Garante per la protezione
    dei dati personali


COMPITI DEL GARANTE - CRITERI PER LA VALUTAZIONE DELLA SITUAZIONE ECONOMICA PER BENEFICIARE DI PRESTAZIONI SOCIALI

Il Governo ha richiesto al Garante per la protezione dei dati personali, il parere prescritto in termini più specifici dall'art. 59 della legge n. 449/1997 e, su un piano più formale, dall'art. 31 della legge n. 675/1996 relativamente alle norme regolamentari e agli atti amministrativi suscettibili di incidere sulle materie disciplinate dalla legge. I pareri rilasciati dall'autorità concernono i decreti legislativi sull'individuazione di alcuni criteri per valutare la situazione economica dei soggetti interessati ad alcune prestazioni sociali agevolate (meglio noti come "riccometro" e "sanitometro" ), i quali in diversi punti determinano effetti anche in via mediata, in materia di riservatezza dei dati personali.

Roma, 26 marzo 1997

Presidenza del Consiglio dei ministri

Dipartimento per gli affari giuridici e legislativi

Roma

OGGETTO: Schema di decreto legislativo concernente la fissazione di criteri unificati di valutazione della situazione economica dei soggetti che richiedono prestazioni sociali agevolate nei confronti delle amministrazioni pubbliche

Con il decreto in oggetto, che sarà adottato in attuazione della legge 27 dicembre 1997, n. 449 di accompagnamento alla legge finanziaria, il Governo deve definire alcuni "criteri unificati" per la valutazione della situazione economica dei cittadini che intendono beneficiare di prestazioni sociali agevolate in ambito pubblico, e deve inoltre individuare le "modalità per l'acquisizione delle informazioni" e per lo svolgimento dei successivi controlli.

Lo schema che il Governo ha sottoposto al parere del Garante in applicazione dell'art. 59, comma 51, della citata legge, regola nei primi tre articoli l'ambito di applicazione della nuova normativa e le condizioni per l'accesso alle prestazioni agevolate, le quali presuppongono, essenzialmente, una valutazione delle condizioni economiche e del nucleo familiare del richiedente (art. 1).

In proposito, si prevedono alcuni criteri generali, specificati in due tabelle allegate, in base ai quali si dovrebbe determinare un indicatore della "situazione economica equivalente" del richiedente (ottenuto rapportando la situazione reddituale e patrimoniale alla composizione del nucleo familiare), che rileverebbe quale parametro per l'ammissione alle prestazioni sociali agevolate (art. 2).

Le amministrazioni pubbliche erogatrici dovrebbero fissare, poi, i requisiti per usufruire di ciascuna prestazione e le eventuali variazioni nei criteri di riferimento definiti in via generale dal decreto legislativo (art. 3). Nell'ultimo articolo dello schema (art. 4) sono quindi definite alcune modalità di acquisizione e di utilizzazione delle informazioni richieste agli interessati, nonché le procedure per verificare la loro veridicità.

In particolare, è previsto che il richiedente fornisca le informazioni necessarie presentando ai comuni, ai centri autorizzati di assistenza fiscale o agli enti erogatori una dichiarazione sostitutiva ai sensi della legge n. 15/1968, nella quale il richiedente stesso dichiarerebbe di essere consapevole della circostanza che potranno essere svolte indagini sulla propria situazione economica, "anche in deroga alla disciplina vigente", ed esprimerebbe il consenso scritto al trattamento di dati personali anche sensibili.

Sulla base di questa dichiarazione, i predetti soggetti pubblici rilascerebbero una certificazione attestante la situazione economica del richiedente, valida per l'ammissione alle agevolazioni sociali. Le amministrazioni erogatrici, singolarmente o mediante apposito servizio comune, potrebbero quindi effettuare opportuni controlli ed accertamenti anche attraverso un raffronto dei dati in possesso dell'Amministrazione finanziaria. 

Il Garante, nel rispetto dei propri compiti istituzionali, non intende entrare nel merito delle scelte ipotizzate dal Governo, ma ritiene che lo schema di decreto legislativo debba essere ampiamente perfezionato in modo da renderlo conforme ai princìpi sanciti dalla legge n. 675/1996 e ai criteri di delega contenuti nella legge n. 449/1997, rilevanti nella materia dei dati personali.

Senza voler interferire nelle scelte di politica economica e sociale, si osserva anzitutto che il decreto legislativo dovrebbe chiarire quali siano i tipi di prestazioni sociali agevolate oggetto della disciplina, poiché l'attuale perdurante genericità si traduce in una conseguente incertezza per quanto riguarda i soggetti interessati, le informazioni acquisibili e quanti hanno la possibilità di accedervi.

Peraltro lo schema non adempie appieno al compito di individuare le "modalità per l'acquisizione delle informazioni e l'effettuazione dei controlli" , come pure previsto dal relativo art. 1, comma 1.

Il trattamento dei dati personali di chi richiede le prestazioni, anzi, è delineato in termini generici, appare frammentato e affidato a numerosi ed imprecisati soggetti, con conseguente attribuzione di compiti importanti ad una cerchia ampia ed indefinita di enti, anche privati (è il caso dei centri autorizzati di assistenza fiscale), senza che lo schema contenga una regolamentazione comune sufficientemente dettagliata ed uniforme (come previsto dalla delega), rispetto alle informazioni utilizzabili e alle operazioni di trattamento eseguibili da ciascuna amministrazione. Né l'articolato fornisce indicazioni in ordine alla gestione delle informazioni e dei relativi flussi, nonché alla costituzione di eventuali archivi o banche dati.

Per tale regolamentazione, si prevede, in sostanza, un ampio rinvio a successive fonti "normative" (di cui non è certa neanche la natura regolamentare), che suscita qualche perplessità anche sotto il profilo di conformità alla delega, nella parte in cui questa presuppone una disciplina di rango legislativo. Infatti:

a) le modalità attuative del decreto legislativo verrebbero definite con d.P.C.M., su proposta del Ministero delle finanze, di concerto con i Ministeri della solidarietà sociale e del lavoro. Inoltre, non è chiaro in quale misura il d.C.P.M. dovrebbe prendere in considerazione la tematica degli "ambiti di applicazione della normativa";

b) le norme sul rilascio della certificazione per l'ammissione alle agevolazioni sociali verrebbero determinate con ulteriore d.P.C.M., su proposta del Ministro per la solidarietà sociale di concerto con il Ministero delle finanze e sentita l'AIPA;

c) il Ministro della solidarietà sociale dovrebbe inoltre stabilire, di concerto con il Ministro delle Finanze e sentita l'AIPA, i modelli-tipo e le caratteristiche informatiche della dichiarazione sostitutiva e dell'attestazione provvisoria;

d) i requisiti per l'accesso alle prestazioni agevolate verrebbero invece individuati dalle amministrazioni erogatrici secondo i rispettivi ordinamenti, con possibilità di fissare criteri differenziati, ferme restando le disposizioni che per gli enti vigilati o finanziati da amministrazioni dello Stato e da regioni consentono a queste ultime di uniformare i requisiti adottati.

Questa frammentazione dovrebbe essere quantomeno bilanciata da una incisiva attività di coordinamento - anche preventivo - dell'operato delle diverse amministrazioni e degli enti erogatori, che permetta al Garante di poter adempiere con efficacia al compito previsto dall'art. 31, comma 2, della legge n. 675/1996 anche per gli atti amministrativi, e che andrebbe richiamato nel decreto.

Va inoltre osservato che la mancanza di un quadro omogeneo può rendere impossibile al Garante l'espressione del proprio avviso rispetto a tutti i provvedimenti attuativi che saranno adottati dagli enti erogatori di natura diversa dalle amministrazioni dello Stato e degli enti pubblici previdenziali.

Appare senz'altro opportuno che il decreto legislativo bilanci direttamente attraverso norme primarie le pur rilevanti finalità di interesse pubblico, connesse all'istituzione del c.d. "riccometro" , con i diritti fondamentali degli interessati. In ogni caso, tale bilanciamento non può giustificare l'utilizzazione senza limiti di informazioni relative alla vita privata, né un'indiscriminata -e non sufficientemente regolata- serie di flussi di dati tra amministrazioni ed altri enti pubblici, con la possibilità di accedere e di interconnettere informazioni contenute in altri archivi pubblici (sistema informativo Finanze) e privati (istituti di credito ed intermediari finanziari).

Occorre, piuttosto, individuare alcune precise regole e l'ambito di competenza di ciascun ente, in relazione ai rispettivi compiti istituzionali, definire un nucleo essenziale di misure e di garanzie che tutti i soggetti pubblici devono osservare al fine della garanzia della sicurezza dei dati, e stabilire puntuali vincoli in ordine alla correttezza e alla pertinenza delle finalità perseguite, delle attività svolte e dei dati trattati.

E' necessario, altresì, individuare in maniera più precisa i dati che possono essere raccolti dai richiedenti o presso terzi nella fase di ammissione alle prestazioni o all'atto degli eventuali controlli, nonché le forme di utilizzazione consentite ai soggetti indicati nell'articolato (in particolare, dagli enti erogatori, dai comuni e dai centri di assistenza fiscale).

Va inoltre osservato che lo schema presuppone anche la raccolta e il trattamento di dati sensibili (es., dati relativi ad handicap psico-fisici permanenti e ad invalidità) o comunque "delicati" in quanto riguardanti, ad esempio, a situazioni di convivenza. Questa circostanza rende necessario inserire direttamente nel testo del decreto legislativo una disposizione rispondente al criterio generale previsto dall'art. 22, comma 3, della legge n. 675/1996, il quale, in riferimento al trattamento di dati sensibili da parte di soggetti pubblici, prescrive che le garanzie debbano essere individuate non nel consenso degli interessati ma in una norma di rango primario indicativa delle finalità perseguite dei dati trattati e delle operazioni eseguibili.

Andrebbe quindi modificata la previsione (art. 4, comma 2) che prefigura un consenso scritto del richiedente per il trattamento dei dati personali anche sensibili.

Occorre in conclusione chiarire le modalità dei trattamenti effettuati da ciascuna amministrazione e dai centri di assistenza fiscale (che necessitano di regole separate e specifiche, non rivestendo gli stessi la qualifica di soggetti pubblici).

È necessario chiarire alcuni passaggi chiave e in particolare:

a) se le dichiarazioni sostitutive e le informazioni in esse contenute sono acquisite soltanto allo scopo del rilascio dell'attestazione provvisoria valevole per l'ammissione alle agevolazioni;

b) se i comuni e i centri di assistenza fiscale possono registrare i dati in appositi archivi elettronici e se sono comunque tenuti a darne comunicazione agli enti erogatori;

c) se ed in quale maniera tutti questi soggetti sono abilitati a gestire le informazioni rilevate (con riferimento alle misure organizzative e tecniche per la protezione e la sicurezza dei dati).

Con specifico riguardo alla certificazione rilasciata al richiedente, nella quale sembrerebbe riportato l'intero contenuto della dichiarazione, è opportuno che vengano adottati specifici accorgimenti per mascherare o rendere anonime alcune informazioni personali dell'interessato, mediante l'utilizzo dei soli indicatori della situazione economica o di appositi codici, e per evitare che i dati siano automaticamente resi pubblici o conoscibili da terzi estranei, anziché dai soli incaricati in servizio presso le competenti strutture individuate dal legislatore.

Destano infine dubbi le disposizioni sui controlli diretti ad accertare la veridicità delle informazioni fornite da coloro che richiedono le prestazioni sociali agevolate.

L'art. 4, comma 2, prevede infatti che il soggetto interessato dichiari di essere a conoscenza che possono essere effettuati tali controlli, anche presso gli istituti di credito o altri intermediari finanziari e in deroga alla disciplina vigente. Non è conforme alla delega il potere di svolgere accertamenti in deroga alle leggi vigenti. È evidente inoltre che una siffatta soluzione porrebbe implicazioni assai delicate in tema di tutela della riservatezza.

La possibilità di svolgimento dei controlli risulta già chiaramente dalla legge-delega e dal decreto legislativo. È quindi superflua la dichiarazione dell'interessato (art. 4, comma 2), né la stessa può far nascere a carico delle imprese bancarie o finanziarie l'obbligo di fornire informazioni in deroga alle norme vigenti.

Secondo lo schema gli enti erogatori dovrebbero effettuare verifiche confrontando le informazioni acquisite con i dati in possesso del sistema informativo dell'Amministrazione finanziaria (art. 4, comma 7). Anche in questo caso, appare necessario, per la natura dei diritti coinvolti, definire nel decreto legislativo almeno l'ambito e le modalità dei trattamenti correlati a queste procedure di controllo, nonché l'eventuale istituzione del servizio comune, e individuare i requisiti minimi, in tema di informazioni personali, per le convenzioni da stipulare con il Ministero delle finanze.

In conclusione, questa Autorità segnala al Governo la necessità di modificare lo schema e resta disponibile per ogni ulteriore indicazione al riguardo.

IL PRESIDENTE