L’Autorità di controllo con provvedimento n. 138 del 20 giugno 2019 ha preso in esame il decreto legge 28 gennaio 2019, n. 4, recante disposizioni urgenti in materia di reddito di cittadinanza (Rdc) e di pensioni, convertito, con modificazioni, dalla legge 28 marzo 2019, n. 26, anche in esito alle osservazioni formulate dal Garante in sede di audizione presso le competenti Commissioni Parlamentari.
A seguito di una serie di interlocuzioni tra il Ministero del lavoro ed il Garante, aventi il fine di assicurare il rispetto della normativa in materia di protezione dei dati personali, si è addivenuti alla presentazione di un testo che ha recepito le indicazioni dell’Autorità fornite nel corso delle predette interlocuzioni.
Nello specifico le osservazioni del Garante avevano riguardato i seguenti aspetti:
-
la previsione di un trattamento che avvenisse in esecuzione dei principi di cui all’art. 5 del Regolamento (UE) 679/2016 (GDPR) con la introduzione nel decreto in parola di disposizioni contenenti misure atte a garantire nei confronti degli interessati la liceità, la correttezza e la trasparenza del trattamento, assicurando l’esatta individuazione delle finalità di volta in volta perseguite nell’ambito dei trattamenti effettuati nel Sistema informativo del Rdc;
-
la necessità di procedere al trattamento dei dati previo richiamo delle fonti amministrative presso cui sono raccolti i dati necessari all’individuazione delle platee di beneficiari da indirizzare alla stipula dei patti;
-
il rispetto del principio di minimizzazione dei dati personali assicurando, in relazione ad ogni flusso informativo disciplinato nello schema in esame, il rispetto del principio di proporzionalità con la puntuale individuazione delle tipologie di dati, delle operazioni eseguite, dei soggetti cui possono essere comunicati e delle categorie di soggetti autorizzati all’accesso;
-
il rispetto del principio di indispensabilità da tenere a mente soprattutto per il trattamento di dati appartenenti a particolari categorie di dati personali (in buona sostanza ci si riferisce ai dati che il previgente Codice in materia di protezione dei dati personali definiva come “sensibili”) oltre che dei dati personali relativi a condanne penali e reati;
-
la previsione del ricorso a misure di sicurezza adeguate, tenuto conto dei rischi e della natura dei dati trattati;
-
l’adozione di politiche di autenticazione degli accessi, tali da prevedere diversi profili di autorizzazione per il trattamento dei dati contenuti nel Sistema informativo del Rdc;
-
l’utilizzo di canali di trasmissione sicuri per gli scambi di dati tra le diverse amministrazioni;
-
il tracciamento delle operazioni svolte mediante le Piattaforme digitali del Rdc da ciascun soggetto autorizzato al trattamento;
-
la previsione di tempi di conservazione dei dati proporzionati rispetto alle finalità perseguite;
-
il ricorso a tecniche di anonimizzazione per i trattamenti di dati per finalità di analisi, controllo e monitoraggio.