Garante-Relazione 2015

Un’associazione Onlus si eÌ€ rivolta al Garante per una valutazione in merito alla legittimitaÌ€ della richiesta, proveniente dall’Associazione Banco Alimentare del Lazio Onlus (ente capofila), di ottenere la comunicazione delle liste nominative dei propri assistiti e di mettere a disposizione i relativi fascicoli personali, al fine di essere convenzionati con la predetta Associazione capofila e ricevere, per il suo tramite, le risorse alimentari dell’Agenzia per le erogazioni in agricoltura (Agea) da distribuire ai propri assistiti.

L’istruttoria svolta ha evidenziato che l’Agea eÌ€ l’Organismo intermedio di gestione per l’attuazione del “Programma Operativo sugli aiuti alimentari e l’assi- stenza materiale” (PO1), per la gestione del quale vengono attinte somme provenienti dal “Fondo di Aiuti Europei agli Indigenti” (FEAD), ai sensi del regola- mento (UE) n. 223/2014 del Parlamento Europeo e del Consiglio. Con le “Istruzioni operative n. 22” del 28.8.2014, l’Agea ha fissato le modalitaÌ€ di adesione al programma, in base alle quali le strutture territoriali, ai fini della presentazione della domanda di affiliazione, hanno l’obbligo di tenere un elenco cartaceo o infor- matico delle persone e dei nuclei familiari assistiti in maniera continuativa e di costituire, per ogni persona o nucleo familiare, un fascicolo che contenga documentazione anagrafica e sullo stato di indigenza (ad es., Isee, affidamento ai servizi sociali, disoccupazione, etc). EÌ€ inoltre prevista la comunicazione dei dati relativi agli “assistiti continuativi”, cioeÌ€ degli indigenti “per i quali eÌ€ stata effettuata una valutazione della condizione economica e sociale”, nonché degli “assistiti saltuari”, cioeÌ€ di coloro che “vengono assistiti per far fronte a delle emergenze e per i quali l’erogazione avviene senza necessitaÌ€ di verificare la condizione individuale in maniera approfondita”, la cui consistenza eÌ€ stabilita in rapporto al numero totale degli indigenti continuativi. Pertanto, il trattamento di dati personali dei benefi- 4 ciari finali eÌ€ previsto soltanto per gli “assistiti in via continuativa”, il cui elenco nominativo deve essere trasmesso all’ente capofila, mentre i fascicoli personali devono essere conservati ed esibiti dalla struttura territoriale solo in fase di convenzionamento o di successive verifiche. Tali controlli, da parte dell’ente capofila, dell’Agea o di suoi delegati, sono previsti dalla normativa comunitaria per verifi- care la conformitaÌ€ della gestione alle finalitaÌ€ dell’aiuto come stabilito dalle norme del reg. (UE) 223/2014, relativo al Fondo di aiuti europei agli indigenti (v. Titolo V, Gestione e controllo). Con riferimento alla tipologia di dati personali che pos- sono essere trattati dall’Agea, l’Ufficio ha chiarito che la documentazione richiesta agli assistiti continuativi non deve contenere informazioni di natura sensibile, in quanto strettamente finalizzata a comprovare la situazione di disagio economico, come previsto anche dal “Regolamento sul trattamento dei dati sensibili e giudiziari” adottato dall’Agea sul quale il Garante ha espresso il previsto parere (cfr. provv. 18 maggio 2006, doc. web n. 1299152). EÌ€ stato, inoltre, chiarito che gli enti capofila e gli enti territoriali affiliati, possono trattare i dati personali dei propri aderenti ed assistiti, nel rispetto del quadro normativo di settore, in conformitaÌ€ all’informativa resa agli interessati (artt. 13, 23, 24 e 26 del Codice, autorizzazione generale n. 3 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni, 11 dicembre 2014, n. 585, doc. web n. 3620014) (nota 20 luglio 2015).

Il Garante, con provvedimento 5 febbraio 2015 (n. 62, doc. web n. 3769046), ha espresso parere favorevole sullo schema di decreto direttoriale dell’Inps recante il disciplinare tecnico contenente le regole tecniche di sicurezza per la trasmissione e l’accesso alle informazioni del Sistema informativo Isee-(SII), di cui all’art. 12, comma 2, d.P.C.M. 5 dicembre 2013, n. 159, “Regolamento concernente la revi- sione delle modalitaÌ€ di determinazione e i campi di applicazione dell’Indicatore della situazione economica equivalente”, sul quale il Garante ha fornito il parere di competenza con provvedimento 22 novembre 2012 (n. 361, doc. web n. 2174496). Lo schema di decreto eÌ€ risultato conforme alle indicazioni fornite dall’Ufficio ai competenti uffici dell’Istituto nel corso di numerosi contatti, anche informali, volti a garantire il rispetto della disciplina in materia di protezione dei dati personali nell’ambito delle operazioni di raccolta e successivi trattamenti dei dati personali effettuati attraverso il SII e necessari al calcolo dell’Isee. Le principali indicazioni hanno riguardato le modalitaÌ€ di trattamento e le misure di sicu- rezza poste a garanzia dei dati trattati, nell’ambito delle quali eÌ€ stato previsto, in particolare, che i flussi di dati per l’alimentazione del SII, tramite applicazioni web, avvenga su rete pubblica con l’utilizzo del protocollo SSL per garantire il trasporto cifrato delle informazioni. Nelle ipotesi in cui i flussi di dati vengono effettuati tramite cooperazione applicativa, invece, eÌ€ stato previsto che si faccia riferimento al modello advanced di porta di dominio definito negli standard SPC di cooperazione applicativa e che la verifica degli accessi avvenga sulla base della mutua autenticazione fra i server dell’Istituto e quelli degli enti coinvolti. Sono stati ribaditi, inol- tre, i princiÌ€pi di pertinenza, non eccedenza ed indispensabilitaÌ€ dei dati rispetto alle finalitaÌ€ perseguite, anche in riferimento alla consultazione delle informazioni auto- dichiarate da parte dell’ente erogatore per finalitaÌ€ di controllo e, a garanzia del rispetto di tali princiÌ€pi, sono stati previsti specifici controlli a campione da parte dell’Istituto (art. 11, commi 6 e 10, d.P.C.M. 5 dicembre 2013, n. 159; art. 11, comma 2, del Codice). Sono state individuate specifiche tecniche di anonimizzazione e aggregazione dei dati ai quali gli enti erogatori possono accedere a fini di programmazione dei singoli interventi nonché dei dati che devono essere trasmessi al Ministero del lavoro e delle politiche sociali e, in caso di specifica richiesta, alle regioni e alle province autonome, per effettuare elaborazioni a fini di programmazione, di ricerca e di studio (art. 11, commi 4, 10, e 12, d.P.C.M. 5 dicembre 2013, n. 159). Particolare attenzione eÌ€ stata posta sulle modalitaÌ€ di realizzazione dei controlli che la Guardia di finanza effettua sulla posizione reddituale e patrimoniale dei nuclei familiari dei soggetti beneficiari di prestazioni (art. 11, commi 11 e 13, d.P.C.M. 5 dicembre 2013, n. 159; 4, comma 2, d.m. 8 marzo 2013). Al riguardo, lo schema di decreto direttoriale esaminato evidenzia che gli accessi della Guardia di finanza avvengono in modalitaÌ€ web ovvero tramite cooperazione applicativa. Dal punto di vista funzionale, tali accessi si differenziano in due categorie: quelli effettuati nell’ambito di indagini specifiche e quelli effettuali nell’ambito della programmazione dell’attivitaÌ€ di accertamento. Nel primo caso la Guardia di finanza puoÌ€ avere accesso all’attestazione riportante l’Isee, al contenuto della dsu, nonché agli elementi informativi necessari al calcolo, acquisiti dagli archivi amministrativi dell’Inps e dell’Agenzia delle entrate; nel secondo, il controllo della posizione reddituale e patrimoniale dei nuclei familiari dei soggetti beneficiari di pre- stazioni deve avvenire secondo criteri selettivi da definire, previo parere del Garante, in attuazione del protocollo di intesa adottato al fine di disciplinare le regole generali della reciproca collaborazione tra Inps e Guardia di finanza. L’Inps ha previsto che i caf e i comuni possano ricevere per gli interessati l’attestazione Isee, le dsu nonché gli elementi informativi necessari al calcolo dell’Isee. A tal fine, come indicato in fase istruttoria, i predetti soggetti devono inviare all’Istituto medesimo copia del mandato di assistenza, corredato dal documento di riconoscimento dell’interessato.

Al fine di impedire la creazione di autonome banche dati delle dsu presso i sog- getti legittimati alla ricezione della stessa, l’Istituto ha predisposto una specifica funzione di audit e notifica sulla frequenza e numerositaÌ€ delle posizioni interrogate nonché la registrazione dell’identificativo dell’operatore dell’ente che effettua l’accesso e del codice della posizione acceduta (artt. 10, comma 6, e 11, comma 4, d.P.C.M. 5 dicembre 2013, n. 159).

Il Garante, con provvedimento 2 aprile 2015 (n. 195, doc. web n. 3843693), ha espresso parere favorevole sullo schema di decreto direttoriale dell’Inps inerente le modalitaÌ€ attuative dei flussi informativi e disciplinare tecnico per la sicurezza della banca dati delle prestazioni sociali agevolate istituita presso l’Inps con decreto interministeriale dell’8 marzo 2013 al fine di rafforzare i controlli connessi all’erogazione di prestazioni sociali agevolate condizionate all’Isee (sul quale il Garante aveva fornito il parere di competenza con provv. 17 gennaio 2013, n. 14, doc. web n. 2300596) (artt. 2, comma 5, e 5 comma 5, d.m. 8 marzo 2013). La predetta banca dati eÌ€ alimentata dagli enti locali e da ogni altro ente erogatore di prestazioni sociali agevolate, con le informazioni sulle prestazioni sociali agevolate, condizionate all’Isee, e sui soggetti che ne hanno beneficiato (art. 2, commi 1, 2 e 3, d.m. 8 marzo 2013). Ad essa accedono l’Inps, l’Agenzia delle entrate e la Guardia di finanza per lo svolgimento di attivitaÌ€ di controllo (art. 4, commi 1 e 2, d.m. cit.). Le informazioni contenute nella banca dati sono poi trasmesse a diversi soggetti pubblici in forma anonima e aggregata per finalitaÌ€ di programmazione e monitoraggio nonché per elaborazioni a fini statistici, di ricerca e di studio (art. 4, commi 4, 5 e 6). Sulla base delle indicazioni fornite dall’Ufficio, l’Inps ha, in primo luogo, previsto che le convenzioni bilaterali per la definizione delle modalitaÌ€ tecniche e delle misure di sicurezza per l’accesso ai dati della banca dati prestazioni sociali agevolate da parte dell’Agenzia delle entrate e della Guardia di finanza debbano essere preventivamente sottoposte al Garante per le valutazioni di competenza. In secondo luogo, particolare attenzione eÌ€ stata posta alle tecniche di anonimizzazione ed alle modalitaÌ€ di 4 aggregazione dei dati personali contenuti nella banca dati che l’Inps deve fornire a Ministero del lavoro e delle politiche sociali, regioni e province autonome, comuni e altri enti pubblici responsabili della programmazione di prestazioni e di servizi sociali e socio-sanitari ed al Mef-Dipartimento della Ragioneria (art. 4, commi 4, 5 e 6). In particolare, sono state individuati specifici livelli di aggregazione (su base territoriale) e cadenze temporali (annuale) per la comunicazione dei dati al Mef per finalitaÌ€ di monitoraggio con l’adozione di ogni opportuna cautela al fine di impe- dire l’identificazione di singoli interessati. EÌ€ stata, inoltre, puntualmente descritta la tecnica di anonimizzazione dei dati che l’Inps deve fornire al Ministero del lavoro e delle politiche sociali, regioni, province autonome, comuni e altri enti pubblici responsabili della programmazione di prestazioni e di servizi sociali e socio-sanitari per finalitaÌ€ di monitoraggio, programmazione nonché per elaborazioni a fini statistici, di ricerca e di studio. Tale procedura prevede, in particolare, che a ciascuna posizione venga associato un codice numerico avente natura causale e non progressiva, senza alcun riferimento ai dati oggetto di trattamento, creato appositamente per anonimizzare i dati in questione e non conservato dall’Inps. Anche in questo caso sono stati previsti valori soglia per le variabili di osservazione, in modo da non trasmettere le posizioni per le quali si potrebbe risalire all’individuazione del soggetto ed eÌ€ stato precisato che l’Inps forniraÌ€ le predette informazioni con riferimento ad una finestra temporale non superiore a tre anni, facendo esplicito divieto di diffondere le informazioni ricevute. Gli enti erogatori possono inviare i dati relativi alle prestazioni sociali agevolate o facendo un invio massivo tramite upload di un file ovvero tramite acquisizione interattiva attraverso l’inserimento manuale su una web form. Al riguardo, con specifico riferimento alla trasmissione dei dati tramite cooperazione applicativa, eÌ€ stato specificato, coerentemente con le indicazioni emerse nella fase istruttoria, che viene fatto uso di modelli advanced di porta di dominio. Le comunicazioni avvengono in modalitaÌ€ https e la verifica degli accessi viene basata sulla mutua autenticazione.

EÌ€ stato previsto, inoltre, che gli accessi ai servizi online sono consentiti solo ad operatori espressamente autorizzati da parte dell’ente, dotati di credenziali personali e non cedibili, tramite l’uso di postazioni di lavoro connesse alla rete IP dell’ente. Al riguardo, l’Inps ha imposto agli enti che accedono alla banca dati in parola di individuare ogni misura atta a garantire che l’accesso avvenga da postazioni specifica- mente autorizzate inoltre ha esplicitamente previsto il ricorso, per l’accesso ai servizi online, all’infrastruttura Spid. Al fine di evitare la duplicazione delle informazioni raccolte nella banca dati, sono stati previsti sistemi di tracciamento, auditing e noti- fica attraverso i quali l’Istituto puoÌ€ verificare la frequenza e la numerositaÌ€ delle posizioni interrogate ed, eventualmente, sospendere l’accesso dell’utenza del soggetto che risulta aver raggiunto determinate soglie di attenzione. L’Inps ha precisato infine che i dati delle prestazioni sociali agevolate verranno conservati per un periodo di cinque anni oltre il quale saranno archiviati e conservati con i sistemi di back up dell’Istituto e, salve le ipotesi previste dalle legge, non saranno accessibili da soggetti terzi.

Il Garante ha reso parere favorevole sullo schema di decreto direttoriale dell’Inps recante il disciplinare tecnico contenente le “Misure di sicurezza per il trattamento dei dati personali di cui al d.m. 10 gennaio 2013 - attuazione della sperimentazione della nuova carta acquisti - modalitaÌ€ di trasmissione dei dati tra l’Inps e i comuni, livelli e modalitaÌ€ di accesso selettivo ai dati, tracciabilitaÌ€ degli accessi e termini di conservazione dei relativi dati” (provv. 12 marzo 2015, n. 143, doc. web n. 3863732) (art. 11, comma 2, d.m. 10 gennaio 2013). L’art. 60, d.l. 9 febbraio 2012, n. 5, convertito con modificazioni in l. 4 aprile 2012, n. 35 ha previsto che venga avviata una sperimentazione, nei comuni con piuÌ€ di 250.000 abitanti, volta a favorire la diffusione della carta acquisti tra le fasce di popolazione in condizione di maggiore bisogno (art. 81, comma 32, d.l. 25 giugno 2008, n. 112, convertito, con modificazioni, dalla l. 6 agosto 2008, n. 133) ed ha affidato ad un decreto del Ministro del lavoro e delle politiche sociali, adottato di concerto con il Mef, la definizione delle disposizioni per l’attuazione della sperimentazione della nuova carta acquisti (d.m. 10 gennaio 2013, sul quale il Garante ha fornito il proprio parere di competenza in data 6 dicembre 2012, n. 395, doc. web n. 2216848). Il citato decreto prevede che il cd. soggetto attuatore (Inps) adotti un provvedimento concernente le misure di sicurezza per i trattamenti dei dati personali previsti dal decreto, le modalitaÌ€ di trasmissione dei dati tra lo stesso ed i comuni, i livelli e le modalitaÌ€ di accesso selettivo ai dati, la tracciabilitaÌ€ degli accessi e i termini di conservazione dei relativi dati, su conforme parere del Garante, entro tre mesi dall’entrata in vigore del decreto stesso (art. 11, comma 2). Lo schema di decreto presentato eÌ€ risultato conforme alle numerose indicazione fornite dall’Ufficio ai competenti uffici dell’Istituto nel corso di contatti, anche informali.