Diritti interna

Doveri interna

ricerca avanzata

Parere su uno schema di decreto del Presidente del Consiglio dei Ministri relativo ad una Carta elettronica utilizzabile per attività culturali destinata ai giovani che compiono diciotto anni di età nell'anno 2016 - 28 luglio 2016 [5387638]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
5387638
Data:
28/07/16
Argomenti:
Misure di sicurezza , Banche dati
Tipologia:
Parere del Garante

[doc. web n. 5387638]

Parere su uno schema di decreto del Presidente del Consiglio dei Ministri relativo ad una Carta elettronica utilizzabile per attività culturali destinata ai giovani che compiono diciotto anni di età nell´anno 2016 - 28 luglio 2016
 

Registro dei provvedimenti
n. 328 del 28 luglio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196, di seguito Codice);

Visto l´art. 1, comma 979, della legge 28 dicembre 2015, n. 208 (di seguito legge di stabilità 2016);

Vista la richiesta di parere della Presidenza del Consiglio dei Ministri del 13 luglio 2016, prot. n. 7224;

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante, n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

1. La Presidenza del Consiglio dei Ministri ha chiesto il parere in ordine a uno schema di decreto del Presidente del Consiglio dei Ministri attuativo dell´art. 1, comma 979, della legge 28 dicembre 2015, n. 208 (di seguito legge di stabilità 2016), ai sensi del quale, in particolare, «al fine di promuovere lo sviluppo della cultura e la conoscenza del patrimonio culturale, a tutti i residenti nel territorio nazionale, in possesso, ove previsto, di permesso di soggiorno in corso di validità i quali compiono diciotto anni di età nell´anno 2016, è assegnata, nel rispetto del limite di spesa di cui al comma 980, una Carta elettronica. La Carta, dell´importo nominale massimo di euro 500 per l´anno 2016, può essere utilizzata per assistere a rappresentazioni teatrali e cinematografiche, per l´acquisto di libri nonché per l´ingresso a musei, mostre ed eventi culturali, monumenti, gallerie, aree archeologiche, parchi naturali e spettacoli dal vivo. [...] Con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dei beni e delle attività culturali e del turismo e con il Ministro dell´economia e delle finanze, da adottare entro trenta giorni dalla data di entrata in vigore della presente legge, sono definiti i criteri e le modalità di attribuzione e di utilizzo della Carta e l´importo da assegnare nell´ambito delle risorse disponibili».

RILEVATO

2. Lo schema di decreto in esame prevede che la Carta venga realizzata in forma di «applicazione informatica utilizzabile tramite accesso alla rete Internet». L´applicazione richiede la registrazione dei beneficiari su una piattaforma informatica dedicata, usando le credenziali SPID (Sistema pubblico per la gestione dell´identità digitale di cittadini e imprese), ovvero «altro sistema di verifica» (artt. 2, 3 e 5 dello schema).

L´Amministrazione responsabile per l´attuazione dello schema di decreto è il Ministero dei beni e delle attività culturali e del turismo (di seguito MIBACT), che si avvale, a tal fine, dell´Agenzia per l´Italia Digitale (di seguito AGID), della Sogei S.p.a., e della Consap S.p.a. È prevista, inoltre, un´attività di comunicazione istituzionale curata dalla Presidenza del Consiglio dei Ministri-Dipartimento per l´informazione e l´editoria (art. 4 dello schema).

Attraverso la Carta il beneficiario potrà generare, sulla piattaforma dedicata, voucher di spesa, individuali e nominativi, che saranno accettati – al momento dell´acquisto dei beni (in particolare, biglietti per rappresentazioni, libri titoli di accesso a musei, aree archeologici o parchi naturali) – dalle strutture e dagli esercizi commerciali, a loro volta registrati sulla medesima piattaforma. In seguito all´emissione della fattura elettronica la Consap S.p.a., acquisendo i dati dalla piattaforma dedicata, provvederà al riscontro delle fatture e alla liquidazione delle stesse (artt. 6, 7 e 8 dello schema).

Il MIBACT vigila, altresì, sul corretto funzionamento della carta e «assicura il trattamento dei dati personali ai sensi della normativa vigente» (artt. 9 e 10 dello schema).

In proposito il Garante osserva quanto segue.

RITENUTO

3. Beneficiari della Carta (art. 3).

Nell´art. 3, comma 2, è previsto che «I dati anagrafici dei beneficiari sono accertati attraverso il Sistema pubblico per la gestione dell´identità digitale di cittadini e imprese, di seguito "SPID", gestito dall´Agenzia per l´Italia Digitale, o, ove necessario, tramite altro sistema di verifica».

Non risulta chiaro cosa debba intendersi con «altro sistema di verifica», anche considerando quanto indicato nella Relazione illustrativa che accompagna lo schema di decreto, laddove, proprio con riferimento alla predetta disposizione, si specifica che «È comunque prevista la possibilità alternativa di utilizzo di altre credenziali (quali ad esempio quelle rilasciate dall´Agenzia delle Entrate)».

Non risultano, inoltre, disciplinate, nello schema di decreto in esame, eventuali modalità di verifica del «permesso di soggiorno in corso di validità», previsto quale condizione dalla legge di stabilità 2016.

Al riguardo, pur valutando positivamente la possibilità di consentire l´identificazione dei beneficiari attraverso strumenti diversi da SPID, occorre precisare, direttamente nello schema di decreto in esame, cosa si intenda per «altro sistema di verifica», specificando se si tratti di ulteriori strumenti di autenticazione idonei ad accertare i dati anagrafici dei beneficiari, e in tal caso indicare anche quali (ad esempio, credenziali rilasciate dall´Agenzia delle entrate), ovvero se ci si riferisca a diverse modalità di accertamento dei requisiti richiesti dalla legge da definirsi con ulteriori atti attuativi.

4. Soggetti responsabili per la realizzazione della Carta (art. 4).

Al riguardo, si osserva che né dalla disposizione citata, né dalla relazione illustrativa, si desume il ruolo rispettivamente assunto, nel trattamento dei dati personali previsti dallo schema in esame, dal MIBACT, dalla Presidenza del Consiglio - Dipartimento per l´informazione e l´editoria, dall´AGID, da Sogei S.p.a. e da Consap S.p.a.

Non è individuato, inoltre, il soggetto titolare del trattamento di dati personali effettuato attraverso la «piattaforma informatica dedicata».

In merito, si ricorda che, nel trattamento di dati personali connesso allo svolgimento dei propri compiti istituzionali, ciascun soggetto pubblico può avvalersi del contributo di soggetti esterni, affidando a essi determinate attività che restano nella sfera della titolarità dell´amministrazione stessa e che non comportano decisioni di fondo sulle finalità e sulle modalità di utilizzazioni dei dati. Tuttavia, in questa ipotesi, è necessario che l´amministrazione – in qualità di titolare del trattamento – designi il soggetto esterno preposto quale «responsabile del trattamento» con un apposito atto scritto che specifichi analiticamente i compiti a esso affidati (artt. 28 e 29 del Codice).

Nello schema in esame deve, pertanto, essere chiarito il ruolo assunto dai predetti soggetti nel trattamento dei dati personali (titolare e/o responsabile) e devono essere specificate le comunicazioni di dati personali tra diversi titolari del trattamento. Le designazioni di responsabili del trattamento potranno essere poi perfezionate, ai sensi dell´art. 29 del Codice, nei successivi atti convenzionali menzionati nella Relazione Air, sezione 7.

5. L´attività di comunicazione istituzionale (art. 4, comma 2).

Lo schema prevede che «L´attività di comunicazione istituzionale riguardante l´attuazione del presente decreto è curata dalla Presidenza del Consiglio dei ministri, Dipartimento per l´informazione e l´editoria».

Tale disposizione non sembrerebbe comportare l´utilizzo di dati personali per la predetta comunicazione istituzionale a cura del Dipartimento. Tuttavia, nella Relazione tecnica allo schema di decreto si fa riferimento a una spedizione postale («Qualora l´amministrazione responsabile ravvisi la necessità di inviare una comunicazione diretta ai beneficiari, attraverso una spedizione postale […]»).
Al riguardo, si evidenzia tuttavia che, nello schema di decreto in esame, non sono disciplinati trattamenti di dati personali volti all´individuazione dei potenziali beneficiari della Carta, funzionali all´eventuale «attività di comunicazione diretta» prospettata nella Relazione.

Laddove si intendesse, quindi, prevedere l´eventuale attivazione di comunicazioni dirette agli interessati, tale circostanza dovrà essere prevista nello schema di decreto, specificando le modalità di individuazione dei predetti beneficiari, con l´introduzione di accorgimenti idonei a evitare la creazione di ulteriori banche dati rispetto a quella utilizzata per la selezione dei destinatari delle spedizioni postali (ad esempio, se si intendesse utilizzare l´anagrafe tributaria, l´invio postale potrebbe essere effettuato direttamente da Sogei S.p.a., per conto del Amministrazione responsabile, senza prevedere un diretto trattamento di dati personali da parte della stessa).

6. Trattamento e riservatezza dei dati personali (art. 10)

Lo schema in esame si limita a prevedere genericamente che «Il MIBACT assicura il trattamento dei dati personali ai sensi della normativa vigente».

Al riguardo, si osserva che tale disposizione deve essere necessariamente integrata con:

1) la specificazione che le finalità del trattamento dei dati oggetto dello schema in esame devono essere limitate alla sola realizzazione dei compiti attinenti all´attribuzione e all´utilizzo della Carta elettronica prevista dall´art. 1, comma 979, della l. n. 208/2015;

2) l´indicazione delle modalità di realizzazione e gestione della «piattaforma informatica dedicata» e dei tempi di conservazione dei dati personali – eventualmente anche attraverso il rinvio a un atto amministrativo di carattere tecnico, da adottare sentito il Garante – nel rispetto dei principi di pertinenza e non eccedenza nel trattamento dei dati personali (art. 11 del Codice) con l´adozione di idonee e preventive misure di sicurezza, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 31 del Codice).

IL GARANTE

ai sensi dell´art. 154, comma 4, del Codice, esprime parere nei termini di cui in motivazione sullo schema di d.P.C.M., con le seguenti condizioni:

a) in ragione delle osservazioni svolte al punto 3, nell´art. 3, comma 2, dello schema di decreto in esame deve essere definito l´«altro sistema di verifica»;

b) in ragione delle osservazioni svolte al punto 4, nello schema di decreto deve essere chiarito il ruolo svolto nel trattamento dei dati personali da parte del MIBACT, della Presidenza del Consiglio - Dipartimento per l´informazione e l´editoria, dell´AGID, di Sogei S.p.a. e di Consap S.p.a e devono essere specificate le comunicazioni di dati personali tra diversi titolari del trattamento;

c) in ragione delle osservazioni svolte al punto 5, l´eventuale attivazione di comunicazioni dirette agli interessati deve essere prevista nello schema di decreto, specificando le modalità di individuazione dei predetti beneficiari, con l´introduzione di accorgimenti idonei ad evitare la creazione di ulteriori banche dati rispetto a quella utilizzata;

d) in ragione delle osservazioni svolte al punto 6, l´art. 10 dello schema deve essere integrato con:

1) la specificazione che le finalità del trattamento dei dati personali, oggetto dello schema in esame, devono essere limitate alla sola realizzazione dei compiti attinenti all´attribuzione e all´utilizzo della Carta elettronica prevista dall´art. 1, comma 979, della l. n. 208/2015;

2) l´indicazione delle modalità di realizzazione e gestione della «piattaforma informatica dedicata» e dei tempi di conservazione dei dati personali – eventualmente anche attraverso il rinvio a un atto amministrativo di carattere tecnico, da adottare sentito il Garante – nel rispetto dei principi di pertinenza e non eccedenza nel trattamento dei dati personali (art. 11 del Codice) con l´adozione di idonee e preventive misure di sicurezza, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 31 del Codice).

Roma, 28 luglio 2016

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia