Diritti interna

Doveri interna

ricerca avanzata

Parere su uno schema di provvedimento di attuazione della disciplina in materia di attribuzione e di utilizzo della Carta elettronica per i diciottenni (c.d. “Bonus cultura” fruibile mediante specifica applicazione denominata informalmente “18App”) - 18 dicembre 2019 [9220734]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9220734
Data:
18/12/19
Argomenti:
Istruzione e formazione , Misure di sicurezza , Scuola , Studenti
Tipologia:
Parere del Garante

[doc. web n. 9220734]

Parere su uno schema di provvedimento di attuazione della disciplina in materia di attribuzione e di utilizzo della Carta elettronica per i diciottenni (c.d. "Bonus cultura" fruibile mediante specifica applicazione denominata informalmente “18App”) - 18 dicembre 2019

Registro dei provvedimenti
n. 224 del 18 dicembre 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Visto l’articolo 57, par. 1, lett. c), del Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento);

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice);

Vista la richiesta di parere del Ministero per i beni e le attività culturali e per il turismo;

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSO

1. Il Ministero per i beni e le attività culturali e per il turismo ha chiesto il parere del Garante in ordine a uno schema di provvedimento di attuazione della disciplina in materia di attribuzione e di utilizzo della Carta elettronica per i diciottenni (c.d. “Bonus cultura” fruibile mediante specifica applicazione denominata informalmente “18App”).

Con provvedimento n. 207 del 14 novembre 2019 (doc. web. 9195252) il Garante ha espresso parere su uno schema di decreto del Ministro per i beni e le attività culturali e per il turismo adottato in attuazione dell’articolo 1, comma 604, della legge di bilancio 2018, in base al quale: “a tutti i residenti nel territorio nazionale in possesso, ove previsto, di permesso di soggiorno in corso di validità, i quali compiono diciotto anni di età nel 2019, è assegnata, nel rispetto del limite massimo di spesa di 240 milioni di euro, una Carta elettronica, utilizzabile per acquistare biglietti per rappresentazioni teatrali e cinematografiche e spettacoli dal vivo, libri, musica registrata, titoli di accesso a musei, mostre ed eventi culturali, monumenti, gallerie, aree archeologiche e parchi naturali nonché per sostenere i costi relativi a corsi di musica, di teatro o di lingua straniera. Le somme assegnate con la Carta non costituiscono reddito imponibile del beneficiario e non rilevano ai fini del computo del valore dell’indicatore della situazione economica equivalente. Con decreto del Ministro per i beni e le attività culturali, di concerto con il Ministro dell'economia e delle finanze, sono definiti gli importi nominali da assegnare nell'ambito delle risorse disponibili, i criteri e le modalità di attribuzione e di utilizzo della Carta”.

Rispetto a tale materia, il Garante - prima di quello appena citato - ha reso diversi pareri per l’attuazione del beneficio negli anni 2016, 2017 e 2018: il parere 28 luglio 2016 (doc. web 5387638), i pareri 26 luglio 2017 (doc. web 6821795) e 7 novembre 2018 (doc. web 9058972) relativi all’estensione dei benefici economici della carta ai soggetti che compivano 18 anni nel 2017 e 2018 e il parere 17 gennaio 2019 su uno schema di “contratto esecutivo” tra il Ministero e SOGEI per l’adeguamento delle applicazioni informatiche finalizzate alla gestione del beneficio in questione (doc. web n. 9082272).

L’articolo 10 dello schema di decreto ministeriale avente natura regolamentare sul quale il Garante si è espresso il 14 novembre scorso -che non risulta a questa Autorità ancora adottato - demanda al Ministero di disciplinare con proprio atto “le modalità e i tempi della gestione e conservazione dei dati personali”.

Nel medesimo parere del novembre scorso, il Garante, nel rilevare che in relazione alla procedura di corresponsione del “Bonus cultura” per i giovani che hanno compiuto 18 anni nel 2018, il predetto dicastero ha adottato diversi provvedimenti di attuazione del trattamento dei dati, precisava di restare in attesa di ricevere gli analoghi schemi di provvedimento necessari a dare attuazione al predetto articolo 10, onde poter esprimere al riguardo le osservazioni di competenza.

RILEVATO

2. Il Ministero ha trasmesso al Garante, al fine del prescritto parere – della cui adozione è necessario fare menzione nel preambolo – uno schema di provvedimento a firma del Segretario generale, corredato di tre allegati tecnici.

Il provvedimento si propone di disciplinare i trattamenti di dati personali, ivi compreso il profilo delle modalità e dei tempi di conservazione, effettuati dal Ministero per i beni e le attività culturali e per il turismo (di seguito MIBACT), quale titolare del trattamento e dalle società SOGEI e CONSAP, quali responsabili del trattamento, ai sensi dell’articolo 10 del predetto regolamento ministeriale (artt. 1 e 2).

L’articolo 3 dello schema indica i dati personali dei soggetti beneficiari della Carta che verranno acquisiti tramite SPID al momento della registrazione al servizio (codice fiscale, cognome, nome, data di nascita, comune di nascita, e-mail), mentre l’articolo 4 individua i dati degli esercenti che aderiscono al progetto, acquisiti tramite Fisconline/Entratel al momento della registrazione al servizio “18App”.

Lo schema individua negli appositi allegati (A, B e C), che formano parte integrante del provvedimento attuativo, le misure di sicurezza tecniche e organizzative che, ai sensi dell’articolo 32 del Regolamento, andranno implementate al fine di ridurre al minimo il rischio di distruzione, perdita, modifica, divulgazione o accesso non autorizzati ai dati personali trasmessi, conservati o comunque trattati (art. 5).

Il provvedimento, dopo aver disciplinato le attività di controllo sul corretto uso delle Carta (art. 6), stabilisce i termini di conservazione dei dati personali, prevedendo che questi siano conservati presso i responsabili del trattamento per un periodo pari a sette anni, decorrente dal 28 febbraio 2021, termine ultimo di utilizzo del “Bonus Cultura” per i soggetti nati nel 2001.

RITENUTO

3. Lo schema in esame tiene conto delle indicazioni fornite dall’Ufficio del Garante ai competenti uffici del MIBACT e delle due società interessate nel corso di numerose interlocuzioni e di un incontro di lavoro, volte a rendere lo schema del provvedimento – anche attraverso la modifica dei provvedimenti di attuazione già adottati nella precedente edizione del “Bonus cultura” ai sensi dell’articolo 10 del dPCM n. 187 del 2016 -  conforme ai principi in materia di protezione dei dati personali e ai presupposti di liceità previsti dal Regolamento.

In particolare, le indicazioni fornite dall’Autorità hanno riguardato la conservazione dei dati personali, con particolare riferimento alla tempistica, e la sicurezza dei dati e dei sistemi.

3.1. Sotto il profilo dei termini di conservazione dei dati, il provvedimento adottato dal Ministero in relazione alla precedente procedura prevedeva che, al termine delle rispettive prestazioni contrattuali, i responsabili del trattamento (SOGEI E CONSAP) restituissero al MIBACT, titolare del trattamento, i dati personali trattati e che il Ministero li conservasse “per un periodo di tempo non superiore a 10 anni” salvo procedimenti giudiziari che ne rendessero necessaria la conservazione per un periodo superiore.

L’articolo 7 dello schema di provvedimento in esame stabilisce, invece, che i dati siano conservati presso i responsabili del trattamento (senza alcuna trasmissione cioè al Ministero) per un periodo pari a sette anni, decorrente dal 28 febbraio 2021, termine ultimo di utilizzo del “Bonus cultura” per i diciottenni del 2019 e che decorso tale termine cancellino i dati comunicando al titolare l’avvenuta eliminazione (come previsto dall’art. 28, par. 3, lett. g, del Regolamento).

Circa la scelta sui termini di conservazione (7 anni), l’Amministrazione ha precisato che la previsione di un lasso di tempo minore rischierebbe di pregiudicare le attività di verifica e controllo sul corretto uso del Bonus da parte degli organi di polizia giudiziaria a tutela del bilancio dello Stato, nonché i conseguenti provvedimenti che l’Amministrazione sarebbe tenuta ad adottare in caso di usi indebiti della Carta, aventi potenzialmente riflessi anche sul piano della responsabilità penale.

Inoltre, si è ritenuto opportuno conservare i dati presso le società responsabili del trattamento sino alla cancellazione degli stessi, senza prevederne la restituzione al MIBACT, sia per ragioni di efficienza, sia, soprattutto, al fine di neutralizzare ogni possibile rischio connesso alla restituzione dei dati al Ministero.

Da questo punto di vista, anche in considerazione del principio di responsabilizzazione del titolare del trattamento (artt. 5, par. 2, e 25 del Regolamento) il Garante non ha osservazioni da formulare.

3.2. Per quanto riguarda la sicurezza dei dati e dei sistemi (art. 32 del Regolamento), a seguito delle indicazioni rese dall’Ufficio del Garante gli allegati tecnici al provvedimento contengono, ora, misure di sicurezza logiche e organizzative più mirate rispetto allo specifico trattamento di dati necessario per l’applicazione del beneficio.

3.3. Nel parere reso a novembre sullo schema di regolamento, il Garante ha svolto osservazioni in merito all’acquisizione da parte dell’Amministrazione dell’account di posta elettronica del beneficiario tramite il sistema SPID, quale dato presumibilmente utile al Ministero a fini di mero contatto del diciottenne beneficiario per comunicazioni attinenti all’attribuzione e all’utilizzo della Carta elettronica.

In proposito, il Garante rimetteva alla valutazione dell’Amministrazione se fosse opportuno, per le finalità di comunicazione sopra rappresentate, acquisire e memorizzare l’indirizzo e-mail dei beneficiari, ad ogni transazione, tramite l’asserzione SPID, ovvero se non fosse preferibile consentire all’interessato, già identificato, di indicare un indirizzo e-mail anche eventualmente diverso al quale indirizzare le comunicazioni necessarie all’erogazione del servizio.

Al riguardo, nel corso dell’istruttoria sull’odierno schema di provvedimento l’Amministrazione ha informato di voler mantenere l’acquisizione dell’indirizzo e-mail dei beneficiari attraverso lo SPID, in ragione dell’esigenza di bilanciare tutela degli interessati e affidabilità del dato medesimo, entrambe necessarie nell’ambito della concessione di un beneficio da parte di una pubblica amministrazione.
Preso atto di ciò, si richiama l’attenzione sull’esigenza di coordinare con tale previsione del regolamento l’articolo 3, comma 2, dello schema in esame, nella parte in cui prevede l’obbligatorietà del conferimento dei dati anagrafici e della mail, espressione che sembra fare riferimento a modalità di acquisizione dei dati da parte del Ministero diverse da quella, tramite SPID, prevista dal regolamento.

3.4. Infine, nel già citato parere sullo schema di regolamento, il Garante osservava come non fosse chiaro quali informazioni gli esercenti dovessero trattare nel previsto c.d. “registro vendite”, invitando l’Amministrazione ad approfondire tale aspetto al fine di verificare l’eventuale trattamento di dati personali dei beneficiari e le garanzie da applicare al riguardo, integrando, di conseguenza, l’articolato.

Posto che il regolamento non è stato ancora adottato e che nell’odierno schema di provvedimento attuativo non vi è alcuna indicazione al riguardo, il Garante richiama l’attenzione dell’Amministrazione sulla necessità di tale approfondimento e della conseguente integrazione in merito o del regolamento o del presente provvedimento di attuazione.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini di cui in motivazione sullo schema di provvedimento del Ministero per i beni e le attività culturali e per il turismo recante le modalità e i tempi della gestione e conservazione dei dati personali raccolti in attuazione della disciplina in materia di attribuzione e di utilizzo della Carta elettronica prevista dall'articolo l, comma 604, della legge 30 dicembre 2018, n. 145, con le osservazioni di cui ai punti 3.3. e 3.4..

Roma, 18 dicembre 2019

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia