[doc. web n. 3863732]

Parere sul decreto direttoriale dell´Inps in materia di misure di sicurezza per il trattamento dei dati  personali nell´ambito della sperimentazione della nuova social card - 12 marzo 2015

Registro dei provvedimenti
n. 143 del 12 marzo 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Codice in materia di protezione dei dati personali, d.lgs. 30 giugno 2003, n. 196 (di seguito Codice);

Visto il decreto legge 9 febbraio 2012, n. 5, convertito con modificazioni in legge 4 aprile 2012, n. 35, recante Disposizioni urgenti in materia di semplificazione e di sviluppo;

Visto l´art. 60 del citato decreto legge in base al quale è previsto, in particolare, che venga avviata una sperimentazione nei Comuni con più di 250.000 abitanti "al fine di favorire la diffusione della carta acquisti, istituita dall´articolo 81, comma 32, del decreto-legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133, tra le fasce di popolazione in condizione di maggiore bisogno, anche al fine di valutarne la possibile generalizzazione come strumento di contrasto alla povertà assoluta" ed è affidato ad un decreto del Ministro del lavoro e delle politiche sociali, adottato di concerto con il Ministro dell´economia e delle finanze, il compito di stabilire i nuovi criteri di identificazione dei beneficiari per il tramite dei Comuni; l´ammontare della disponibilità sulle singole carte acquisto, in funzione del nucleo familiare; le modalità con cui i Comuni adottano la carta acquisti; le caratteristiche del progetto personalizzato di presa in carico, volto al reinserimento lavorativo e all´inclusione sociale, anche attraverso il condizionamento del godimento del beneficio alla partecipazione al progetto; la decorrenza della sperimentazione, la cui durata non può superare i dodici mesi e i flussi informativi da parte dei Comuni sul cui territorio è attivata la sperimentazione, anche con riferimento ai soggetti individuati come gruppo di controllo ai fini della valutazione della sperimentazione stessa;

Visto il decreto del Ministero del Lavoro e delle Politiche Sociali del 10 gennaio 2013, recante disposizioni per l´Attuazione della sperimentazione della nuova carta acquisti, sul quale il Garante ha fornito il proprio parere di competenza in data 6 dicembre 2012 (doc. web n. 2216848);

Visto l´art. 1, comma 1, lett. h) e j), del citato decreto ministeriale che definisce "Soggetto Attuatore" l´Istituto Nazionale di Previdenza Sociale e "Gestore del servizio" il soggetto incaricato del servizio integrato di gestione delle carte acquisti e dei relativi rapporti amministrativi;

Visto, in particolare, l´art. 11, comma 2, del citato decreto ministeriale, nella parte in cui prevede che "(…) in ogni caso il Soggetto Attuatore adotta, sulla base delle istruzioni fornite dal Ministero dell´economia e delle finanze, Dipartimento del Tesoro, e dal Ministero del lavoro e delle politiche sociali, un proprio provvedimento concernente le misure di sicurezza per il trattamento dei dati personali di cui al presente decreto, le modalità di trasmissione dei dati tra lo stesso ed i Comuni, i livelli e le modalità di accesso selettivo ai dati, la tracciabilità degli accessi e i termini di conservazione dei relativi dati, su conforme parere del Garante per la protezione dei dati personali, entro tre mesi dall´entrata in vigore del presente decreto";

Vista la nota con la quale l´Istituto Nazionale di Previdenza Sociale (di seguito Inps), ha chiesto il parere del Garante sullo schema di decreto Direttoriale recante la "misure di sicurezza per il trattamento dei dati personali di cui al DM 10 gennaio 2013 – Attuazione della sperimentazione della nuova carta acquisti – modalità di trasmissione dei dati tra l´INPS e i Comuni, livelli e modalità di accesso selettivo ai dati, tracciabilità degli accessi e termini di conservazione dei relativi dati" (nota prot. Inps 0064. 14/11/2014. 0014686);

Vista la successiva nota con la quale l´Inps, facendo seguito alla citata richiesta di parere inviata con nota del 14 novembre 2014, ha trasmesso un nuovo schema di decreto Direttoriale recante la "misure di sicurezza per il trattamento dei dati personali di cui al DM 10 gennaio 2013 – Attuazione della sperimentazione della nuova carta acquisti – modalità di trasmissione dei dati tra l´INPS e i Comuni, livelli e modalità di accesso selettivo ai dati, tracciabilità degli accessi e termini di conservazione dei relativi dati", "integrato e modificato alla luce dei chiarimenti intervenuti con i competenti Uffici" del Garante (nota prot. Inps 0070. 24/02/2015.0000083.U);

Vista la nota del Ministero del Lavoro e delle Politiche Sociali del 27 marzo 2013, prot. n. 41/0001431/MA001.A001;

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

L´Inps ha chiesto il parere del Garante sullo schema di decreto Direttoriale recante le "misure di sicurezza per il trattamento dei dati personali di cui al DM 10 gennaio 2013 – Attuazione della sperimentazione della nuova carta acquisti – modalità di trasmissione dei dati tra l´INPS e i Comuni, livelli e modalità di accesso selettivo ai dati, tracciabilità degli accessi e termini di conservazione dei relativi dati" adottato ai sensi dell´art. 11, comma 2, del decreto del Ministero del Lavoro e delle Politiche Sociali del 10 gennaio 2013 (di seguito anche solo decreto) (note prot. Inps 0064. 14/11/2014. 0014686 e prot. Inps.0070. 24/02/2015.0000083.U).

Al riguardo deve preliminarmente evidenziarsi che l´art. 60 del decreto legge 9 febbraio 2012, n. 5 convertito con modificazioni in legge 4 aprile 2012, n. 35, recante Disposizioni urgenti in materia di semplificazione e di sviluppo prevede, in particolare, che venga avviata una sperimentazione nei Comuni con più di 250.000 abitanti "al fine di favorire la diffusione della carta acquisti, istituita dall´articolo 81, comma 32, del decreto-legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133, tra le fasce di popolazione in condizione di maggiore bisogno, anche al fine di valutarne la possibile generalizzazione come strumento di contrasto alla povertà assoluta" ed affida ad un decreto del Ministero del Lavoro e delle Politiche Sociali (di seguito Ministero), adottato di concerto con il Ministero dell´Economia e delle Finanze, l´attuazione della predetta sperimentazione.

Su tale base, il Ministero ha pertanto adottato il citato decreto del 10 gennaio 2013 (di seguito decreto), che prevede, anche con il coinvolgimento del Garante, la disciplina dei seguenti aspetti:

• individua i Comuni in cui viene attuata la sperimentazione ed i compiti ad essi affidati per la realizzazione delle stessa (art. 1, comma 1, lett. d);

• in particolare, i Comuni devono attuare, "nel rispetto del provvedimento di cui all´art. 11", specifici flussi informativi con il Soggetto Attuatore aventi ad oggetto le graduatorie (provvisorie e definitive) dei nuclei familiari richiedenti la carta acquisti, le informazioni sui progetti personalizzati di presa in carico di cui all´art. 6 del decreto, i questionari di cui all´art. 9, comma 6, del decreto (sui quali il Garante ha fornito il parere di competenza con il provvedimento del 10 luglio 2014, doc web n. 3320745), le informazioni sulle politiche attivate nei confronti dei nuclei familiari coinvolti nei predetti progetti personalizzati di presa in carico e destinatari dei predetti questionari (art. 3, comma 1);

• il Soggetto Attuatore verifica la compatibilità delle informazioni acquisite dai Comuni sulla base delle informazioni pertinenti e non eccedenti disponibili nei propri archivi, anche avvalendosi dei collegamenti con l´Anagrafe tributaria. Successivamente alle verifiche, comunica ai Comuni la graduatoria aggiornata dei nuclei familiari richiedenti il beneficio, nonché le eventuali omissioni e/o difformità riscontrate rispetto a quanto dichiarato dal richiedente, ai fini della gestione da parte dei Comuni di eventuali richieste di riesame, corredate da idonea documentazione, ai sensi della normativa vigente;

• il Soggetto Attuatore identifica i nuclei familiari beneficiari e comunica per via telematica al Gestore del servizio la disponibilità da accreditare su ciascuna carta (art. 8, comma 1);

• il Gestore del servizio, agendo in applicazione della Convenzione di gestione, sulla base delle disposizioni ricevute dal Soggetto Attuatore, distribuisce le Carte acquisti ai titolari. Le Carte sono rilasciate con disponibilità finanziaria, relativa al primo bimestre, determinata in base alla numerosità del nucleo familiare. Successivamente al rilascio delle Carte, il Gestore del servizio esegue gli accrediti periodici e invia comunicazioni ai titolari;

• il Soggetto Attuatore si riserva di procedere, anche successivamente all´accreditamento, alla verifica delle dichiarazioni attestanti il possesso dei requisiti di cui all´art. 4, comma 3, del decreto, nonché alla sospensione della disponibilità residua della Carta Acquisti e all´eventuale disattivazione della Carta nel caso di non conformità ai requisiti;

• il Soggetto Attuatore stabilisce, altresì, le modalità con cui i Comuni comunicano i provvedimenti di sospensione del beneficio nel caso vengano meno le condizioni di bisogno che lo hanno motivato ovvero di comportamenti reiterati da parte dei componenti del nucleo familiare che appaiono, ai competenti servizi del Comune, inconciliabili con gli obiettivi del progetto, ovvero in caso di mancata sottoscrizione del progetto personalizzato di presa in carico di cui all´art. 6 del decreto (artt. art. 4, comma 6, art. 5, comma 1, art. 7, comma 3 e 8 commi 2, 3 e 4);

•  i dati raccolti dai Comuni con i predetti questionari sono trasmessi al Soggetto Attuatore, il quale integra le informazioni sui nuclei familiari beneficiari e sui nuclei non beneficiari appartenenti al gruppo di controllo con i dati posseduti nei propri archivi riferiti alla storia professionale e ad eventuali trattamenti erogati alle persone stesse. I dati individuali così integrati, dopo essere stati opportunamente resi anonimi, sono messi a disposizione del Ministero del lavoro e delle politiche sociali e del Ministero dell´economia e delle finanze e cancellati dagli archivi del Soggetto Attuatore al termine della valutazione. Le informazioni, rese anonime, sono utilizzate dai predetti Ministeri al solo fine di elaborazione statistica per lo svolgimento delle attività di valutazione previste dal progetto di ricerca (art. 9, commi 6 e 7);

• i flussi informativi tra Comuni, Soggetto Attuatore e Gestore del servizio di cui all´art. 3, comma 1, lettera g), e agli articoli 6 e 8, devono attuarsi per via telematica e nel rispetto delle disposizioni del Codice. In ogni caso, il Soggetto Attuatore adotta, sulla base delle istruzioni fornite dal Ministero dell´economia e delle finanze, Dipartimento del Tesoro, e dal Ministero del lavoro e delle politiche sociali, un proprio provvedimento concernente le misure di sicurezza per i trattamenti dei dati personali previsti dal decreto, le modalità di trasmissione dei dati tra lo stesso ed i Comuni, i livelli e le modalità di accesso selettivo ai dati, la tracciabilità degli accessi e i termini di conservazione dei relativi dati, su conforme parere del Garante per la protezione dei dati personali, entro tre mesi dall´entrata in vigore del presente decreto (art. 11, comma 2).

OSSERVA

Il presente parere è reso su una versione dello schema di decreto Direttoriale dell´Inps recante il disciplinare tecnico contenente le "misure di sicurezza per il trattamento dei dati personali di cui al DM 10 gennaio 2013 – Attuazione della sperimentazione della nuova carta acquisti – modalità di trasmissione dei dati tra l´INPS e i Comuni, livelli e modalità di accesso selettivo ai dati, tracciabilità degli accessi e termini di conservazione dei relativi dati", che tiene conto delle indicazioni fornite dagli Uffici del Garante ai competenti Uffici dell´Istituto nel corso di numerosi contatti, anche informali, volti a garantire il rispetto della disciplina in materia di protezione dei dati personali nell´ambito delle operazioni di raccolta e successivi trattamenti di dati personali effettuati per l´attribuzione della Carta acquisti sperimentale (art. art. 11, comma 2, del decreto).

Le indicazioni dell´Ufficio, correttamente recepite nel testo dello schema di provvedimento in esame, hanno riguardato, in particolare, gli aspetti di seguito puntualmente illustrati.

1. Modalità di trasmissione dei dati tra Inps e Ministero del Lavoro e delle Politiche Sociali e Ministero dell´Economia e delle Finanze.

Sulla base degli elementi rilevati nel corso dell´attività istruttoria, l´Inps ha individuato le modalità di anonimizzazione dei dati -raccolti dai Comuni con i questionari e integrati con le informazioni dallo stesso possedute nei propri archivi- da comunicare al Ministero del lavoro e delle politiche sociali e al Ministero dell´economia e delle finanze per finalità di elaborazione statistica (art. 9, commi 6 e 7 del decreto).

In particolare, è stato previsto che le singole posizioni vengano rappresentate con codici numerici, casuali non progressivi, generati appositamente per anonimizzare i dati identificativi riferiti al nucleo familiare ed a ciascun componente il nucleo stesso. All´esito della fornitura e al termine della valutazione detti dati saranno cancellati dagli archivi del Soggetto Attuatore (art. 3 dello schema di decreto Direttoriale).

2. Modalità di trasmissione dei dati tra Comuni e Inps.

2.a. Modalità di fruizione

L´allegato 1 allo schema di decreto Direttoriale in esame (di seguito Allegato) evidenzia che i servizi di consultazione on line avvengono tramite rete SPC ovvero tramite la rete pubblica internet mediante applicazioni web accessibili con protocollo https, e sono, inoltre, permesse unicamente interrogazioni puntuali della base dati, tramite specifiche chiavi di ricerca, quali, ad esempio, il codice fiscale del richiedente o il numero del protocollo della pratica. Al riguardo, l´Istituto, in conformità alle indicazioni emerse nell´ambito dell´attività istruttoria, ha evidenziato che è esclusa la possibilità di consultazioni massive (cfr. punto a).

2.b. Regole di sicurezza

2.b.1.  Modalità di accesso

Gli accessi ai servizi on line sono consentiti solo ad operatori espressamente autorizzati da parte del Comune, dotati di credenziali personali e non cedibili. Sulla base degli elementi evidenziati in ambito istruttorio, l´Inps ha esplicitamente previsto il ricorso, per l´accesso ai servizi on line, all´infrastruttura SPID (Sistema pubblico dell´identità digitale, d.P.C.M. 24 ottobre 2014 Definizione delle caratteristiche del sistema pubblico per la gestione dell´identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese).

Nell´allegato è, inoltre, precisato che gli accessi degli operatori possono avvenire soltanto tramite l´uso di postazioni di lavoro connesse alla rete IP del Comune. Ciò posto, evidenziando la necessità che i Comuni si avvalgano di una connettività Internet o infranet con IP statico, l´Inps, sulla base delle indicazioni fornite dagli Uffici del Garante relative alla circostanza che circa il 15% dei Comuni sono ancora privi della predetta modalità di connessione, ha posto in capo ai Comuni l´obbligo di "individuare ogni misura atta a garantire che l´accesso avvenga da postazioni specificamente autorizzate".

2.b.2  Tracciamento degli accessi

Nell´allegato è, inoltre, previsto che gli accessi ai servizi Inps sono oggetto di tracciamento al fine di poter risalire all´autore degli accessi con la registrazione dei riferimenti temporali, dell´autore e del tipo di operazione effettuata, ai tipi di dati trattati e dell´indirizzo IP di provenienza. A tale riguardo, sulla base degli elementi rilevati nel corso dell´attività istruttoria, è stato precisato che i dati oggetto di tracciamento sono conservati per un periodo di 5 anni (cfr. punto c)-2).

2.b.3  Vincoli e restrizioni

Nell´ambito dei vincoli e delle restrizioni previste nell´allegato allo schema di decreto Direttoriale in esame, sulla base delle indicazioni fornite dagli Uffici del Garante, nel documento è precisato che l´Inps limita l´accesso ai servizi on line alla fascia oraria compresa tra le 8.00 e le 20.00.

TUTTO CIO´ PREMESSO IL GARANTE

ai sensi dell´art. 154, comma 1, lett. g) del Codice e dell´art. 11, comma 2, del decreto del Ministero del Lavoro e delle Politiche Sociali del 10 gennaio 2013, esprime parere favorevole sullo schema di decreto Direttoriale dell´Inps recante il disciplinare tecnico contenente le "misure di sicurezza per il trattamento dei dati personali di cui al DM 10 gennaio 2013 – Attuazione della sperimentazione della nuova carta acquisti – modalità di trasmissione dei dati tra l´INPS e i Comuni, livelli e modalità di accesso selettivo ai dati, tracciabilità degli accessi e termini di conservazione dei relativi dati", nei termini di cui in premessa.

Roma, 12 marzo 2015

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia