g-docweb-display Portlet

Consultazione preventiva sulla valutazione d’impatto sulla protezione dei dati, predisposta dal Dipartimento per le politiche giovanili e il servizio civile universale presso Presidenza del Consiglio dei Ministri, concernente il trattamento dei dati nell’ambito dell’iniziativa "Carta giovani nazionale" - 28 ottobre 2021 [9722681]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE NEWSLETTER DEL 3 DICEMBRE 2021

[doc. web n. 9722681]

Consultazione preventiva sulla valutazione d’impatto sulla protezione dei dati, predisposta dal Dipartimento per le politiche giovanili e il servizio civile universale presso Presidenza del Consiglio dei Ministri, concernente il trattamento dei dati nell’ambito dell’iniziativa "Carta giovani nazionale" - 28 ottobre 2021

Registro dei provvedimenti
n. 391 del 28 ottobre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO l’art. 1, commi 413 e 414, della legge 27 dicembre 2019, n. 160, che prevede che:

- “Al fine di promuovere l'accesso ai beni e ai servizi ai cittadini italiani ed europei residenti in Italia, di età compresa tra 18 e 35 anni, è istituito presso la Presidenza del Consiglio dei ministri un fondo denominato «Fondo per la Carta giovani nazionale (CGN)» con una dotazione di 5 milioni di euro per ciascuno degli anni 2020, 2021 e 2022” (comma 413);

- “Con decreto del Ministro per le politiche giovanili e lo sport, da adottare entro sessanta giorni dalla data di entrata in vigore della presente legge, sono definiti i criteri, le funzionalità e le modalità per la realizzazione e la distribuzione della Carta giovani nazionale (CGN)” (comma 414);

VISTO il decreto del Ministro per le politiche giovanili e lo sport 27 febbraio 2020, concernente l’istituzione della Carta giovani nazionale (di seguito, CGN) prevista dal richiamato art. 1, comma 413, della l. 160/2019, recante le finalità, i criteri, le funzionalità e le modalità per la realizzazione e la distribuzione della CGN medesima, la quale viene definita come “uno strumento virtuale, cui è possibile accedere attraverso l’APP IO, dedicata ai giovani italiani e europei residenti in Italia, a partire dal compimento del diciottesimo anno e fino al compimento del trentaseiesimo anno di età”, che “consente ai beneficiari di ottenere agevolazioni per accedere a beni e servizi” (art. 2); agevolazioni che “hanno carattere individuale e nominativo, in quanto possono essere utilizzate, presso gli operatori accreditati, esclusivamente dal beneficiario registrato” mediante “le credenziali richieste dall’APP IO” (art. 5);

VISTA la determina n. 505/2021 del 3 agosto 2021, adottata dal Capo del Dipartimento per le politiche giovanili e il servizio civile universale presso la Presidenza del Consiglio dei Ministri (di seguito, Dipartimento), recante il “Disciplinare per il trattamento dei dati nell’ambito del progetto “Carta Giovani Nazionale””, che “individua in termini generali le condizioni, i criteri e le modalità del trattamento dei dati nell’ambito del Programma “Carta Giovani Nazionale”, in conformità al principio di minimizzazione e proporzionalità ai sensi dell’art. 8 del Decreto per le finalità già indicate nell’art. 1, commi 413 e 414, della Legge 27 dicembre 2019, n. 160 e nel medesimo Decreto, ai sensi dell’art. 6, comma 1, lett. e) del GDPR e dell’art. 2-ter del Codice Privacy” (art. 2) – disciplinare su cui il Garante ha espresso parere favorevole con provv. n. 276 del 22 luglio 2021 (reperibile su www.garanteprivacy.it, doc. web n. 9689751) e a cui si rinvia per quanto riguarda la descrizione del trattamento;

VISTO, in particolare, l’art. 4 del richiamato disciplinare che stabilisce che “4.1. Il Titolare effettua, prima del trattamento, la valutazione di impatto ai sensi dell'articolo 35 del Regolamento (UE) 2016/679 e la sottopone alla verifica preventiva del Garante per la protezione dei dati personali. 4.2. Nella valutazione di impatto sono indicate, tra l'altro, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonché a tutela dei diritti e delle libertà degli interessati. In particolare, sono indicate le misure adottate al fine di minimizzare il trattamento dei dati, compresi quelli relativi alla posizione geografica dell’interessato di cui al successivo art. 9.3”;

VISTA la nota inviata dal Dipartimento in data 7 ottobre 2021, con la quale, all’esito delle interlocuzioni intercorse con l’Ufficio del Garante, è stata trasmessa all’Autorità la valutazione d’impatto sulla protezione dei dati, di cui all’art. 35 del Regolamento;

RILEVATO che, nella valutazione di impatto, vengono descritti i seguenti trattamenti e attività: adesione al Programma da parte dei beneficiari, attivazione e visualizzazione della CGN nell’App IO; invio di comunicazioni correlate alla partecipazione al Programma; trattamento dei dati degli operatori necessari per il convenzionamento e delle agevolazioni collegate alla CGN; fruizione delle agevolazioni CGN presso gli operatori (esercenti fisici e online); attività di debug, diagnostica, troubleshooting e incident response, compresa la conservazione di dati e log tecnici degli eventi in App e sulla Piattaforma IO (allegando altresì il dettaglio dei dati e dei log tecnici del Programma); attività di assistenza; trattamento di dati aggregati e reportistica; scadenza della CGN; disattivazione della CGN per volontà del beneficiario; revoca della CGN per abusi o usi difformi; sospensione delle agevolazioni e cessazione del rapporto di convenzionamento;

RILEVATO, altresì, che la valutazione di impatto, oltre che a riportare anche i ruoli dei soggetti coinvolti – ossia il Dipartimento (in qualità di titolare del trattamento) e le società PagoPA S.p.A. e Studiare Sviluppo S.r.l. (in qualità di responsabili del trattamento) – sulla base dei compiti indicati nel citato d.m. del 27 febbraio 2020, si occupa di definire le misure di protezione dei diritti degli interessati, analizzare i rischi relativi alla sicurezza dei dati e, conseguentemente, disporre l’adozione delle misure volte a mitigarli;

CONSIDERATO che la versione della valutazione di impatto è stata elaborata anche tenendo conto delle indicazioni fornite dall’Ufficio, nell’ambito delle interlocuzioni informali con i rappresentati del Dipartimento, di PagoPA S.p.A. e di Studiare Sviluppo S.r.l., volte ad assicurare il rispetto del Regolamento, con particolare riferimento a:

- l’individuazione delle attività svolte nell’ambito del trattamento (compresi i passaggi attraverso cui si estrinseca l’adesione al Programma da parte dei beneficiari), nonché, in relazione a ciascuna di esse, i compiti e le responsabilità ricadenti sul titolare (il Dipartimento) e sui responsabili del trattamento (PagoPA S.p.A. e Studiare Sviluppo S.r.l.), nel rispetto del principio di responsabilizzazione di cui all’art. 5, par. 2, del Regolamento, nonché dei successivi artt. 24 e 28;

- il rispetto del principio di minimizzazione dei dati e di privacy by design e by default, di cui agli artt. 5, par. 1, lett. c), e 25 del Regolamento, nell’individuazione dei dati personali oggetto di ciascuna delle specifiche attività svolte nell’ambito del trattamento in questione, compresa la perimetrazione dei dati e log tecnici relativi alle azioni compiute tramite l’App da parte dei beneficiari;

- le modalità di svolgimento dei controlli, con riferimento sia ad abusi o usi difformi della CGN da parte dei beneficiari, sia al rispetto del rapporto di convenzionamento da parte degli operatori, escludendo forme di monitoraggio sistematico sugli interessati, in ossequio ai principi di liceità, trasparenza, limitazione della finalità e proporzionalità di cui agli artt. 5, par. 1, lett. a) e b), e 6, par. 3, del Regolamento;

- l’effettuazione di trattamenti con finalità di reportistica, allo scopo di poter consentire una verifica dell’attuazione e dell’andamento del Programma, mediante dati aggregati in modo che non si possa trarre alcun riferimento relativamente a persone identificate o identificabili, nel rispetto del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento;

- con riferimento all’utilizzo dell’App IO, l’impegno ad osservare le misure e gli accorgimenti prescritti nei provvedimenti del Garante rivolti a PagoPA S.p.A. e le previsioni di cui alle Linee guida dell’AgID sul punto di accesso telematico ai servizi della pubblica amministrazione, di cui all’art. 64-bis del d.lgs. 7 marzo 2005;

CONSIDERATO che il trattamento di dati personali effettuato nell’ambito del Programma CGN presenta rischi elevati per i diritti e le libertà degli interessati, in quanto coinvolge i dati personali potenzialmente di milioni di interessati, rientranti in una specifica fascia di età, per consentire a tali soggetti la fruizione di agevolazioni nell’acquisto di beni o servizi, e che la valutazione di impatto sulla protezione dei dati effettuata dal Dipartimento ai sensi dell’art. 35 del Regolamento, in coerenza con quanto stabilito nel d.m. del 27 febbraio 2020 e nel disciplinare del 3 agosto 2021 (cfr., in particolare, art. 4.1), individua le misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio, a tutela dei diritti e delle libertà degli interessati, nonché delle modalità e delle tempistiche circa la conservazione e successiva cancellazione dei dati;

RITENUTO, alla luce di quanto osservato, di non dover formulare ulteriori osservazioni sulla valutazione di impatto in esame;

RITENUTO, in ogni caso, che, con riferimento all’App IO, il presente provvedimento riguarda unicamente i trattamenti descritti nella valutazione di impatto in esame, ovvero quelli effettuati dal Dipartimento in qualità di titolare del trattamento e da PagoPA S.p.A. in qualità di responsabile del trattamento dello stesso;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIO’ PREMESSO, IL GARANTE

ai sensi dell’art. 36 del Regolamento, nonché dell’art. 4.1 della determina n. 505/2021 del 3 agosto 2021, adottata dal Capo del Dipartimento per le politiche giovanili e il servizio civile universale presso la Presidenza del Consiglio dei Ministri, non ha osservazioni da formulare sulla valutazione d'impatto della protezione dei dati, trasmessa dal medesimo Dipartimento per le politiche giovanili e il servizio civile universale, relativa all'iniziativa "Carta Giovani Nazionale" (CGN).

Roma, 28 ottobre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei