Tom's Hardware Italia
e-Gov

Garante: il Reddito di Cittadinanza così com’è formulato non garantisce la privacy

La memoria del presidente del Garante per la protezione dei dati personali rileva diverse criticità nella disciplina del Reddito di Cittadinanza.

Il decreto-legge che regola l’introduzione del reddito di cittadinanza (RdC), secondo il Garante della Privacy, mostra diversi elementi di criticità che sarebbero dovuti essere affrontati preliminarmente come prevede il Regolamento generale sulla protezione dei dati. Uno dei nodi principali – affrontati dal presidente Antonello Soro in una dettagliata memoria – è che la gestione del meccanismo di riconoscimento, erogazione e gestione del reddito di cittadinanza “comporta trattamenti su larga scala di dati personali, riferiti ai richiedenti e ai componenti il suo nucleo familiare (anche minorenni) ai quali è riconosciuta la massima tutela”.

Si parla soprattutto dei dati relativi allo stato di salute, eventuali misure restrittive della libertà personale, nonché alle condizioni di disagio, in particolare sotto il profilo economico, familiare o sociale. L’interconnessione di molteplici banche dati, la circolazione delle informazioni, il monitoraggio e la valutazione dei consumi e dei comportamenti dei singoli familiari del beneficiario insomma potrebbe esporre a rischi la privacy dei cittadini.

L’attuazione del RdC non può, infatti, eludere le garanzie dei diritti e delle libertà sancite dalla disciplina di protezione dati, in danno proprio delle persone che tale beneficio intende invece tutelare”, ricorda il Garante. Insomma, vi è bisogno di proporzionalità tra il rispetto dei diritti fondamentali e il contrasto di frodi e abusi.

Photo credit - depositphotos.com

Ad oggi la disciplina dell’RdC “così come formulata, non appare, in più punti, idonea a soddisfare i requisiti richiesti dal diritto europeo”.

Inoltre, sempre il decreto-legge, “son sono individuati con sufficiente chiarezza i soggetti pubblici coinvolti, né fissati i criteri in base ai quali si possa ritenere di volta in volta giustificato”. Si parla della creazione di “due piattaforme digitali”, rispettivamente presso l’ANPAL e presso il Ministero del lavoro, dialoganti con i centri per l’impiego, con i comuni e l’INPS ma manca “un’adeguata cornice di riferimento che individui pertinenti regole di accesso selettivo alle banche dati, introduca accorgimenti idonei a garantire la qualità e l’esattezza dei dati, nonché misure tecniche e organizzative volte a scongiurare i rischi di accessi indebiti, utilizzi fraudolenti dei dati o di violazione dei sistemi informativi, oltre a procedure idonee a  garantire agli interessati l’agevole esercizio  dei loro diritti”.

Sul monitoraggio poi dell’uso della carta RdC – che non può essere usata per partecipare a giochi che prevedano vincite in denaro o altre utilità – si rischia una sorveglianza su larga scala, continua e capillare sugli utilizzatori della carta, “determinando così un’intrusione sproporzionata e ingiustificata su ogni aspetto della vita privata degli interessati”.

Altro fronte caldo è quello del rilascio delle attestazioni ISEE “suscettibili di pregiudicare la sicurezza dei dati contenuti nell’Anagrafe tributaria e, soprattutto, nell’archivio dei rapporti finanziari dell’Agenzia delle entrate, finora inaccessibili persino nell’ambito delle ordinarie attività di controllo tributario, in ragione degli elevati rischi connessi al relativo trattamento di tali informazioni”.

“Occorre, infatti, tutelare tali dati in modo adeguato, evitando anche soltanto il rischio di fraudolente sostituzioni di identità presso i Caf, ovvero di attacchi informatici, facilitati anche dal coinvolgimento degli stessi Caf e dei relativi sistemi informativi (non sempre adeguatamente protetti), nella filiera del trattamento”, sottolinea il Garante.

Infine sono state rilevate carenze sul sito Web del Governo dedicato all’RdC. In particolare, nell’informativa sul trattamento dei dati e nelle modalità tecniche della sua implementazione (che, ad oggi, comportano un’indebita e non trasparente trasmissione a terzi dei dati di navigazione, quali indirizzi IP e orario di connessione, da parte dei visitatori del medesimo sito).

Vi sarà bisogno di adottare misure tecniche idonee ad attuare in modo efficace i principi di protezione dei dati (quello di minimizzazione dei dati in particolare), integrando nel trattamento le necessarie garanzie per ridurne i rischi a tutela dei diritti dei cittadini.