Una memoria del Presidente del Garante per la protezione dei dati personali ha creato una pericolosa presa di distanze tra l’Authority e la macchina del Reddito di Cittadinanza. Va infatti ricordato come il sistema si basi su meccanismi di gestione condivisa dei dati delle persone che ne fanno richiesta, tentando di sfruttare al meglio i benefici di una gestione digitale delle informazioni (con tanto di card elettronica per il pagamento del dovuto), ma tutto ciò non sarebbe passato precedentemente al vaglio dell’Autorità.
Nessuno, insomma, ha finora dato il proprio benestare affinché il Reddito di Cittadinanza potesse prender piede nel pieno rispetto delle regole europee e nazionali sulla privacy. E il Garante lancia ora il proprio monito. Nella migliore delle ipotesi tutto si concluderà come accaduto nel recente passato, quando il Garante ha temporaneamente salvato la Fattura Elettronica pur alzando il cartellino giallo. Ma per il momento in ballo v’è un testo che dispone sul tavolo una lunga serie di problemi.
Preliminarmente, si evidenzia che il prospettato meccanismo di riconoscimento, erogazione e gestione del reddito di cittadinanza (di seguito: Rdc) comporta trattamenti su larga scala di dati personali, riferiti ai richiedenti e ai componenti il suo nucleo familiare (anche minorenni). Tale meccanismo, così come delineato, presuppone un patrimonio informativo complesso e articolato, fondato sull’interconnessione di molteplici banche dati, la circolazione di delicatissime informazioni tra una pluralità di soggetti pubblici, nonché il monitoraggio e la valutazione dei consumi e dei comportamenti dei singoli familiari del beneficiario.
Il Reddito di Cittadinanza, insomma, sembra configurare esattamente quella situazione che la GDPR vorrebbe gestire in modo differente da come è stata invece fin qui gestita dall’esecutivo: la condivisione dei dati deve essere formulata in ottica di stretta necessità, riducendone la ridondanza tra le banche dati, delimitandone gli accessi e andando a blindare l’intera filiera. Di qui il richiamo del Garante: non avendo ricevuto alcuna richiesta di verifica preventiva, “non è stato possibile evidenziare nel dettaglio i rischi derivanti dalle diverse attività di trattamento (che, come si dirà, incidono su un numero elevato di cittadini, ivi inclusi coloro i quali non sono interessati a richiedere il Rdc) – e individuare preventivamente misure idonee a mitigarli, così da evitare limitazioni dei diritti degli interessati sproporzionate ed ingiustificate rispetto al legittimo obiettivo di interesse pubblico perseguito“. Ed una volta portate avanti le verifiche, ecco il risultato: sono state rilevate numerose criticità.
Il trattamento dei dati personali, anche se effettuato da amministrazioni pubbliche e preordinato – come in questo caso – al perseguimento di motivi di rilevante interesse generale, deve essere progettato e impostato secondo i principi del Regolamento europeo sulla protezione dei dati. L’attuazione del Rdc non può, infatti, eludere le garanzie dei diritti e delle libertà sancite dalla disciplina di protezione dati, in danno proprio delle persone che tale beneficio intende invece tutelare.
Reddito di cittadinanza, criticità
La condivisione dei dati
La prima criticità rilevata è relativa al fatto che il testo non sarebbe sufficientemente chiaro e dettagliato, contenendo invece “previsioni di portata generale, inidonee a definire con sufficiente chiarezza le modalità di svolgimento delle procedure di consultazione e verifica delle varie banche dati“. Nel mirino, nello specifico, le due “piattaforme digitali” istituite presso ANPAL e Ministero del Lavoro, strumenti che dovranno fungere da baricentro di condivisione dei dati con centri per l’impiego, uffici postali, INPS e altre amministrazioni pubbliche. Ciò, secondo il Garante, produrrebbe un massiccio flusso di dati in assenza di regole per un accesso selettivo.
E questo, in assenza di un’adeguata cornice di riferimento che individui pertinenti regole di accesso selettivo alle banche dati, introduca accorgimenti idonei a garantire la qualità e l’esattezza dei dati, nonché misure tecniche e organizzative volte a scongiurare i rischi di accessi indebiti, utilizzi fraudolenti dei dati o di violazione dei sistemi informativi, oltre a procedure idonee a garantire agli interessati l’agevole esercizio dei loro diritti.
Monitoraggio dei costi sulla carta
Una seconda criticità è relativa al monitoraggio delle spese. Il Ministero ha infatti – giustamente – previsto che il denaro ottenuto con il Reddito di Cittadinanza non possa essere sperperato nel gioco d’azzardo, ma per portare avanti tale controllo impone un sistema di monitoraggio capillare delle spese sull’apposita carta (portato peraltro avanti anche in collaborazione con i centri per l’impiego).
Alle attività di monitoraggio centralizzato e sistematico degli acquisti effettuati tramite la carta – suscettibili di comportare l’acquisizione anche di dati particolarmente sensibili – si aggiungono, quindi, i controlli puntuali sulle scelte di consumo individuali, condotti dagli operatori dei centri per l’impiego e dei servizi comunali, in assenza di procedure ben definite e di criteri normativamente individuati. In tale contesto, le legittime esigenze di verifica di eventuali abusi e comportamenti fraudolenti, si traducono in una sorveglianza su larga scala, continua e capillare sugli utilizzatori della carta, determinando così un’intrusione sproporzionata e ingiustificata su ogni aspetto della vita privata degli interessati.
La condivisione in digitale dei dati consente forti opportunità per l’elargizione del servizio, ma tanto potere non può essere messo a terra se non previa limitazione puntuale dei metodi di accesso ai dati, gestione precisa della conservazione degli stessi e trasparente regolamentazione su ogni passaggio. Il vantaggio del digitale nel ridurre i passaggi burocratici è evidente, ma anche la migliore delle intenzioni può diventare un boomerang se non sviluppata nel pieno rispetto dei principi della GDPR.
Il sito Web
Ad ulteriori rilievi tecnici sull’attuazione del Reddito di Cittadinanza, quindi, il Garante aggiunge una puntualizzazione formale (ma non per questo non sostanziale) relativa allo sviluppo del sito Web utile ad informare sul RdC e le modalità di richiesta dello stesso: l’Autorità rileva alcune importanti carenze, in particolare all’interno dell’informativa sul trattamento dei dati, nonché sulle modalità tecniche di implementazione (“che, ad oggi, comportano un’indebita e non trasparente trasmissione a terzi dei dati di navigazione, quali indirizzi IP e orario di connessione, da parte dei visitatori del medesimo sito”)
È necessario che la realizzazione di questo strumento avvenga previa adozione di misure tecniche idonee ad attuare in modo efficace i principi di protezione dei dati (quello di minimizzazione dei dati in particolare), integrando nel trattamento le necessarie garanzie per ridurne i rischi a tutela dei i diritti dei cittadini.