Garante Privacy: ok a verifiche Inps su Assegno di inclusione e Supporto formazione e lavoro

---

Condividi l'articolo:

---

Via libera dal Garante della privacy alle modalità e alle misure tecniche e organizzative che l'Inps adotterà per effettuare i controlli sulla concessione dell'Assegno di inclusione (ADI) e del Supporto per la formazione e il lavoro (SFL), acquisendoli presso le proprie banche dati o presso altre amministrazioni.

Nella newsletter pubblicata sul proprio sito istituzionale il 22 ottobre 2024, il Garante ha infatti reso noto quanto stabilito nel Parere n. 541 del 12 settembre 2024: vediamo di che si tratta.

Modalità di verifica dei requisiti

Interoperabilità delle banche dati

L’Inps svolge un ruolo fondamentale nella verifica dei requisiti per l’accesso ai benefici dell’Assegno di inclusione (ADI) e del Supporto per la formazione e lavoro (SFL).

Per garantire che tali verifiche siano accurate e complete, l’Istituto utilizza un sistema di interoperabilità con diverse banche dati appartenenti a varie amministrazioni pubbliche, sistema che consente uno scambio automatico e sicuro di informazioni, riducendo la necessità di interventi manuali e aumentando l'efficienza del processo.

Le banche dati coinvolte includono, tra le altre, l’Anagrafe Nazionale della Popolazione Residente (ANPR), il Ministero della Giustizia, il Ministero dell’Istruzione e del Merito, il Ministero dell’Interno, l’Agenzia delle Entrate e il Pubblico Registro Automobilistico (PRA).

Queste istituzioni forniscono dati essenziali per confermare i requisiti di residenza, il possesso del permesso di soggiorno, la condizione patrimoniale e immobiliare, la situazione lavorativa e la presenza di eventuali condanne penali o misure cautelari.

Il sistema di interoperabilità permette all'Inps dunque di accedere rapidamente a questi dati attraverso una rete sicura, garantendo il rispetto delle normative sulla protezione dei dati personali.

In questo modo, le informazioni necessarie per la verifica vengono acquisite in maniera puntuale e coerente, assicurando un controllo costante e aggiornato durante tutto il periodo di erogazione dei benefici.

Tipologie di dati utilizzate nelle verifiche

I dati raccolti dall’Inps comprendono principalmente:

• Dati anagrafici: come la residenza, lo stato civile e la composizione del nucleo familiare, che vengono ottenuti principalmente dall'ANPR.
• Dati patrimoniali e reddituali: inclusi i beni immobili e mobili registrati, come veicoli e proprietà, nonché le informazioni relative all'Indicatore della Situazione Economica Equivalente (ISEE), forniti dall’Agenzia delle Entrate e dal PRA.
• Dati lavorativi: informazioni sullo stato occupazionale del richiedente e dei membri del nucleo familiare, che provengono dalle comunicazioni obbligatorie dei datori di lavoro e dalle banche dati dell’Inps stesso.
• Dati giudiziari: relativi a eventuali condanne definitive o misure cautelari, che vengono forniti dal Ministero della Giustizia.
• Dati scolastici: obblighi di istruzione per i membri del nucleo familiare di età compresa tra 18 e 29 anni, che sono verificati attraverso il Ministero dell’Istruzione e del Merito.

Questi dati sono utilizzati sia in fase di presentazione della domanda, sia in fase di controllo periodico, con verifiche che avvengono generalmente su base mensile.

Ruolo del SIISL 

Un ruolo fondamentale nel processo di raccolta e gestione dei dati per la verifica dei requisiti è svolto dal Sistema Informativo per l’Inclusione Sociale e Lavorativa (SIISL), istituito dal Decreto Lavoro, che funge da piattaforma centralizzata per l’acquisizione e la gestione delle informazioni necessarie per l’erogazione delle misure di inclusione sociale e professionale.

Il SIISL è progettato per garantire un flusso di dati continuo e sicuro tra l’Inps e le altre amministrazioni coinvolte, facilitando lo scambio di informazioni e migliorando l'efficacia delle verifiche.

Il sistema permette anche di monitorare costantemente la sussistenza dei requisiti necessari per mantenere l’accesso ai benefici, fornendo un supporto integrato per le decisioni e per il controllo delle condizioni economiche, patrimoniali e personali degli interessati.

In questo contesto, il SIISL si rivela un elemento chiave per l’attuazione delle politiche di inclusione sociale e lavorativa, migliorando la collaborazione tra le istituzioni e rafforzando la trasparenza e la sicurezza nella gestione dei dati personali.

Misure a tutela degli interessati

Le misure tecniche e organizzative previste dal disciplinare approvato dal Garante con il Parere n. 541 del 12 settembre 2024 mirano a garantire un trattamento dei dati conforme ai principi del Regolamento (UE) 2016/679 (GDPR), in particolare per quanto riguarda la sicurezza e la riservatezza dei dati personali.

Le principali misure tecniche adottate includono l’uso di sistemi di crittografia per proteggere le informazioni durante la loro trasmissione tra le banche dati delle varie amministrazioni coinvolte, come l’Anagrafe Nazionale della Popolazione Residente (ANPR), il ministero della giustizia e quello dell’istruzione e del merito.

Inoltre, l'Inps applica controlli di accesso limitato ai dati, garantendo che solo personale autorizzato possa visualizzare e gestire le informazioni sensibili.

Questo avviene attraverso l'implementazione di sistemi di autenticazione a più fattori e la tracciabilità di tutte le operazioni eseguite sui dati.

Le informazioni raccolte vengono utilizzate esclusivamente per le finalità previste dalla legge, in particolare per la verifica dei requisiti di accesso alle misure di sostegno.

Una delle componenti centrali del disciplinare è il rispetto del principio di privacy by design e by default: la protezione dei dati è integrata fin dall'inizio nella progettazione dei processi e dei sistemi utilizzati dall'Istituto, garantendo che il trattamento degli stessi sia sempre conforme alle normative vigenti e minimizzando i rischi per gli interessati.

Limitazioni e tempi di conservazione dei dati

Aspetto fondamentale nella gestione dei dati personali da parte dell’Inps è la limitazione del trattamento e i tempi di conservazione delle informazioni: in base allo schema di disciplinare approvato, l'Istituto deve trattare i dati personali esclusivamente per il tempo necessario a verificare i requisiti di accesso ai benefici e a gestire l'erogazione delle prestazioni.

Al termine del processo di verifica o nel caso in cui l’utente non soddisfi più i requisiti, i dati devono essere eliminati o anonimizzati, conformemente alle disposizioni del GDPR.

Per esempio, durante tutto il periodo di erogazione dell’ADI o del SFL, l’Inps deve mantenere i dati aggiornati per poter effettuare controlli periodici ma, una volta conclusa l’erogazione del beneficio, ha l’obbligo di cancellarli entro un periodo di tempo ragionevole, che può variare in base alla tipologia di informazioni.

Per evitare violazioni dei dati personali, l’Istituto adotta una serie di misure preventive che includono la valutazione d’impatto sulla protezione dei dati (DPIA), che identifica i rischi legati al trattamento e propone soluzioni per mitigarli.

Inoltre, vengono attivate procedure di notifica tempestiva in caso di violazioni di sicurezza, come richiesto dagli articoli 33 e 34 del GDPR.

In caso di incidenti, l’INPS è tenuto a informare sia il Garante della Privacy sia gli interessati, qualora le violazioni possano comportare un rischio significativo per i loro diritti e libertà.

Minimizzazione dei dati

La minimizzazione dei dati è un principio sancito dall'art. 5 del GDPR, in base al quale i dati personali raccolti e trattati devono essere adeguati, pertinenti e limitati a quanto strettamente necessario per il raggiungimento delle finalità previste.

Ebbene, nel caso dell’ADI e del SFL, l'Inps deve garantire che vengano trattati solo i dati indispensabili per verificare i requisiti di accesso ai benefici.

Ad esempio, per determinare la condizione economica di un richiedente, l'Istituto richiede soltanto i dati patrimoniali e reddituali essenziali, come il valore dell'Isee e la proprietà di beni immobili; allo stesso modo, per verificare la residenza o la composizione del nucleo familiare, vengono acquisiti esclusivamente i dati anagrafici strettamente necessari, evitando il trattamento di informazioni superflue o non pertinenti.

La minimizzazione dei dati non solo riduce il rischio di violazioni della privacy, ma contribuisce anche a semplificare il processo di verifica e a garantire una maggiore trasparenza nei confronti degli interessati.

L’Inps, sentito il Garante, ha dunque strutturato il processo di verifica in modo da ridurre al minimo la raccolta e la conservazione di dati sensibili, rispettando così i diritti fondamentali delle persone coinvolte.

Parere favorevole del Garante

Il Garante per la protezione dei dati personali si è perciò espresso favorevolmente sullo schema di disciplinare presentato dall'Inps, nel Parere n. 541 del 12 settembre 2024, confermando che il sistema di controllo proposto dall'Istituto è conforme alle normative europee e nazionali in materia di protezione dei dati personali, in particolare al Regolamento (UE) 2016/679 (GDPR).

Il parere favorevole si basa principalmente sull'adeguatezza delle misure tecniche e organizzative adottate per garantire la protezione dei dati personali durante tutto il processo di verifica.

Il Garante ha valutato infatti positivamente l’implementazione di soluzioni tecniche come la crittografia delle informazioni e i sistemi di autenticazione a più fattori, che assicurano un accesso controllato e sicuro ai dati personali da parte delle amministrazioni coinvolte nel processo di verifica, come l’Anagrafe Nazionale della Popolazione Residente (ANPR), il Ministero della Giustizia e altre istituzioni.

Un altro elemento che ha portato il Garante a esprimere un parere positivo è la trasparenza delle procedure previste per la gestione dei dati personali: il disciplinare include chiare disposizioni su come i dati debbano essere acquisiti, utilizzati e conservati, assicurando che gli interessati siano informati in modo esaustivo sui trattamenti effettuati.

Questo contribuisce a garantire un maggiore controllo da parte degli utenti sui propri dati e a promuovere la fiducia nel sistema di verifica.

Il Garante ha inoltre apprezzato l’attenzione posta alla sicurezza del trattamento dei dati, essendo infatti previste misure adeguate per prevenire violazioni dei dati, compresa la tempestiva segnalazione di eventuali incidenti sia agli interessati sia all’Autorità stessa, come richiesto dagli articoli 33 e 34 del GDPR.

Questa gestione proattiva della sicurezza consente di mitigare rapidamente i rischi e ridurre l’impatto di eventuali violazioni.

Infine, il Garante ha valutato favorevolmente l’interoperabilità tra le banche dati delle diverse amministrazioni coinvolte, aspetto essenziale per garantire che il processo di verifica sia efficiente e tempestivo, senza compromettere la protezione dei dati personali.

Il Parere in breve

Aspetto	Caratteristica	Valutazione
Sicurezza dei dati	Implementazione di misure tecniche come crittografia e autenticazione a più fattori.	Positiva. Le misure garantiscono un accesso controllato e sicuro ai dati.
Minimizzazione dei dati	Raccolta dei soli dati necessari per la verifica dei requisiti.	Positiva. Il principio di minimizzazione è stato rispettato.
Trasparenza	Chiarezza delle procedure di acquisizione e trattamento dei dati, con informazioni agli interessati.	Positiva. La trasparenza aumenta la fiducia degli utenti nel sistema.
Interoperabilità tra banche dati	Scambio di dati tra le diverse amministrazioni coinvolte nel processo di verifica dei requisiti.	Positiva. L’interoperabilità migliora l'efficienza senza compromettere la privacy.
Gestione delle violazioni di dati	Procedure per segnalare tempestivamente eventuali violazioni alle autorità e agli interessati.	Positiva. Le misure garantiscono la conformità agli articoli 33 e 34 del GDPR.
Conformità al GDPR	Rispetto dei principi di liceità, correttezza e trasparenza previsti dal Regolamento (UE) 2016/679.	Positiva. Il sistema rispetta i principi del GDPR per il trattamento dei dati personali.