Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LO SCENARIO

Provvedimenti legislativi e privacy dei cittadini, post GDPR: criticità e soluzioni

Fatturazione elettronica, reddito di cittadinanza e controllo dell’assenteismo nella PA sono provvedimenti legislativi potenzialmente ad alto rischio di impatto sui dati personali dei cittadini che avrebbero richiesto un coinvolgimento preventivo dell’Autorità Garante. Ecco le criticità emerse e alcuni commenti in merito alla compliance al GDPR

26 Feb 2019
I
Giovanna Ianni

Avvocato, Partner Lexalia - Studio Legale e Tributario

V
Giulia Vacchi

Praticante Avvocato, Lexalia - Studio Legale e Tributario


A seguito dei più recenti pareri emessi dal Presidente dell’Autorità Garante Italiana, in molti si sono chiesti se il legislatore sia informato dell’esistenza del Regolamento UE n. 2016/679 (“GDPR”) e del relativo contenuto. L’ironia, purtroppo, non aiuta a superare le forti perplessità che circolano tra “gli addetti ai lavori” in merito all’effettiva difficoltà che gli stessi organi legislativi incontrano nel comprendere la portata e gli obblighi derivanti dalle nuove disposizioni in tema privacy contenute nel GDPR.

I dubbi sono sorti con riferimento ai provvedimenti del Garante in merito all’introduzione del sistema di fatturazione elettronica, all’istituzione del reddito di cittadinanza e, da ultimo, ai sistemi di controllo dell’assenteismo nella pubblica amministrazione (Dl Concretezza).

GDPR e fatturazione elettronica

Con provvedimento del 15 novembre 2018, il Garante ha segnalato innumerevoli violazioni alle disposizioni del GDPR contenute nella Legge di Bilancio 2018 (Legge n. 205/2017) e nei provvedimenti attuativi adottati dal Direttore dell’Agenzia delle Entrate, circa l’obbligo della fatturazione elettronica a partire dal 1° gennaio 2019.

Due le principali problematiche segnalate nella nuova normativa: la sproporzione fra la quantità e la tipologia di dati raccolti rispetto alle finalità del trattamento e l’assenza di misure di sicurezza adeguate alla gestione dei rischi che ne potrebbero derivare.

Il risultato avrebbe potuto essere un alto rischio per i diritti e le libertà degli interessati, in quanto il trattamento previsto dall’Agenzia delle Entrate avrebbe potuto comportare un utilizzo obbligatorio, sistematico, generalizzato e di dettaglio di dati personali su larga scala, coinvolgendo anche dati ulteriori rispetto a quelli strettamente necessari ai soli fini fiscali, potenzialmente relativi ad ogni aspetto della vita quotidiana dell’intera popolazione. I dati raccolti e trattati sarebbero stati, infatti, anche quelli annoverati agli articoli 9 e 10, GDPR, richiedenti una tutela maggiore, riguardando categorie particolari di informazioni sanitarie e relative a condanne penali e reati.

Proprio in virtù della natura dei dati trattati e dell’estensione del trattamento effettuato, uno dei primi rimproveri mossi dal Garante all’Agenzia delle Entrate ha riguardato la mancata esecuzione di una valutazione d’impatto, ovvero di una consultazione preventiva, secondo le previsioni contenute agli articoli 35 e 36, GDPR; di fatto, un preventivo intervento del Garante avrebbe certamente contribuito alla definizione di un trattamento maggiormente conforme alle previsioni europee in materia di privacy.

Nello specifico, l’Agenzia delle Entrate è stata invitata a rettificare il provvedimento sui seguenti punti:

  • ricezione ed archiviazione generalizzata di tutte le fatture ricevute dall’Agenzia delle entrate (anche a fini di controllo): in questo modo, l’archiviazione non avrebbe riguardato soltanto i dati personali rilevanti ai fini dell’assolvimento degli obblighi fiscali, ma l’intera fattura, contenente anche informazioni relative a beni e servizi ceduti, descrizioni delle prestazioni effettuate, abitudini di consumo, unitamente a descrizioni di eventuali prestazioni sanitarie o legali. Ciò in contrasto con i principi di proporzionalità, minimizzazione dei dati raccolti e trattati (articolo 5, comma 1, lett. C, GDPR), nonché di privacy by design e by default (articolo 25, GDPR);
  • disponibilità sul portale dell’Agenzia di tutte le fatture elettroniche, anche in mancanza di una espressa richiesta in tal senso da parte del consumatore: tale sistema avrebbe potuto comportare “un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini”;
  • accesso incondizionato degli intermediari ad un’importante mole di dati, molti dei quali non necessari per la normale gestione di attività economiche: ne sarebbe potuto derivare un aumento del rischio di diffusione, utilizzo improprio, trattamento illecito, ma anche di possibili collegamenti e confronti fra fatture elettroniche in mano a diversi intermediari;
  • mancata previsione di misure di sicurezza adeguate per quel che concerne le modalità di trasmissione delle fatture elettroniche, quali, ad esempio, la cifratura.

Di conseguenza, l’Agenzia delle Entrate è intervenuta con i seguenti correttivi:

  • esclusione dall’obbligo di fatturazione elettronica per prestazioni sanitarie eseguite da medici e farmacie;
  • memorizzazione dei soli dati necessari ai fini fiscali, con l’esclusione di quelli contenenti informazioni su beni o servizi;
  • archiviazione delle fatture consentita solo in caso di richiesta del contribuente, ai fini della consultazione;
  • esecuzione di una procedura di impatto sul provvedimento: peraltro, il Garante non ha ritenuto sufficiente tale procedura, in quanto i parametri esaminati hanno riguardato solamente gli aspetti tecnici del trattamento e non i potenziali rischi per i diritti e le libertà degli interessati, gli impatti che ne sarebbero potuti derivare sulla vita privata dei cittadini e neppure le conseguenti misure di sicurezza. Il Garante ha comunque concesso un termine fino al 15 luglio 2019 per procedere alla correzione ed all’integrazione della valutazione dei rischi, richiedendo inoltre all’Agenzia delle Entrate di riesaminare “gli elevati rischi connessi al processo di fatturazione elettronica, anche alla luce di quanto emergerà nei primi mesi di operatività del nuovo obbligo”.

GDPR e prevenzione dell’assenteismo nella PA

Ad inizio 2019, si è manifestato un altro caso di mancato coinvolgimento del Garante da parte del legislatore: il presidente dell’Autorità Garante, Dr. Antonello Soro, durante l’audizione parlamentare tenutasi il 6 febbraio nell’ambito dell’esame del disegno di legge C. 1433, recante interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo (il cosiddetto “Decreto Concretezza”), ha espresso più d’un appunto in merito alle misure in via di approvazione volte a prevenire l’assenteismo sui luoghi di lavoro.

Come per il provvedimento sulla fatturazione elettronica, il punto critico è stato evidenziato nella violazione del principio di proporzionalità e non eccedenza fra le misure adottate ed i fini perseguiti. Principio che, come noto, richiede sia di limitare quanto più possibile l’uso di misure invasive e restrittive del diritto alla protezione dei dati personali degli interessati, sia la scelta, fra misure egualmente efficaci, di quelle che risultino meno invasive.

A questo proposito, va evidenziato che l’interesse della Pubblica Amministrazione risiede nella verifica del corretto ed effettivo svolgimento dei compiti da parte dei dipendenti, grazie all’utilizzo di sistemi di rilevazione biometrica e videosorveglianza; interesse del tutto legittimo, ma da bilanciarsi con l’esigenza di tutela e protezione dei diritti e delle libertà dei dipendenti stessi, nel rispetto dei principi di proporzionalità, privacy by design e by default, nonché dei presupposti di legittimità contenuti nel GDPR.

Come emerso durante l’audizione parlamentare, il Decreto Concretezza ha previsto l’introduzione cumulativa di controlli biometrici e di videosorveglianza, da effettuarsi obbligatoriamente in ogni pubblica amministrazione, in modo sistematico, generalizzato e indifferenziato, allo scopo di consentire lo svolgimento di accertamenti del rispetto delle presenze e degli orari lavorativi.

Naturalmente, ciò non risulta legittimo ai sensi dell’articolo 9, GDPR: rientrando i dati biometrici nella categoria di particolari dati personali, mancherebbero le “garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (articolo 9, comma 2 lett. b, GDPR). Risulta necessario, dunque, riformulare la norma, in modo da renderla rispettosa dei principi previsti dal GDPR.

Le soluzioni suggerite dal Dr. Soro prevedono l’alternatività fra gli strumenti di verifica (uso dei sistemi di identificazione biometrica, ovvero di quelli di videosorveglianza) ed una limitazione del loro utilizzo ai soli casi in cui ciò risulta idoneo rispetto alle finalità perseguite, a specifici presupposti e fattori di rischio, evitandone così un impiego obbligatorio e indifferenziato che potrebbe aumentare l’invasività del trattamento in modo sproporzionato rispetto alle reali necessità.

È cronaca di questi giorni la risposta del ministro della Pubblica Amministrazione, Avv. Giulia Bongiorno: accogliendo le indicazioni del Garante, il Ministro ha sottolineato l’importanza e l’urgenza di combattere il fenomeno dell’assenteismo, adottando un sistema che permetterà di trasformare l’impronta digitale in caratteri alfanumerici, facendo in modo che la Pubblica Amministrazione non conservi il dato biometrico del dipendente, ma solo le informazioni riguardanti la sua presenza e gli orari di entrata ed uscita.

Questa modifica potrà avvicinare la normativa ai principi di minimizzazione dell’uso dei dati personali e di proporzionalità fra i dati trattati e le finalità del trattamento medesimo.

GDPR e reddito di cittadinanza

Ancor più recente è la memoria del Presidente dell’Autorità Garante, depositata in data 8 febbraio 2019 alla Commissione Lavoro del Senato, nella quale il Dr. Soro ha espresso diverse perplessità riguardanti la disciplina prevista in merito all’attuazione del reddito di cittadinanza, contenuta nel Decreto Legge n. 4/2019.

Ancora una volta, si rimprovera al legislatore il mancato preventivo coinvolgimento del Garante. Coinvolgimento che, data la natura del trattamento “su larga scala di dati personali, riferiti ai richiedenti e ai componenti il suo nucleo familiare (anche minorenni)” – fra i quali, dati relativi alle condizioni economiche, di salute e ad eventuali misure restrittive della libertà personale – richiederebbe lo svolgimento di una valutazione di impatto ex articolo 35, GDPR ed eventualmente un coinvolgimento preventivo dell’Autorità Garante (ex art. 36, GDPR), in modo da implementare un trattamento e misure di sicurezza rispettose della normativa europea.

Ad oggi, la procedura in via di approvazione per la richiesta del reddito di cittadinanza prevede la raccolta ed il trattamento di dati personali riguardanti molteplici aspetti della vita dell’interessato, fra i quali quelli di cui all’articolo 9, GDPR e quelli relativi a condanne penali e reati di cui al successivo articolo 10.

Le norme del decreto contrastano con il GDPR sotto diversi aspetti:

  • per consentire la verifica dei requisiti necessari, il monitoraggio ed il controllo del beneficio erogato sono state predisposte due piattaforme digitali, sulle quali effettuare la condivisione delle informazioni relative ai beneficiari. Su queste piattaforme transitano dati provenienti dagli archivi INPS e dalle amministrazioni collegate (inclusa l’Anagrafe tributaria), dai centri per l’impiego e dai comuni. Ne deriva un massiccio flusso di informazioni tra diversi soggetti, senza che siano stati individuati con chiarezza i soggetti coinvolti nel trattamento, i criteri e le finalità per le quali vengono di volta in volta richiesti e utilizzati alcuni dati, “accorgimenti idonei a garantire la qualità e l’esattezza dei dati nonché misure tecniche e organizzative volte a scongiurare i rischi di accessi indebiti, utilizzi fraudolenti dei dati o di violazione dei sistemi informativi, oltre a procedure idonee a garantire agli interessati l’agevole esercizio dei loro diritti”;
  • il monitoraggio sistematico sull’uso della “carta Rdc” da parte del beneficiario (al fine di controllare le spese ed i consumi effettuati ed individuare eventuali abusi), consente l’acquisizione anche di dati sensibili, potendo sfociare in una continua sorveglianza su larga scala, “determinando così un’intrusione sproporzionata e ingiustificata su ogni aspetto della vita privata degli interessati”. Sarebbe, al contrario, opportuno definire i soggetti autorizzati ad effettuare questo controllo, modalità, parametri e criteri di esecuzione;
  • la precompilazione della Dichiarazione Unica Sostitutiva, necessaria al rilascio dell’attestazione ISEE (“Indicatore Situazione Economica Equivalente”) da parte dell’INPS con informazioni tratte dai registri del Catasto e dell’Anagrafe Tributaria, mette a disposizione del dichiarante informazioni ottenute da terzi (e non possedute direttamente), presenti nelle banche dati dell’INPS e dell’Agenzia delle Entrate.

Lo stesso sito informativo sul reddito di cittadinanza presenta inoltre carenze nel testo dell’informativa sul trattamento dei dati, che, se non modificate, potrebbero portare ad un’indebita trasmissione di dati di navigazione a soggetti terzi (a titolo esemplificativo, la natura dei dati forniti a soggetti terzi, la tipologia di cookies utilizzati ecc.).

DPIA e consultazione preventiva del Garante da parte degli enti pubblici

Nel definire il titolare del trattamento, l’articolo 7 GDPR non fa differenze fra soggetti privati e soggetti pubblici: anche gli organi legislativi sono quindi ugualmente sottoposti agli obblighi contenuti nel Regolamento Europeo, compreso quello di effettuare una valutazione d’impatto nel caso in cui il trattamento possa comportare un rischio elevato per i diritti e le libertà degli interessati.

Valutazione d’impatto da effettuarsi prima dell’inizio del trattamento, necessariamente nei casi elencati all’articolo 35, comma 3, fra i quali compare “il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10”.

Come visto, le misure in tema di fatturazione elettronica, di sistemi di controllo contro l’assenteismo nella PA e di reddito di cittadinanza, prevedono la raccolta e il trattamento “su larga scala” delle categorie di dati di cui agli articoli 9 e 10 GDPR. Vale la pena di ricordare che, allo scopo di definire con maggior chiarezza quali attività richiedano al titolare una valutazione d’impatto, il Garante ha pubblicato in data 11 ottobre 2018 un “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679”.

Nel caso in cui il titolare non sia in grado di prevedere ed attuare misure di sicurezza sufficienti per ridurre i rischi derivanti dal trattamento, o nel caso in cui questi rimangano comunque elevati, permane l’obbligo di consultazione preventiva dell’Autorità Garante (in conformità all’articolo 36, GDPR ed alle linee guida emesse in tema dal Gruppo di Lavoro Articolo 29 (“WP 248 rev.01”).

La consultazione preventiva in tutti i casi in cui il trattamento richieda un flusso di dati su larga scala non è quindi meramente una buona prassi, ma un vero e proprio obbligo che il GDPR pone in capo ai titolari del trattamento, siano questi soggetti privati o enti pubblici.

È necessario che il Garante continui a sottolineare l’importanza di questo dialogo preliminare e costruttivo, in modo che il principio di privacy by design venga rispettato anche dai provvedimenti emessi dagli organi legislativi.

Ciò è ancor più vero se si pensa che proprio il legislatore e la PA dovrebbero “dare il buon esempio”, promuovendo il rispetto dei diritti e delle libertà degli interessati e dei principi contenuti nel GDPR.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5