[doc. web n. 10073780]

Parere sullo schema di decreto del Ministero del lavoro e delle politiche social attuativo dell’art. 7, comma 3, del d.l. 4 maggio 2023, n. 48 e ss.mm. (recante “Misure urgenti per l'inclusione sociale e l'accesso al mondo del lavoro”) convertito con modificazioni dalla l. 3 luglio 2023, n. 85, concernente i controlli in materia di lavoro e legislazione sociale - 17 ottobre 2024

Registro dei provvedimenti
n. 611 del 17 ottobre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

Il Ministero del lavoro e delle politiche sociali (di seguito, Ministero), con nota del 26 settembre 2023, ha trasmesso al Garante lo schema di decreto del Ministro attuativo dell’art. 7, comma 3, del d.l. 4 maggio 2023, n. 48 e ss.mm. (recante “Misure urgenti per l'inclusione sociale e l'accesso al mondo del lavoro”) convertito con modificazioni dalla l. 3 luglio 2023, n. 85, concernente i controlli in materia di lavoro e legislazione sociale, al fine di acquisirne il prescritto parere.

A seguito di interlocuzioni con l’Ufficio, che hanno coinvolto anche l’Istituto nazionale previdenza sociale (di seguito, INPS), il Ministero, con nota del 7 giugno 2024, ha inviato una versione modificata dello schema di decreto in questione.

Con nota del 2 luglio 2024, l’Autorità, al fine di acquisire elementi necessari per la conclusione dell’istruttoria relativa al parere, ha richiesto al Ministero (nella sua veste di soggetto competente a definire la base giuridica) e all’INPS (quale titolare del trattamento dei dati personali sottoposti ad accesso ai sensi del richiamato art. 7, commi 2 e 3, del d.l. n. 48/2023), le valutazioni effettuate in merito ad alcuni aspetti.

Il Ministero ha quindi trasmesso, in data 10 settembre 2024, il riscontro richiesto, unitamente a una nuova versione dello schema di decreto in questione, aggiornata con le novità introdotte in materia dall’art. 2-ter del d.l. 15 maggio 2024, n. 63, convertito, con modificazioni, dalla l. 12 luglio 2024, n. 101, a sua volta corredata di relazioni illustrativa e tecnica, allegato tecnico e documento inerente le misure di sicurezza concernenti i sistemi informatici dell’'Ispettorato nazionale del lavoro (di seguito, INL).

Il presente parere viene quindi reso sullo schema di decreto da ultimo inviato da parte del Ministero, tenendo conto degli elementi emersi nel corso di tutta l’istruttoria.

1. Il quadro normativo

Il d.l. n. 48/2023, istitutivo delle misure dell’Assegno di inclusione (di seguito, ADI) e del Supporto per la formazione e il lavoro (di seguito, SFL), all’art. 7 prevede, al riguardo, che:

i controlli ispettivi “sono svolti dal personale ispettivo dell'Ispettorato nazionale del lavoro (INL) e dal Comando Carabinieri per la tutela del lavoro, ai sensi del decreto legislativo 14 settembre 2015, n. 149, dal personale ispettivo dell'INPS, nonché dalla Guardia di finanza nell'ambito delle ordinarie funzioni di polizia economico-finanziaria esercitate ai sensi del decreto legislativo 19 marzo 2001, n. 68” (comma 1);

“Al fine di consentire un efficace svolgimento dell'attività di vigilanza sulla sussistenza di circostanze che comportano la decadenza dal beneficio e di rafforzare i controlli di prevenzione e contrasto del caporalato, dello sfruttamento lavorativo e del lavoro sommerso e irregolare, nonché su altri fenomeni di violazione in materia di lavoro e legislazione sociale, nell'ambito delle rispettive competenze, il personale ispettivo dell'INL, compreso il personale ispettivo del Comando carabinieri per la tutela del lavoro operante presso l'INL, ai sensi dall'articolo 6 del decreto legislativo 14 settembre 2015, n. 149, e la Guardia di finanza hanno accesso a tutte le informazioni e le banche dati, sia in forma analitica che aggregata, trattate dall'INPS, già a disposizione del personale ispettivo dipendente dal medesimo Istituto. Per le finalità di cui al presente comma, l'INL e la Guardia di finanza stipulano apposita convenzione, sentito il Garante per la protezione dei dati personali” (comma 2, come modificato dal richiamato art. 2-ter del d.l. n. 63/2024);

con decreto del Ministro del lavoro e delle politiche sociali, “sentiti l'INL, l'INPS e il Garante per la protezione dei dati personali, sono individuati le categorie di dati, le modalità di accesso, da effettuare anche mediante cooperazione applicativa, le misure a tutela degli interessati e i tempi di conservazione dei dati” (comma 3).

2. Lo schema di decreto

Lo schema, in particolare, all’art. 2 stabilisce che, “per consentire un efficace svolgimento dell’attività di vigilanza sui fenomeni di violazione in materia di lavoro e legislazione sociale e sulla sussistenza di circostanze che comportano la decadenza dal beneficio dell’Assegno di inclusione e del Supporto per la formazione e il lavoro, nonché sul contrasto al lavoro irregolare nei confronti dei beneficiari delle suddette misure, e al fine di rafforzare i controlli di prevenzione e contrasto al caporalato, allo sfruttamento lavorativo e al lavoro sommerso, nell’ambito delle rispettive competenze, il personale ispettivo dell'INL, compreso il personale del Comando Carabinieri per la tutela del lavoro operante presso l’INL, e il personale della Guardia di finanza hanno accesso a tutte le seguenti categorie di dati, sia in forma analitica che aggregata, trattate dall'INPS, già a disposizione del personale ispettivo dipendente dal medesimo Istituto, come specificato nell’allegato tecnico parte integrante del presente decreto, nel rispetto dei principi di minimizzazione e di privacy by default”, indicando di seguito le tipologie di dati (anche personali) oggetto di tale accesso (per la cui descrizione si invia al par. 3 del presente parere).

L’accesso al patrimonio informativo detenuto dall’INPS avviene “attraverso applicazioni web fruibili mediante identità federata anche da rete internet. In quest’ultimo caso, è richiesto l’utilizzo di credenziali di accesso a due fattori attraverso l’impiego di un generatore OTP fisico (token) o software (OTP)”, o, in alternativa, “Sulla base di specifiche esigenze funzionali di accesso, [… tramite] sistemi per l’interscambio automatico delle informazioni secondo il Modello di Interoperabilità adottato da AgID” (art. 3).

Dopo aver rinviato alle “politiche interne in materia di protezione di dati personali applicate dall’INL e dalla Guardia di finanza e pubblicate sui rispettivi siti internet istituzionali che disciplinano gli obblighi di informativa e l’esercizio dei diritti degli interessati”, l’art. 4 indica le “adeguate misure tecniche e organizzative di sicurezza, atte a garantire integrità, riservatezza e disponibilità dei dati nel rispetto della vigente normativa in materia di protezione dei dati personali” che “ciascuna Amministrazione, nell’ambito di rispettiva competenza, in riferimento ai propri sistemi informativi ed in ragione dei trattamenti di dati rispettivamente effettuati” è tenuta ad adottare.

L’art. 5, infine, prevede che “I dati acquisiti dall’INL e dalla Guardia di finanza, oggetto di provvedimenti sanzionatori, [siano] conservati per il tempo necessario per l’istruttoria di trattamento, comunque non superiore ad un quinquennio a decorrere dall’acquisizione degli stessi” ed esclude “la possibilità di duplicazione delle banche dati da parte degli enti fruitori”.

OSSERVA

3. Finalità perseguite dai soggetti legittimati ad accedere alle diverse tipologie di dati personali

Come anticipato, l’art. 2 dello schema, nello stabilire l’accessibilità alle banche dati dell’INPS da parte del personale ispettivo dell'INL, del Comando Carabinieri per la tutela del lavoro operante presso l’INL e della Guardia di finanza, si limita a ribadire in maniera indifferenziata tutte le finalità indicate dal legislatore nell’art. 7, comma 2, del d.l. n. 48/2023, per le quali l’accesso da parte di tali soggetti sarebbe legittimo, senza tuttavia specificare le finalità perseguite da ciascuno di essi, nel rispetto dei diversi compiti istituzionali cui sono applicabili le distinte disposizioni di settore, anche con ricadute sui trattamenti di dati personali posti in essere. Anche l’allegato tecnico non fornisce elementi ulteriori, laddove menziona l’art. 3, commi 3 e 5, del d.l. 22 febbraio 2002, n. 12, e ss.mm., ai sensi del quale gli organi di vigilanza che effettuano accertamenti in materia di lavoro, fisco e previdenza sono competenti per l'irrogazione delle sanzioni amministrative “in caso di impiego di lavoratori subordinati senza preventiva comunicazione di instaurazione del rapporto di lavoro da parte del datore di lavoro privato, con la sola esclusione del datore di lavoro domestico”.

Conseguentemente, la medesima disposizione dello schema indica tutte le tipologie di dati, anche personali, a cui i menzionati soggetti possono indistintamente accedere, individuando, a tale fine:

i dati relativi ai datori di lavoro (comprensivi, tra gli altri, dei “dati anagrafici e di contatto di consulenti aziendali (professionisti ai sensi della legge 11 gennaio del 1979, n. 12) e tipologia di relazione con il datore di lavoro (dato singolo)” e dei “dati relativi ai datori di lavoro domestico, del Libretto famiglia e del contratto di prestazione occasionale”);

i dati relativi ai lavoratori (comprensivi, tra gli altri, dei “Giorni di malattia, aspettativa, permessi studio, congedi parentali, permessi ai sensi della L. n. 104/1992 (dato singolo)”, degli “assegni per nucleo familiare (dato singolo)”, degli “ammortizzatori sociali usufruiti (dato singolo)” e dei “dati relativi ai lavoratori domestici, ai lavoratori impiegati con Libretto famiglia e con contratto di prestazione occasionale”);

i dati dei lavoratori autonomi, dei soggetti iscritti alle Gestioni speciali autonome, alla Gestione separata INPS committenti/parasubordinati e liberi professionisti;

i dati relativi ai beneficiari di ADI;

i dati relativi ai beneficiari di SFL.

Alle richieste di chiarimenti avanzate dall’Autorità in proposito, il Ministero, nell’illustrare la modifica legislativa apportata nel 2024 all’art. 7, comma 2, del d.l. n. 48/2023, ha evidenziato “la necessità che tutti i dati elencati nello schema di decreto ministeriale siano resi accessibili al personale ispettivo dell’INL, del Comando Carabinieri tutela del lavoro e alla Guardia di Finanza, trattandosi di dati informativi che sono già accessibili al personale ispettivo dell’INPS impegnato sui medesimi obiettivi”. Inoltre, il Ministero ha richiamato:

il d.lgs. 4 settembre 2015, n. 149, che istituisce presso la sede di Roma dell’INL, il Comando Carabinieri per la tutela del lavoro, alle dipendenze del Ministro del lavoro e delle politiche sociali (art. 6, comma 4), e che l'INPS, tra gli altri, è tenuto a mettere a disposizione dell'INL, “anche attraverso l'accesso a specifici archivi informatici, dati e informazioni, sia in forma analitica che aggregata, utili alla programmazione e allo svolgimento dell'attività di vigilanza e di difesa in giudizio, al fine di orientare l'azione ispettiva nei confronti delle imprese che evidenzino fattori di rischio sul piano del lavoro irregolare ovvero della evasione od omissione contributiva e al fine di una maggiore efficacia della gestione del contenzioso” (art. 11, comma 5);

le competenze della Guardia di finanza “in ordine a violazioni in materia di spesa pubblica, tra le quali l’evasione contributiva”, e il decreto del Ministro dell’interno 15 agosto 2017, in base alla quale, “nell'ambito del comparto di specialità del lavoro e della legislazione sociale, la Guardia di finanza continuerà ad assicurare i controlli di sua competenza, nell'assolvimento della propria funzione di polizia economico-finanziaria, in base alle disposizioni normative vigenti e secondo le direttive del Ministro dell'economia e delle finanze” (par. 1.9).

Tutto ciò premesso, si osserva che, pur tenendo conto delle precisazioni fornite dal Ministero, lo schema di decreto non consente ancora di definire puntualmente le specifiche finalità perseguite da INL, Comando Carabinieri tutela del lavoro e Guardia di finanza, né di individuare le relative basi giuridiche che attribuiscono loro specifici compiti istituzionali e che definiscono i presupposti e l’ambito del trattamento per consentire l’accesso alle numerose e delicate informazioni detenute dall’INPS, così come invece richiesto dal Regolamento (artt. 5, par. 1, lett. a) e b), 6, 9 e 10 del Regolamento).

La progettazione di un trattamento, infatti, non può prescindere da una preliminare individuazione delle finalità che devono risultare chiaramente determinate nella base giuridica dello stesso (artt. 5, par. 1, lett. b), e 6, par. 3, lett. b), del Regolamento) ed essere “specificate ed esplicite in merito al motivo per cui i dati personali vengono trattati” (Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita, adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020, punto 72). Ciò, tanto più nel caso in cui il trattamento da progettare e disciplinare avvenga da parte di soggetti istituzionali diversi anche per finalità ulteriori rispetto a quelle per le quali i dati sono stati originariamente raccolti.

L’indeterminatezza delle finalità perseguite nonché l’accessibilità indiscriminata, da parte dei numerosi operatori dei predetti soggetti istituzionali, a tutto l’ingente patrimonio informativo dell’INPS – nel quale sono ricompresi dati relativi a milioni di persone vulnerabili, appartenenti anche a categorie particolari e relativi alle condanne penali e ai reati, caratterizzati da particolare delicatezza quali le causali di assenza del lavoratore, come giorni di malattia o fruizione di permessi di cui alla l. n. 104/1992 – non consentono, pertanto, di rispettare di per sé i principi di proporzionalità, di limitazione della finalità, di minimizzazione dei dati e di privacy by design e by default (art. 5, par. 1, lett. a), b) e c), art. 6, par. 3, 9 e 10 e 25 del Regolamento).

Tali principi, in particolare, impongono che “siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” (art. 25, par. 2, del Regolamento), in quanto “il titolare del trattamento non deve raccogliere dati personali che non siano necessari per la specifica finalità del trattamento” (Linee guida 4/2019 sull’articolo 25, punti 42, 44 e 49), assicurando un accesso selettivo alle informazioni, a valle di un’adeguata valutazione circa la pertinenza e non eccedenza rispetto ai singoli compiti che i soggetti istituzionali sono chiamati ad assolvere dalla legge. Ciò in modo da garantire, in un’ottica di gradualità, la consultabilità limitata e proporzionata, sotto il profilo qualitativo e quantitativo, dei dati contenuti nelle banche dati in esame – peraltro non specificamente indicate – che contengono altresì le tipologie di dati personali di cui agli artt. 9 e 10 del Regolamento, peraltro riferiti a soggetti vulnerabili.

Più nel dettaglio, non è stata adeguatamente comprovata la necessità di acquisire:

- le informazioni relative ai consulenti aziendali, soprattutto ai fini dei controlli circa l’erogazione di ADI o SFL;

- le informazioni relative a lavoro domestico, anche tenuto conto che il menzionato art. 3 del d.l. n. 12/2002 – prospettato dal Ministero quale presupposto per lo svolgimento dei compiti di vigilanza in materia di lavoro, fisco e previdenza – esclude espressamente da tale ambito di competenza il lavoro domestico;

- le informazioni riferite al Libretto famiglia e ai contratti di prestazione occasionale, considerato anche che in quest’ultima tipologia contrattuale rientrano innumerevoli forme di collaborazione lavorativa;

- le informazioni analitiche circa i giorni di malattia, di aspettativa, i permessi studio, i congedi parentali, permessi di cui alla l. n. 104/1992, peraltro in relazione alle funzioni di polizia economico-finanziaria attribuite alla Guardia di finanza.

Anche in relazione all’accesso finalizzato all’esecuzione di funzioni di polizia economico-finanziaria da parte della Guardia di finanza, come previsto dal d.lgs. 18 maggio 2018, n. 51 (cfr. spec. artt. 5, 7 e 47), occorre attuare i predetti principi, individuando puntualmente le informazioni a ciò strettamente necessarie, come rilevato con favore dal Garante in analogo contesto (cfr. provv. n. 138 del 20 giugno 2019, nonché provv. n. 89 del 19 maggio 2020, disponibili sul sito istituzionale www.garanteprivacy.it, doc. web, rispettivamente, n. 9122428 e n. 9429241).

Lo schema di decreto non contiene, peraltro, le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (cfr. artt. 2-sexies e 2-octies del Codice), considerata la particolare delicatezza dei dati oggetto di accesso, che – come anticipato – sono appartenenti alle categorie di dati personali di cui all’art. 9 (come i dati sulla salute relativi a taluni beneficiari di ADI, o le informazioni su malattia e fruizione dei benefici di cui alla l. 104/1992) e relativi a condanne penali e reati di cui all’art. 10 (come quelli relativi alla situazione in cui ricadono talune categorie di beneficiari di ADI) del Regolamento.

Pertanto, al fine di rendere conforme lo schema di decreto ai richiamati principi in materia di protezione dei dati personali, occorre che lo stesso sia integrato con:

la definizione delle specifiche finalità perseguite da ciascuno dei soggetti indicati nell’art. 7 del d.l. n. 48/2023 e l’individuazione delle tipologie di dati personali cui ciascuno dei citati soggetti può accedere per ognuna delle predette finalità, specificando anche le banche dati di riferimento dell’INPS;

la previsione delle misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi degli interessati laddove siano oggetto di trattamento le categorie particolari di dati personali di cui agli artt. 9 e 10 del Regolamento.

4. Trasparenza del trattamento

Come già anticipato, l’art. 4, comma 1, dello schema di decreto prevede che “i dati di cui all’articolo 2 sono trattati nel rispetto delle politiche interne in materia di protezione di dati personali applicate dall’INL e dalla Guardia di finanza e pubblicate sui rispettivi siti internet istituzionali che disciplinano gli obblighi di informativa e l’esercizio dei diritti degli interessati”.

Al riguardo, il Ministero ha precisato che:

per quanto concerne l’INL, quest’ultimo assolve agli obblighi informativi “già all’inizio dell’accertamento che di norma coincide con l’accesso ispettivo oltre che con l’informativa generale che l’INL mette a disposizione degli utenti e che è consultabile sul sito istituzionale”;

per quanto concerne l’INPS, “gli obblighi di informazione […] possono ritenersi già assolti […] in sede di rilascio dell’Informativa generale che l’Istituto previdenziale mette a disposizione degli utenti e che è consultabile nel sito istituzionale”, laddove è previsto che “nei casi previsti da disposizioni normative o, se previsto per legge, di regolamento, nel rispetto dei limiti dagli stessi fissati, i dati personali possono essere comunicati dall'INPS ad altri soggetti pubblici o privati; si tratta di autonomi Titolari del trattamento, che possono operare nei limiti strettamente necessari per la sola finalità per cui si è proceduto alla comunicazione”.

Con riferimento a tali aspetti, si osserva, in primo luogo, che l’art. 13, par. 1, lett. e), del Regolamento prevede che il titolare del trattamento fornisca all’interessato informazioni circa gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali, e, pertanto, occorre che le informazioni rese dall’INPS, quale titolare del trattamento dei dati personali custoditi nelle proprie banche dati, diano conto dell’accessibilità prevista dalla normativa in esame.

Inoltre, con riferimento alle informazioni da fornire in relazione ai dati personali, non ottenuti presso l’interessato, oggetto di consultazione da parte di INL, Comando Carabinieri per la tutela del lavoro operante presso l’INL e Guardia di finanza, affinché si possa rendere applicabile l’esenzione di cui all’art. 14, par. 5, lett. c), del Regolamento, lo schema di decreto dovrebbe contenere misure appropriate per tutelare gli interessi legittimi degli interessati, allo stato non rinvenibili in quanto disposto dall’art. 4, comma 1, dello schema.

Pertanto, al fine di assicurare un’adeguata trasparenza dei trattamenti in questione da parte dei predetti soggetti istituzionali, occorre che lo schema di decreto sia integrato prevedendo misure appropriate che assicurino la correttezza e la trasparenza dei trattamenti dagli stessi effettuati nel contesto in esame.

5. Misure di sicurezza

Come già anticipato, l’art. 3 dello schema prevede due modalità di accesso alle banche dati dell’INPS: una prima modalità attraverso “applicazioni web fruibili mediante identità federata anche da rete internet”, con una procedura di autenticazione a due fattori, e una seconda modalità, eventuale e sulla base di specifici accordi, attraverso “sistemi per l’interscambio automatico delle informazioni secondo il Modello di Interoperabilità adottato da AgID”.

Inoltre, il successivo art. 4 impone alle amministrazioni di adottare misure tecniche e organizzative di sicurezza adeguate per garantire integrità, riservatezza e disponibilità dei dati nel rispetto della disciplina in materia di protezione dei dati personali, individuandone talune con riferimento agli strumenti di autenticazione informatica da utilizzare, all’accesso selettivo ai dati e alla sicurezza delle postazioni di lavoro.

Alle richieste di chiarimenti avanzate dall’Ufficio del Garante in proposito, il Ministero ha precisato che “il tracciamento delle attività di log resta nella disponibilità dell’Istituto previdenziale, il quale adotta i sistemi di monitoraggio ed alert che utilizza costantemente per accessi similari e che ad oggi risultano efficaci per rilevare quegli abusi che pongono a maggiore rischio i diritti degli interessari”, aggiungendo, inoltre, che “Nel caso invece […] venissero utilizzati sistemi di interscambio automatico delle informazioni secondo il modello di interoperabilità adottato da AgID alla gestione di eventuali violazioni dei dati personali, in sede di stipula delle convenzioni di cui al citato art. 7 del decreto legge n. 48/2023, verrà inserita apposita clausola che prevede, in caso di violazioni di sicurezza o di qualsiasi incidente che comporti un rischio per la sicurezza del trattamento o per i diritti e le libertà delle persone fisiche nell’ambito dei trattamenti in argomento, che ciascuna delle Parti comunichi tempestivamente all’altra ogni informazione utile a garantire il rispetto degli obblighi in materia di violazione dei dati personali di cui agli artt. 33 e 34 del Regolamento UE 2016/679”.

Al riguardo, si rileva, in generale, che i trattamenti disciplinati dallo schema in esame presentano specifici rischi elevati derivanti dalle tipologie di dati trattati, dalla vulnerabilità delle categorie di interessati e dalla numerosità degli operatori autorizzati ad accedere in diversi contesti e sulla base di distinti presupposti, tali da richiedere l’individuazione di rigorose misure tecniche e organizzative già nella base giuridica, non potendosi ritenere adeguato rimettere l’adozione delle stesse ai singoli titolari del trattamento coinvolti, sulla base di previsioni che richiamano minimi standard di sicurezza (come quelle di cui all’art. 4, comma 2, dello schema).

Tutto ciò premesso, si osserva, in primo luogo, che lo schema di decreto non prevede espressamente l’adozione – da parte dell’INPS e, nel caso di accesso mediante modello di interoperabilità, da parte dell’INL e della Guardia di finanza – di misure specifiche per la prevenzione e rilevazione degli accessi non autorizzati, come, ad esempio: un adeguato tracciamento degli accessi e delle operazioni svolte dal personale autorizzato, in modo da consentire, tra le altre cose, l’individuazione univoca, da parte dell’INPS, della persona che le ha eseguite; l’attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni effettuate dalle persone autorizzate; l’esecuzione di attività di controllo, a campione o a seguito di alert, volte a verificare la liceità delle operazioni effettuate.

Inoltre, si rileva la necessità che anche la previsione di misure adeguate a consentire una corretta gestione delle violazioni dei dati personali eventualmente occorse, viste le potenziali ricadute sui trattamenti effettuati dai diversi titolari coinvolti, sia introdotta all’interno dello schema di decreto, che costituisce la base giuridica del trattamento, non ritenendosi sufficiente un prospettato rinvio alle convenzioni che l’INPS andrà a stipulare con i titolari.

Pertanto, al fine di assicurare il rispetto dei principi di integrità e riservatezza e di privacy by design e by default, nonché degli obblighi di sicurezza (art. 5 par. 1, lett. f), e artt. 25 e 32 del Regolamento), occorre che lo schema di decreto preveda che siano adottate misure specifiche per la prevenzione e rilevazione degli accessi non autorizzati, come, ad esempio: un adeguato tracciamento degli accessi e delle operazioni svolte dal personale autorizzato, in modo da consentire, tra le altre cose, l’individuazione univoca, da parte dell’INPS, della persona che le ha eseguite; l’attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni effettuate dalle persone autorizzate; l’esecuzione di attività di controllo, a campione o a seguito di alert, volte a verificare la liceità delle operazioni effettuate.

Inoltre, in caso di incidenti di sicurezza che possano comportare rischi per i diritti e le libertà degli interessati, occorre che ciascun titolare del trattamento fornisca tempestivamente agli altri titolari coinvolti ogni informazione utile anche ad agevolare l'adempimento degli obblighi in materia di violazioni dei dati personali di cui agli artt. 33 e 34 del Regolamento.

RITENUTO

I trattamenti di dati personali disciplinati mediante lo schema di decreto in esame comportano rischi elevati per i diritti e le libertà fondamentali di un’ampia platea di interessati, peraltro vulnerabili, considerata la quantità e qualità di informazioni personali che sono oggetto di accesso e ulteriore trattamento da parte di soggetti istituzionali, comprese le forze di polizia, che trattano i dati per il tramite del proprio personale autorizzato.
In tale quadro, l’ampio numero di operatori abilitati ad accedere alle banche dati in esame espone gli interessati ad ulteriori elevati rischi connessi ad eventuali accessi non autorizzati alle informazioni ivi detenute, con possibili effetti pregiudizievoli e, in taluni casi, grave danno alle persone cui tali dati si riferiscono.

In ragione di ciò, occorre che i titolari coinvolti nei trattamenti oggetto di disciplina da parte del presente schema di decreto (INPS, in qualità di gestore delle banche dati, INL, Comando Carabinieri per la tutela del lavoro e Guardia di finanzia in qualità di soggetti legittimati ad accedervi, ciascuno relativamente al proprio ambito di competenza), al fine di individuare le misure adeguate a mitigare e gestire i predetti rischi (anche in vista della stipula delle convenzioni previste dall’art. 7, comma 2, del d.l. n. 48/2023), effettuino la valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, e par. 3, lett. b), del Regolamento, esprime parere nei termini di cui in motivazione sullo schema di decreto del Ministro del lavoro e delle politiche sociali, ai sensi dell’art. 7, comma 3, del d.l. 4 maggio 2023, n. 48 e ss.mm., con le seguenti condizioni:

a) siano definite le specifiche finalità perseguite da ciascuno dei soggetti indicati nell’art. 7 del d.l. n. 48/2023 e le tipologie di dati personali cui possono accedere (cfr. par. 3 del presente parere)

b) siano previste le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi degli interessati laddove siano oggetto di trattamento le categorie particolari di dati personali di cui agli artt. 9 e 10 del Regolamento (cfr. par. 3 del presente parere);

c) siano previste misure appropriate che assicurino la correttezza e la trasparenza dei trattamenti effettuati da INL e Guardia di finanza nel contesto in esame (cfr. par. 4 del presente parere);

d) siano previste misure specifiche per la prevenzione e rilevazione degli accessi non autorizzati e per la gestione degli incidenti di sicurezza anche per agevolare l'adempimento degli obblighi in materia di violazioni dei dati personali da parte dei diversi titolari del trattamento coinvolti (cfr. par. 5 del presente parere).

Roma,17 ottobre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei