In più occasioni il Garante si è espresso in relazione a trattamenti di dati personali necessari per l’erogazione di benefici economici in favore di categorie di soggetti che si sono trovati in una situazione di disagio economico, soprattutto per effetto delle conseguenze causate dall’emergenza epidemiologica da Covid-19.

Il Garante si è pronunciato favorevolmente, ai sensi dell’art. 2-ter, comma 2, del Codice, sul trattamento di dati personali connesso al riconoscimento di misure di sostegno economico nei confronti di persone stabilite nel territorio della Regione Campania. In particolare, anche a seguito delle interlocuzioni intercorse tra l’Ufficio e le Istituzioni interessate volte a evitare l’attivazione di una trasmissione massiva di dati individuali riguardanti i destinatari di prestazioni assistenziali e pensionistiche, l’Inps e la Regione hanno identificato modalità per l’individuazione dei beneficiari, nonché di erogazione, rispettose della protezione dei dati personali, rimettendo la gestione delle prestazioni esclusivamente all’Istituto e limitando le tipologie di informazioni oggetto di trasmissione alla Regione ai soli dati anonimi e aggregati con riferimento ai lavoratori stagionali impiegati in attività alberghiere ed extralberghiere. Per i percettori di pensioni/assegni sociali e di integrazione al trattamento minimo di pensione, è stata ammessa la trasmissione alla Regione di dati pseudonimizzati e, solo laddove necessari per finalità di controllo (e comunque non in forma massiva), anche di dati identificativi riferiti a singoli.

Per queste ragioni è stato necessario formulare rilievi sulla comunicazione di dati personali nei termini descritti, avendola ritenuta necessaria per assicurare (con urgenza) l’attivazione delle misure di sostegno economico a fronte dell’emergenza epidemiologica da Covid-19 e in linea con i principi di limitazione delle finalità e di minimizzazione dei dati, ferma restando l’adozione di adeguate misure per garantire la trasparenza nei confronti degli interessati e la sicurezza del trattamento, rimesse ad un’apposita convenzione tra le parti (provv. 28 aprile 2020, n. 78, doc. web n. 9335112).

Analoga tipologia di comunicazione di dati personali, ai sensi dell’art. 2-ter, comma 2, del Codice, è stata sottoposta dall’Inps al Garante, con riferimento alla necessità di trasmettere alle autorità di gestione (cioè regioni e province autonome) informazioni concernenti i pagamenti effettuati dall’Istituto a fini di erogazione della cassa integrazione guadagni in deroga (CIG) (tra le quali i codici fiscali dei beneficiari) attivata per fronteggiare le conseguenze economiche causate dall’emergenza sanitaria da Covid-19. La comunicazione di tali dati si è resa necessaria al fine di portare a rendicontazione, a valere sul Fondo strutturale europeo, le spese per l’emergenza già anticipate dallo Stato e, conseguentemente, di ottenere dall’UE il relativo rimborso entro il 31 dicembre 2020 (come stabilito dall’art. 242, commi 1 e 2, d.l. 19 maggio 2020, n. 34; cfr. altresì il regolamento (UE) 1303/2013 del 17 dicembre 2013).

Il Garante, pur avendo ricevuto l’istanza in prossimità della scadenza del termine per la conclusione del processo di rendicontazione il cui decorso avrebbe precluso allo Stato di avvalersi dei fondi europei, (in tempi assai ristretti) si è comunque pronunciato favorevolmente sull’assunto che la comunicazione dei dati personali dall’Inps alle autorità di gestione risultasse necessaria per assicurare l’esecuzione del compito di interesse pubblico connesso alle citate esigenze di rendicontazione; al contempo, ha prescritto di valutare l’adozione di tecniche di pseudonimizzazione, anche al fine di assicurare il rispetto dei principi di minimizzazione dei dati e di privacy by design e by default (provv. 17 dicembre 2020, n. 275, doc. web n. 9519360).

Il Garante si è espresso sui trattamenti connessi al cd. bonus sociale, misura di sostegno a favore delle famiglie in stato di disagio economico e sociale consistente nell’applicazione di una tariffa agevolata che comporta una compensazione della spesa in relazione alle forniture di energia elettrica, gas naturale e acqua. In questo ambito, l’art. 57-bis, comma 5, d.l. 26 ottobre 2019, n. 124 − disposizione non preventivamente sottoposta al parere del Garante − ha stabilito che, a partire dal 1° gennaio 2021, le modalità di fruizione di tale prestazione sociale agevolata sarebbero passate dal previgente meccanismo del riconoscimento a domanda degli interessati a un nuovo meccanismo di riconoscimento automatico sulla base dell’Isee in corso di validità, rimettendo ad Arera la definizione degli aspetti attuativi della misura.

A questo proposito, Arera ha chiesto al Garante il previsto parere sullo schema di delibera concernente le modalità di trasmissione delle informazioni utili ai fini dell’erogazione dei bonus sociali da parte dell’Inps al Sistema informativo integrato (SII). Sistema che si incentra su una banca dati dei punti di prelievo e dei dati identificativi degli utenti creata per la gestione dei flussi informativi relativi ai mercati energetici e gestita da Acquirente Unico (e mai sottoposta al vaglio del Garante).

In ragione delle criticità rilevate nello schema di delibera, il Garante ha fissato alcune condizioni per conformare il trattamento alla disciplina in materia di protezione dei dati personali. In primo luogo, ha ritenuto necessaria l’individuazione di Arera quale titolare del trattamento, in coerenza con la disciplina in materia di Isee e di prestazioni sociali agevolate (d.P.C.M. 5 dicembre 2013, n. 159, e d.m. 16 dicembre 2014, n. 206), in quanto soggetto che, nell’individuare le modalità del trattamento, disciplina l’erogazione della prestazione sociale agevolata (ente erogatore) e si avvale del Gestore del SII (Acquirente Unico) quale responsabile del trattamento. Ha poi affermato la necessità di individuare con certezza le “utenze agevolabili” in caso di spettanza dei bonus, mediante l’utilizzo di dati esatti già in sede di acquisizione al momento della presentazione della Dsu da parte degli interessati, ma al contempo prevedendo, nelle more delle necessarie modifiche, la trasmissione dall’Inps al SII delle sole tipologie di dati personali strettamente indispensabili ai fini dell’erogazione dei bonus. È stata rimarcata la necessità di prevedere la messa a disposizione degli interessati di tutte le informazioni necessarie per consentire una piena comprensione circa il trattamento dei dati presenti nella Dsu a fini di erogazione dei bonus sociali. Infine, è stata richiesta la definizione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, con riferimento alla trasmissione dei dati personali dall’Inps al SII e ai successivi trattamenti effettuati presso il SII, sulla base di una valutazione di impatto sulla protezione dei dati dal titolare del trattamento (provv. 17 dicembre 2020, n. 279, doc. web n. 9510819).

Fonte : Relazione GPDP 2020