Diritti interna

Doveri interna

ricerca avanzata

Parere su uno schema di decreto in tema di criteri e modalità di attribuzione e di utilizzo della Carta elettronica per i diciottenni - 14 novembre 2019 [9195252]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9195252
Data:
14/11/19
Argomenti:
Istruzione e formazione , Scuola , Studenti
Tipologia:
Parere del Garante

 

VEDI ANCHE Newsletter del 28 novembre 2019

 

[doc. web n. 9195252]

Parere su uno schema di decreto in tema di criteri e modalità di attribuzione e di utilizzo della Carta elettronica per i diciottenni - 14 novembre 2019

Registro dei provvedimenti
n. 207 del 14 novembre 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero per i beni e le attività culturali e per il turismo;

Visto l’articolo 36, par. 4, del Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento);

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

1. Il Ministero per i beni e le attività culturali e per il turismo ha chiesto il parere del Garante in ordine a uno schema di decreto predisposto di concerto con il Ministro dell’economia e delle finanze, da adottarsi in attuazione dell’art. 1 comma 604 della legge 30 dicembre 2018, n. 145 (di seguito legge di bilancio 2018) e concernente il regolamento recante i criteri e le modalità di attribuzione e di utilizzo della Carta elettronica per i diciottenni.

In particolare, l’art. 1, comma 604, della legge di bilancio 2018 prevede che: “a tutti i residenti nel territorio nazionale in possesso, ove previsto, di permesso di soggiorno in corso di validità, i quali compiono diciotto anni di età nel 2019, è assegnata, nel rispetto del limite massimo di spesa di 240 milioni di euro, una Carta elettronica, utilizzabile per acquistare biglietti per rappresentazioni teatrali e cinematografiche e spettacoli dal vivo, libri, musica registrata, titoli di accesso a musei, mostre ed eventi culturali, monumenti, gallerie, aree archeologiche e parchi naturali nonché per sostenere i costi relativi a corsi di musica, di teatro o di lingua straniera. Le somme assegnate con la Carta non costituiscono reddito imponibile del beneficiario e non rilevano ai fini del computo del valore dell’indicatore della situazione economica equivalente. Con decreto del Ministro per i beni e le attività culturali, di concerto con il Ministro dell'economia e delle finanze, sono definiti gli importi nominali da assegnare nell'ambito delle risorse disponibili, i criteri e le modalità di attribuzione e di utilizzo della Carta».

Come si legge nella relazione illustrativa, l’Amministrazione - tenuto conto degli strumenti già realizzati per l’attuazione del suddetto beneficio negli anni 2016, 2017 e 2018 e dei risultati conseguiti - ha ritenuto opportuno agire in continuità con il passato, anche rispetto alle modalità di attribuzione ed utilizzo del c.d. “Bonus cultura”, già fissate, con riguardo agli anni precedenti, dal decreto del Presidente del Consiglio dei ministri 15 settembre 2016, n. 187.

Rispetto a tale materia, il Garante ha negli ultimi anni reso diversi pareri: il parere 28 luglio 2016 (doc. web 5387638), i pareri 26 luglio 2017 (doc. web 6821795) e 7 novembre 2018 (doc. web 9058972) relativi all’estensione dei benefici economici della carta ai soggetti che compivano 18 anni nel 2017 e 2018 e infine il parere 17 gennaio 2019 su uno schema di “contratto esecutivo” tra il MIBACT e SOGEI per l’adeguamento delle applicazioni informatiche finalizzate alla gestione del beneficio in questione (doc. web 9082272).

RILEVATO

2. Lo schema di decreto in esame ripropone, dunque, anche per i ragazzi che compiono 18 anni nel 2019, il riconoscimento del “Bonus cultura”, confermandone i contenuti e le modalità generali di erogazione già previsti dall'analogo regolamento n. 187 del 2016.

In particolare lo schema prevede che anche la Carta erogata nel 2019 venga realizzata in forma di «applicazione informatica utilizzabile tramite accesso alla rete Internet» e che l’importo nominale riconosciuto a ciascun beneficiario resti nella misura di 500 euro, utilizzabile attraverso voucher di spesa. Suddetta applicazione prevede che i beneficiari si debbano registrare sulla piattaforma online dedicata, attiva all’indirizzo http://www.18app.italia.it/, utilizzando le proprie credenziali SPID (Sistema pubblico per la gestione dell’identità digitale di cittadini e imprese) (artt. 1, 2, 3 e 5 dello schema). 

Tra le disposizioni citate si segnala in particolare l’articolo 3 dello schema, a cui sono state apportate modifiche rispetto all’originario impianto del d.P.C.M, che, nel quadro dell’identificazione dei beneficiari della Carta, stabilisce che l’Amministrazione acquisisca tramite il sistema SPID anche “l’indirizzo e-mail dei beneficiari”. Tale dato, si aggiunge, verrà trattato “secondo quanto previsto dall’art. 10 per la realizzazione dei compiti attinenti all’attribuzione e all’utilizzo della Carta elettronica”.

Attraverso la Carta il beneficiario potrà generare, sulla piattaforma dedicata, voucher di spesa, individuali e nominativi, che saranno accettati – al momento dell’acquisto dei suddetti beni – dalle strutture e dagli esercizi commerciali, a loro volta registrati sulla medesima piattaforma. Dopo l’emissione della fattura elettronica la Consap S.p.a., acquisendo i dati dalla piattaforma dedicata, provvederà al riscontro delle fatture e alla liquidazione delle stesse (artt. 6, 7 e 8 dello schema).

Quale altra novità si segnala, poi, all’articolo 7 dello schema - riguardante la registrazione delle strutture, delle imprese e degli esercizi commerciali presso i quali spendere i “Buoni” - l’obbligo per questi soggetti di tenere un "registro di vendita" contenente i dati riferiti alle transazioni effettuate, al fine di evitare usi irregolari del "Bonus cultura".

Il Ministero continua ad essere il soggetto che vigila sul corretto funzionamento della Carta e «assicura il trattamento dei dati personali ai sensi della normativa vigente», trattamento che sarà, in ogni caso, limitato a quanto necessario per lo svolgimento dei compiti attinenti all'attribuzione e all'utilizzo della Carta stessa (artt. 9 e 10 dello schema).

RITENUTO

3. Nel complesso lo schema di regolamento ricalca il decreto del 2016 così come successivamente modificato. Per conformarne pienamente il contenuto ai principi e alle regole previste dalla normativa europea e nazionale in materia di protezione dei dati personali (Regolamento UE 2016/679 e decreto legislativo n. 196 del 2003, come modificato dal d. lgs. n. 101 del 2018, che è opportuno citare nel preambolo del decreto) si svolgono le seguenti osservazioni.

3.1. Come descritto in premessa l’articolo 3 prevede che l’Amministrazione acquisisca tramite il sistema SPID “l’indirizzo e-mail dei beneficiari”, il quale secondo quanto emerge dallo schema di decreto, verrebbe utilizzato quale canale di contatto con il beneficiario per comunicazioni attinenti all’attribuzione e all’utilizzo della Carta elettronica.

Al riguardo si rappresenta che i dati raccolti dal titolare del trattamento attraverso gli attributi presenti nell’asserzione di autenticazione SPID, tra cui si prevedrebbe di inserire l’indirizzo email del beneficiario, vengono raccolti da SOGEI, in nome e per conto del Ministero, ad ogni accesso al servizio nel corso dell'autenticazione tramite SPID e memorizzati nel registro delle transazioni tenuto dalla stessa società in qualità di service provider.

In proposito, atteso che la finalità precipua dello SPID è quella di consentire ai fornitori di servizi l'immediata verifica dell’identità e di eventuali attributi qualificati riguardanti gli utenti dei medesimi servizi (art. 2, comma 2, del d.P.C.M. 24 ottobre 2014), valuti codesta Amministrazione se sia opportuno, per le finalità di comunicazione sopra rappresentate, acquisire e memorizzare l’indirizzo e-mail dei beneficiari, ad ogni transazione, tramite l’asserzione SPID, ovvero se non sia preferibile consentire all’interessato già identificato di indicare un indirizzo e-mail anche eventualmente diverso al quale indirizzare le comunicazioni necessarie all’erogazione del servizio.

3.2. L’articolo 10 dello schema, titolato “Trattamento di dati personali” - in linea con le osservazioni fornite dal Garante nel parere del 28 luglio 2016 - individua il titolare (il Ministero) e i responsabili del trattamento (SOGEI e CONSAP), riproponendo la formula secondo la quale il MIBACT è tenuto a disciplinare “le modalità e i tempi della gestione e conservazione dei dati personali”.

Al riguardo, premesso che in relazione alla procedura di corresponsione del Bonus in atto, a seguito dei pareri del Garante 7 novembre 2018 e 17 gennaio 2019, il Ministero ha adottato e trasmesso a questa Autorità diversi provvedimenti di attuazione del trattamento dei dati che ad un primo vaglio presentano elementi di criticità, si resta in attesa di ricevere gli analoghi schemi di provvedimento necessari a dare attuazione al predetto articolo 10, per il parere di competenza.

Inoltre, si rileva come l’ultima parte della disposizione in esame preveda che il Ministero “provvede alla designazione del responsabile del trattamento dei dati personali”. Tale previsione andrebbe adeguata al nuovo quadro giuridico introdotto dal Regolamento in base al quale i trattamenti di dati personali demandati al responsabile del trattamento devono essere disciplinati da un “contratto o da altro atto giuridico” al fine di disciplinare una serie di profili attinenti a tale trattamento e, in particolare, gli obblighi e le responsabilità reciproche fra tali soggetti. Anche in linea con quanto osservato nel Parere reso dal Garante il 17 gennaio 2019 (doc. web 9082272), sarebbe opportuno modificare la norma in questione, prevedendo che il Ministero provveda alla “stipula del contratto o dell’atto giuridico previsto dall’art. 28 del Regolamento (UE) 2016/679” in modo da definire gli obblighi e le responsabilità reciproche fra lo stesso e i relativi responsabili del trattamento.

3.3. Non risulta chiaro, infine, quali siano le informazioni che, in base all’articolo 7 dello schema in esame, gli esercenti dovrebbero trattare nel c.d. registro vendite, poiché la norma si limita a fare generico riferimento a quanto stabilito nelle “condizioni d’uso”. Si ritiene, pertanto, opportuno che l’Amministrazione approfondisca tale aspetto, al fine di verificare l’eventuale trattamento di dati personali dei beneficiari e le garanzie da applicare al riguardo, eventualmente integrando, di conseguenza, l’articolato.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini di cui in motivazione sullo schema di regolamento recante i criteri e le modalità di attribuzione e di utilizzo della Carta elettronica, prevista dall'articolo l, comma 604, della legge 30 dicembre 2018, n. 145, con le osservazioni di cui al punto 3.

Roma, 14 novembre 2019

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia