• le modalità attuative e le specifiche tecniche per l´acquisizione, la trasmissione e lo scambio delle predette informazioni, sono definite dall´Inps con decreto direttoriale, sentito il Garante per la protezione dei dati personali (art. 2, comma 5);

• le informazioni della banca dati sono raccolte e utilizzate al fine di rafforzare i controlli connessi all´erogazione di prestazioni sociali agevolate condizionate all´Isee, all´irrogazione di sanzioni per la fruizione illegittima delle medesime prestazioni, nonché per le attività di programmazione, monitoraggio e valutazione in materia di politiche sociali;

• alle informazioni della banca dati delle prestazioni sociali agevolate accedono, per finalità di controllo, l´Inps, l´Agenzia delle entrate e la Guardia di finanza (art. 4, commi 1 e 2);

• l´Inps rende disponibili per l´alimentazione del Sistema informativo dei servizi sociali, anche attraverso servizi di cooperazione applicativa, le informazioni contenute nella banca dati delle prestazioni sociali agevolate, integrate con il valore sintetico dell´Isee, dell´Isr (indicatore della situazione reddituale) e dell´Isp (indicatore della situazione patrimoniale), nonché con le informazioni sul numero dei componenti del nucleo familiare e relativa classe d´età, in forma individuale ma prive di ogni riferimento che ne permetta il collegamento con gli interessati e comunque secondo modalità che rendono questi ultimi non identificabili, ai seguenti soggetti:

a) Ministero del lavoro e delle politiche sociali, ai fini di monitoraggio della spesa sociale e valutazione dell´efficienza e dell´efficacia degli interventi, nonché per elaborazioni a fini statistici, di ricerca e di studio;

b) Regioni e Province Autonome, Comuni e altri enti pubblici responsabili della programmazione di prestazioni e di servizi sociali e socio-sanitari, con riferimento al proprio ambito territoriale di azione, per fini di programmazione delle prestazioni sociali agevolate, oltre alle finalità di cui alla lettera a) (art. 16, comma 2, del decreto-legge 9 febbraio 2012, n. 5, convertito con modificazioni dalla legge 4 aprile 2012, n. 35; artt. 1, comma 1, lett. d), f) e g) e 4, comma 4);

• per i medesimi fini sopra evidenziati, al Ministero e alle Regioni e Provincie autonome è altresì fornito un campione contenente, oltre alle informazioni contenute nella banca dati delle prestazioni sociali agevolate, integrate con il valore sintetico dell´Isee, dell´Isr e dell´Isp, le informazioni analitiche contenute nella DSU (dichiarazione sostitutiva unica), in forma individuale ma anonima, rappresentativo della popolazione inclusa nelle DSU del proprio ambito territoriale, privo di ogni riferimento che ne permetta il collegamento con gli interessati e comunque secondo modalità che rendono questi ultimi non identificabili sulla base di apposita valutazione del rischio di identificazione;

• l´Inps fornisce al Ministero dell´economia e delle finanze, Dipartimento della Ragioneria generale dello Stato, secondo le indicazioni del medesimo Ministero, rappresentazioni in forma aggregata dei dati ai fini del monitoraggio della spesa sociale nonché per elaborazioni a fini statistici, di ricerca e di studio;

• l´Inps, anche attraverso servizi di cooperazione applicativa, rende accessibili ai Comuni, limitatamente alle prestazioni erogate dal medesimo ente, le informazioni, corredate di codice fiscale, contenute nella banca dati, al fine di migliorare e rendere più efficiente ed efficace la gestione delle risorse (art. 4, commi 5, 6 e 7);

• l´Inps garantisce la gestione tecnica ed informatica della banca dati ed è, a tale fine, titolare del trattamento dei dati, secondo quanto previsto dal Codice;

• l´ente erogatore è titolare del trattamento dei dati relativi agli utenti delle prestazioni da esso erogate, trasmessi all´Inps ai fini della costituzione dalla banca dati;

• al fine dell´applicazione delle disposizioni sulle misure di sicurezza, ai sensi dell´art. 31 e seguenti del Codice, l´Inps, sentiti il Ministero e il Garante, approva con decreto direttoriale il disciplinare tecnico contenente le misure di sicurezza, atte a ridurre al minimo i rischi di distruzione o perdita anche accidentali dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. In particolare, il disciplinare specifica le regole tecniche in conformità alle quali le procedure di sicurezza relative al software e ai servizi telematici garantiscono la riservatezza dei dati trattati nell´ambito della banca dati (art. 5, commi 3, 4 e 5 ).

OSSERVA

Il presente parere è reso su una versione dello schema di decreto direttoriale dell´Inps recante il disciplinare tecnico inerente le "modalità attuative dei flussi informativi e disciplinare tecnico per la sicurezza, ai sensi dell´art. 2, comma 5, e dell´art. 5, comma 5, del d.m. 8 marzo 2013- Banca dati delle prestazioni sociali agevolate" che tiene conto delle indicazioni fornite dagli Uffici del Garante ai competenti Uffici dell´Istituto nel corso di numerosi contatti, anche informali, volti a garantire un elevato standard di sicurezza alle informazioni contenute nella predetta banca dati, anche con riferimento ai flussi di dati in entrata e in uscita dalla medesima banca dati. 

Le indicazioni dell´Ufficio, correttamente recepite nel testo dello schema di provvedimento in esame, hanno riguardato, in particolare, gli aspetti di seguito puntualmente illustrati.

1. Modalità di consultazione delle informazioni presenti nella banca dati prestazioni sociali agevolate

L´Inps ha rinviato a specifiche convenzioni bilaterali la definizione delle modalità tecniche e delle misure di sicurezza per l´accesso ai dati della banca dati prestazioni sociali agevolate da parte dell´Agenzia delle entrate e della Guardia di finanza, seppur nei limiti del disciplinare tecnico sulle misure di sicurezza di cui all´Allegato 1 dello schema di decreto direttoriale in esame.

Sul punto, considerato che gli artt. 2, comma 5, e 5, comma 5, del decreto prevedono che gli aspetti inerenti ai flussi delle informazioni e dei dati contenuti nella banca dati delle prestazioni sociali agevolate, nonché quelli circa le relative misure sicurezza vengano definiti sentito il Garante, l´Inps, sulla base delle indicazioni emerse in sede istruttoria ha, opportunamente disposto che le predette convenzioni bilaterali siano preventivamente sottoposte al Garante per le valutazioni di competenza (art. 2).

2. Finalità e utilizzo della banca dati delle prestazioni sociali agevolate

Nell´ambito della collaborazione intercorsa tra gli Uffici del Garante e quelli dell´Inps è stata posta particolare attenzione alle tecniche di anonimizzazione ed alle modalità di aggregazione dei dati personali contenuti nella banca dai di cui trattasi che l´Inps deve fornire, nei predetti formati, rispettivamente a Ministero, Regioni e Province Autonome, Comuni e altri enti pubblici responsabili della programmazione di prestazioni e di servizi sociali e socio-sanitari ed al Ministero dell´economia e delle finanze, Dipartimento della Ragioneria (art. 4, commi 4, 5 e 6).

In particolare, sulla base delle indicazioni fornite dagli Uffici del Garante, è stato precisato che la comunicazione dei dati aggregati al Ministero dell´economia e delle finanze, Dipartimento della Ragioneria, per finalità di monitoraggio, della spesa sociale e per elaborazioni statistiche, avverrà con "cadenza annuale", e che l´aggregazione dei dati verrà operata "su base territoriale in merito a prestazioni e valori di riferimento degli indicatori familiari/economici, con esclusione del dettaglio qualora le occorrenze su una partizione di territorio o di prestazione siano non superiori a 100".

E´ stata, inoltre, puntualmente descritta la tecnica di anonimizzazione dei dati che, per finalità di monitoraggio e programmazione, l´Inps deve fornire al Ministero, alle Regioni Province Autonome, Comuni e altri enti pubblici responsabili della programmazione di prestazioni e di servizi sociali e socio-sanitari per finalità di monitoraggio, programmazione nonché per elaborazioni a fini statistici, di ricerca e di studio.

In particolare, anche secondo quando evidenziato dai competenti Uffici dell´Autorità, le informazioni contenute nella banca dati delle prestazioni sociali agevolate, integrate con il valore sintetico dell´Isee, dell´Isr e dell´Isp, nonché con le informazioni sul numero dei componenti del nucleo familiare e relativa classe d´età, vengono trasmesse in forma individuale ma "prive dei dati anagrafici". Al riguardo, lo schema di decreto prevede che a ciascuna posizione viene associato un codice numerico, che ha natura causale e non progressiva, senza alcun riferimento ai dati oggetto di trattamento, creato appositamente per anonimizzare i dati in questione e non conservato dall´Inps. E´ stata, inoltre, prevista l´applicazione di valori soglia per le variabili di osservazione, in modo da non trasmettere le posizioni per le quali si potrebbe risalire all´individuazione del soggetto; così nel caso in cui il dettaglio territoriale includa un numero di occorrenze inferiore a 100 unità, l´informazione sul livello territoriale "sarà scalata al livello immediatamente superiore". L´Inps fornirà le predette informazioni con riferimento ad una finestra temporale non superiore a 3 anni, vietandone ai destinatari la diffusione (allegato 1, par. 2).

3. Regole tecniche e protocolli per la trasmissione delle informazioni.

3.1. Applicazione web

Gli enti erogatori possono inviare i dati relativi alle prestazioni sociali agevolate, secondo le seguenti modalità:

• invio massivo tramite upload di un file

• acquisizione interattiva attraverso l´inserimento manuale su una web form.

Sul punto, secondo le indicazioni emerse nel corso degli incontri informali con i competenti Uffici del Garante, l´Inps ha precisato che l´applicazione web è accessibile dal portale Inps attraverso specifiche credenziali ed ha opportunamente descritto le modalità per l´acquisizione delle stesse (Allegato 1, par. 4.1. e relativo allegato E).

E´ stato, inoltre, opportunamente evidenziato il tipo di "risposta" fornita dall´Inps a seguito della ricezione dei dati. In particolare, l´Istituto in ipotesi di invii massivi rende disponibile una funzione "consulta esito", mentre nell´ambito delle acquisizioni interattive la "risposta" è visualizzata immediatamente ed in ogni caso concerne l´esito dell´elaborazione e l´indicazione degli eventuali errori riscontrati (Allegato 1, par. 4.1).

3.2. Cooperazione applicativa

Con riferimento alla trasmissione dei dati tramite cooperazione applicativa è stato specificato, coerentemente con le indicazioni emerse nella fase istruttoria, che viene fatto uso di modelli "advanced" di porta di dominio. Le comunicazioni avvengono in modalità https la verifica degli accessi viene basata sulla mutua autenticazione. A tal fine, gli enti dovranno comunicare all´Inps il certificato di qualificazione di porta di dominio o richiedere allo stesso Istituto il certificato della postazione dell´ente utile all´identificazione univoca dell´ente e dell´indirizzo Ip dallo stesso utilizzato (Allegato 1, par. 4.2.).

3.3. Regole su messaggi trasmessi

Nel corso dell´attività istruttoria è emersa l´opportunità che l´Inps evidenzi, nel documento in esame, la ratio relativa all´individuazione della dimensione massima dei messaggi trasmessi in 200kb. A tal fine, è stato opportunamente evidenziato che tale dimensione risulta utile per l´ottimizzazione dei tempi di invio e di ottimizzazione dei flussi (Allegato 1, par. 4.3).

4. Criteri di sicurezza per la fruibilità dei servizi forniti

Sulla base delle indicazioni fornite dagli uffici del Garante, l´Inps ha previsto specifiche misure atte ad evitare la duplicazione dei dati raccolti nella banca dati in esame.

In particolare, sono previsti sistemi di tracciamento, auditing e notifica attraverso i quali l´Istituto può verificare la frequenza e la numerosità delle posizioni interrogate ed, eventualmente, sospendere l´accesso dell´utenza del soggetto che risulta aver raggiunto determinate soglie di attenzione (Allegato 1, par. 8).

5. Criteri per l´accesso all´applicazione web

5.1. Regole di sicurezza:

5.1.a. modalità di accesso

Gli accessi ai servizi on line sono consentiti solo ad operatori espressamente autorizzati da parte dell´ente, dotati di credenziali personali e non cedibili. Sulla base degli elementi evidenziati in ambito istruttorio, l´Inps ha esplicitamente previsto il ricorso, per l´accesso ai servizi on line, all´infrastruttura SPID (Sistema pubblico dell´identità digitale, d.P.C.M. 24 ottobre 2014 Definizione delle caratteristiche del sistema pubblico per la gestione dell´identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese).

L´istituto ha, inoltre, precisato che gli accessi degli operatori possono avvenire soltanto tramite l´uso di postazioni di lavoro connesse alla rete IP dell´ente. Ciò posto, evidenziando la necessità che i Comuni si avvalgano di una connettività Internet o infranet con IP statico, l´Inps, sulla base delle indicazioni fornite dagli Uffici del Garante, ha posto in capo agli enti che accedono alla banca dati in esame di "individuare ogni misura atta a garantire che l´accesso avvenga da postazioni specificamente autorizzate" ( Allegato 1, par. 8.3., lett. B) n. 1).

5.1.b  vincoli e restrizioni

Nell´ambito dei vincoli e delle restrizioni previste nell´allegato allo schema di decreto direttoriale in esame, sulla base delle indicazioni fornite dagli Uffici del Garante, nel documento è precisato che l´Inps limita l´accesso ai servizi on line alla fascia oraria compresa tra le 8.00 e le 20.00 (Allegato 1, par. 8.3., lett. B) n. 3).

6. Regole di conservazione dei dati

Coerentemente alle indicazioni emerse in fase istruttoria, l´Inps ha precisato che i dati della banca dati della prestazioni sociali agevolate verranno conservati per un periodo di 5 anni oltre il quale saranno archiviati e conservati con i sistemi di back up dell´Istituto e, salve le ipotesi previste dalle legge, non saranno accessibili da soggetti terzi (Allegato 1, par. 9).

TUTTO CIO´ PREMESSO IL GARANTE

ai sensi dell´art. 154, comma 1, lett. g) del Codice e degli artt. 2, comma 5, e 5 comma 5, del decreto interministeriale 8 marzo 2013, esprime parere favorevole sullo schema di decreto direttoriale dell´Inps inerente le "modalità attuative dei flussi informativi e disciplinare tecnico per la sicurezza, ai sensi dell´2, comma 5 e dell´art. 5, comma 5, del d.m. 8 marzo 2013- Banca dati delle prestazioni sociali agevolate".

Roma, 2 aprile 2015

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia