g-docweb-display Portlet

Parere sullo schema di delibera di giunta regionale della Regione Lombardia che disciplina il trattamento dei dati personali connesso all’operatività della "Mobile App Sconto Carburante" di cui alla delibera di giunta regionale n. 4926 del 21 giugno 2021 - 1 novembre 2021 [9728140]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9728140]

Parere sullo schema di delibera di giunta regionale della Regione Lombardia che disciplina il trattamento dei dati personali connesso all’operatività della "Mobile App Sconto Carburante" di cui alla delibera di giunta regionale n. 4926 del 21 giugno 2021 - 1 novembre 2021

Registro dei provvedimenti
n. 393 del 1 novembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/C (di seguito, Codice);

VISTA la legge 28 dicembre 1995, n. 549 “Misura di razionalizzazione della finanza pubblica” che all’art. 3, comma 15, prevede “fermi restando i vincoli derivanti dagli accordi internazionali e dalle normative dell'Unione europea, nonché dalle norme ad essi connesse, le regioni, nonché le province autonome, possono determinare, con propria legge, una riduzione del prezzo alla pompa della benzina e del gasolio per autotrazione, per i soli cittadini residenti nella regione o nella provincia autonoma o in una parte di essa”;

VISTA la legge 13 maggio 1999, n. 133 “Disposizioni in materia di perequazione, razionalizzazione e federalismo fiscale”;

VISTA la legge regionale 20 dicembre 1999, n. 28 “Disposizioni in materia di riduzione del prezzo alla pompa della benzina e del gasolio utilizzati per autotrazione”;

VISTA la legge 4 dicembre 2008, n. 189 di conversione del d.l. 7 ottobre 2008, n. 154, che all’art. 2-ter prevede, a decorrere dal 1° gennaio 2009, disposizioni in materia di regime fiscale dei carburanti per autotrazione per le Regioni confinanti con la Svizzera;

VISTA la delibera di Giunta regionale n. 48802 del 1° marzo 2000, “Modalità per la fruizione della riduzione del prezzo alla pompa delle benzine”;

VISTA la delibera di Giunta regionale n. 26 del 31 maggio 2000, “Individuazione dei Comuni lombardi compresi nel territorio regionale interessati alla riduzione del prezzo alla pompa delle benzine e definizione dell’entità dello sconto”;

VISTA la delibera di Giunta regionale n. 2400 del 1° dicembre 2000, “Modificazione dei provvedimenti attuativi della L.R. 20 dicembre 1999, n. 28. Disposizioni in materia di riduzione del prezzo alla pompa delle benzine”, con la quale, tra l’altro, sono state rideterminate le fasce di sconto (A, B, C) fissate dalla d.G.r. 31 maggio 2000, n. 26 con la riduzione alle sole A e B, rispettivamente distanti dal confine Elvetico, da 0 a 10 km e da 10,001 a 20 km e nella misura di lire 200 e lire 350, ora euro 0.10 ed euro 0.18;

VISTA la delibera di Giunta regionale n. 5707 del 27 luglio 2001, “Modifica dei criteri per l’erogazione dei contributi da assegnare ai Comuni. Attribuzione delle somme riscosse ed effettivamente introitate dai Comuni a seguito dell’attività di vigilanza effettuata dai Comuni medesimi ai sensi degli articoli 7 e 8 della legge regionale 20 dicembre 1999, n. 28”;

VISTA la delibera di Giunta regionale n. 4926 del 21 giugno 2021, con la quale è stato previsto, per l’erogazione del beneficio in questione, l’utilizzo di un’apposita applicazione per dispositivi mobili (di seguito “App” o “App Sconto Carburante”) da parte dei gestori degli impianti di distribuzione e dei cittadini residenti nel territorio distante fino a 20 km dal confine con la Svizzera;

RILEVATO che l’App Sconto Carburante è stata realizzata al fine di perseguire le finalità di erogazione di uno sconto sui rifornimenti di carburante presso gli impianti di distribuzione abilitati ai cittadini residenti in prossimità del territorio svizzero, ai sensi della legge regionale 20 dicembre 1999, n. 28, nonché prevenire ed evitare frodi e abusi nella fruizione del beneficio da parte dell’utente e da parte dei gestori degli impianti di distribuzione carburante;

RILEVATO, altresì, che possono beneficiare dello “Sconto carburante” – applicabile esclusivamente a veicoli soggetti a iscrizione nei pubblici registri, destinati all’uso privato, intestati a persone fisiche, non riconducibili ad attività d’impresa – anche i componenti del nucleo familiare dei proprietari dei veicoli, secondo le risultanze dello stato di famiglia presso l’Anagrafe comunale e che, in particolare, è possibile accedere all’App Sconto Carburante con due diversi profili:

“Cittadino”, che consente al beneficiario di usufruire della scontistica sul prezzo del carburante e visualizzare i dettagli della transazione avvenuta, lo storico dei rifornimenti effettuati e il plafond dei litri di benzina disponibili per il giorno ed il mese in corso;

“Esercente”, che consente all’esercente di leggere il QR Code o inserire il codice numerico del cliente per applicare la scontistica sul costo del carburante e visualizzare lo storico dei rimborsi che gli sono dovuti dalla Regione Lombardia;

VISTA la legge regionale 6 agosto 2021, n. 15, che, mediante l’art. 10, comma 1, lett. b), ha introdotto, alla l.r. 28/1999, l’art. 8-bis, recante “Trattamento dei dati personali tramite il sistema per la registrazione delle operazioni di rifornimento a prezzo scontato”, ai sensi del quale “Al fine di semplificare le modalità di fruizione del beneficio di cui alla presente legge, nonché per rendere più efficiente l’azione di prevenzione delle infrazioni al diritto europeo in materia fiscale, le registrazioni delle operazioni di rifornimento a prezzo scontato vengono acquisite al sistema informatizzato di cui all’articolo 3, comma 7, tramite l’utilizzo di un nuovo applicativo denominato “Mobile APP sconto carburante” e degli altri strumenti telematici connessi, secondo modalità definite con deliberazione della Giunta regionale. Per l’effettuazione dei controlli di cui all’articolo 7, comma 3, e per il monitoraggio dell’efficacia delle misure predisposte la Regione tratta esclusivamente i dati personali indispensabili alla fruizione del beneficio, secondo modalità definite con deliberazione della Giunta regionale, nel rispetto della disciplina vigente in materia di protezione dei dati personali, che specifica i tipi di dati, le operazioni eseguibili, le modalità di elaborazione e le misure adeguate al rischio per i diritti e le libertà degli interessati derivanti anche dall’utilizzo di nuove tecnologie”;

VISTE le note della Regione Lombardia del XX, dell’XX e del XX con le quali è stato sottoposto all’attenzione del Garante uno schema di delibera di Giunta regionale che disciplina il trattamento dei dati personali connesso all’operatività dell’App Sconto Carburante, di cui all’art. 8-bis della l.r. n. 28/1999;

RILEVATO che il suddetto schema definisce, all’interno del relativo allegato 1, il “Trattamento dei dati personali connesso all’operatività del servizio Sconto Carburante di cui alla DGR n. 4926 del 21 giugno 2021”, individuando, in particolare:

la base giuridica per il trattamento dei dati;

i dati utilizzabili per le attività di controllo da parte dei preposti organi amministrativi e della Guardia di Finanza operanti sul territorio, su richiesta degli stessi o da parte di Regione o dei Comuni;

le misure tecniche e organizzative adottate per garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento in esame;

i tempi di conservazione dei dati;

CONSIDERATO che la Regione Lombardia “riconoscendo l’importanza del trattamento App Sconto Carburante e considerando anche l’impatto del trattamento sui diritti e le libertà delle persone fisiche” ha effettuato, ai sensi dell’art. 35 del Regolamento, una valutazione di impatto sulla protezione dei dati relativa ai trattamenti effettuati tramite l’App Sconto Carburante trasmessa al Garante con la nota del XX, successivamente integrata con la nota dell’XX;

CONSIDERATO che la versione dello schema di delibera di Giunta regionale in esame, tiene conto delle indicazioni fornite dall’Ufficio nel corso delle interlocuzioni informali con la Regione Lombardia, in relazione ad alcuni profili di rilevanza per la disciplina in materia di protezione dei dati personali, concernenti, in particolare:

l’individuazione delle tipologie di dati trattati, con particolare riferimento a quelli raccolti durante l’adesione al servizio e quelli resi visibili all’interno dell’App Sconto Carburante, della platea dei beneficiari;

la precisazione del ruolo assunto dai vari soggetti coinvolti nel trattamento (Regione, Comuni, ACI, Agenzia delle entrate, Guardia di finanza), con la descrizione dei flussi di dati personali attivati tra gli stessi;

le principali misure tecniche e organizzative adottate per garantire la sicurezza del trattamento;

i tempi di conservazione dei dati raccolti;

RILEVATO che, nell’allegato 1 citato, è stato previsto che l’accesso all’App Sconto Carburante da parte dell’utente (beneficiario o esercente) avvenga mediante l’utilizzo di CIE o di SPID livello 2, assicurando “una maggior sicurezza generale del sistema nonché la certificazione dell’identità del soggetto che accede, anche ai fini dell’individuazione delle responsabilità di natura fiscale”;

RILEVATO, tuttavia, che, per agevolare le operazioni al momento del rifornimento, all’utente “viene richiesto di impostare un codice di sicurezza composto da 8 cifre” – da modificare ogni 90 giorni – che “evita di inserire le credenziali SPID/CIE per ogni accesso all’APP per il periodo di validità” dello stesso;

CONSIDERATO che il ricorso, all’interno dell’App in esame, a modalità di accesso che prevedono l’utilizzo di sessioni di lunga durata (90 giorni) determina specifici rischi per i diritti e le libertà degli interessati e richiede approfondimenti, anche di carattere generale, in relazione all’utilizzo di CIE e SPID nell’ambito di applicazioni per dispositivi mobili, in corso di svolgimento da parte dell’Agenzia per l’Italia digitale e del Garante, al fine di individuare ulteriori misure di sicurezza, quali, ad esempio, efficaci meccanismi di chiusura della sessione, nonché misure volte a tutelare gli interessati rispetto, in particolare, a possibili furti di identità e accessi non autorizzati;

RITENUTO, pertanto, necessario, nelle more dell’individuazione di tali ulteriori misure di sicurezza all’esito dei predetti approfondimenti, prevedere che, tenuto conto delle specifiche esigenze organizzative degli esercenti, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento in esame, la durata delle predette sessioni – create a seguito dell’autenticazione informatica degli utenti– sia impostata definendo un periodo commisurato al principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. c), del Regolamento, e comunque non superiore a 30 giorni, al fine di mitigare i menzionati rischi;

RITENUTO di non dover formulare ulteriori osservazioni sullo schema di delibera di Giunta regionale in esame, atteso che le indicazioni fornite dall’Ufficio del Garante sono state tenute in debita considerazione;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n. 1098801);

RELATORE l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 57, par. 1, lett. c), del Regolamento, esprime parere favorevole sullo schema di delibera di Giunta regionale della Lombardia che disciplina il trattamento dei dati personali connesso all’operatività della App Sconto Carburante, di cui all’art. 8-bis della legge regionale 20 dicembre 1999, n. 28, a condizione che la durata delle sessioni create a seguito dell’autenticazione informatica degli utenti (esercenti e beneficiari) non sia superiore a 30 giorni.

Roma, 1° novembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9728140
Data
01/11/21

Argomenti


Tipologie

Parere del Garante