g-docweb-display Portlet

Parere del Garante su uno schema di decreto del Presidente del Consiglio dei Ministri recante il regolamento per la revisione delle modalità di determinazione e i campi di applicazione dell'ISEE

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2174496]

Parere del Garante su uno schema di decreto del Presidente del Consiglio dei Ministri recante il regolamento per la revisione delle modalità di determinazione e i campi di applicazione dell´ISEE - 22 novembre 2012

Registro dei provvedimenti
n. 361 del 22 novembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici, componente e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero del lavoro e delle politiche sociali;

Visto l´articolo 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSO

Il Ministero del lavoro e delle politiche sociali ha chiesto il parere del Garante in ordine a uno schema di decreto del Presidente del Consiglio dei Ministri recante il regolamento concernente la revisione delle modalità di determinazione e i campi di applicazione dell´indicatore della situazione economica equivalente (ISEE).

Il decreto è adottato, su proposta del Ministro del lavoro e delle politiche sociali, ai sensi dell´articolo 5 del decreto legge 6 dicembre 2011, n. 201, convertito con modificazioni dalla legge 22 dicembre 2011, n. 214, al fine di rivedere le modalità di determinazione e i campi di applicazione dell´ISEE.

RILEVATO

1. L´ISEE.

L´"ISEE" ("indicatore della situazione economica equivalente") è lo strumento di valutazione della situazione economica dei richiedenti "prestazioni sociali agevolate"; la determinazione e l´applicazione dell´indicatore costituisce livello essenziale delle prestazioni in base all´articolo 117, secondo comma, lettera m), della Costituzione (art. 2, comma 1, dello schema).

L´ISEE rappresenta il rapporto tra l´ISE ("indicatore della situazione economica", derivante, a sua volta, dalla somma dell´indicatore della situazione reddituale e del venti per cento dell´indicatore della situazione patrimoniale) e il parametro della scala di equivalenza corrispondente alla specifica composizione del nucleo familiare (art. 2, comma 2, e all. 1 per quanto riguarda la scala di equivalenza).

L´ISEE differisce sulla base della tipologia di prestazione richiesta (prestazioni di natura sociosanitaria; prestazioni rivolte a minorenni, in presenza di genitori non conviventi; prestazioni per il diritto allo studio universitario) (art. 2, comma 4).

Esso è calcolato sulla base delle informazioni raccolte con un apposito modello di dichiarazione presentata dall´interessato ("dichiarazione sostitutiva unica" – DSU), e delle altre informazioni disponibili negli archivi dell´INPS e dell´Agenzia delle entrate, acquisite dal sistema informativo dell´ISEE (artt. 2, comma 6, e 11).

La dichiarazione, che deve fare riferimento al "nucleo familiare" di appartenenza dell´interessato (famiglia anagrafica), è resa ai sensi del testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa e può essere presentata ai Comuni o ai centri di assistenza fiscale o anche  all´amministrazione pubblica in qualità di ente erogatore della specifica prestazione o, infine, all´INPS competente per territorio (art. 10, commi 1 e 6); l´elenco delle informazioni da "autodichiarare" comprende, tra l´altro, anche dati sensibili come la condizione di disabilità media, grave e di non autosufficienza (art. 10, comma 7, dello schema; allegato 3).

2. Il Sistema informativo dell´ISEE gestito dall´INPS.

I soggetti incaricati della ricezione della DSU (Comuni,  centri di assistenza fiscale, ente erogatore o INPS competente per territorio) trasmettono per via telematica i dati in essa contenuti al sistema informativo dell´ISEE gestito dall´INPS, rilasciando al dichiarante ricevuta dell´avvenuta presentazione della dicharazione; al fine di alimentare il sistema informativo dell´ISEE, l´INPS può stipulare convenzioni con i centri di assistenza fiscale per le imprese e per i lavoratori dipendenti e pensionati relativamente alla trasmissione delle DSU (art. 11, comma 1).

Le informazioni (non autodichiarate) per il calcolo dell´ISEE di cui al sistema informativo dell´anagrafe tributaria sono trasmesse dall´Agenzia delle entrate all´INPS che, a tal fine, sulla base di un´apposita convenzione con l´Agenzia delle entrate stipulata sentito il Garante, attiva le procedure di scambio telematico delle informazioni nel rispetto delle misure di sicurezza previste dal Codice in materia di protezione dei dati personali (d. lg. n. 196 del 2003, di seguito "Codice") (art. 11, commi 2, 14 e 15).

La medesima Agenzia, in relazione ai dati autodichiarati, comunica all´INPS l´esistenza di omissioni, ovvero difformità degli stessi rispetto ai dati presenti nel Sistema informativo dell´anagrafe tributaria; quanto ai dati autodichiarati per i quali l´Agenzia non dispone di informazioni utili, l´INPS stabilisce invece procedure per individuare l´esistenza di omissioni ovvero difformità tramite la consultazione dei pertinenti archivi amministrativi delle altre pubbliche amministrazioni, secondo le norme in vigore (art. 11, comma 3).

L´INPS determina l´ISEE sulla base delle componenti autodichiarate dal dichiarante, degli elementi acquisiti dall´Agenzia delle entrate e di quelli presenti nei propri archivi amministrativi.

L´attestazione riportante l´ISEE, il contenuto della DSU, nonché gli altri elementi informativi sono resi disponibili dall´INPS al dichiarante, anche mediante accesso all´area servizi del portale web, ovvero mediante posta elettronica certificata. Previo specifico mandato conferito dal dichiarante, l´attestazione e le informazioni predette possono essere rese disponibili al dichiarante stesso per il tramite dei soggetti incaricati della ricezione della DSU. A tale riguardo, si evidenzia che lo schema di decreto prevede che l´INPS (con decreto direttoriale, da adottarsi, sentito anche il Garante, ai sensi dell´articolo 12, comma 2), individui le misure e gli accorgimenti  per garantire che l´accesso a tali dati da parte degli operatori dei soggetti incaricati della ricezione della DSU avvenga "solo ai fini della consegna al dichiarante, nonché ad impedire la creazione di banche dati delle DSU presso i soggetti medesimi" (art. 11, comma 4).

Per altro verso, l´INPS rende disponibile, mediante accesso al sistema informativo, agli enti erogatori utilizzatori della DSU presso i quali il richiedente ha presentato specifica domanda di prestazioni sociali agevolate, l´ISEE e la composizione del nucleo familiare, "nonché, ove necessario, le informazioni analitiche pertinenti e non eccedenti per le medesime finalità" (art. 11, comma 10).

3. La protezione dei dati personali.

Titolare del trattamento dei dati del sistema informativo dell´ISEE è l´INPS, che ne garantisce altresì la gestione tecnica ed informatica; l´ente erogatore è invece titolare del trattamento dei dati relativi agli utenti delle prestazioni da esso erogate (art. 12, comma 1).

Per quanto riguarda la conservazione dei dati, questi ultimi sono conservati dall´INPS, dall´Agenzia delle entrate e dagli enti erogatori per un periodo di tempo non superiore a quello necessario per i controlli, nel rispetto di quanto previsto dal Codice (art. 11, comma 1, lettera e),  del Codice; art. 11, comma 5, dello schema). Con specifico riferimento ai centri di assistenza fiscale,  i dati sono conservati al solo fine di consentire le verifiche da parte dell´INPS e degli enti erogatori, distruggendo i medesimi dati dopo due anni dalla trasmissione dei dati all´INPS (art. 11, comma 3).

La delicatezza dei dati trattati e la complessità dei flussi informativi del sistema informativo ISEE previsti dal decreto impongono l´adozione di idonee e preventive misure di sicurezza. Esse saranno specificamente individuate dall´INPS con un disciplinare tecnico, da approvare mediante decreto direttoriale, sentito il Garante, al fine di ridurre al minimo i rischi di distruzione o perdita anche accidentali dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. In particolare, dovranno essere specificate regole tecniche e procedure di sicurezza relative al software e ai servizi telematici idonee a garantire "la riservatezza dei dati trattati nell´ambito del sistema informativo ISEE, anche in riferimento alle modalità di accesso" (art. 12, comma 2).

4. I provvedimenti di attuazione.

Oltre al predetto decreto direttoriale dell´Inps in materia di sicurezza, lo schema di regolamento, come abbiamo in parte già descritto, prevede l´adozione di un numero cospicuo di atti e provvedimenti di attuazione, da parte del Ministero del lavoro, dell´INPS e anche dell´Agenzia dell´entrate, da emanare previo parere del Garante.

Per quanto riguarda il Ministero del lavoro e delle politiche sociali, si tratta, in particolare, dei seguenti:

a) il modello tipo della DSU sarà stabilito con provvedimento del Ministero, di concerto con il Ministero dell´economia e delle finanze, su proposta dell´INPS, sentita l´Agenzia delle entrate e il Garante, e dovrà contenente l´informativa di cui all´articolo 13 del Codice (art. 10, comma 3);

b) con uno o più decreti del Ministero emanati con le medesime modalità (quindi, sentito anche il Garante), è possibile modificare l´elenco delle informazioni autodichiarate, nonché integrare il modello-tipo di DSU anche per esigenze di controllo dei dati, "in relazione alla evoluzione dei sistemi informativi e dell´assetto dei relativi flussi d´informazione" (articolo 10, comma 9);

c)  anche al fine di semplificare la compilazione della DSU, con uno o più decreti del Ministero, sentita l´Agenzia delle entrate e il Garante, sono identificate le componenti del patrimonio mobiliare i cui dati sono acquisibili nell´apposita sezione dell´anagrafe tributaria prevista dall´articolo 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605 (articolo 10, comma 8).

Al riguardo, l´Autorità resta in attesa di ricevere gli schemi dei decreti e dei provvedimenti di competenza del Ministero (come pure, ovviamente, quelli degli altri organi interessati), e in sede di espressione del parere potrà valutare la conformità alla normativa in materia di protezione dei dati personali della disciplina che sarà stabilita.

Con riferimento alla raccolta di dati presso l´anagrafe tributaria, il decreto prevede invece che le modalità attuative e le specifiche tecniche per lo scambio di tali informazioni, nonché le informazioni medesime, siano disciplinate con apposita convenzione stipulata tra l´INPS e l´Agenzia delle entrate, sentito il Garante, in conformità al Codice (art. 11, comma 14). L´evoluzione dei sistemi informativi dell´INPS e dell´Agenzia delle entrate potrà comportare poi "specifiche attività di sperimentazione finalizzate a sviluppare l´assetto dei relativi flussi di informazione", da individuare con modalità da sottoporre a parere del Garante (art. 11, comma 15).

Al riguardo si ricorda che, nel recentissimo provvedimento del Garante del 15 novembre 2012, relativo alla c.d. comunicazione integrativa annuale dall´anagrafe tributaria da parte degli operatori finanziari dei dati contabili dei rapporti in essere (art. 11 del decreto legge 6 dicembre  2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214), l´Autorità ha stabilito che l´Agenzia deve sottoporre alla verifica preliminare del Garante i casi di trattamento dei dati oggetto della predetta comunicazione integrativa annuale, ivi compreso quello in esame, al fine dell´individuazione di procedure e garanzie idonee a consentire il rispetto di tali diritti e libertà (art. 17 del Codice).

L´odierno schema prevede, inoltre, che, laddove non sia già stato acquisito il valore sintetico di componenti il patrimonio mobiliare dall´archivio dei rapporti finanziari, ai fini dei successivi controlli relativi alla consistenza del patrimonio mobiliare, l´Agenzia delle entrate effettui, nei modi e nei termini stabiliti con provvedimento del Direttore, apposite richieste ai suddetti operatori di informazioni pertinenti ai fini del controllo, avvalendosi delle relative procedure automatizzate di colloquio. Ciò, sulla base di criteri selettivi tra i quali la presenza di specifiche omissioni o difformità rilevate sull´esistenza non dichiarata di rapporti con i medesimi operatori ovvero la presenza di incongruenze tra la componente reddituale e quella patrimoniale (art. 11, comma 11).

Nell´ambito dei pareri su tali provvedimenti attuativi, il Garante valuterà il rispetto delle garanzie in materia di protezione di dati personali.

RILEVATO

Il parere è reso su di una versione dello schema di decreto che tiene conto degli approfondimenti e delle indicazioni suggeriti dall´Ufficio del Garante ai competenti uffici dell´Amministrazione interessata nel corso di riunioni e contatti informali, volti a perfezionare il testo e a rendere conformi alla disciplina in materia di protezione dei dati personali i trattamenti previsti dal provvedimento.

Le osservazioni dell´Ufficio hanno riguardato, in particolare:

- l´ambito soggettivo di applicazione delle disposizioni in esame (differenza tra beneficiario e richiedente), anche in relazione ad alcune incertezze interpretative riferibili al coordinamento con la normativa precedente;

- la pertinenza e non eccedenza dei dati trattati, conformemente ai principi di proporzionalità, finalità e pertinenza rispetto agli scopi perseguiti, anche prevedendo, con specifico riferimento ai dati non autodichiarati acquisiti dall´anagrafe tributaria, la restituzione di un valore esclusivamente sintetico rappresentativo delle componenti del patrimonio mobiliare, in luogo dell´analitica individuazione delle stesse;

- le misure idonee e preventive di sicurezza nella raccolta e nella trasmissione dei dati, da individuarsi rispetto a tutte le fasi del trattamento;

- i limiti e le condizioni relative al trattamento dei dati nell´ambito del sistema informativo ISEE da parte dei centri di assistenza fiscale e degli enti erogatori.

Le osservazioni sono state integralmente recepite dall´Amministrazione interessata e lo schema di decreto non presenta criticità sotto il profilo della protezione dei dati personali.

Il Garante non ha, pertanto, osservazioni da formulare.

IL GARANTE

esprime parere favorevole sul decreto del Presidente del Consiglio dei Ministri recante il regolamento concernente la revisione delle modalità di determinazione e i campi di applicazione dell´indicatore della situazione economica equivalente (ISEE).

Roma, 22 novembre 2012

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia