Il Garante privacy ha espresso parere favorevole all’utilizzo del modello ISEE pre-compilato

Il Garante privacy ha espresso parere favorevole all’utilizzo del modello ISEE pre-compilato

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Avv. Pier Paolo Muià – Dott.ssa Maria Muià

Garante per la protezione dei dati personali: provvedimento n. 136 del 20 giugno 2019

Fatto

Il ministero del lavoro e delle politiche sociali ha richiesto al garante per la protezione dei dati personali, in data 13 giugno 2019, un parere relativamente ad uno schema di decreto destinato a individuare la disciplina per l’utilizzo della dichiarazione sostitutiva unica ai fini ISEE (cioè la cosiddetta DSU) pre-compilata.

In particolare, il decreto legislativo che ha introdotto la misura unica nazionale di contrasto alla povertà, modificato nel gennaio di quest’anno dalla legge sul reddito di cittadinanza, ha previsto la possibilità che la suddetta dichiarazione sostitutiva unica possa essere precompilato a da parte dell’Inps attraverso l’inserimento di informazioni che sono contenute all’interno dell’anagrafe tributaria, del catasto e della stessa Inps nonché attraverso le informazioni relative ai saldi e alle giacenze medie del patrimonio mobiliare l’interessato e del suo nucleo familiare. Il citato decreto legislativo ha altresì previsto che le modalità tecniche per l’utilizzo da parte dei cittadini della suddetta dichiarazione pre-compilata dall’Inps debbano essere individuate da un decreto del ministro del lavoro e delle politiche sociali, il quale dovrà definire anche le modalità attraverso le quali verranno riportate le eventuali omissioni o difformità che saranno riscontrate nei dati dichiarati dal cittadino qualora egli decida di non utilizzare la dichiarazione pre-compilata nonché individuare il momento dal quale sarà possibile utilizzare la modalità pre-compilata di presentazione della dichiarazione.

Il parere del Garante  

Il garante per la protezione degli dati personali ha espresso parere favorevole rispetto allo schema di decreto che è stato sottoposto alla sua valutazione ai sensi dell’art. 36 del regolamento europeo, non avendo alcun rilievo da formulare.

In primo luogo, la autorità di controllo ha analizzato l’art. 2 del predetto schema di decreto, il quale si occupa di stabilire, al comma 2, le modalità con le quali il soggetto che effettua la dichiarazione può accedere direttamente alla DSU precompilata (non solo per sé stesso, ma anche per tutti gli altri soggetti maggiorenni che fanno parte del suo nucleo familiare e che lo hanno appositamente delegato in tal senso), stabilendo che lo stesso possa accedervi solo dopo aver fornito gli opportuni elementi di riscontro. Ebbene, secondo quando ritenuto dal garante privacy, detto articolo tiene conto dei rischi presentati dal trattamento dati effettuato attraverso detto accesso (rischi che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati) e – con la previsione di fornire i necessari elementi di riscontro –, stabilisce un adeguato livello di sicurezza ai sensi dell’art. 32, §2, del Regolamento europeo.

Per quanto riguarda l’art. 2, comma 3, il quale prevede che il soggetto che vuole utilizzare la DSU precompilata debba fornire gli stessi elementi di riscontro anche nel caso in cui egli intenda presentare la DSU tramite un CAF delegato, il Garante ha ritenuto che detto accorgimento appare rispettoso del livello di sicurezza richiesto dal predetto art. 32, § 2, del Regolamento europeo.

L’art. 2, comma 5, per il caso in cui l’interessato non voglia utilizzare la DSU precompilata ma invece voglia presentare una DSU in modalità NON precompilata, impone all’Inps e all’Agenzia delle Entrate di mettere a disposizione di detto interessato degli strumenti che siano in grado di impedire che vengano trattati i dati personali necessari all’elaborazione della DSU precompilata e all’attestazione dell’ Isee. Secondo il Garante privacy, quindi, la possibilità prevista dal citato comma 5 a favore dell’interessato di utilizzare strumenti con i quali impedire il trattamento dei dati personali, qualora non voglia usare il sistema della DSU precompilata, appare rispettoso ed attuativo del diritto di opposizione al trattamento sancito dall’ 21 del Regolamento europeo.

Il comma 6, dell’ art. 2, stabilisce che i riferimenti di eventuali DSU presentate e il nominativo del dichiarante che ha richiesto tali DSU vengano portati a conoscenza dell’ interessato all’interno delle apposite aree riservate dei siti dell’ Inps e dell’ Agenzia delle entrate. Secondo il Garante, quindi, tale disciplina appare rispettosa e attuativa del principio sancito dall’ art. 5, paragrafo 1, lettera a), del Regolamento europeo, secondo cui i dati personali devono essere trattati in modo trasparente nei confronti dell’ interessato (cd. principio di trasparenza).

Per quanto riguarda, infine, la disciplina della tempistica di utilizzo del sistema precompilato introdotto dal decreto legislativo di cui si è detto sopra, l’art. 2, comma 7, dello schema di decreto esaminato dal Garante, stabilisce che l’accesso all’ISEE precompilato sia consentito a decorrere dal 1° gennaio 2020.

L’ art. 4 del suddetto schema di decreto, invece, si occupa di individuare quali siano le informazioni, riferite anche agli altri componenti maggiorenni del nucleo familiare, che devono essere riportate nell’attestazione ISEE, qualora il dichiarante abbia omesso di indicare dei valori inerenti il patrimonio mobiliare oppure abbia fornito dei valori errati. Secondo il Garante privacy, quindi, l’individuazione specifica delle informazioni da inserire (e quindi da trattare) all’interno dell’ ISEE “in via correttiva” da parte del sistema, appare rispettoso e attuativo del principio sancito dall’ art. 5, paragrafo 1, lett. c), del Regolamento europeo, secondo cui i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (cd. Principio di minimizzazione dei dati).

In conclusione, per quanto riguarda le specifiche tecniche per poter accedere alla DSU precompilata e i meccanismi di delega da parte degli interessati, l’art. 6 non individua tali aspetti, ma rimanda a un successivo disciplinare tecnico, che dovrà essere approvato con un provvedimento congiunto del Direttore dell’ INPS e del Direttore dell’Agenzia delle entrate, sentito il Garante per la protezione dei dati personali. Inoltre, tale disciplinare tecnico, dopo aver compiuto una adeguata valutazione di impatto sulla protezione dei dati, dovrà altresì adottare le misure appropriate, anche sul piano della sicurezza, per la tutela dei dati personali.

In ragione di ciò, il Garante della privacy si è riservato di valutare detto disciplinare tecnico al fine di controllare e accertare se le misure individuate per la protezione dei dati personali appaiano effettivamente efficaci per tutelare i diritti e le libertà degli interessati.

Volume consigliato

Il nuovo codice della privacy

Il nuovo codice della privacy

Pier Paolo Muià, 2019, Maggioli Editore

Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Muia' Pier Paolo

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it