[doc. web n. 10090499]

Provvedimento del 13 novembre 2024

Registro dei provvedimenti
n. 674 del 13 novembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema Statistico nazionale pubblicate adottate dal Garante ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n.514 del 19 dicembre 2018, allegato A4 al Codice (doc. web 9069677, di seguito “Regole deontologiche”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. L’attività ispettiva

L’Ufficio del Garante nei giorni del XX e XX ha effettuato accertamenti ispettivi presso l’Istituto Nazionale della Previdenza Sociale (di seguito “Inps” o “Istituto”) al fine di “verificare, l’osservanza da parte dell’Ufficio di statistica delle disposizioni in materia di protezione dei dati personali nei trattamenti svolti per scopi di statistica ufficiale con particolare riferimento alla corretta applicazione dei principi di protezione dei dati personali e alle misure di cui all’art. 89 del Regolamento” (ordine di servizio n. XX del XX).

Nell’ambito di tale attività ispettiva, l’Ufficio del Garante si è soffermato sulla verifica dell’effettiva applicazione dei principi di trasparenza, minimizzazione dei dati, limitazione della conservazione, accountability, privacy by design e by default, nonché dell’obbligo di svolgere la valutazione di impatto (artt. 5, par. 1, lett. c), e), par. 2, artt. 13, 14, 25, 35 del Regolamento), anche con riferimento a due specifici lavori statistici:

- 1) “IPS-00081 – Prestazioni pensionistiche e beneficiari del sistema previdenziale italiano;

- 2) “IPS-00061 – Campione longitudinale di assicurati e pensionati”.

Nella giornata del XX, è stato evidenziato dal titolare che una delle principali attività dell’ufficio di coordinamento statistico consiste nella creazione di osservatori di statistica -ai quali corrisponde una scheda del Programma Statistico Nazionale (PSN)-. destinati alla pubblicazione sul sito istituzionale dell’Inps in quanto output di specifici lavori statistici.

La costruzione delle basi statistiche necessarie per la realizzazione degli osservatori è di competenza degli attuari incardinati nell’ufficio che accedono ai dati a tal fine necessari, presenti nelle fonti amministrative dell’Istituto, messi a disposizione in uno specifico ambiente, “data warehouse” (DWH), che contiene tabelle di microdati (ossia, dati riferibili a singoli interessati).

Per la realizzazione dell’osservatorio, l’attuario importa dal DWH nel proprio sistema le tabelle di interesse e svolge ictu oculi un’attività di verifica dell’accuratezza, esattezza e consistenza dei dati importati. Terminata questa operazione, l’attuario procede alla costruzione della base dati statistica che contiene dati aggregati. Successivamente, la base dati statistica aggregata viene passata alla struttura informatica che provvede a pubblicarla nell’osservatorio con una tecnica di k-anonimity, che consiste nell’applicazione della regola cd del 3 (in altri termini, ogni insieme oggetto di rilevazione statistica, per quanto dichiarato, ha sempre numerosità superiore a tre unità, qualsiasi sia la combinazione di attributi impiegata per caratterizzarlo).

L’attuario, in funzione del coordinamento di competenza, riceve “una tantum” l’autorizzazione a richiedere l’accesso alla corrispondente partizione del DWH. Successivamente, ogni richiesta di aggiornamento dei dati è effettuata via email. L’accesso al DWH (alle tabelle di competenza) da parte degli statistici è in sola lettura.

L’Istituto ha dichiarato di aver formalizzato la procedura di autorizzazione per l’importazione/aggiornamento delle tabelle di proprio interesse per la costituzione della base dati statistica aggregata in un manuale di cui è stata fornita una copia. È stato dichiarato, inoltre, che tutti gli attuari dell’Inps ottengono l’autorizzazione all’accesso e al trattamento dei dati in funzione del ruolo/mansione/incarico al quale vengono assegnati e per tutta la durata dello stesso.

È stato, quindi, illustrato a titolo esemplificativo il lavoro statistico “IPS 00081 – Prestazioni pensionistiche e beneficiari del sistema previdenziale italiano” (di seguito anche solo IPS-00081), contenuto nel PSN e volto a rendere il quadro statistico delle pensioni vigenti di anno in anno per la realizzazione del quale, accedendo al DWH, l’attuario estrae le variabili di interesse.

A tale riguardo, l’Istituto ha dichiarato di non poter escludere che, accedendo ai dati contenuti nel DWH, necessari per la realizzazione di un lavoro statistico (ad es. IPS 00081), lo statistico possa in astratto visionare dati riferiti a periodi diversi da quelli di interesse e che l’attuario accede a dati identificativi, contenenti il codice fiscale delle unità statistiche. I dati pertanto non sono oggetto di alcuna misura di pseudonimizzazione. L’attuario estrae dal DWH solo le variabili necessarie per la realizzazione del lavoro statistico di interesse, importandole in uno specifico ambiente (server SAS) dove tali informazioni sono conservate per un periodo di 5 anni, per la realizzazione di serie storiche, e per ulteriori 10 anni, per un totale di 15 anni, presso un server di backup dell’Istituto. Nella scheda informativa del lavoro statistico IPS-00081 del PSN, da ultimo presente nel Programma statistico nazionale 2023-2025, il tempo di conservazione dei dati è indicato in 120 mesi.

L’Istituto ha dichiarato, inoltre, che rispetto al tale lavoro è in corso di elaborazione la valutazione d’impatto ai sensi dell’art. 35 del Regolamento di cui si è acquisita la versione allo stato elaborata.

La modalità di organizzazione del lavoro degli statistici, che prevede l’importazione dei dati degli interessati comprensivi del codice fiscale, è in uso da circa una ventina d’anni, ossia da quando è stato introdotto il DWH all’interno dell’Istituto.

L’Istituto ha riferito che l’organizzazione attuale si rende necessaria in quanto sarebbe l’unica in grado di soddisfare esigenze di statistica ufficiale caratterizzate tanto dall’urgenza quanto dall’ordinarietà.

È stato tuttavia confermato come per la realizzazione dei lavori statistici, quali ad esempio gli “osservatori”, lo statistico potrebbe non necessitare di dati direttamente identificativi delle unità statistiche, quali il codice fiscale, e che quindi il DWH potrebbe essere oggetto di modifiche per estrarre dati pseudonimizzati, mantenendo comunque un codice univoco per ogni singolo interessato censito nelle banche dati dell’Istituto.

Nella giornata del 28 novembre, l’Istituto ha illustrato il lavoro “IPS 00061 – Campione longitudinale di assicurati e pensionati” (di seguito anche solo IPS-00061) come esempio di lavoro di carattere longitudinale.

In via preliminare, è stato rappresentato che attualmente gli attuari possono acquisire l’aggiornamento delle tabelle dal DWH solo previa richiesta, via portale Inps, cha ha ad oggetto dati asseritamente “anonimizzati”. È stato tuttavia chiarito che l’attuario non conosce come viene svolta l’anonimizzazione dei dati e che la richiesta è necessaria per fornire i dati alla Direzione “Studi e Ricerche”, che non può accedere a dati in chiaro.

Il processo di “anonimizzazione” viene effettuato dai tecnici del DWH direttamente a livello di linguaggio “SQL” e consiste unicamente nella cifratura dei dati immediatamente identificativi (quali, ad esempio il codice fiscale), utilizzando un algoritmo di criptazione.

Tale funzione non viene utilizzata per l’aggregazione dei dati statistici sul portale di Inps ma solo per la produzione di dati che vengono forniti alla Direzione “Studi e Ricerche”.

I descritti requisiti di “anonimizzazione” dei dati sono gli unici allo stato previsti e le analisi di ricerca che fanno uso di tali dati sono pubblicate nel rapporto annuale o sul sito istituzionale dell’Istituto.

l’Istituto ha inoltre rappresentato che le richiamate misure di cifratura dei dati direttamente identificativi, anche per la fornitura dei dati al coordinamento statistico, potrebbero in astratto essere realizzate ma che allo stato gli addetti del DWH si limitano a verificare che i soggetti che richiedono dati e tabelle siano autorizzati, fornendoli nella forma richiesta (attualmente microdati direttamente identificativi delle unità statistiche).

Con riferimento alla diffusione dei risultati statistici sul proprio sito istituzionale, è stato rappresentato che essa è effettuata tenendo conto della cd regola del 3, in base ad una procedura che il coordinamento statistico indica ad una società esterna per evitare la pubblicazione di “ipercubi” (ossia, composizioni di intervalli delle diverse variabili in cui il dato può essere rappresentato) contenenti un numero di unità statistiche inferiori a 3. La predetta società restituisce la tabella al coordinamento statistico il quale, prima della pubblicazione dei risultati statistici, effettua icto-oculi e a campione una ulteriore verifica sui dati ricevuti, mentre la società esterna svolge l’operazione sopra descritta in forma automatizzata.

Sul punto è stato successivamente chiarito che “Il Coordinamento generale statistico attuariale al momento non ha reperito la documentazione relativa alle regole che l'Istituto ha impartito alla società esterna per evitare la pubblicazione dei c.d. "ipercubi" contenenti un numero di unità statistiche inferiori a 3 unità”.

L’Istituto ha rappresentato che il personale ha ricevuto una specifica formazione in materia di protezione dei dati personali, fornendo le relative evidenze.

In relazione al lavoro statistico IPS-00061, è stato chiarito che esso è stato inserito nel PSN fino alla versione 20 – 22, aggiornamento 2021, e che, trattandosi di uno studio progettuale chiuso, che non ha prodotto alcun output, i dati raccolti nell’ambiente SAS sono stati cancellati e mai caricati nei sistemi di back up dell’Istituto.

2. La normativa in materia di protezione dei dati personali

Il trattamento di dati personali deve avvenire nel rispetto del Regolamento e del Codice, nonché, con specifico riferimento al settore di cui ci si occupa, delle Regole deontologiche, allegato A4 al Codice.

Per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, [...]” (art. 4, paragrafo 1, n. 1 del Regolamento).

Per pseudonimizzazione si intende: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (cons. 26 e art. 4 punto 5).

I dati pseudonimizzati sono quindi dati di carattere personale oggetto di un preventivo trattamento di codifica. Nello specifico, la pseudonimizzazione non è un metodo di anonimizzazione; essa piuttosto si limita a ridurre la correlabilità di un insieme di dati all’identità originaria di un interessato e rappresenta pertanto una misura di sicurezza che il titolare del trattamento è tenuto ad implementare, anche al fine di attuare in modo efficace di principi di protezione dei dati, laddove non sia più necessario disporre di dati personali identificabili, memorizzando separatamente le chiavi di identificazione (cfr. Parere 05/2014 sulle tecniche di anonimizzazione adottato dal Gruppo Art. 29, il 10 aprile 2014 e le Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita, Versione 2.0, Adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020).

In base al principio di minimizzazione, i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. c) del Regolamento).
La pseudonimizzazione costituisce una misura di estremo rilievo nel settore della ricerca statistica in particolare al fine di garantire effettiva applicazione al principio di minimizzazione (artt. 5, par. 1, lett. c) e 89 del Regolamento).

A tale riguardo, il Gruppo Articolo 29 ha evidenziato che essa vale “a ridurre la correlabilità di un insieme di dati all’identità originaria di una persona interessata, e rappresenta pertanto una misura di sicurezza utile (WP216, 05/2014 sulle tecniche di anonimizzazione adottato il 10 aprile 2014)” ma certamente costituisce anche una misura di minimizzazione dei dati che realizza e rende operativo il principio di necessità. Tra gli elementi principali della progettazione e dell’impostazione predefinita, relativi alla minimizzazione dei dati, figura infatti anche quella della pseudonimizzazione dei dati (cfr. par. 3.5. Linee guida 4/2019 del Comitato europeo per la protezione dei dati, cit.).

I dati personali devono essere trattati nel rispetto del principio di trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento al quale si correla l’obbligo di fornire preventivamente agli interessati le informazioni sul trattamento, nei casi di dati raccolti presso terzi, secondo le modalità di cui all’art. 14 del Regolamento. A tale riguardo, l’art. 6, comma 2 delle Regole deontologiche stabilisce che “Quando il trattamento riguarda dati personali non raccolti presso l´interessato e il conferimento delle informazioni a quest´ultimo richieda uno sforzo sproporzionato rispetto al diritto tutelato, in base a quanto previsto dall´art. 14, par. 5, lett. b) del Regolamento, le informazioni stesse si considerano rese se il trattamento è incluso nel programma statistico nazionale o è oggetto di pubblicità con idonee modalità”.

Rileva poi il principio di limitazione della conservazione dei dati, di cui all’art. 5, par. 1, lett. e) del Regolamento, secondo il quale i dati sono “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato”.

Tra i principi applicabili al trattamento, quello di responsabilizzazione (accountability), stabilisce che “il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento” (art. 5, par. 2 del Regolamento).

Ad esso si collega un altro dovere posto in capo al titolare del trattamento, ossia quello di assicurare che il diritto e la disciplina in materia di protezione dei dati personali degli interessati siano tutelati e applicati sin dalla progettazione e per impostazione predefinita (cd privacy by design e by default, art. 25 del Regolamento).

Si richiede, pertanto, una valutazione ponderata di tutte le scelte connesse ai trattamenti di dati personali, dimostrabile sul piano logico attraverso specifiche motivazioni, volte all’individuazione di misure necessarie e proporzionate rispetto alla concreta efficacia del principio di volta in volta tutelato.

In ossequio all’obbligo della protezione dei dati sin dalla progettazione, i titolari devono, inoltre, assumere una condotta attiva nell’applicazione dei principi, ponendosi l’obiettivo di ottenere un reale effetto di tutela. Non si richiede, quindi, la mera applicazione di misure generiche, non direttamente correlate allo scopo di tutela, ma di misure qualitativamente e quantitativamente efficaci rispetto all’obiettivo e progettate per essere, all’occorrenza, revisionate in relazione ad eventuali aumenti o riduzioni dei rischi per gli interessati.

Tali misure dovranno, ove possibile, includere specifici indicatori volti a dimostrarne in modo inequivoco l’efficacia. In tale ottica, il richiamato obbligo di documentazione delle scelte inerenti al trattamento dei dati personali si intende compiutamente adempiuto solo laddove il titolare sia in grado di dimostrare, attraverso indicatori di prestazione (qualitativi e ove possibile, quantitativi), l’efficacia delle misure adottate o che intende adottare (cfr. Linee guida 4 del 2019 cit., provv. del Garante del 23 gennaio 2020, doc web n. 9261093).

Il Regolamento prevede, inoltre, che “quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi” (art. 35; Gruppo art. 29 Linee-guida n. 248 concernenti "La valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento" adottate in forma emendata il 4.10.2017).

In particolare, il Comitato europeo per la protezione dei dati ha ritenuto necessaria la valutazione di impatto (Vip) tutte le volte in cui i trattamenti possano presentare un alto rischio per i diritti e le libertà delle persone fisiche, intendendosi per tali in particolare quelli che prevedono: i) la valutazione o assegnazione di un punteggio; ii) il processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sull’interessato; iii) il monitoraggio sistematico; iv) il trattamento dati sensibili o dati aventi carattere altamente personale; v) il trattamento di dati su larga scala; vi) la creazione di corrispondenze o combinazione di insiemi di dati; vii) il trattamento di dati relativi a interessati vulnerabili; viii) l’uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative; ix) trattamenti che impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto. In particolare, il Comitato europeo per la protezione dei dati ritiene che la Vip debba essere certamente svolta tutte le volte che ricorrono contestualmente almeno due dei richiamati criteri (Linee guida del 4 ottobre 2017, cit.).

La disciplina in materia di protezione dei dati personali non riguarda i dati anonimizzati, intendendosi per tali solo quelli che non consentono l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato. L’anonimizzazione non può considerarsi realizzata attraverso la mera rimozione delle generalità dell’interessato o sostituzione delle stesse con un codice pseudonimo. Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference) (cfr. Parere 05/2014 - WP 216 sulle tecniche di anonimizzazione, adottato il 10 aprile 2014).

3. Violazioni contestate

Alla luce del richiamato quadro normativo di riferimento, sulla base degli elementi acquisiti nell'ambito della richiamata attività ispettiva nonché delle successive valutazioni svolte, l’Ufficio -con atto del XX, prot. n. XX, notificato in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente riprodotto- ha avviato, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti dell’Istituto, invitandolo a produrre scritti difensivi o documenti e a chiedere di essere sentito dall’Autorità (art. 166, commi 5 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

Con il predetto atto, l’Ufficio ha rilevato che i trattamenti di dati personali svolti dall’INPS per il perseguimento delle funzioni istituzionali attinenti alla realizzazione della statistica ufficiale sono stati effettuati in violazione dei principi di minimizzazione dei dati, di limitazione della conservazione, di responsabilizzazione e di privacy by design e by default di cui all’art. 5, par. 1, lett. c) e e), par. 2, e all’art. 25 del Regolamento, nonché con specifico riferimento al lavoro statistico IPS-00081, dell’obbligo di rendere un’informativa esatta e completa ai sensi dell’art. 14 del Regolamento e, in relazione ai lavori statistici inseriti nei PSN e in particolare a quelli verificati nel corso degli accertamenti ispettivi (IPS-00081 e IPS-00061), dell’obbligo di svolgere preventivamente la valutazione di impatto, ai sensi dell’art. 35 del Regolamento,.

4. Le memorie difensive dell’Inps e le valutazioni dell’Autorità

L’Istituto, con nota del XX (prot. n.XX), ha fatto pervenire le proprie memorie difensive, fornendo dichiarazioni della cui veridicità risponde penalmente ai sensi dell’art. 168 del Codice e senza richiedere di essere sentita nell’ambito di una specifica audizione, come previsto dall’art. 166, comma 5 del Codice, nelle quali, è stato in particolare rappresentato quanto segue.

4.1. Sui principi di privacy by design e by default e di minimizzazione dei dati

Con riguardo alla contestazione della violazione dei principi di minimizzazione e di privacy by default e by design, di cui agli artt. 5, par. 1, lett. c) e 25 del Regolamento, in relazione alla raccolta dal  DWH di dati in forma direttamente identificativa degli interessati attraverso l’indicazione del codice fiscale di ciascuno di essi, che lo statistico visualizza, importa e raccoglie le informazioni in questo formato, ossia senza alcuna preventiva forma di pseudonimizzazione, l’Istituto ha rappresentato che “Nell’ambito della produzione della statistica ufficiale, la presenza dell’identificativo in chiaro risponde [...] all’esigenza di consentire nella fase di trattamento qualitativo dei dati, non solo di adottare misure di controllo statistico massivo della correttezza e robustezza dei dati, ma anche di effettuare accessi puntuali su un numero ristretto di casi per la verifica di dati anomali attraverso le transazioni e le applicazioni web disponibili in Istituto [...].

Nel processo di produzione della statistica ufficiale il valore aggiunto del trattamento effettuato [...] consiste nel trasformare una serie di informazioni di carattere amministrativo, tipicamente affette da errori, duplicazioni, incompletezze e anomalie di vario genere, in informazioni statistiche attendibili, complete e robuste in grado di rappresentare efficacemente i fenomeni di volta in volta analizzati riguardanti pluralità di aree tematiche di grande interesse per il Paese. [...] “Per questo nel caso di specie, in considerazione della tipologia degli archivi e dei dati in essi presenti, al fine di conseguire l’accuratezza ed affidabilità delle statistiche, l’intervento mirato per migliorare la qualità dei risultati, attraverso lo scambio e ricerca di informazioni specifiche sulle posizioni anomale, risulta utilmente conseguibile, in tempi e con sforzi ragionevoli, con l’utilizzo del codice fiscale dei soggetti interessati.

Si tratta, del resto, di trattamento dei dati [...] effettuato da professionisti iscritti all’albo e, comunque, tenuti al rispetto di un codice deontologico, che all’art. 5 – Riservatezza – impone all’Attuario l'obbligo del segreto professionale e osservare un atteggiamento di riserbo in relazione alle notizie apprese nell'esercizio della professione. [...]

Invero, l’attenzione non va posta solo sulla pedissequa osservanza della interpretazione più restrittiva delle disposizioni, senza invece tener conto delle reali esigenze e situazioni, ma anche ai mezzi, tempi e sforzi necessari per ottenere il miglior risultato perseguito, in relazione agli specifici interessi coinvolti, anche in considerazione della salvaguardia al diritto di riservatezza che comunque viene assicurata attraverso il rispetto degli obblighi e delle norme etiche e professionali al quale l’attuario è tenuto. [...]

Del resto, non solo il contesto di particolare operatività, in considerazione del numero e tipologie di richieste da evadere [...] ma anche l’esigenza di assicurare la fornitura di dati statistici, in rilevanti volumi e tempi serrati, va considerata come circostanza che giustifica un metodo di lavorazione più immediato, quale l’utilizzo del codice fiscale in chiaro, per ottimizzare il controllo statistico massivo della correttezza e robustezza dei dati e migliorare il trattamento qualitativo, anche con puntuali verifiche, su un numero ristretto di casi, attraverso le conciliazioni e le applicazioni web disponibili in Istituto [...].

È innegabile che in ragione delle circostanze, condizioni e particolarità delle esigenze di tempestività e precisione, i dati, anche con l’utilizzo del codice fiscale, sono da considerarsi trattati in maniera adeguata, pertinente e limitata a quanto necessario rispetto alle finalità per le quali erano lavorati [...].

Non si nega che l'applicazione della pseudonimizzazione ai dati personali, sostituendo il codice fiscale con uno pseudonimo quale unica informazione visibile agli attuari del CGSA, potrebbe ridurre i rischi per gli interessati e aiutare i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati, lasciando loro sempre la possibilità di risalire all’identità dell’interessato laddove necessario.

Ma la sostituzione del codice fiscale con uno pseudonimo, verosimilmente non applicabile a tutte le elaborazioni statistiche, non consentirebbe di mantenere l’attuale standard di tempestività e accuratezza delle attività statistiche, rischiando di pregiudicare l’efficacia ed efficienza nelle attività a cura del CGSA [...].

Va infine considerato che le tabelle presenti sul DWH sono svariate centinaia, pertanto, l’eventuale processo di sostituzione del codice fiscale con lo pseudonimo richiederebbe un tempo imprecisato per essere reso operativo dalla DCTII con inevitabili ripercussioni sulle attività del CGSA”.

In conclusione, l’Istituto ritiene di non poter condividere le osservazioni dell’Autorità laddove è stato rilevato che le basi dati in forma “non anonima” non rispettano i principi in materia di protezione dei dati personali, con particolare riferimento a quelli di minimizzazione, integrità e riservatezza.

Sul punto, si osserva preliminarmente che la pseudonimizzazione dei dati costituisce una misura che, nel far salva la possibilità per il titolare di risalire all’identità dell’interessato laddove necessario, favorisce al contempo l’effettiva applicazione dei principi (giuridicamente vincolanti) di protezione dei dati personali, con particolare riferimento a quelli di minimizzazione, integrità e riservatezza. I dati pseudonimizzati ben consentono il mantenimento di singolarità, utili come rappresentato dall’Istituto a “conseguire l’accuratezza ed affidabilità delle statistiche, l’intervento mirato per migliorare la qualità dei risultati, attraverso lo scambio e ricerca di informazioni specifiche sulle posizioni anomale, risulta utilmente conseguibile, in tempi e con sforzi ragionevoli”. Essi sono infatti pur sempre dati di carattere personale ancorché oggetto di una misura di codifica (cfr. Linee guida e Parere, cit.; provv. del 23 gennaio 2020 doc. web 9261093).

Nel settore della ricerca scientifica e statistica la discrezionalità per il titolare del trattamento di ricorrere o meno all’applicazione di tale tecnica si riduce sensibilmente alla luce dell’art. 89, par. 1 del Regolamento.

La centralità della pseudonimizzazione nell’ambito dei trattamenti di dati personali a fini statistici si comprende in ragione dalla natura medesima della ricerca, interessata all’esame di fenomeni, alla loro incidenza in determinati contesti, alla loro frequenza etc., a prescindere dall’identità dei soggetti che vi sono coinvolti. Ciò al punto tale che secondo il Regolamento la scelta della minimizzazione dei dati -in particolare attraverso la loro pseudonimizzazione- deve assumere carattere residuale e subordinato a quella ancora più garantista di trattare, laddove possibile, dati anonimizzati.

Sotto altro profilo, e tenuto conto delle osservazioni formulate dell’Inps nelle sue memorie, si segnala che il Garante ha già evidenziato come tale misura possa, piuttosto che ostacolare la realizzazione dell’attività statistica, favorirne un equo contemperamento con i principi di protezione dei dati, con particolare riferimento anche a quelli di limitazione della finalità e della conservazione (cfr. provv. del 23 gennaio 2020, doc. web n. 9261093 e provv. del 16 settembre 2021, punto 3, doc. web n. 9717477).

L’applicazione di misure di tipo organizzativo, pur richieste dal Regolamento (art. 32), ivi incluse quelle etiche e il segreto professionale al quale sono tenuti gli attuari, non consente di escludere la vincolatività giuridica di tutti gli altri principi di protezione dei dati personali. Gli adempimenti e i principi di protezione dei dati non sono infatti alternativi tra loro o capaci di escludersi l’uno l’altro, dovendo trovare applicazione congiuntamente al fine, da un lato, di assicurare il livello di tutela per i diritti e le libertà fondamentali degli interessati richiesto dal Regolamento e, dall’altro, di ridurre i rischi connaturati ai trattamenti di dati personali ad un livello accettabile.

Pur essendo corretto e innegabile che le misure necessarie all’effettiva applicazione dei principi di minimizzazione e di privacy by design e by default vadano individuate da ogni singolo titolare del trattamento in relazione al proprio specifico contesto di riferimento, quali la mole e tipologia di dati trattati, le risorse disponibili, lo scopo del trattamento e lo stato dell’arte tecnologica (elementi peraltro da considerare al fine di aumentare e non ridurre la robustezza delle misure da adottare), non può non rilevarsi come l’Istituto non abbia avviato alcun tipo di riflessione sull’impiego proficuo di questo strumento, anche a beneficio della qualità dei dati, nel contesto delle attività di trattamento necessarie alla realizzazione della statistica ufficiale. 

In conclusione, l’Istituto ha poi aggiunto che “pur ritenendo che sia da escludersene la necessità, [...], qualora si dovesse comunque avviare un processo per la sostituzione del Codice fiscale con lo pseudonimo, dovrebbe comunque avvenire gradualmente, prevedendo una fase intermedia nella quale entrambe le informazioni siano presenti nelle basi dati per garantire continuità alle procedure interne del CGSA ed evitare un blocco dei lavori che potrebbe durare svariati mesi, rischiando di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche”.

A titolo esemplificativo, si segnala che il Garante ha prescritto l’Istituto nazionale di statistica un sistema di pseudonimizzazione fondato su un meccanismo di disaccoppiamento gerarchico di codici pseudonimizzati nelle varie basi di dati e di rotazione degli stessi nel tempo, vista la mole di dati oggetto di trattamento per la produzione della statistica ufficiale, sempre più spesso acquisiti accendendo a fonti amministrative. La misura è stata prescritta, sia al fine di minimizzare errori umani, più verosimili in presenza di moli rilevanti di dati o di estrazioni di molteplici campioni, che di garantire effettiva applicazione dei principi di limitazione della finalità e della conservazione, nonché di rendere comunque possibile, l’interconnessione di più tabelle nei casi in cui ciò costituisca lo scopo istituzionale della rilevazione e sia consentito dalla legge (provv. del 23 gennaio 2020, cit.).

Si segnala inoltre al riguardo che, con il provvedimento del 16 settembre 2021 (doc. web 9717477), il Garante, nel rendere il parere di competenza sul Psn 2020-2022, aggiornamento 2021-2022 – ha rappresentato quali sono state le misure implementate dall’Istat a seguito dei provvedimenti adottati nei confronti di Istat, tenendo conto dell’ingente mole di dati detenuta da tale amministrazione (provv. del 23 gennaio 2020 cit.; provv. del 13 febbraio 2020, doc. web 9283929; provv. 19 maggio 2020, n. 87, doc. web n. 9370217), osservando come vi siano “altre pubbliche amministrazioni che condividono caratteristiche simili a quelle dell’[Istat] in termini di raccolta massiva e rielaborazione complessa di dati personali anche riferiti a particolari categorie per scopi statistici” facendo esplicito riferimento all’Inps. Il Garante ha quindi rilevato come “Queste tipologie di trattamenti necessitano con maggiore urgenza, anche all’esito di specifiche valutazioni di impatto, dell’implementazione di adeguate misure tecniche e organizzative per assicurare l’effettiva applicazione del principio di minimizzazione e in particolare dell’impiego di adeguate e avanzate tecniche di pseudonimizzazione”.

Tali considerazioni non consentono di superare la contestazione in esame relativa alla violazione, da parte dell’Inps nello svolgimento delle proprie funzioni istituzionali nel settore della statistica ufficiale, dei principi di minimizzazione dei dati e di privacy by design e by defualt di cui agli artt. 5, par. 1, lett. c) e 25 del Regolamento.

4.2 Sul principio di limitazione della conservazione

In ordine alla contestazione della violazione da parte dell’Istituto del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e) del Regolamento, con particolare riferimento al lavoro statistico IPS-00081, in ragione della scelta del titolare di individuare aprioristicamente il periodo di conservazione dei dati in 15 anni, l’Istituto ha in primo luogo rappresentato che “nelle schede del PSN risulta indicato in 120 mesi il tempo di conservazione dei dati che riguardano serie storiche quinquennali”, precisando al riguardo che “Il CGSA ha indicato in 120 mesi (10 anni) il tempo di conservazione dell’intera serie storica quinquennale elaborata in un certo anno quindi i 10 anni di conservazione fanno riferimento all’anno di elaborazione della serie storica, in quanto possono costituire la base scientifica sulla quale si potranno fondare in futuro alcune ipotesi di ricerca statistica, scientifica o storica e sulla base dei quali può essere verificata l’attendibilità della ricerca stessa e l’autenticità dei risultati”.

L’Istituto ha in ogni caso evidenziato che “il CGSA sta provvedendo all’adeguamento di tutte le schede del PSN in modo da [...] adeguare il periodo di conservazione alle reali esigenze informative”.

La raccolta dei dati presso l’ambiente SAS dell’Inps, ne costituisce una duplicazione all’interno dell’Istituto che come tale, se necessaria, è opportuno comunque che persista non oltre il tempo necessario allo scopo della raccolta. Tale circostanza va considerata nell’ambito delle valutazioni che il titolare è tenuto di volta in volta ad effettuare per assicurare effettiva applicazione al principio di protezione dei dati personali considerato, nel caso in esame quello di limitazione della conservazione, rifuggendo da soluzioni standardizzate.

Come più volte ribadito dall’Autorità, nel settore della ricerca i tempi di conservazione vanno individuati sulla base di specifiche motivazioni tecnico-scientifiche (cfr. provv. n. 498 del 26 ottobre 2023, doc web 9960973; n. 607 del 21 dicembre 2023, doc. web 9979453; n. 36 del 24 gennaio 2024, doc. web 9988614).

Cionondimeno, pur ritenendosi opportuno raccomandare una più scrupolosa definizione dei tempi di conservazione in relazione allo scopo di volta in volta perseguito attraverso ogni singolo lavoro statistico realizzato dall’Ufficio di statistica e alla natura stessa del lavoro (Statistiche da indagine, Statistiche derivate o rielaborazioni, Studi progettuali, Studi longitudinali), tenendo conto dell’impegno assunto, si ritiene che le motivazioni addotte possano considerarsi idonee, da un punto di vista tecnico giuridico, a superare la contestazione in esame, giusta anche la tipologia (osservatori) di progetti statistici realizzati.

4.3. Le informazioni agli interessati

In relazione alla violazione da parte dell’Istituto dell’obbligo di rendere un’informativa esatta e completa ai sensi dell’art. 14 del Regolamento derivante dall’incongruenza tra l’effettivo periodo di conservazione operato (15 anni) e quanto indicato nella scheda informativa del PSN 2023-2025 relativa al lavoro statistico IPS 00081 (120 mesi/10 anni) che funge da informativa agli interessati ai sensi dell’art. 6, comma 2 delle Regole deontologiche, l’Istituto ha rappresentato che “il CGSA sta provvedendo all’adeguamento di tutte le schede del PSN in modo da tener conto di questa osservazione e adeguare il periodo di conservazione alle reali esigenze informative”.

A tale riguardo, nel prendersi favorevolmente atto della misura correttiva già intrapresa dall’Inps, si ritiene che le memorie presentate non siano idonee a superare la contestazione relativa alla violazione, da parte dell’Inps dell’obbligo di rendere un’informativa esatta e completa ai sensi dell’art. 14 del Regolamento con specifico riferimento al lavoro statistico IPS-00081.

4.4. Sull’obbligo di svolgere la valutazione di impatto

Con riferimento alla contestazione della violazione da parte dell’Istituto dell’obbligo di svolgere la valutazione di impatto ai sensi dell’art. 35 del Regolamento, in relazione ai lavori statistici inseriti nel PSN e in particolare in relazione a quelli IPS-00081 e IPS-00061, l’Istituto ha rappresentato , che “il regolamento generale sulla protezione dei dati prevede che i titolari del trattamento attuino misure adeguate per garantire ed essere in grado di dimostrare il rispetto di detto regolamento, tenendo conto tra l'altro dei "rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche" (articolo 24, paragrafo 1). L'obbligo per i titolari del trattamento di realizzare una valutazione d'impatto sulla protezione dei dati va inteso nel contesto dell'obbligo generale, cui gli stessi sono soggetti, di gestire adeguatamente i rischi presentati dal trattamento di dati personali”.

L’Istituto, inoltre, avendo richiamato le citate linee guida del WP29 nella parte in cui indicano che “quando le tipologie di trattamento sono state verificate da un'autorità di controllo prima del maggio 2018 in condizioni specifiche che non sono cambiate (cfr. III.C)” ha evidenziato che non sarebbe “corretto il rilievo del Dipartimento secondo cui l’Istituto avrebbe violato l’obbligo di valutazione di impatto” nonostante quanto indicato nel PSN (dove l’Istituto nella sezione “Misure organizzative e tecniche per l'attuazione dei principi di protezione dei dati personali, dichiara di svolgere le Vip in relazione ai trattamenti ad alto rischio) in quanto “Non risulta, infatti, che nei PSN precedenti l’Istituto abbia dichiarato di avere in qualche modo proceduto ad una valutazione di impatto prima di procedere ai trattamenti inerenti ai lavori statistici. Inoltre, nei precedenti PSN il lavoro statistico al quale si riferisce l’ispezione IPS-00081 (in precedenza denominato IPS-00062) era stato specificamente approvato con tutte le sue caratteristiche e modalità di trattamento dei dati personali” e che “Una prima indicazione in ordine alla necessità di specifiche valutazioni di impatto, è venuta solo dal provvedimento del Garante n. 315 del 16 settembre 2021. E difatti, al momento dell’ispezione, erano in corso le attività istruttorie propedeutiche e le valutazioni in ordine a tutte le problematiche esplicitate nella presente nota”.

A tale riguardo, si osserva che in una normativa incentrata sul principio di precauzione e sull’approccio basato sul rischio, come quella di cui al Regolamento, la discrezionalità circa l’obbligo di svolgere o meno la valutazione di impatto è del tutto destituita di fondamento. Ciò tenuto anche conto di quanto siano ben dettagliate, all’art. 35 del Regolamento, le fattispecie per le quali tale adempimento è ritenuto necessario e poi ulteriormente specificate nelle citale linee guida.

Ciò premesso, sotto altro profilo, è appena il caso precisare che, come più volte indicato dal Garante, il parere che l’Autorità rende sul PSN ai sensi dell’art. 58, par. 3, lett. b) e par. 2 lett. f) del Regolamento, dell’art. 6- bis del d.lgs. 322 del 1989 e dell’art. 4-bis delle Regole deontologiche, concerne i compiti e le funzioni consultive dell’Autorità sugli atti normativi che incidono sulla protezione dei dati. Resta pertanto salva la possibilità per il Garante di svolgere specifici approfondimenti istruttori sui trattamenti di dati personali effettuati per la realizzazione dei lavori statistici ivi indicati, anche al fine, se del caso, di verificarne la conformità a quanto rappresentato dal titolare nel predetto atto.

In altri termini, la circostanza che il Garante abbia reso parere favorevole sui Psn nei quali l’Inps ha inserito i lavori statistici di cui è titolare, implica che l’Istituto, al pari degli altri soggetti Sistan, gode di un’idonea base giuridica per il trattamento dai dati personali necessari a tali scopi, ma non che sia esente dall’obbligo di svolgere gli ulteriori adempimenti previsti dal Regolamento.

Gli obblighi di svolgere la valutazione di impatto ai sensi dell’art. 35 del Regolamento e di applicare idonee misure di minimizzazione dai dati, in quanto previsti dal Regolamento, evidentemente precedono e prescindono dal monito che l’Autorità avava già fatto nel provvedimento del 16 settembre 2021 (cit.), che comunque l’Inps ha dimostrato di non avere tenuto in debita considerazione, visto che allo stato il processo di redazione delle valutazioni d’impatto non risulta completato.

Ciò premesso, si ritiene che le memorie difensive presentate non consentano di superare la contestazione relativa alla violazione da parte dell’Istituto dell’obbligo di svolgere la valutazione di impatto ai sensi dell’art. 35 del Regolamento in relazione ai lavori statistici inseriti nel PSN e in particolare in relazione a quelli IPS-00081 e IPS-00061 oggetto degli accertamenti ispettivi dell’Ufficio.

4.5 Sull’operazione di anonimizzazione dei dati e sul principio di accountability.

La contestazione della violazione del principio di responsabilizzazione ex art. 5, par. 2 del Regolamento, con riferimento alle tecniche di anonimizzazione dei dati propedeutica alla diffusione dei risultati statistici, effettuate per il tramite di una società esterna all’uopo nominata responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, aveva ad oggetto in particolare la circostanza che l’Istituto non è stato in grado di dimostrare, comprovare e circostanziare di avere posto in essere misure effettivamente idonee a scongiurare il rischio di re-identificazione degli interessati in fase di diffusione.

A tal proposito, l’Istituto pur escludendo che in base alle tecniche applicate il risultato statistico potesse ragionevolmente consentire l´identificazione di unità statistiche, avuto riguardo al tipo di rilevazione e alla natura delle variabili associate, riferendosi, in particolare alle rilevazioni, IPS-00081 e IPS-00061, ha rappresentato che “al solo fine di una maggiore cautela il CGSA il 22 gennaio scorso ha inviato, via comunicazione istituzionale alla DCTII, un documento sul trattamento dei dati per la tutela della riservatezza nel rilascio dell’informazione statistica in cui si richiede l’applicazione di una soglia minima di frequenze pari a 3 (regola accettata da molti istituti nazionali di statistica, incluso l’art. 4 delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 - 19 dicembre 2018) nella visualizzazione delle tavole statistiche navigabili degli Osservatori online”.

L’Istituto ha aggiunto, inoltre, che “a fronte dell’ingente mole di dati trattati negli anni dal Coordinamento statistico attuariale sia in chiaro sia con tecniche di anonimizzazione/pseudonimizzazione non si è registrata nessuna violazione di dati personali consistente nella identificazione/identificabilità degli interessati, né perdita di riservatezza dei dati stessi”.

Al riguardo, si osserva che, dopo l’operazione di anonimizzazione/aggregazione dei risultati statistici oggetto di diffusione, la verifica del rischio dei reidentificazione degli interessati, richiede che il titolare individui misure concrete, realizzabili in modalità automatizzata e sottratte a valutazioni ictu oculi condotte solo in via eventuale e non sistematica, per evitare la pubblicazione dei c.d. "ipercubi", ossia combinazioni di intervalli di variabili, contenenti un numero di unità statistiche inferiori a 3 unità.

Il controllo effettuato ex post dall’Istituto in modalità manuale e a campione, comporta che alcune delle diffusioni operate non siano oggetto di alcuna verifica. Tale prassi costituisce una criticità ancora più rilevante se si tiene conto che l’efficacia della tecnica della K-anoniminity (che deve essere valutata in concreto) va ponderata in base alle caratteristiche di ciascuna rilevazione legate al grado di “diversità” delle unità statistiche incluse in ciascuna classe di equivalenza (ad esempio, può ben verificarsi il caso di classi di equivalenza con un numero maggior di tre unità, eppure caratterizzate da valori prossimi, laddove non identici, degli attributi, quali, patologie, livelli di reddito ecc. – i c.d. quasi-identificatori –) (cfr. provv. del 2 marzo 2023, doc. web 9875254 e del 18 luglio 2023, doc. web 9920977), potenzialmente vanificando la generalizzazione applicata. Ciò, tenuto anche conto che l’Istituto vanta una produzione statista molto rilevante con una variabilità significativa dei campioni in cui sono rilevate anche categorie particolari di dati, quali quelli sulla salute o sulle condizioni di invalidità degli interessati. A tale riguardo, basti pensare, a titolo esemplificativo, che, solo nel PSN 2023-2025, vi sono ben 27 lavori statistici di titolarità dell’Inps senza tener conto di quelli ai quali l’Istituto partecipa ad altro titolo o di quelli svolti al di fuori del PSN.

Si sottolinea inoltre che l’anonimizzazione/aggregazione dei dati trattati per scopi statistici al fine di fornire il risultato del lavoro svolto costituisce un’operazione di centrale importanza nel settore esaminato in quanto non solo necessaria per prevenire diffusioni di dati personali in assenza di idonea base normativa ma anche per assicurare il rispetto del segreto statistico (artt. 2-sexies e 2-septies comma 8 del Codice e art. 9, del d.lgs. 322 del 1989).

Per tutto quanto sopra, nel prendersi favorevolmente atto delle misure da ultimo implementate che il titolare ha decritto nella documentazione acquisita agli atti del procedimento, si ritiene che le memorie difensive presentate non siano idonee a superare la contestazione della violazione del principio di responsabilizzazione da parte dell’Istituto in relazione all’operazione di anonimizzazione/aggregazione dei dati trattati per scopi statistici, propedeutica alla diffusione dei risultati statistici, ai sensi dell’art. 5, par. 2 del Regolamento.

5. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese ai sensi dell’art. 168 del Codice nel corso dell’istruttoria e degli elementi forniti dal titolare del trattamento nelle memorie difensive, seppure meritevoli di considerazione, non consentono, come sopra illustrato e motivato, di superare la gran parte dei rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto nazionale di previdenza sociale in quanto in violazione degli artt. 5, par. 1, lett. c), e par. 2 e degli artt. 25 e 35 del Regolamento nonché con specifico riferimento al lavoro statistico IPS-00081 dell’obbligo di rendere un’informativa esatta e completa ai sensi dell’art. 14 del Regolamento. La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5 del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e 166 comma 2 del Codice.

6. Misure Correttive

L’art. 58, par. 2 del Regolamento prevede in capo al Garante una serie di poteri correttivi, di natura prescrittiva e sanzionatoria, da esercitare nel caso in cui venga accertato un trattamento illecito di dati personal, tra i quali quello di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (art. 58, par. 2 lett. d) del Regolamento).

Alla luce delle valutazioni sopra richiamate, si ritiene di dover ingiungere all’Istituto, ai sensi del richiamato art. 58, par. 2, lett. d) Regolamento, di provvedere entro 180 giorni dalla notifica del presente provvedimento a:

- individuare tecniche di pseudonimizzazione dei dati e, in particolar modo del codice fiscale, che pur mantenendo l’univocità dei record, consentano, per impostazione predefinita, di dare effettiva applicazione al principio di minimizzazione dei dati nell’ambito dei trattamenti di dati personali necessari all’Ufficio di statistica dell’Inps per la realizzazione delle proprie funzioni istituzionali;

- avviare e completare lo svolgimento delle valutazioni di impatto relative ai lavori statistici inserti nel PSN di cui all’art. 35 del Regolamento e in particolare quelle relative ai lavori IPS-00081 e IPS-00061;

- individuare misure specifiche per la valutazione del rischio di reidentificazione degli interessati in fase di diffusione dei risultati statistici che possano essere realizzate in forma automatizzata e che diano garanzie di effettività nell’implementazione della tecnica di k-anonimity con applicazione della regola del 3, anche al fine di fornire specifiche indicazioni al riguardo alla società esterna deputata all’anonimizzazione dei dati per conto dell’Istituto, in vista della diffusione dei risultati statistici.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione dell’art. 5, par. 1, lett. c), e par. 2 e degli artt. 14, 25 e 35 del Regolamento commessa dall’Istituto è soggetta all’applicazione della sanzione amministrativa pecuniaria, ai sensi dell’art. 83, par. 4, lett. a) e 5, lett. a) e b) del Regolamento.

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta in funzione delle circostanze di ogni singolo caso va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2 del Regolamento.

Alla luce di quanto sopra illustrato e in particolare dell’elevato numero di soggetti interessati, delle categorie particolari di dati che possono essere oggetto della violazione, delle finalità del trattamento, che non rientra nelle attività principali del titolare, del carattere non intenzionale della violazione, si ritiene che il livello di gravità della violazione commessa dall’Istituto sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate, e, in particolare, che:

- il trattamento effettuato ha riguardato, in particolare, lo svolgimento delle funzioni istituzionali dell’Inps correlate all’attività di produzione della statistica ufficiale attraverso la rielaborazione delle informazioni già detenute dell’Istituto per fini amministrativi;

- non risultano, precedenti violazioni pertinenti, aventi pertanto ad oggetto i trattamenti svolti per scopi statistici, commesse dal titolare del trattamento né sono stati precedentemente disposti, in relazione ai predetti trattamenti, provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

- l’Istituto si è dimostrato collaborativo nel corso dell’accertamento ispettivo e del presente procedimento;

- l’Istituto ha dichiarato di avere già posto in essere alcune misure correttive in relazione al trattamento dei dati personali effettuato (art. 83, par. 2, lett. c) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene, di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 e 5, del Regolamento, nella misura di € 40.000,00 (quarantamila/00) per la violazione dell’art. 5, par. 1, lett. c), e par. 2 e degli artt.14 25 e 35 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 e 3, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, si debba procedere alla pubblicazione, sul sito Internet del Garante, del presente capo contenente l'ordinanza ingiunzione ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Ciò in considerazione della gravità delle condotte, che hanno determinato le richiamate violazioni della disciplina sulla protezione dei dati personali, dell’elevato numero di soggetti interessati coinvolti e delle categorie particolari di dati trattati.

TUTTO CIO’ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Istituto nazionale di previdenza sociale con sede legale in Via Ciro il Grande, 21 cap 00144 Roma P.IVA 02121151001, per la violazione dell’art. 5, par. 1, lett. c) e par. 2 e degli artt.14, 25 e 35 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Istituto, di pagare la somma di € 40.000,00 (quarantamila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

all’Istituto:

1. di pagare la somma di euro € 40.000,00 (quarantamila/00) -in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice-, secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

2. ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento, adottando entro 180 giorni dalla notifica del presente provvedimento, le misure correttive indicate al paragrafo 6 del presente provvedimento. L’inosservanza di un ordine formulato ai sensi dell'art. 58, par. 2, del Regolamento, è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del Regolamento;

3. ai sensi dell’art. 58, par. 1, lett. a), del Regolamento e dell’art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto al paragrafo 6 e di fornire comunque riscontro, adeguatamente documentato, entro e non oltre il termine di 20 giorni dalla scadenza del termine di cui al punto 2. Il mancato riscontro a una richiesta formulata ai sensi dell’art. 157 del Codice è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice.

DISPONE

a) ai sensi dell’art. 166, comma 7 del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

b) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

c) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei