Parere del Garante su uno schema di decreto del Presidente del Consiglio dei Ministri recante il regolamento per la revisione delle modalità di determinazione e i campi di applicazione dell'ISEE

Parere del Garante su uno schema didecreto del Presidente del Consiglio dei Ministri recante il regolamento per larevisione delle modalità di determinazione e i campi di applicazione dell'ISEE

PROVVEDIMENTO DEL 22 NOVEMBRE 2012

Registro dei provvedimenti n. 361 del 22 novembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici, componente e del dott. Giuseppe Busia, segretario generale;

Vistala richiesta di parere del Ministero del lavoro e delle politiche sociali;

Vistol'articolo 154, commi 4 e 5, del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196);

Vistala documentazione in atti;

Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatorela dott.ssa Augusta Iannini;

PREMESSO

IlMinistero del lavoro e delle politiche sociali ha chiesto il parere del Garantein ordine a uno schema di decreto del Presidente del Consiglio dei Ministrirecante il regolamento concernente la revisione delle modalità dideterminazione e i campi di applicazione dell'indicatore della situazioneeconomica equivalente (ISEE).

Ildecreto è adottato, su proposta del Ministro del lavoro e delle politichesociali, ai sensi dell'articolo 5 del decreto legge 6 dicembre 2011, n. 201,convertito con modificazioni dalla legge 22 dicembre 2011, n. 214, al fine dirivedere le modalità di determinazione e i campi di applicazione dell'ISEE.

RILEVATO

1. L'ISEE.

L'"ISEE"("indicatore della situazione economica equivalente") è lo strumentodi valutazione della situazione economica dei richiedenti "prestazionisociali agevolate"; la determinazione e l'applicazione dell'indicatorecostituisce livello essenziale delle prestazioni in base all'articolo 117,secondo comma, lettera m), della Costituzione (art. 2, comma 1, dello schema).

L'ISEErappresenta il rapporto tra l'ISE ("indicatore della situazioneeconomica", derivante, a sua volta, dalla somma dell'indicatore dellasituazione reddituale e del venti per cento dell'indicatore della situazionepatrimoniale) e il parametro della scala di equivalenza corrispondente allaspecifica composizione del nucleo familiare (art. 2, comma 2, e all. 1 perquanto riguarda la scala di equivalenza).

L'ISEEdifferisce sulla base della tipologia di prestazione richiesta (prestazioni dinatura sociosanitaria; prestazioni rivolte a minorenni, in presenza di genitorinon conviventi; prestazioni per il diritto allo studio universitario) (art. 2,comma 4).

Essoè calcolato sulla base delle informazioni raccolte con un apposito modello didichiarazione presentata dall'interessato ("dichiarazione sostitutivaunica" – DSU), e delle altre informazioni disponibili negli archividell'INPS e dell'Agenzia delle entrate, acquisite dal sistema informativodell'ISEE (artt. 2, comma 6, e 11).

Ladichiarazione, che deve fare riferimento al "nucleo familiare" diappartenenza dell'interessato (famiglia anagrafica), è resa ai sensi del testounico delle disposizioni legislative e regolamentari in materia didocumentazione amministrativa e può essere presentata ai Comuni o ai centri diassistenza fiscale o anche all'amministrazione pubblica in qualità diente erogatore della specifica prestazione o, infine, all'INPS competente perterritorio (art. 10, commi 1 e 6); l'elenco delle informazioni da"autodichiarare" comprende, tra l'altro, anche dati sensibili come lacondizione di disabilità media, grave e di non autosufficienza (art. 10, comma7, dello schema; allegato 3).

2. Il Sistema informativo dell'ISEE gestitodall'INPS.

Isoggetti incaricati della ricezione della DSU (Comuni, centri diassistenza fiscale, ente erogatore o INPS competente per territorio)trasmettono per via telematica i dati in essa contenuti al sistema informativodell'ISEE gestito dall'INPS, rilasciando al dichiarante ricevuta dell'avvenutapresentazione della dicharazione; al fine di alimentare il sistema informativodell'ISEE, l'INPS può stipulare convenzioni con i centri di assistenza fiscaleper le imprese e per i lavoratori dipendenti e pensionati relativamente allatrasmissione delle DSU (art. 11, comma 1).

Leinformazioni (non autodichiarate) per il calcolo dell'ISEE di cui al sistemainformativo dell'anagrafe tributaria sono trasmesse dall'Agenzia delle entrateall'INPS che, a tal fine, sulla base di un'apposita convenzione con l'Agenziadelle entrate stipulata sentito il Garante, attiva le procedure di scambiotelematico delle informazioni nel rispetto delle misure di sicurezza previstedal Codice in materia di protezione dei dati personali (d. lg. n. 196 del 2003,di seguito "Codice") (art. 11, commi 2, 14 e 15).

Lamedesima Agenzia, in relazione ai dati autodichiarati, comunica all'INPSl'esistenza di omissioni, ovvero difformità degli stessi rispetto ai datipresenti nel Sistema informativo dell'anagrafe tributaria; quanto ai datiautodichiarati per i quali l'Agenzia non dispone di informazioni utili, l'INPSstabilisce invece procedure per individuare l'esistenza di omissioni ovverodifformità tramite la consultazione dei pertinenti archivi amministrativi dellealtre pubbliche amministrazioni, secondo le norme in vigore (art. 11, comma 3).

L'INPSdetermina l'ISEE sulla base delle componenti autodichiarate dal dichiarante,degli elementi acquisiti dall'Agenzia delle entrate e di quelli presenti neipropri archivi amministrativi.

L'attestazioneriportante l'ISEE, il contenuto della DSU, nonché gli altri elementiinformativi sono resi disponibili dall'INPS al dichiarante, anche medianteaccesso all'area servizi del portale web, ovvero mediante posta elettronicacertificata. Previo specifico mandato conferito dal dichiarante, l'attestazionee le informazioni predette possono essere rese disponibili al dichiarantestesso per il tramite dei soggetti incaricati della ricezione della DSU. A taleriguardo, si evidenzia che lo schema di decreto prevede che l'INPS (con decretodirettoriale, da adottarsi, sentito anche il Garante, ai sensi dell'articolo12, comma 2), individui le misure e gli accorgimenti per garantire chel'accesso a tali dati da parte degli operatori dei soggetti incaricati dellaricezione della DSU avvenga "solo ai fini della consegna al dichiarante,nonché ad impedire la creazione di banche dati delle DSU presso i soggettimedesimi" (art. 11, comma 4).

Peraltro verso, l'INPS rende disponibile, mediante accesso al sistema informativo,agli enti erogatori utilizzatori della DSU presso i quali il richiedente hapresentato specifica domanda di prestazioni sociali agevolate, l'ISEE e lacomposizione del nucleo familiare, "nonché, ove necessario, leinformazioni analitiche pertinenti e non eccedenti per le medesime finalità"(art. 11, comma 10).

3. La protezione dei dati personali.

Titolaredel trattamento dei dati del sistema informativo dell'ISEE è l'INPS, che negarantisce altresì la gestione tecnica ed informatica; l'ente erogatore èinvece titolare del trattamento dei dati relativi agli utenti delle prestazionida esso erogate (art. 12, comma 1).

Perquanto riguarda la conservazione dei dati, questi ultimi sono conservatidall'INPS, dall'Agenzia delle entrate e dagli enti erogatori per un periodo ditempo non superiore a quello necessario per i controlli, nel rispetto di quantoprevisto dal Codice (art. 11, comma 1, lettera e), del Codice; art. 11,comma 5, dello schema). Con specifico riferimento ai centri di assistenzafiscale, i dati sono conservati al solo fine di consentire le verificheda parte dell'INPS e degli enti erogatori, distruggendo i medesimi dati dopodue anni dalla trasmissione dei dati all'INPS (art. 11, comma 3).

Ladelicatezza dei dati trattati e la complessità dei flussi informativi delsistema informativo ISEE previsti dal decreto impongono l'adozione di idonee epreventive misure di sicurezza. Esse saranno specificamente individuatedall'INPS con un disciplinare tecnico, da approvare mediante decretodirettoriale, sentito il Garante, al fine di ridurre al minimo i rischi didistruzione o perdita anche accidentali dei dati, di accesso non autorizzato odi trattamento non consentito o non conforme alle finalità della raccolta. Inparticolare, dovranno essere specificate regole tecniche e procedure disicurezza relative al software e ai servizi telematici idonee a garantire"la riservatezza dei dati trattati nell'ambito del sistema informativoISEE, anche in riferimento alle modalità di accesso" (art. 12, comma 2).

4. I provvedimenti di attuazione.

Oltreal predetto decreto direttoriale dell'Inps in materia di sicurezza, lo schemadi regolamento, come abbiamo in parte già descritto, prevede l'adozione di unnumero cospicuo di atti e provvedimenti di attuazione, da parte del Ministerodel lavoro, dell'INPS e anche dell'Agenzia dell'entrate, da emanare previoparere del Garante.

Perquanto riguarda il Ministero del lavoro e delle politiche sociali, si tratta,in particolare, dei seguenti:

a) ilmodello tipo della DSU sarà stabilito con provvedimento del Ministero, diconcerto con il Ministero dell'economia e delle finanze, su proposta dell'INPS,sentita l'Agenzia delle entrate e il Garante, e dovrà contenente l'informativadi cui all'articolo 13 del Codice (art. 10, comma 3);

b) conuno o più decreti del Ministero emanati con le medesime modalità (quindi,sentito anche il Garante), è possibile modificare l'elenco delle informazioniautodichiarate, nonché integrare il modello-tipo di DSU anche per esigenze dicontrollo dei dati, "in relazione alla evoluzione dei sistemi informativie dell'assetto dei relativi flussi d'informazione" (articolo 10, comma 9);

c) anche al fine di semplificare la compilazione della DSU, con uno o più decretidel Ministero, sentita l'Agenzia delle entrate e il Garante, sono identificatele componenti del patrimonio mobiliare i cui dati sono acquisibilinell'apposita sezione dell'anagrafe tributaria prevista dall'articolo 7, sestocomma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605(articolo 10, comma 8).

Alriguardo, l'Autorità resta in attesa di ricevere gli schemi dei decreti e deiprovvedimenti di competenza del Ministero (come pure, ovviamente, quelli deglialtri organi interessati), e in sede di espressione del parere potrà valutarela conformità alla normativa in materia di protezione dei dati personali delladisciplina che sarà stabilita.

Conriferimento alla raccolta di dati presso l'anagrafe tributaria, il decretoprevede invece che le modalità attuative e le specifiche tecniche per loscambio di tali informazioni, nonché le informazioni medesime, sianodisciplinate con apposita convenzione stipulata tra l'INPS e l'Agenzia delleentrate, sentito il Garante, in conformità al Codice (art. 11, comma 14).L'evoluzione dei sistemi informativi dell'INPS e dell'Agenzia delle entratepotrà comportare poi "specifiche attività di sperimentazione finalizzate asviluppare l'assetto dei relativi flussi di informazione", da individuarecon modalità da sottoporre a parere del Garante (art. 11, comma 15).

Alriguardo si ricorda che, nel recentissimo provvedimento del Garante del 15novembre 2012, relativo alla c.d. comunicazione integrativa annualedall'anagrafe tributaria da parte degli operatori finanziari dei dati contabilidei rapporti in essere (art. 11 del decreto legge 6 dicembre 2011, n.201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214),l'Autorità ha stabilito che l'Agenzia deve sottoporre alla verifica preliminaredel Garante i casi di trattamento dei dati oggetto della predetta comunicazioneintegrativa annuale, ivi compreso quello in esame, al fine dell'individuazionedi procedure e garanzie idonee a consentire il rispetto di tali diritti elibertà (art. 17 del Codice).

L'odiernoschema prevede, inoltre, che, laddove non sia già stato acquisito il valoresintetico di componenti il patrimonio mobiliare dall'archivio dei rapportifinanziari, ai fini dei successivi controlli relativi alla consistenza delpatrimonio mobiliare, l'Agenzia delle entrate effettui, nei modi e nei terministabiliti con provvedimento del Direttore, apposite richieste ai suddettioperatori di informazioni pertinenti ai fini del controllo, avvalendosi dellerelative procedure automatizzate di colloquio. Ciò, sulla base di criteriselettivi tra i quali la presenza di specifiche omissioni o difformità rilevatesull'esistenza non dichiarata di rapporti con i medesimi operatori ovvero lapresenza di incongruenze tra la componente reddituale e quella patrimoniale(art. 11, comma 11).

Nell'ambitodei pareri su tali provvedimenti attuativi, il Garante valuterà il rispettodelle garanzie in materia di protezione di dati personali.

RILEVATO

Ilparere è reso su di una versione dello schema di decreto che tiene conto degliapprofondimenti e delle indicazioni suggeriti dall'Ufficio del Garante aicompetenti uffici dell'Amministrazione interessata nel corso di riunioni econtatti informali, volti a perfezionare il testo e a rendere conformi alladisciplina in materia di protezione dei dati personali i trattamenti previstidal provvedimento.

Leosservazioni dell'Ufficio hanno riguardato, in particolare:

-l'ambito soggettivo di applicazione delle disposizioni in esame (differenza trabeneficiario e richiedente), anche in relazione ad alcune incertezzeinterpretative riferibili al coordinamento con la normativa precedente;

- lapertinenza e non eccedenza dei dati trattati, conformemente ai principi diproporzionalità, finalità e pertinenza rispetto agli scopi perseguiti, ancheprevedendo, con specifico riferimento ai dati non autodichiarati acquisitidall'anagrafe tributaria, la restituzione di un valore esclusivamente sinteticorappresentativo delle componenti del patrimonio mobiliare, in luogodell'analitica individuazione delle stesse;

- lemisure idonee e preventive di sicurezza nella raccolta e nella trasmissione deidati, da individuarsi rispetto a tutte le fasi del trattamento;

- ilimiti e le condizioni relative al trattamento dei dati nell'ambito del sistemainformativo ISEE da parte dei centri di assistenza fiscale e degli enti erogatori.

Leosservazioni sono state integralmente recepite dall'Amministrazione interessatae lo schema di decreto non presenta criticità sotto il profilo della protezionedei dati personali.

IlGarante non ha, pertanto, osservazioni da formulare.

IL GARANTE

esprimeparere favorevole sul decreto del Presidente del Consiglio dei Ministri recanteil regolamento concernente la revisione delle modalità di determinazione e icampi di applicazione dell'indicatore della situazione economica equivalente(ISEE).

Roma, 22 novembre 2012

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia