L’impatto della disciplina del reddito di cittadinanza sulle modalità di trattamento dei dati personali del lavoratore ha reso necessario un provvedimento del Garante della privacy. L’Autorità di controllo ha rilevato, per alcuni aspetti della normativa, il mancato rispetto dei principi e delle previsioni del GDPR, che renderebbero auspicabili alcuni correttivi da parte dei decreti attuativi. Un primo filone di interventi potrebbe richiedere un’attenta valutazione dei rischi e l’introduzione di idonee misure tecniche e organizzative volte a scongiurare i rischi di utilizzo fraudolento dei dati. Quali altre modifiche sono necessarie?

Da anni mi occupo di privacy e, soprattutto dell’impatto della disciplina di legge in materia di tutela della privacy nell’ambito del rapporto di lavoro dato che tale disciplina coinvolge diversi ambiti, la fase pre-assuntiva, la fase di instaurazione del rapporto di lavoro, la fase di gestione e in alcuni casi anche la sua cessazione.

Al riguardo e in un’ottica di bilanciamento degli interessi, preminente rilevanza pratica ha sempre assunto il richiamo espresso ai principi di liceità e trasparenza che scaturiscono direttamente dal contratto di lavoro e che sostengono sia la raccolta dei dati (qualsiasi categoria di dati, inclusi quelli “sensibili”, ora denominati - dalla nuova normativa di riferimento di matrice europea - “particolari”) e il relativo consenso da parte dell’interessato, sia la necessità del loro trattamento e della loro conservazione (purché l’interessato ne sia stato opportunamente informato).

Le necessità connesse alla valutazione del bilanciamento degli interessi ha sempre pervaso e caratterizzato il trattamento dei dati personali nell’ambito del rapporto di lavoro e la centralità del ruolo di tale principio ha trovato conferma ancora di recente nel Regolamento UE 2016/679 (GDPR – General Data Protection Regulation). Il Considerando n. 47 del detto Regolamento prevede espressamente che “I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, tenuto conto delle ragionevoli aspettative nutrite dall'interessato in base alla sua relazione con il titolare del trattamento. …”.

A tali principi si ispirano, o dovrebbero certamente ispirarsi, anche i provvedimenti normativi adottati a livello nazionale.

Il GDPR, all’art. 36, prevede un obbligo di consultazione preventiva dell’autorità di controllo, e quindi, dell’Autorità Garante, quando il trattamento dei dati venga valutato a rilevante impatto privacy; a consultazione sono tenuti gli Stati membri “durante l'elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento”, ai sensi del comma 4 dello stesso art. 36.

Non sempre però i detti principi e procedure trovano compiuto rispetto.

L’attenzione è, in questa disamina, rivolta al nuovo decreto legge introduttivo del tanto atteso, quanto criticato, Reddito di cittadinanza (RdC), da poco convertito in legge (D.L. n. 4/2019, convertito in legge n. 26/2019). La disciplina coinvolge il singolo in quanto “cittadino” ma ha importanti implicazioni sulla possibile posizione lavorativa del percettore del RDC, sia sul piano della ricerca di occupazione, sia sul piano della compatibilità con alcune misure di sostegno del reddito previste dal nostro ordinamento giuridico.

Al di là degli effetti sociali che la “nuova” misura di sostegno al reddito potrebbe produrre, il complesso meccanismo che la caratterizza pare accorpare una serie di dati senza un preventivo compiuto e necessario raffronto con una normativa fondamentale quale è quella generale sulla protezione dei dati personali, che non può non essere chiamata significativamente in causa, tenuto conto

(i) della peculiarità e rilevanza dei dati oggetto di trattamento;

(ii) delle diverse attività di trattamento che riguardano i dati utili per il riconoscimento, l’erogazione e la gestione del RdC e delle misure di protezione necessarie

(iii) della pluralità dei soggetti (pubblici e privati) coinvolti nel meccanismo introdotto dal Governo con il D.L. n. 4/2019.

L’impatto della nuova disciplina sulle modalità di trattamento dei dati personali coinvolti ha reso necessario un intervento autonomo dal Garante per la protezione dei dati personali, intervento ex post che è apparso indispensabile non avendo il Governo proceduto alla richiesta di parere preventivo previsto dal citato art. 36, comma 4, del GDPR oggi prevista dalla Legge di conversione per l’attuazione concreta di alcune parti del decreto.

In una memoria ad hoc, stando a quanto previsto nel decreto, marginalmente toccato dalla legge di conversione, suscettibile di integrazione da parte dei previsti decreti e regolamenti attuativi, il Garante ha rilevato come il D.L. n. 4/2019 presenti alcune “rilevanti criticità”. L’attenzione dell’Autorità di controllo si è anzitutto focalizzata sulla tipologia di trattamento e di dati trattati per effetto del meccanismo di riconoscimento, erogazione e gestione del RdC introdotto dal Governo, nonché sulle operazioni che tale meccanismo comporta. In particolare, viene evidenziato come:

- si tratti di “trattamenti su larga scala”;

- il trattamento coinvolga “dati personali, che possono riguardare non solo lo stato di salute, la condizione economica ed eventualmente di disagio, ma anche la libertà personale e sue eventuali restrizioni, e che sono “riferiti ai richiedenti e ai componenti il nucleo familiare (anche minorenni) ai quali è riconosciuta la massima tutela in ragione della loro attinenza alla sfera più intima della persona o perché suscettibili di esporre l’interessato a discriminazioni”;

- “così come delineato, presuppone un patrimonio informativo complesso e articolato, fondato sull’interconnessione di molteplici banche dati, la circolazione di delicatissime informazioni tra una pluralità di soggetti pubblici, nonché il monitoraggio e la valutazione dei consumi e dei comportamenti dei singoli familiari del beneficiario”.

L’Autorità Garante, nella detta memoria, ha inoltre rilevato come non risulti rispettato il principio del bilanciamento di interessi - stante anche l’assenza di una preventiva individuazione “dei rischi derivanti dalle diverse attività di trattamento “e delle “misure idonee a mitigarli” - quantomeno in mancanza della procedura di consultazione di cui al citato art. 36, comma 4, del GDPR - non potendo l’obiettivo di interesse pubblico che il RdC intende perseguire “eludere le garanzie dei diritti e delle libertà sancite dalla disciplina di protezione dei dati, in danno delle persone che tale beneficio intende invece tutelare”.

La disciplina del RdC non risulta quindi rispondente, in più punti, al Regolamento Europeo e quindi non sembra idonea a soddisfare tutti i requisiti richiesti dal diritto comunitario e dalla normativa interna in materia di protezione dei dati personali.

Ma non solo. Ad avviso del Garante, le previsioni contenute nel D.L. n. 4/2019 risultano anche “inidonee a definire con sufficiente chiarezza le modalità di svolgimento delle procedure di consultazione e verifica delle varie banche dati” interessate dal processo; nelle stesse, inoltre, i soggetti pubblici coinvolti “non sono individuati con sufficiente chiarezza” e non sono “fissati i criteri in base ai quali si possa ritenere di volta giustificato, rispetto agli specifici obiettivi perseguiti e in ottemperanza al principio di proporzionalità, l’utilizzo di determinate categorie di informazioni”.

Dubbi sono stati, inoltre, sollevati anche con riguardo poi all’operatività delle piattaforme digitali previste, alle attività di monitoraggio dell’utilizzo della carta e alla disciplina del rilascio delle attestazioni ISEE, implicanti l’accesso ad una serie di dati ed informazioni, anche finanziarie, con un flusso di informazioni tra enti convolti (CAF, INPS, Ministeri) con elevati rischi connessi al relativo trattamento.

Carenze sono, infine, state registrate anche in merito all’architettura del sito web dedicato al RdC, nell’informativa privacy e nelle modalità tecniche della sua implementazione.

Alla luce di quanto sopra, sarebbero auspicabili alcuni interventi correttivi, quantomeno ad opera dei decreti attuativi, dato che il D.L. n. 4/2019 è ormai legge, prevedendo un più puntuale rispetto dei principi e delle previsioni del GDPR, un’attenta opera di valutazione dei rischi e l’introduzione di idonee misure tecniche e organizzative volte a scongiurare i rischi di utilizzo fraudolento dei dati, così come l’accesso indebito alle informazioni contenute nella carta o la violazione dei sistemi informativi, nonché misure tecniche idonee ad attuare in modo efficace i principi di protezione dei dati (soprattutto quello di minimizzazione dei dati), integrando nel trattamento le necessarie garanzie per ridurne i rischi di trattamento indebito, a tutela dei diritti dei cittadini.

Fonte: http://www.ipsoa.it/documents/lavoro-e-previdenza/rapporto-di-lavoro/quotidiano/2019/04/06/reddito-cittadinanza-tutela-privacy-parola-decreti-correttivi