Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Parere sullo schema di deliberazione di ARERA recante Modalità di trasmissione dall’Istituto nazionale per la previdenza sociale alla Società Acquirente Unico S.p.A., in qualità di Gestore del Sistema informativo integrato, dei dati necessari al processo di riconoscimento automatico dei bonus nazionali per disagio economico - 17 dicembre 2020 [9510819]

[doc. web n. 9510819]

Parere sullo schema di deliberazione di ARERA recante Modalità di trasmissione dall’Istituto nazionale per la previdenza sociale alla Società Acquirente Unico S.p.A., in qualità di Gestore del Sistema informativo integrato, dei dati necessari al processo di riconoscimento automatico dei bonus nazionali per disagio economico - 17 dicembre 2020

Registro dei provvedimenti
n. 279 del 17 dicembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

Con nota inviata in data 6 novembre 2020, l’Autorità di regolazione per energia reti e ambiente (di seguito “ARERA”) ha trasmesso al Garante lo schema della deliberazione recante “Modalità di trasmissione dall’Istituto nazionale per la previdenza sociale alla Società Acquirente Unico S.p.A., in qualità di Gestore del Sistema informativo integrato, dei dati necessari al processo di riconoscimento automatico dei bonus nazionali per disagio economico”, al fine di acquisire il parere, come previsto dall’art.  57-bis, comma 5, del decreto legge 26 ottobre 2019, n. 124, convertito, con modificazioni, dalla legge 19 dicembre 2019, n. 157, “e ai fini della successiva approvazione di tale provvedimento, unitamente al provvedimento recante le “modalità applicative per l’erogazione delle compensazioni” in tempi utili ad assicurare l’avvio del nuovo meccanismo di riconoscimento automatico dei bonus dal 1° gennaio 2021, come previsto dal d.l.”.

Unitamente allo schema di delibera, l’ARERA ha trasmesso, altresì, una nota avente ad oggetto “Elementi aggiuntivi in tema di titolare del trattamento nel meccanismo automatico di riconoscimento dei bonus sociali nazionali di cui all’art. 57-bis, c. 5, del d.l. 124/19” e una “Nota illustrativa delle soluzioni tecniche in via di definizione da parte del Gestore del Sistema informativo integrato (SII) in materia di bonus sociale automatico”, la cui versione definitiva sarebbe ancora in fase di elaborazione da parte di Acquirente Unico S.p.A.

1. Il quadro normativo in materia di “bonus sociali”

Il c.d. bonus sociale costituisce una prestazione sociale agevolata (nello specifico, una tariffa agevolata) che comporta, per le famiglie in stato di disagio economico e sociale, una compensazione della spesa in relazione alle forniture di energia elettrica, gas naturale e acqua. Il bonus sociale è stato introdotto, con riferimento alla fornitura di energia elettrica (“bonus elettrico”), con l’art. 1, comma 375, della l. 23 dicembre 2005, n. 266, cui è stata data attuazione mediante il decreto del Ministero dello sviluppo economico del 28 dicembre 2007; successivi interventi normativi hanno esteso il bonus sociale anche in relazione alle forniture di gas e di acqua (rispettivamente, “bonus gas” e “bonus idrico”).

Attualmente, l’erogazione di tale prestazione sociale agevolata avviene mediante presentazione di apposita domanda da parte dei nuclei familiari, in possesso di specifici requisiti ISEE, nei confronti del proprio Comune di residenza. Il predetto Comune, una volta verificato il relativo livello dell’ISEE, rilascia al nucleo familiare richiedente, in possesso dei richiesti requisiti di vulnerabilità economica, un certificato di titolarità a beneficiare della compensazione. Il medesimo Comune, successivamente, trasmette al distributore (per il bonus elettrico o il bonus gas) o al gestore del servizio integrato (per il bonus idrico), per il tramite del Sistema di gestione delle tariffe energetiche (SGATE, istituito dall’ARERA e dall’ANCI), gli elementi informativi necessari ai fini delle successive verifiche tecniche sulla fornitura e, quindi, all’erogazione del bonus.

Con il citato art. 57-bis, comma 5, del d.l. 124/2019 – che, peraltro, non è stato preventivamente sottoposto all’attenzione del Garante – il legislatore ha stabilito, a partire dal 1° gennaio 2021, il passaggio dall’attuale meccanismo del riconoscimento a domanda a un meccanismo di riconoscimento automatico; ciò al fine di assicurare i bonus sociali alla più ampia platea dei soggetti aventi diritto, senza la necessità, per questi ultimi, di presentare apposita domanda di ammissione.

Infatti, la disposizione menzionata stabilisce che “A decorrere dal 1° gennaio 2021, i bonus sociali per la fornitura dell'energia elettrica e del gas naturale, di cui all'articolo 1, comma 375, della legge 23 dicembre 2005, n. 266, e all'articolo 3, commi 9 e 9-bis, del decreto-legge 29 novembre 2008, n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2, e le agevolazioni relative al servizio idrico integrato, di cui all'articolo 60, comma 1, della legge 28 dicembre 2015, n. 221, sono riconosciuti automaticamente a tutti i soggetti il cui indicatore della situazione economica equivalente in corso di validità sia compreso entro i limiti stabiliti dalla legislazione vigente. L'Autorità di regolazione per energia, reti e ambiente, con propri provvedimenti, sentito il Garante per la protezione dei dati personali, definisce le modalità di trasmissione delle informazioni utili da parte dell'Istituto nazionale della previdenza sociale al Sistema informativo integrato gestito dalla società Acquirente Unico S.p.a. L'Autorità di regolazione per energia, reti e ambiente definisce, altresì, con propri provvedimenti, le modalità applicative per l'erogazione delle compensazioni nonché, sentito il Garante per la protezione dei dati personali, le modalità di condivisione delle informazioni relative agli aventi diritto ai bonus tra il Sistema informativo integrato e il Sistema di gestione delle agevolazioni sulle tariffe energetiche (Sgate) al fine di assicurare il pieno riconoscimento ai cittadini delle altre agevolazioni sociali previste”.

Lo schema di delibera trasmesso dall’ARERA per il previsto parere del Garante, sulla base di quanto stabilito dalla disposizione normativa citata ha quindi a oggetto le modalità di trasmissione, dall’INPS al Sistema informativo integrato (SII), dei dati necessari a consentire il riconoscimento automatico dei citati bonus sociali.

Si precisa altresì che, considerato che i profili oggetto del trattamento rendevano necessari alcuni approfondimenti, in data 19 novembre 2020 il Garante ha chiesto chiarimenti sia all’ARERA che all’INPS, ottenendo un riscontro, da parte di ciascun Ente, in data 26 novembre 2020.

2. Lo schema di delibera in esame

In attuazione del citato art. 57-bis, comma 5, del d.l. 124/2019, lo schema di delibera predisposto dall’ARERA e sottoposto al parere del Garante si occupa di “[identificare] le informazioni e le connesse modalità di trasmissione dall’Istituto Nazionale per la Previdenza Sociale (INPS) alla società Acquirente unico S.p.a., in qualità di gestore del Sistema informativo integrato (SII), in quanto necessarie ai fini della corretta operatività del meccanismo di riconoscimento automatico dei bonus sociali nazionali” (art. 1).

Dopo aver fornito le definizioni rilevanti (art. 2), lo schema di delibera definisce le informazioni oggetto del flusso in questione, secondo la seguente impostazione (art. 3):

le trasmissioni di dati dall’INPS al Gestore del SII sono mensili, a partire dal mese di febbraio 2021, e hanno a oggetto “l’elenco dei nuclei familiari che risultano agevolabili, in base alle DSU attestate, di norma, nel mese precedente, suddiviso in tre classi di agevolazione”, e cioè (art. 3.1): nuclei con ISEE inferiore o uguale a euro 8.265; nuclei con almeno quattro figli, con ISEE compreso tra euro 8.265 ed euro 20.000, indipendentemente dal percepimento di Reddito di cittadinanza (RDC) o Pensione di cittadinanza (PDC); nuclei con meno di quattro figli, con ISEE maggiore di euro 8.265, percettori di RDC o PDC;

per ogni DSU oggetto di flusso, le informazioni trasmesse sono le seguenti (art. 3.2): protocollo, data di presentazione e data di scadenza della DSU; data di rilascio dell’attestazione ISEE; classe di agevolazione; codici di eventuali omissioni o difformità; indirizzo di abitazione del nucleo familiare (via, numero civico, codice catastale del Comune, CAP, Provincia); codici fiscali dei singoli componenti maggiorenni del nucleo familiare; numero dei componenti minorenni del nucleo familiare; nome, cognome e codice fiscale del dichiarante; indirizzo di abitazione dei singoli componenti maggiorenni del nucleo familiare (via, numero civico, codice catastale del Comune, CAP, Provincia), ove diverso dall’indirizzo di abitazione del nucleo indicato nella DSU; indirizzo email e/o numero di telefono dei singoli componenti maggiorenni del nucleo familiare (ove indicati nella DSU);

il Gestore del SII invia all’INPS le informazioni connesse all’erogazione del bonus sociale “per gli adempimenti connessi al Casellario dell’assistenza”, secondo modalità e tempistiche da concordare (art. 3.3).

Per quanto concerne le modalità di scambio dei dati tra INPS e Gestore del SII (art. 4), viene rimessa a un accordo tra gli stessi la definizione di “specifiche tecniche e […] standard di sicurezza relative alle modalità, agli strumenti telematici e ai canali utilizzati per la trasmissione delle informazioni e i processi implementati per la tracciabilità dei flussi informativi e la loro conservazione” (art. 4.1). A questo proposito, viene precisato che tale scambio utilizza “un collegamento in modalità client s-FTP al server di INPS”, mediante apposite credenziali di accesso fornite dall’INPS “secondo le modalità previste dalla procedura di sicurezza dell’Ente, coerenti con il Regolamento ISEE per la trasmissione dati agli “enti erogatori”” (art. 4.2). “I dati trasmessi devono essere crittografati e firmati digitalmente allo scopo di assicurarne la provenienza e la riservatezza” (art. 4.3).

Infine, lo schema di delibera si occupa dei profili di protezione dei dati personali, stabilendo che il Gestore del SII (art. 5):

“è il titolare del trattamento dei dati personali”, trattamento che “deve essere effettuato unicamente per i fini oggetto del presente provvedimento” (art. 5.1);

deve garantire il pieno rispetto dei diritti riconosciuti alle persone fisiche, facenti parte dei nuclei familiari agevolabili, di cui agli artt. 15 e ss. del Regolamento (art. 5.2);

sul piano della sicurezza: deve garantire un’adeguata sicurezza dei dati personali, in conformità all’articolo 32 del Regolamento, assicurando “una efficace protezione” dalle violazioni dei dati personali (art. 5.3); “deve definire in modo chiaro e trasparente le specifiche tecniche e gli standard di sicurezza relative alle modalità operative, agli strumenti telematici e ai canali utilizzati per la trasmissione dei dati personali e i processi adottati per la tracciabilità dei flussi informativi e la loro conservazione” (art. 5.5); “deve garantire l’accesso alle informazioni esclusivamente a soggetti che siano stati designati quali responsabili o persone autorizzate al trattamento dei dati”, impartendo, “sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo”, “precise e dettagliate istruzioni agli addetti al trattamento, che, espressamente designati, operano sotto la sua diretta autorità in qualità di persone autorizzate” (art. 5.6);

“è responsabile dello svolgimento di una valutazione d’impatto sulla protezione da effettuare, in conformità all’articolo 35 del Regolamento GDPR, sui dati prima del trattamento” (art. 5.4);

“conserva le informazioni ricevute da INPS per un periodo non superiore a cinque anni dall’esito del procedimento di riconoscimento del bonus all’avente diritto. Decorso tale periodo, il Gestore del SII garantisce la cancellazione definitiva di tali informazioni dal SII” (art. 5.7).

OSSERVA

Preliminarmente si evidenzia che il nuovo meccanismo di erogazione dei bonus sociali prevede che l’INPS, titolare del trattamento dei dati personali relativi alle dichiarazioni e attestazioni ISEE, invii le informazioni necessarie al SII, infrastruttura informatica, basata su una banca dati dei punti di prelievo e dei dati identificativi degli utenti, creata per la gestione dei flussi informativi relativi ai mercati energetici.

In base alle informazioni in tal modo ottenute, il Gestore del SII dovrebbe essere in grado, sulla base delle modalità stabilite dall’ARERA nella delibera in esame, di: a) ricercare la fornitura elettrica e/o gas corrispondente al nucleo familiare avente diritto al bonus sulla base dei punti di prelievo e di riconsegna (POD e PDR); b) applicare l’ammontare della compensazione; c) provvedere alla sua conseguente liquidazione. Nel caso del bonus idrico, invece, le attività funzionali alla liquidazione del bonus (come l’individuazione della fornitura) continueranno a richiedere il coinvolgimento dei relativi gestori locali, atteso che tali informazioni non sono presenti sul SII.

Alla luce della normativa di settore applicabile e della documentazione in atti, occorre rilevare che lo schema in esame presenta alcune criticità in merito ai trattamenti di dati personali ivi disciplinati - già rappresentate dall’Ufficio all’ARERA nel corso delle interlocuzioni informali intercorse nei mesi precedenti - riferibili anche alla genericità della disposizione di cui all’art. 57-bis, comma 5, del d.l. 124/2019, che si sarebbero potute evitare con un adeguato coinvolgimento del Garante già in sede legislativa, come previsto dall’art. 36, par. 4, del Regolamento.

Si rileva, infatti, che lo schema di delibera prevede una trasmissione automatica e continua, presso Acquirente Unico S.p.A. (società per azioni interamente partecipata dal Gestore dei Servizi Energetici – GSE S.p.A., a sua volta interamente partecipato dal Ministero dell’economia e delle finanze) di delicate informazioni relative a coloro che versano in una condizione di vulnerabilità economica, anche senza conoscere il dettaglio specifico dell’ISEE (dati anagrafici, composizione del nucleo familiare, dati di contatto e di abitazione, inclusione in una determinata fascia ISEE, pari a euro 8.265, ovvero a 20.000 euro per le famiglie con almeno 4 figli).

Peraltro, si evidenzia, in proposito che, in base alla sua legge istitutiva (cfr. art. 1-bis del d.l. 8 luglio 2010, n. 105, convertito, con modificazioni, dalla l. 13 agosto 2010, n. 129), il SII è dedicato alla “gestione dei flussi informativi relativi ai mercati dell'energia elettrica e del gas, basato su una banca dati dei punti di prelievo e dei dati identificativi dei clienti finali”, “Al fine di sostenere la competitività e di incentivare la migliore funzionalità delle attività delle imprese operanti nel settore dell'energia elettrica e del gas naturale” (comma 1), e, nonostante fosse previsto che l’ARERA adottasse specifici criteri e modalità per il trattamento dei dati personali “nel rispetto delle norme stabilite dal Garante per la protezione dei dati personali” (comma 3),  la costituzione di tale piattaforma non è mai stata sottoposta al vaglio del Garante – circostanza già evidenziata in alcuni passati provvedimenti (cfr. segnalazione al Parlamento e al Governo del 7 novembre 2017, doc. web n. 7447536; provv. n. 192 del 27 aprile 2016, doc. web n. 4943860) che non consente, quindi, di esprimersi sulla conformità al Regolamento dei relativi trattamenti.

3.1. Titolarità del trattamento

Lo schema di delibera individua nel Gestore del SII (Acquirente Unico S.p.A.) il titolare del trattamento (cfr. art. 5.1 dello schema di delibera), in quanto ritenuto dall’ARERA “ente erogatore” dei bonus sociali, ai sensi del d.P.C.M. 5 dicembre 2013, n. 159 (in materia di ISEE) e del d.m. 16 dicembre 2014, n. 206 (in materia di Casellario dell’assistenza e, in particolare, di prestazioni sociali agevolate). Ciò, principalmente, in ragione del fatto che l’art. 57-bis, comma 5, del d.l. 124/2019 dispone espressamente che l’INPS trasmetta le informazioni al SII.

Al riguardo, nel premettere che la previsione legislativa non definisce adeguatamente i ruoli dei soggetti coinvolti, si rileva che la ricostruzione riportata nello schema di delibera di ARERA non è in linea con la normativa di settore, in materia di ISEE e prestazioni sociali agevolate, che individua l’ente erogatore nel soggetto che determina le modalità di erogazione della prestazione sociale agevolata: esso assume, conseguentemente, la qualifica di titolare del trattamento, anche con riferimento alla correlata attività di controllo, venendo così autorizzato a trattare tutti i dati (eventualmente anche relativi alla salute) contenuti nelle dichiarazioni ISEE dei beneficiari, nonché ad accedere alle delicate banche dati in cui sono contenute informazioni patrimoniali relative a tutti i soggetti che hanno presentato una dichiarazione ISEE (cfr. spec. artt. 1, comma 1, lett. m), 11, commi 6 e 10, e 12, comma 1, del d.P.C.M. 159/2013, su cui il Garante si è espresso favorevolmente con il provvedimento n. 361 del 22 novembre 2012, doc. web n. 2174496; artt. 1, comma 2, lett. g), e 7, comma 4, del d.m. 206/2014, su cui il Garante ha espresso parere favorevole con il provvedimento n. 26 del 23 gennaio 2014, doc. web n. 2922956). Ciò quindi in conformità al Regolamento che prevede che è titolare del trattamento il soggetto che determina le finalità e i mezzi del trattamento (art. 4, n. 7).

Nel caso in esame, si osserva infatti che le finalità e i mezzi del trattamento sono individuati dall’ARERA che stabilisce le modalità di erogazione del bonus, mentre Acquirente Unico S.p.A., in quest’ottica, in quanto Gestore del SII, assume piuttosto le vesti di responsabile del trattamento, ai sensi dell’art. 28 del Regolamento. Infatti, laddove così non fosse e Acquirente Unico S.p.A. agisse in qualità di titolare del trattamento, si dovrebbe ritenere che lo schema di delibera in esame possa attribuire a tale società il potere di adottare decisioni autonome circa il trattamento di dati personali e di esercitare funzioni di controllo sulla spettanza del bonus ai beneficiari (soggetti vulnerabili), in contrasto con quanto stabilito, a livello sistematico, dal citato quadro normativo di settore relativo alle prestazioni sociali legate all’ISEE.

3.2. Esattezza e minimizzazione dei dati

Come detto, l’innovazione apportata dall’art. 57-bis, comma 5, del d.l. 124/2019 comporta che i bonus sociali siano erogati in modo automatico.

Al riguardo, si osserva preliminarmente che, in presenza di trattamenti di dati personali effettuati con modalità automatizzate, il principio di esattezza dei dati, di cui all’art. 5, par. 1. lett. d), del Regolamento, deve essere rispettato in modo rigoroso, per evitare i rischi di erogare agevolazioni in capo a soggetti non titolati, ovvero mancate corresponsioni di bonus ad aventi diritto.

In tale prospettiva, rilevanti criticità derivano dal fatto che la Dichiarazione sostitutiva unica (DSU) presentata a fini ISEE dai potenziali beneficiari, dalla quale vengono estratte le informazioni che si intendono utilizzare per l’attribuzione del bonus (dati anagrafici dei componenti del nucleo, dati relativi all’abitazione e di contatto, informazioni reddituali), non contiene, allo stato, i dati necessari a individuare le utenze elettriche, del gas e idriche interessate.

In base allo schema in esame sarebbero, infatti, rimesse al Gestore del SII, sulla base dei criteri stabiliti dall’ARERA, le seguenti operazioni di trattamento finalizzate all’individuazione delle forniture da agevolare:

per quanto riguarda le utenze elettriche e del gas, incrociare i codici fiscali dei componenti maggiorenni del nucleo familiare, come ottenuti dall’INPS, con i dati dei contratti di fornitura contenuti nel SII, rilevando così, con un certo grado di approssimazione rispetto all’esatta individuazione dell’intestatario, l’utenza cui spetterebbe l’agevolazione;

per quanto riguarda le utenze idriche, contattare i gestori, con modalità allo stato non definite, al fine di individuare chi, tra i componenti del nucleo beneficiario, risulti intestatario di un’utenza; particolari difficoltà rappresentano in tale contesto le utenze intestate al condominio, rispetto alle quali risulterebbe necessario acquisire dall’INPS anche i dati di contatto dei singoli componenti del nucleo beneficiario per assumere maggiori informazioni.

La rilevata assenza, all’interno della DSU, delle informazioni di dettaglio sulle utenze ha comportato infatti che, nello schema di delibera, sia prevista la trasmissione dall’INPS al SII di una serie ulteriore di informazioni, facendo così emergere criticità in relazione al rispetto del principio di minimizzazione dei dati personali di cui all’art. 5, par. 1, lett. c), del Regolamento (come peraltro segnalato anche dall’Istituto nella citata nota del 26 novembre 2020).

Tali criticità riguardano, in particolare:

l’“indirizzo di abitazione dei singoli componenti maggiorenni del nucleo familiare (via, numero civico, codice catastale del Comune, CAP, Provincia), ove diverso dall’indirizzo di cui alla lettera g) e indicato nella DSU” (art. 3.2, lett. k), dello schema di delibera) che, in ossequio al predetto principio, dovrebbero invece essere trasmessi solo laddove l’indirizzo di abitazione dell’intero nucleo non consenta di individuare l’utenza alla quale applicare il bonus sociale;

l’“indirizzo email e/o numero di telefono dei singoli componenti maggiorenni del nucleo familiare (ove indicati nella DSU)” (art. 3.2, lett. l), dello schema di delibera), in relazione al quale risulta eccedente prevedere un flusso automatico di tutti i dati di contatto riferiti a tutti i componenti maggiorenni del nucleo.

Più in generale, si rileva che tra i potenziali beneficiari, in quanto rientranti nelle soglie ISEE previste, potrebbero essere presenti soggetti non intestatari di un’utenza (ad esempio, in quanto residenti in RSA), in relazione ai quali non sarebbe dunque giustificabile la trasmissione al SII di alcun dato personale ad essi riferito.

La mancanza, nella DSU, dei dati che sarebbero necessari per riconoscere automaticamente i bonus in esame (peraltro agevolmente acquisibili presso gli interessati al momento della presentazione della stessa) non di per sé giustificare un’automatica e massiva acquisizione, presso il SII, di dati personali anche eccedenti che non consentono l’individuazione, con certezza, delle forniture da agevolare, in violazione, oltre che dei richiamati principi di minimizzazione e di esattezza, anche dei principi di privacy by design e by default di cui all’art. 25 del Regolamento.

In tale prospettiva, occorre anche rilevare che lo schema di delibera prevede l’instaurazione di flussi mensili automatici di dati dall’INPS al SII, con conservazione dei medesimi, presso quest’ultimo, per un periodo di cinque anni dall’esito del procedimento di riconoscimento del bonus (artt. 3 e 5.7 dello schema di delibera). Si tratta di un flusso automatico, generalizzato e massivo, di informazioni che si pone in contrasto con i predetti principi, in relazione al quale bisogna invece individuare specifiche misure per minimizzare i dati oggetto di tali trasferimenti, ad esempio limitandosi, dopo un primo invio, a trasmissioni periodiche di carattere incrementale (cioè riferite esclusivamente agli ISEE rilasciati successivamente).

Alla luce di tali considerazioni, al fine di assicurare il rispetto del Regolamento, si segnala sin da ora la necessità di provvedere quanto prima a integrare la DSU (modifica che compete al Ministero del lavoro e delle politiche sociali, a cui anche sarà trasmesso il presente provvedimento), acquisendo direttamente dagli interessati i dati necessari a individuare, con certezza, le specifiche utenze agevolabili, in caso di spettanza dei bonus in esame. Tale integrazione, inoltre, dando piena attuazione ai menzionati principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, consentirà di limitare le tipologie di dati che l’INPS deve trasmettere al SII con modalità massive e automatiche.

3.3. Trasparenza del trattamento

Lo schema di delibera non prevede alcuna misura in relazione alla necessità di rendere adeguate informazioni sul trattamento dei dati agli interessati. Ciò riguarda sia coloro che dovessero risultare beneficiari (che non sarebbero a conoscenza del trattamento finalizzato all’erogazione dei bonus sociali), sia coloro che, pur ritenendo di soddisfare i requisiti ISEE richiesti, non dovessero erroneamente ottenere il beneficio, al fine di consentire loro di attivarsi per richiedere le opportune verifiche (soprattutto in caso di omissioni o difformità riferibili alla precompilazione del patrimonio mobiliare attraverso i dati trattati dall’Agenzia delle entrate).

A questo proposito, occorre rilevare che l’INPS rilascia un’informativa al momento dell’acquisizione dei dati tramite DSU, in cui vi è solo un generico riferimento alle comunicazioni ad altri soggetti previste per legge, senza contenere elementi necessari per consentire all’interessato di avere una piena comprensione delle finalità, delle modalità automatizzate e delle conseguenze del trattamento dei dati, presenti nella DSU, anche ai fini di erogazione dei bonus sociali (cfr. in particolare, art. 13, par. 1, lett. c), e par. 2, e) e f) del Regolamento). La predetta informativa dovrebbe pertanto essere integrata con le informazioni necessarie, al fine di rispettare quanto previsto dall’art. 13 del Regolamento, verificando anche le eventuali integrazioni necessarie nei confronti dei beneficiari percettori del reddito di cittadinanza.

Analoghe criticità sono riferibili a quanto rappresentato dall’ARERA, nella nota di riscontro alla richiesta di informazioni, in cui viene ipotizzato che sia Acquirente Unico S.p.A. a pubblicare, sul proprio sito web, le informazioni necessarie ai sensi dell’art. 14 del Regolamento. Fermi restando i rilievi sulla titolarità del trattamento in esame di cui al par. 3.1, si osserva che, anche in questo caso, le modalità individuate non appaiono rispettose del principio di trasparenza, atteso peraltro che l’art. 14 del Regolamento individua tassativamente i casi e le garanzie necessarie per legittimare eventuali forme semplificate per l’assolvimento degli oneri informativi nei confronti degli interessati, che non sono state rappresentate in atti e, comunque, non appaiono ricorrere nel caso in esame.

3.4. Misure di sicurezza

Si rileva, in primo luogo, che la nota illustrativa allegata allo schema di delibera, concernente le soluzioni tecniche da applicare al SII, risulta ancora in fase di definizione in relazione alla raccolta dei dati dall’INPS (in accordo con lo stesso Istituto) e che non si dispone ancora della valutazione di impatto sulla protezione dei dati che dovrà essere predisposta dal titolare del trattamento.

Inoltre, per quanto concerne i trattamenti effettuati presso il SII una volta ricevuti i dati dall’INPS (a partire dalla conservazione), tale nota sembra principalmente dedicata a effettuare una fotografia della situazione attuale, senza individuare invece specifiche misure, volte ad assicurare un adeguato livello di sicurezza e di qualità dei dati, né fornire indicazioni sulla periodicità con cui li riceve. In questo contesto, occorre peraltro rilevare che il SII non appare una piattaforma costruita per ricevere informazioni qualitativamente e quantitativamente significative come quelli oggetto di trasmissione da parte dell’INPS, per cui dovrebbero essere adottate misure tecniche e organizzative tali da assicurare che i trattamenti ivi effettuati rispettino i principi di integrità e riservatezza, privacy by design e by default e sicurezza imposti dal Regolamento (artt. 5, par. 1, lett. f), 25 e 32).

Infine, si fa riferimento a un Cloud Storage dai contorni non propriamente definiti che quindi non consentono di comprendere le caratteristiche e il grado di coinvolgimento di soggetti terzi rispetto allo specifico trattamento in questione.

L’assenza di elementi idonei a consentire i necessari approfondimenti sulla questione, pertanto, impedisce di effettuare, in questa sede, una compiuta valutazione sulla sussistenza di un livello di sicurezza adeguato al rischio, come richiesto dall’art. 32 del Regolamento.

RITENUTO

Occorre premettere che la realizzazione dell’iniziativa in esame risponde a primarie esigenze di interesse pubblico la cui attuazione – non differibile a fronte della situazione emergenziale in atto - risulta di complessa realizzazione sia in relazione alle tipologie di informazioni allo stato disponibili che al coinvolgimento di numerosi soggetti nel trattamento.

Alla luce di quanto sopra, si ritiene che lo schema di delibera in esame debba essere modificato, al fine di assicurare la conformità dei trattamenti ivi previsti alla normativa in materia di protezione dei dati personali, prevedendo che:

a) anche in coerenza con la disciplina in materia di ISEE e di prestazioni sociali agevolate (d.P.C.M. 5 dicembre 2013, n. 159, e d.m. 16 dicembre 2014, n. 206), il titolare del trattamento effettuato ai fini dell’erogazione dei bonus sociali di cui all’art. 57-bis, comma 5, del d.l. 124/2019 sia individuato nell’ARERA, in quanto soggetto competente alla disciplina dell'erogazione della prestazione sociale agevolata (ente erogatore), che si avvarrà del Gestore del SII (Acquirente Unico S.p.A.) quale responsabile del trattamento ai sensi dell’art. 28 del Regolamento (cfr. par. 3.1);

b) siano adottate misure in grado di assicurare l’individuazione certa delle utenze agevolabili in caso di spettanza dei bonus in esame, mediante l’utilizzo di dati esatti già in sede di acquisizione al momento della presentazione della DSU da parte degli interessati – coinvolgendo opportunamente gli enti preposti all’adozione delle determinazioni di competenza (Ministero del lavoro e delle politiche sociali, INPS) – e, nelle more delle necessarie modifiche, sia comunque prevista la trasmissione dall’INPS al SII delle sole tipologie di dati personali strettamente indispensabili ai fini dell’erogazione dei bonus, nel rispetto dei principi di cui agli artt. 5, par. 1, lett. c) e d), e 25 del Regolamento (cfr. par. 3.2);

c) siano fornite agli interessati tutte le informazioni per consentire una piena comprensione circa il trattamento dei dati presenti nella DSU a fini di erogazione dei bonus sociali, nel rispetto di quanto previsto dagli artt. 13 e 14 del Regolamento (cfr. par. 3.3);

d) siano definite misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, ai sensi dell’art. 32 del Regolamento, con riferimento alla trasmissione dei dati personali dall’INPS al SII e ai successivi trattamenti effettuati presso il SII, e sia predisposta una valutazione di impatto sulla protezione dei dati dal titolare del trattamento, ai sensi dell’art. 35 del Regolamento (cfr. par. 3.4).

Il Garante si riserva di effettuare successivi accertamenti al fine di verificare che i trattamenti effettuati ai fini dell’erogazione dei bonus sociali di cui all’art. 57-bis, comma 5, del d.l. 124/2019 siano conformi alla disciplina in materia di protezione dei dati personali, nei termini indicati nel presente provvedimento.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 57, par. 1, lett. c), esprime parere, nei termini di cui in motivazione, sullo schema della deliberazione, predisposto dall’Autorità di regolazione per energia reti e ambiente ai sensi dell’art.  57-bis, comma 5, del decreto legge 26 ottobre 2019, n. 124, convertito, con modificazioni, dalla legge 19 dicembre 2019, n. 157, recante “Modalità di trasmissione dall’Istituto nazionale per la previdenza sociale alla Società Acquirente Unico S.p.A., in qualità di Gestore del Sistema informativo integrato, dei dati necessari al processo di riconoscimento automatico dei bonus nazionali per disagio economico”, fissando le seguenti condizioni:

a) anche in coerenza con la disciplina in materia di ISEE e di prestazioni sociali agevolate (d.P.C.M. 5 dicembre 2013, n. 159, e d.m. 16 dicembre 2014, n. 206), il titolare del trattamento effettuato ai fini dell’erogazione dei bonus sociali di cui all’art. 57-bis, comma 5, del d.l. 124/2019 sia individuato nell’ARERA, in quanto soggetto competente alla disciplina dell'erogazione della prestazione sociale agevolata (ente erogatore), che si avvarrà del Gestore del SII (Acquirente Unico S.p.A.) quale responsabile del trattamento ai sensi dell’art. 28 del Regolamento;

b) siano adottate misure in grado di assicurare l’individuazione certa delle utenze agevolabili in caso di spettanza dei bonus in esame, mediante l’utilizzo di dati esatti già in sede di acquisizione al momento della presentazione della DSU da parte degli interessati –coinvolgendo opportunamente gli enti preposti all’adozione delle determinazioni di competenza (Ministero del lavoro e delle politiche sociali, INPS) – e, nelle more delle necessarie modifiche, sia prevista la trasmissione dall’INPS al SII delle sole tipologie di dati personali strettamente indispensabili ai fini dell’erogazione dei bonus, nel rispetto dei principi di cui agli artt. 5, par. 1, lett. c) e d), e 25 del Regolamento;

c) siano fornite agli interessati tutte le informazioni per consentire una piena comprensione circa il trattamento dei dati presenti nella DSU a fini di erogazione dei bonus sociali, nel rispetto di quanto previsto dagli artt. 13 e 14 del Regolamento;

d) siano definite misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, ai sensi dell’art. 32 del Regolamento, con riferimento alla trasmissione dei dati personali dall’INPS al SII e ai successivi trattamenti effettuati presso il SII, e sia predisposta una valutazione di impatto sulla protezione dei dati dal titolare del trattamento, ai sensi dell’art. 35 del Regolamento.

Roma, 17 dicembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei