Diritti interna

Doveri interna

ricerca avanzata

Parere sullo schema di provvedimento congiunto del direttore dell’Inps e del direttore dell’Agenzia delle entrate volto a disciplinare le specifiche tecniche per l’accesso alla DSU precompilata - 18 dicembre 2019 [9220741]

[doc. web n. 9220741]

Parere sullo schema di provvedimento congiunto del direttore dell’Inps e del direttore dell’Agenzia delle entrate volto a disciplinare le specifiche tecniche per l’accesso alla DSU precompilata - 18 dicembre 2019

Registro dei provvedimenti
n. 225 del 18 dicembre 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice;

Visto il decreto del Presidente del Consiglio dei Ministri 5 dicembre 2013, n. 159, recante Regolamento concernente la revisione delle modalità di determinazione e i campi di applicazione dell’Indicatore della situazione economica equivalente (ISEE);

Visto il decreto legislativo 15 settembre 2017, n. 147, recante Disposizioni per l’introduzione di una misura unica nazionale di contrasto alla povertà – come modificato, tra gli altri, dal decreto legge 28 gennaio 2019, n. 4, convertito, con modificazioni, dalla legge 28 marzo 2019, n. 26, recante Disposizioni urgenti in materia di reddito di cittadinanza e di pensioni –, e, in particolare, l’art. 10, il quale disciplina la possibilità che la Dichiarazione sostitutiva unica a fini ISEE (DSU) possa essere precompilata da parte dell’Inps, in cooperazione con l’Agenzia delle Entrate, utilizzando le “informazioni disponibili nell’Anagrafe tributaria, nel Catasto e negli archivi dell’Inps, nonché le informazioni su saldi e giacenze medie del patrimonio mobiliare dei componenti il nucleo familiare” (comma 1), mantenendo comunque la facoltà, per il dichiarante, di optare per la presentazione della DSU in modalità non precompilata (comma 2-bis);

Visto che il citato art. 10, al comma 2, dispone, inoltre, che “Con decreto del Ministro del lavoro e delle politiche sociali, sentiti l’Inps, l’Agenzia delle entrate e il Garante per la protezione dei dati personali, sono individuate le modalità tecniche per consentire al cittadino di accedere alla dichiarazione precompilata resa disponibile in via telematica dall’Inps”, mentre i successivi commi 2-bis e 3 affidano altresì a tale decreto ministeriale il compito, rispettivamente, di definire le modalità secondo cui, in caso di DSU non precompilata, “in sede di attestazione dell’ISEE, sono riportate le eventuali omissioni o difformità riscontrate nei dati dichiarati”, nonché di stabilire “le componenti della DSU che restano interamente autodichiarate e non precompilate, suscettibili di successivo aggiornamento in relazione alla evoluzione dei sistemi informativi e dell’assetto dei relativi flussi d’informazione”;

Visto il decreto del Ministero del lavoro e delle politiche sociali 9 agosto 2019, recante Individuazione delle modalità tecniche per consentire al cittadino di accedere alla dichiarazione ISEE precompilata resa disponibile in via telematica all’Inps, su cui il Garante ha espresso parere favorevole (provv. n. 136 del 20 giugno 2019, reperibile su www.garanteprivacy.it, doc. web n. 9124390), che dà attuazione al citato art. 10, comma 2, del d.lgs. 147/2017;

Visto, in particolare, l’art. 6, comma 1, del suddetto d.m., il quale dispone che “Le specifiche tecniche per l’accesso alla DSU precompilata, nonché i meccanismi di delega da parte degli interessati, sono individuate in apposito disciplinare tecnico, sulla base di adeguata valutazione d’impatto ai sensi dell’art. 35 del Regolamento generale sulla protezione dei dati, approvato con provvedimento congiunto del direttore dell’Inps e del direttore dell’Agenzia delle entrate, sentito il Garante per la protezione dei dati personali. Il disciplinare individua altresì, per quanto non previsto nel presente decreto, misure appropriate a tutela degli interessati ed, in particolare, specifiche misure di sicurezza atte a ridurre al minimo i rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”;

Vista la richiesta di parere del 13 dicembre 2019, da parte del direttore dell’Inps, su uno schema di provvedimento congiunto con il direttore dell’Agenzia delle entrate volto a disciplinare le specifiche tecniche per l’accesso alla DSU precompilata, da adottare ai sensi del citato art. 6 del d.m. 9 agosto 2019, corredato della valutazione d’impatto sulla protezione dei dati di cui all’art. 35 del Regolamento, come previsto dal predetto art. 6, e dei tracciati per lo scambio dati con l’Agenzia;

Considerato, infatti, che lo schema di provvedimento in esame disciplina i trattamenti svolti, su larga scala, dall’Inps e dall’Agenzia delle entrate per l’esecuzione di un compito di interesse pubblico che presentano un rischio elevato per i diritti e le libertà degli interessati (riferiti anche a soggetti vulnerabili e relativi a dati rientranti nelle categorie particolari di cui all’art. 9, § 1, del Regolamento, nonché ad altri dati aventi carattere altamente personale, quali dati reddituali e finanziari), e che, pertanto, devono essere valutati anche ai sensi dell’art. 36, § 5, del Regolamento e dell’art. 2-quinquesdecies del Codice;

Vista la nota del 13 dicembre 2019, da parte dell’Agenzia delle entrate, con cui viene trasmessa la valutazione di impatto sulla protezione dei dati effettuata dalla medesima Agenzia per quanto riguarda i trattamenti di dati personali di cui essa stessa risulta titolare;

Rilevato che, in particolare, il predetto schema:

- individua i dati che, “utilizzando le informazioni disponibili nell’Anagrafe Tributaria, incluse quelle relative ai saldi finali e giacenze medie del patrimonio mobiliare dei componenti il nucleo familiare, e negli archivi dell’Inps”, possono essere precompilati da parte dell’Inps e quelli che, su richiesta del dichiarante, possono essere precaricati dall’Inps prelevandoli dall’ultima DSU eventualmente presente nel sistema informativo dell’Isee (art. 3);

- disciplina, in conformità a quanto previsto dal d.m. del 9 agosto 2019, le modalità di accesso alla precompilata da parte del dichiarante e le operazioni effettuabili, con particolare riferimento ai dati che devono essere inseriti per ottenere la precompilazione delle informazioni reddituali e patrimoniali, previa apposita delega di ogni componente maggiorenne del nucleo familiare (art. 4, commi 1-3);

- stabilisce le modalità con le quali vengono forniti gli esiti dei riscontri, positivi o negativi, sui dati inseriti dal dichiarante, che, in ogni caso, “può presentare la DSU nella modalità non precompilata, fatta salva la possibilità di accedere nuovamente alla DSU per non più di due volte, escluso il primo inserimento, indicando i dati corretti” (art. 4, comma 4);

- disciplina la facoltà, esercitabile da parte degli interessati, in ogni momento, di inibire l’utilizzo dei propri dati personali per l’elaborazione della DSU precompilata, ovvero per l’attestazione dell’ISEE, nel caso di DSU presentata nella modalità non precompilata, specificando i canali attraverso i quali il cittadino può procedere (art. 4, comma 7);

- stabilisce i meccanismi di delega del dichiarante da parte dei componenti maggiorenni del nucleo familiare per l’accesso on line (art. 5);

- individua le modalità di accesso alla DSU precompilata da parte dei Caf, i meccanismi di delega da parte dei componenti maggiorenni del nucleo familiare e i controlli effettuati al riguardo da parte dell’Inps (artt. 6 e 7);

Rilevato che lo schema di provvedimento tiene conto delle indicazioni fornite dall’Ufficio nell’ambito dei numerosi incontri effettuati con i rappresentati dell’Inps e dell’Agenzia delle entrate, volte a conformare il trattamento in esame alla normativa in materia di protezione dei dati personali, nel rispetto dei principi di privacy by design e privacy by default (art. 25 del Regolamento), con particolare riferimento alle misure individuate per limitare i rischi di utilizzi fraudolenti dei dati dovuti ad accessi abusivi o non autorizzati, relative a:

- l’esatta individuazione delle informazioni utilizzate per la precompilazione e il precaricamento dei dati contenuti nella DSU, con riferimento al canone di locazione della casa di abitazione del nucleo familiare (fornito “solo nel caso in cui vi sia solo un componente presente nel nucleo della DSU che abbia usufruito della detrazione per il canone di locazione per abitazione principale e che risulti intestatario di un unico contratto di locazione per immobile a uso abitativo”) e agli assegni per il mantenimento dei figli;

- la messa a disposizione, nell’area autenticata dell’Inps e dell’Agenzia delle entrate di ciascun utente, delle informazioni relative al soggetto che ha richiesto una DSU precompilata che lo riguarda, nonché del Caf che abbia eventualmente acquisito tale DSU;

- i tempi di conservazione e la successiva cancellazione dei dati trasmessi dall’Agenzia delle entrate non utilizzati per la predisposizione della DSU precompilata in caso di mancato completamento della procedura da parte del dichiarante, nel rispetto del principio di limitazione della conservazione (art. 5, § 1, lett. e), del Regolamento);

- le modalità di esercizio dell’inibizione all’utilizzo dei dati trattati dall’Inps e dall’Agenzia delle entrate per l’elaborazione della dichiarazione DSU precompilata, ovvero dell’attestazione dell’ISEE, nel caso di DSU presentata nella modalità non precompilata, fermo restando il più generale diritto di opposizione previsto dall’art. 21 del Regolamento, esercitabile nei confronti del titolare del trattamento;

- con riguardo all’accesso on line da parte del dichiarante, il meccanismo di verifica delle deleghe rilasciate dai componenti del nucleo familiare;

- le modalità rafforzate di delega da parte del dichiarante e dei componenti del nucleo familiare per l’accesso da parte dei Caf che prevedono l’integrazione del contenuto e l’acquisizione dei documenti di riconoscimento, il periodo di validità, la tenuta di un apposito registro, nonché la definizione di un termine di conservazione della documentazione acquisita pari a cinque anni;

- l’obbligatoria trasmissione, da parte dei Caf all’Inps, a valle di una prima fase di sperimentazione di tre mesi, dei codici hash dei file contenenti le deleghe e i documenti di riconoscimento;

- i controlli posti in essere dall’Inps sugli accessi effettuati on line, da parte del dichiarante, e da parte dei Caf;

Ritenuto, pertanto, di autorizzare il trattamento effettuato in esecuzione del provvedimento in esame da parte dell’Inps e dell’Agenzia delle entrate, a condizione che l’Istituto, successivamente al termine della predetta fase di sperimentazione, e comunque non oltre 6 mesi dall’avvio del trattamento, trasmetta una valutazione di impatto sulla protezione dei dati aggiornata, che tenga conto delle eventuali anomalie riscontrate e riesamini, in modo esaustivo, i diversi scenari di rischio connessi all’accesso alla DSU precompilata on line da parte del dichiarante e da parte dei Caf, integrando anche la parte descrittiva dei trattamenti effettuati;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO, IL GARANTE:

a) ai sensi dell’art. 36, § 4, del Regolamento, esprime parere favorevole sullo schema di provvedimento congiunto del direttore dell’Inps e del direttore dell’Agenzia delle entrate volto a disciplinare le specifiche tecniche per l’accesso alla DSU precompilata, di cui all’art. 6 del decreto del Ministero del lavoro e delle politiche sociali 9 agosto 2019;

b) ai sensi degli artt. 36, § 5, e 58, § 3, lett. c), del Regolamento, autorizza l’Inps e l’Agenzia delle entrate ad effettuare il trattamento previsto dallo schema di provvedimento in esame, a condizione che l’Istituto, successivamente al termine della predetta fase di sperimentazione, e comunque non oltre 6 mesi dall’avvio del trattamento, trasmetta una valutazione di impatto aggiornata sulla protezione dei dati nei termini di cui in motivazione.

Roma, 18 dicembre 2019

IL PRESIDENTE
SORO

IL RELATORE
IANNINI

IL SEGRETARIO GENERALE
BUSIA