Il Garante per la protezione dei dati personali ha presentato una memoria alla Commissione Lavoro pubblico e privato, previdenza sociale del Senato, nell’ambito del ddl di conversione in legge del decreto-legge 28 gennaio 2019, n. 4 recante disposizioni urgenti in materia di reddito di cittadinanza e di pensioni, con la quale riscontra “rilevanti criticità” nelle norme del decreto legge  e sottolineando i punti da rivedere con possibili soluzioni.

È stato rilevato in primis, che “il meccanismo di riconoscimento, erogazione e gestione del reddito di cittadinanza comporta trattamenti su larga scala di dati personali, riferiti ai richiedenti e ai componenti il suo nucleo familiare […]. Si tratta, in particolare, dei dati relativi allo stato di salute e alla eventuale sottoposizione a misure restrittive della libertà personale, nonché alle condizioni di disagio, in particolare sotto il profilo economico, familiare o sociale”.

Ma anche il sistema di monitoraggio degli acquisti tramite la card ha suscitato particolare attenzione. Di fatto per scoprire eventuali abusi e comportamenti fraudolenti, verrebbero effettuati, seppur legittimamente, “controlli puntuali sulle scelte di consumo individuali, condotti dagli operatori dei centri per l’impiego e dei servizi comunali, in assenza di procedure ben definite e di criteri normativamente individuati”, così tali verifiche “si traducono in una sorveglianza su larga scala, continua e capillare sugli utilizzatori della carta, determinando un'intrusione sproporzionata e ingiustificata su ogni aspetto della vita privata degli interessati" .

Altri punti critici su cui secondo il Garante è necessario intervenire per adeguare le procedure alle norme europee sulla protezione e sicurezza dei dati, riguardano:

  • le banche dati che si troveranno presso l’ANPAL e il Ministero del lavoro, le quali saranno utilizzate come strumenti di condivisione, con i centri per l’impiego e con i comuni, delle informazioni relative ai beneficiari residenti nei territori di competenza. “Il decreto-legge contiene previsioni di portata generale, inidonee a definire con sufficiente chiarezza le modalità di svolgimento delle procedure di consultazione e verifica delle varie banche dati”.
  • l’ISEE precompilato, il quale potrebbe “pregiudicare la sicurezza dei dati contenuti nell’Anagrafe tributaria e, soprattutto, nell’archivio dei rapporti finanziari dell’Agenzia delle entrate”, sottolineando che le esigenze di semplificazione non possono per nessuna ragione compromettere la sicurezza l’integrità e la riservatezza dei dati contenuti in tali archivi, raccomandando l’introduzione “di misure tecniche e organizzative volte a scongiurare i rischi di utilizzi fraudolenti dei dati, accessi indebiti  o violazione dei sistemi informativi”;
  • l’informativa sul trattamento dei dati e le modalità tecniche della sua implementazione presenti sul sito dedicato al reddito di cittadinanza, che “ad oggi, comportano un’indebita e non trasparente trasmissione a terzi dei dati di navigazione, quali indirizzi IP e orario di connessione, da parte dei visitatori del medesimo sito”;

Il Garante ha inoltre ritenuto la disciplina del Reddito di Cittadinanza, così come formulata, in più punti non idonea a soddisfare i requisiti richiesti dal diritto europeo, evidenziando che “le disposizioni normative devono individuare con sufficiente precisione, conformemente ai principi di trasparenza nei confronti degli interessati, minimizzazione dei dati trattati, privacy per progettazione e impostazione predefinita:

  • i titolari del trattamento,
  • le tipologie di dati trattati,
  • i soggetti ai quali essi possono essere comunicati e le rispettive finalità,  
  • nonché termini   di conservazione dei dati proporzionati (e non eccedenti) rispetto agli scopi perseguiti”.