g-docweb-display Portlet

Provvedimento del 17 dicembre 2020 [9519360]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9519360]

Provvedimento del 17 dicembre 2020

Registro dei provvedimenti
n. 275 del 17 dicembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO, in particolare, l’art. 2-ter, comma 2, del Codice, ai sensi del quale “La comunicazione fra titolari che effettuano trattamenti di dati personali, diversi da quelli ricompresi nelle particolari categorie di cui all'articolo 9 del Regolamento e di quelli relativi a condanne penali e reati di cui all'articolo 10 del Regolamento, per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri è ammessa se prevista ai sensi del comma 1. In mancanza di tale norma, la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di compiti di interesse pubblico e lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di quarantacinque giorni dalla relativa comunicazione al Garante, senza che lo stesso abbia adottato una diversa determinazione delle misure da adottarsi a garanzia degli interessati”;

VISTA la nota del 10 dicembre 2020 con la quale l’INPS ha manifestato all’Autorità l’intenzione di avvalersi della disposizione succitata al fine di trasmettere alle Autorità di gestione (di seguito “ADG”) un set di informazioni, tra cui dati personali diversi da quelli di cui agli artt. 9 e 10 del Regolamento, concernenti i pagamenti effettuati dall’Istituto a fini di erogazione della cassa integrazione guadagni (CIG) in deroga, attivata per fronteggiare le conseguenze causate dall’emergenza sanitaria in corso;

CONSIDERATO che, con riferimento al quadro normativo in materia, l’INPS ha affermato che:

• la trasmissione delle informazioni sarebbe connessa alla possibilità, per le ADG “di portare a rendicontazione a valere sui Fondi strutturali, le spese per l’emergenza già anticipate dallo Stato” e, conseguentemente, di ottenere dall’UE un rimborso delle spese rendicontate per le misure emergenziali, come stabilito dall’art. 242, commi 1 e 2, del d.l. 19 maggio 2020, n. 34, convertito, con modificazioni, dalla l. 17 luglio 2020, n. 77;

• la rendicontazione delle spese, a valere sul Fondo strutturale europeo (di seguito “FSE”), è disciplinata dal Regolamento (UE) 1303/2013 del Parlamento europeo e del Consiglio del 17 dicembre 2013, il quale prevede, tra le altre cose, l’obbligo per l’ADG, quale “responsabile della gestione del programma operativo conformemente al principio della sana gestione finanziaria”, di istituire “un sistema di registrazione e conservazione informatizzata dei dati relativi a ciascuna operazione, necessari per la sorveglianza, la valutazione, la gestione finanziaria, la verifica e l'audit, compresi i dati su singoli partecipanti alle operazioni, se del caso” (art. 125, par. 2, lett. d)). “Il medesimo articolo, ai successivi commi 5, 6 e 7, disciplina lo svolgimento delle verifiche di primo livello, on desk e in loco, che l’Autorità di Gestione è tenuta a effettuare. Tali verifiche sono svolte prima dell’invio della domanda di pagamento alla Commissione Europea”;

CONSIDERATO, inoltre, che, in base a quanto rappresentato con specifico riferimento alla questione in esame:

• “Nel caso del Programma in oggetto, tale ruolo [di ADG] viene assunto dalle Regioni e Province autonome di Trento e Bolzano che. in virtù dello stesso, necessitano delle informazioni utili alla rendicontazione delle spese”;

• le spese da portare a rendicontazione, concernono l’erogazione della CIG in deroga, come stabilita dal legislatore mediante le disposizioni normative approvate nel corso del 2020 nell’ambito dell’adozione delle misure per contrastare l’emergenza epidemiologica da Covid-19 (cfr. dd.ll. nn. 6/2020, 9/2020, 11/2020, 18/2020, 34/2020 e 52/2020);

• l’erogazione della CIG in deroga avviene da parte dell’INPS “ai destinatari esclusivamente con la modalità del pagamento diretto”, sulla base del “decreto di concessione, unitamente alla lista dei destinatari”, ricevuto dall’“Ufficio regionale competente ovvero [da] Fondo di solidarietà bilaterale delle Province autonome di Trento e Bolzano”;

• la rendicontazione dei pagamenti “è realizzata a valle del processo di erogazione delle prestazioni” e dovrebbe comportare che l’ADG verifichi “le spese relative ai singoli codici fiscali”, sia nei c.d. “controlli on desk” “al fine di accertare la coerenza delle informazioni relative al singolo pagamento”, sia nei controlli in loco “al fine di constatare l’avvenuto pagamento per singolo percettore”;

CONSIDERATO che, sulla base del quadro descritto, l’INPS ha fatto altresì presente che, il flusso di informazioni verso le ADG sottoposto all’esame del Garante:

• riguarda l’“integrazione salariale al lordo degli oneri contributivi ed ANF [assegno al nucleo famigliare]” e avviene “attraverso un tracciato compatibile con i sistemi informativi delle Autorità di Gestione”;

• all’interno di tale tracciato è presente il “Codice fiscale del beneficiario”;

• la rendicontazione sarà effettuata sulla base delle “Linee Guida per la rendicontazione a valere sul FSE delle spese connesse alla CIG in deroga attivata in risposta all’emergenza COVID-19” e della “Convenzione quadro che disciplina le modalità attuative, gestionali e i flussi informativi dell’operazione e regola i rapporti tra INPS e la Regione/Provincia Autonoma, preventivamente concordate tra le AdG e l’Istituto”, in base alle quali il flusso di informazioni da INPS ad ADG avviene “per il tramite di Banca dati Percettori, piattaforma attualmente in uso all’Istituto, alla quale le Regioni possono accedere mediante utenza preventivamente certificata ed autorizzata e solo relativamente alle informazioni di competenza. Le Regioni potranno accedere solo ai dati di propria competenza, tramite file di formato csv, ottenuti filtrando per intervallo temporale sulla data della disposizione del pagamento, range che non potrà essere superiore a quindici giorni”;

• “I suddetti dati saranno raccolti e trattati […] al fine di consentire alle AdG lo svolgimento delle previste attività di rendicontazione a valere sul FSE delle spese connesse alla CIG in deroga. Le informazioni saranno conservate nel rispetto di quanto previsto dall’art.140 del Regolamento (UE) n. 1303/2013. Inoltre, ciascuna Regione assicura l’adozione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi, di diversa natura, presentati dai trattamenti disciplinati in esame”;

• i “controlli on desk” svolti da parte delle ADG avranno ad oggetto, tra le altre cose, la “lista dei destinatari del trattamento corredata dalle relative domande aziendali”;

CONSIDERATO, infine, che l’INPS ha rappresentato “l’urgenza della definizione dei trattamenti, atteso che le AdG hanno chiarito che sono soggette all’obbligo di rendicontazione entro il 31 dicembre p.v., pena il mancato trasferimento dei Fondi comunitari”;

RILEVATO che la trasmissione dei dati dall’INPS alle ADG, come rappresentata dall’Istituto, costituisce un trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, ai sensi dell’art. 6, par. 1, lett. e), del Regolamento e dell’art. 2-ter del Codice;

RILEVATO, altresì, che l’ipotesi di cui al comma 2, secondo periodo, dell’art. 2-ter del Codice – in base alla quale “la comunicazione di dati personali è ammessa quando è comunque necessaria per lo svolgimento di compiti di interesse pubblico e lo svolgimento di funzioni istituzionali, e può essere iniziata se è decorso il termine di quarantacinque giorni dalla relativa comunicazione al Garante, senza che lo stesso abbia adottato una diversa determinazione delle misure da adottarsi a garanzia degli interessati” – riveste carattere residuale ed eccezionale e non può essere invocata per legittimare una comunicazione sistematica, e su larga scala, di dati personali o per derogare a specifici limiti o presupposti individuati dall’ordinamento giuridico europeo e nazionale;

RITENUTO che la comunicazione dei dati personali dall’INPS alle ADG risulta necessaria per assicurare l’esecuzione del compito di interesse pubblico connesso alla rendicontazione a valere sul FSE, ai sensi dall’art. 242 del d.l. 34/2020, dei pagamenti già effettuati dall’Istituto per l’erogazione della CIG in deroga, al fine di contrastare l’emergenza epidemiologica da Covid-19, per le finalità di sorveglianza, valutazione, gestione finanziaria, verifica e audit stabilite dall’art. 125, par. 2, lett. d), del Regolamento (UE) 1303/2013, che richiede l’istituzione di “un sistema di registrazione e conservazione informatizzata dei dati relativi a ciascuna operazione, necessari per la sorveglianza, la valutazione, la gestione finanziaria, la verifica e l'audit, compresi i dati su singoli partecipanti alle operazioni, se del caso”;

RILEVATO che l’istanza in questione è stata comunicata dall’INPS al Garante solo in data 10 dicembre 2020, ovvero in prossimità della scadenza per la conclusione del processo di rendicontazione, fissata al 31 dicembre 2020;

CONSIDERATO che attendere il termine di 45 giorni previsto dall’art. 2-ter, comma 2, del Codice, impedirebbe allo Stato di avvalersi dei predetti Fondi europei ma che, nonostante il tardivo invio dell’istanza abbia sensibilmente compresso il tempo necessario a questa Autorità per lo svolgimento di un’istruttoria approfondita, sia comunque necessario esprimersi al riguardo;

RITENUTO che, allo stato degli atti, quale misura a garanzia degli interessati, al fine di assicurare il rispetto dei principi di minimizzazione dei dati e di privacy by design e by default di cui agli artt. 5, par. 1, lett. c), e 25 del Regolamento, i titolari del trattamento devono valutare l’adozione di tecniche di pseudonimizzazione in relazione ai codici fiscali dei beneficiari, ai sensi dell’art. 4, n. 5, del Regolamento, dando conto a questa Autorità delle misure poste in essere e comprovando adeguatamente, se del caso, le ragioni per cui l’adozione di tale garanzia renderebbe impossibile in concreto il perseguimento delle finalità del trattamento di volta in volta considerate, in ossequio al principio di accountability di cui all’art. 5, par. 2, del Regolamento;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

TUTTO CIO’ PREMESSO, IL GARANTE:

a) ai sensi dell’art. 2-ter, comma 2, del Codice, nei termini di cui in motivazione, prescrive ai titolari del trattamento coinvolti nella comunicazione di dati in esame di valutare l’adozione di tecniche di pseudonimizzazione in relazione ai codici fiscali dei beneficiari;

b) ai sensi e per gli effetti dell’art. 157 del Codice, richiede all’INPS di comunicare, documentando adeguatamente, le valutazioni e le misure intraprese al fine di dare attuazione quanto prescritto con il presente provvedimento, entro il termine di 30 giorni dalla data della ricezione dello stesso, comprovando adeguatamente, se del caso, le ragioni per cui l’adozione di tecniche di pseudonimizzazione in relazione ai codici fiscali dei beneficiari renderebbe impossibile in concreto il perseguimento delle finalità del trattamento di volta in volta considerate.

Roma, 17 dicembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei