Il decreto che, tra le altre materia, disciplina il Reddito di Cittadinanza, pone rilevanti dubbi in materia di trattamento e protezione dati personali, al punto che è intervenuto il Garante che, ha redatto una memoria sul delicato argomento, formulando alcune osservazioni. L’intervento deriva anche, se non principalmente, dalla circostanza che il Governo ha omesso di richiedere preventivamente il parere da parte del Garante.
Il documento del Garante è in alcuni punti quasi allarmante, giungendo quasi a descrivere un quadro Orwelliano da Grande Fratello in cui il Governo ha un controllo totale sulle persone non solo mediante il possesso dei dati, ma anche potendo leggerli in concatenazione tra loro e, non ultimo rilievo, mettendoli in mano a soggetti non proprio ideali per la loro gestione, conservazione, trattamento.
La materia, infatti, presuppone da parte di più soggetti l’esecuzione di trattamenti su larga scala dei dati personali non solo dei richiedenti, ma anche dei componenti il suo nucleo familiare, compresi minori che dovrebbero essere maggiormente tutelati nella loro sfera anche per evitare discriminazioni. Il Garante ha rilevato come verrebbero esposti dati relativi allo stato di salute ad una eventuale sottoposizione a misure restrittive, ma anche alle condizioni di disagio economico, familiare o sociale.
Da ciò deriva che si corre il rischio venga esposta, con i conseguenti rischi, una massa di interconnessi tra loro che portano ad una valutazione non solo degli stessi, ma anche di comportamenti di singoli e dell’intero nucleo familiare degli interessati.
Ciò porterebbe ad un trattamento dati, pur nel perseguire interessi rilevanti, contrario al Regolamento europeo sulla protezione dei dati, addirittura “in danno proprio delle persone che tale beneficio intende invece tutelare” iniziando dal fatto che non emergono quei criteri di minimizzazione previsti dal GDPR e non vi è alcuna chiarezza sulle modalità di svolgimento delle procedure di consultazione e verifica delle banche dati.
Il garante lamenta inoltre come non vengano individuati con chiarezza non solo i soggetti pubblici deputati a queste attività, ma anche come non siano fissati i criteri per valutare la proporzionalità e l’utilizzo di determinate categorie di dati.
IN particolare le due piattaforme digitali che dovrebbero essere istituite rispettivamente presso l’ANPAL e il Ministero del lavoro, definite strumenti di condivisione con i centri per l’impiego e con i comuni, dove sarebbero registrate tutte le informazioni presenti non solo negli archivi INPS, ma anche eventuali anomalie nei consumi e nei comportamenti dei beneficiari, segnalate dai centri per l’impiego e dai comuni.
In sintesi verrebbe a verificarsi una situazione in cui più soggetti, deputati istituzionalmente ad altre attività, verrebbero in contatto con una massa enorme di dati, talvolta apparentemente scollegati tra loro, senza che vengano indicati i criteri per le regole di accesso alle banche dati. INPS, CAF, comuni, PRA, Anagrafe Tributaria e altre amministrazioni o enti, potranno venire così in contatto con i dati dei richiedenti e dei loro familiari.
Nonostante si parli di decreti attuativi, non siamo in presenza di un quadro dove vengano individuate corrette linee guida per le regole di accesso alle banche dati né misure tecniche e organizzative volte a scongiurare i rischi di accessi indebiti, utilizzi fraudolenti o violazioni dei sistemi informativi; sempre secondo il Garante manca anche l’indicazione di procedure idonee a garantire agli interessati l’agevole esercizio dei loro diritti.
Anche alcune previsioni decisamente opportune quali il controllo per impedire l’uso delle carte per giochi e lotterie, nonché l’attribuzione agli operatori dei centri dell’impiego del monitoraggio dei consumi e dei comportamenti dei beneficiari e di valutazione di eventuali anomalie dalle quali si possa dedurre l’insussistenza dei requisiti precedentemente dichiarati per accedere alla misura.
Emerge un quadro volto a monitorare scelte di consumo individuali, da parte di operatori dei centri per l’impiego e dei servizi comunali, “in assenza di procedure ben definite e di criteri normativamente individuati”.
Ergo, conclude sul punto il garante, normali esigenze di verifica abusi e comportamenti fraudolenti, si traducono in una sorveglianza su larga scala, continua e capillare sugli utilizzatori della carta, determinando un’intrusione sproporzionata e ingiustificata su ogni aspetto della vita privata degli interessati. Tutto ciò non solo in violazione delle più normali regole in materia di protezione dati personali e in violazione di diritti e libertà fondamentali, ma anche con il concreto rischio di mettere a disposizione di troppi soggetti una massa di dati sensibili che, in caso di smarrimento, furto, databreach, metterebbero in mano a molti, troppi, e non qualificati soggetti o enti, tutti gli elementi per determinare una profilazione di massa e innumerevoli possibilità di uso illecito di questi profili per i più svariati e illeciti scopi.
Il Garante consiglia cautela nella fase attuativa, ma i rischi sono evidenti e gli strumenti ad oggi utilizzati decisamente inadeguati.
Ulteriore critiche vengono mosse sul rilascio delle attestazioni ISEE, finora inaccessibili persino nell’ambito delle attività di controllo tributario, in ragione degli elevati rischi connessi al relativo trattamento di tali informazioni.
Ed invero, per l’accesso al reddito di cittadinanza è la Dichiarazione sostituiva, necessaria al rilascio dell’attestazione Isee, nella quale occorre dichiarare all’Inps, sul sito istituzionale o attraverso i CAF, tutte le informazioni anagrafiche, reddituali, finanziarie e patrimoniali relative a tutti i componenti il nucleo familiare che avranno così tutte le informazioni anche sui componenti del proprio nucleo familiare. Può sembrare assurdo una simile preoccupazione, ma non dimentichiamo che per presentare una richiesta per il reddito di cittadinanza ogni componente il nucleo familiare, se maggiorenne, dovrà manifestare il proprio consenso.
Tuttavia, l’introduzione di questo complesso accorgimento del consenso/inibizione al trattamento da parte degli interessati – peraltro non conforme ai requisiti del diritto europeo, non potendo in questo caso il consenso costituire un valido presupposto di liceità del trattamento stesso – non rappresenta un presidio adeguato rispetto alla sicurezza di tali informazioni.
Infine ulteriori e non meno gravi censure, vengono mosse non solo al ruolo dei CAF come centri di raccolta dati, sia ponendo in evidenza come i loro sistemi non siano certo ottimali per la protezione dati ma anche, aggiungiamo, che il personale non è in possesso spesso di una adeguata preparazione in materia. Infine non sono mancati appunti sul sito dedicato al reddito di cittadinanza, oggetto di pesanti critiche.
