Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. XX, presidente, della dott.ssa XX, vicepresidente, della dott.ssa XX e della prof.ssa XX, componenti, e del dott. XX, segretario generale;
Visto il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati);
Visto il d.lgs. 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;
Visto d.lgs. 30 giugno 2003, n.196 recante “Codice in materia di protezione dei dati personali, così come modificato dal richiamato d.lgs. 10 agosto 2018, n. 101 (di seguito Codice);
Visto il d.lgs. 6 settembre 1989, n. 322 recante “Norme sul Sistema statistico nazionale e sulla riorganizzazione dell’Istituto nazionale di statistica”;
Visto, in particolare, l’art. 6-bis, comma 1-bis, del richiamato d.lgs. 322 del 1989, inserito dall'art. 9, comma 6-bis, lett. c), del d.l. 28 gennaio 2019, n. 4, convertito, con modificazioni, dalla l. 28 marzo 2019, n. 26, secondo cui “per i trattamenti di dati personali, compresi quelli di cui all'articolo 9 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, effettuati per fini statistici di interesse pubblico rilevante ai sensi dell'articolo 2-sexies, comma 2, lettera cc), del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, in conformità all'articolo 108 del medesimo codice, nel programma statistico nazionale sono specificati i tipi di dati, le operazioni eseguibili e le misure adottate per tutelare i diritti fondamentali e le libertà degli interessati, qualora non siano individuati da una disposizione di legge o di regolamento. Il programma statistico nazionale, adottato sentito il Garante per la protezione dei dati personali, indica le misure tecniche e organizzative idonee a garantire la liceità e la correttezza del trattamento, con particolare riguardo al principio di minimizzazione dei dati, e, per ciascun trattamento, le modalità, le categorie dei soggetti interessati, le finalità perseguite, le fonti utilizzate, le principali variabili acquisite, i tempi di conservazione e le categorie dei soggetti destinatari dei dati (…)”;
Visto, inoltre, l’art. 15, comma 1, lett. b) del d.lgs. 322 in base al quale l’Istat ha il compito di provvedere all’”esecuzione dei censimenti e delle altre rilevazioni statistiche previste dal programma statistico nazionale ed affidate alla esecuzione dell'Istituto”;
Vista la legge 27 dicembre 2017, n. 205 recante “Bilancio di previsione dello Stato per l'anno finanziario 2018 e bilancio pluriennale per il triennio 2018-2020” (legge di bilancio), che attribuisce all’Istat il compito di realizzare diversi censimenti, tra cui il “censimento permanente della popolazione e delle abitazioni, ai sensi dell'articolo 3 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e del decreto del Presidente del Consiglio dei ministri 12 maggio 2016 in materia di censimento della popolazione e archivio nazionale dei numeri civici e delle strade urbane” -di seguito censimento permanente- (art. 1, comma 227, lett. a));
Visto l’art. 1, comma 228, della legge di bilancio in base al quale “i censimenti permanenti sono basati sull'utilizzo integrato di fonti amministrative e di altre fonti di dati utili a fini censuari e sullo svolgimento di rilevazioni periodiche. Ai fini dell'integrazione dei dati per l'effettuazione dei censimenti di cui al comma 227, ferme restando ulteriori previsioni nel Programma statistico nazionale, gli enti, le amministrazioni e gli organismi titolari delle basi di dati di seguito indicate sono tenuti a metterle a disposizione dell'ISTAT, secondo le modalità e i tempi stabiliti nei Piani generali di censimento, di cui al comma 232, e nei successivi atti d'istruzione: a) archivi su lavoratori e pensionati dell'INPS; b) archivio delle comunicazioni obbligatorie del Ministero del lavoro e delle politiche sociali; c) anagrafe nazionale degli studenti e Anagrafe nazionale degli studenti e dei laureati delle università del Ministero dell'istruzione, dell'università e della ricerca; d) archivi sui flussi migratori del Ministero dell'interno; e) Sistema informativo integrato di Acquirente unico S.p.A. sui consumi di energia elettrica e gas, previa stipulazione di un protocollo d'intesa tra l'ISTAT e l'Acquirente unico S.p.A., sentiti l'Autorità per l'energia elettrica, il gas e il settore idrico, ridenominata ai sensi del comma 528, il Garante per la protezione dei dati personali e l'Autorità garante della concorrenza e del mercato; f) archivi amministrativi sulle aziende agricole e dati geografici di AGEA; g) anagrafe tributaria, archivi dei modelli fiscali, catasto edilizio, catasto terreni e immobili, comprensivi della componente geografica, archivi sui contratti di locazione e compravendita dei terreni e degli immobili dell'Agenzia delle entrate”.
Visto l’art. 1, comma 232, della legge di bilancio in base al quale l'“ISTAT effettua le operazioni di ciascun censimento attraverso i Piani generali di censimento” (…) che devono definire, in particolare:
“le modalità e i tempi di fornitura e utilizzo dei dati da archivi amministrativi e da altre fonti necessarie allo svolgimento delle operazioni censuarie;
i soggetti tenuti a fornire i dati richiesti, le misure per la protezione dei dati personali e la tutela del segreto statistico di cui all'articolo 9 del decreto legislativo 6 settembre 1989, n. 322, le modalità di diffusione dei dati anche in forma disaggregata e con frequenza inferiore alle tre unità, in conformità all'articolo 13 del medesimo decreto; le modalità della comunicazione dei dati elementari, privi di identificativi, agli enti e organismi pubblici di cui alla lettera a), anche se non facenti parte del Sistema statistico nazionale, necessari per trattamenti statistici strumentali al perseguimento delle rispettive finalità istituzionali, nel rispetto della normativa vigente in materia di protezione dei dati personali” (lett. b) e c));
Visto l’art. 1, comma 233 della legge di bilancio, così come modificato dall’art. 22, comma 7 del d.lgs. 101 del 2018, in base al quale “l'Istat, d'intesa con il Ministero dell'interno, definisce, tramite il Piano generale del censimento permanente della popolazione e delle abitazioni, le circolari e istruzioni tecniche, le modalità di restituzione in forma aggregata ai comuni delle informazioni raccolte nell'ambito del censimento, necessarie ai fini della revisione delle anagrafi della popolazione residente di cui all'articolo 46 del regolamento di cui al decreto del Presidente della Repubblica 30 maggio 1989, n. 223, nonché' le modalità tecniche e la periodicità di tale revisione”;
Viste le “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale”, allegato A.4 al Codice;
Visto il parere sullo schema di Programma statistico nazionale 2017-2019, aggiornamento 2018-2019 (PSN) del 9 maggio 2018 (doc. web 9001732), con il quale il Garante ha espresso parere non favorevole, in particolare, in relazione ai lavori statistici connessi all’attuazione del censimento permanente che sono stati sospesi (cfr. punto 4);
Visto il provvedimento del 4 ottobre 2018 (doc. web 9047672) con il quale il Garante, nell’autorizzare l’Istat ad avviare le operazioni censuarie di raccolta dei dati sul campo -prescrivendo, al contempo, che nell’ambito dell’indagine Areale (A) fosse assicurata agli interessati la possibilità di utilizzare almeno una modalità alternativa di raccolta dati, oltre alla rilevazione porta a porta da parte del rilevatore- ha, altresì, ritenuto necessario, attesi rischi elevati per le libertà e i diritti degli interessati, proseguire gli approfondimenti effettuati, anche in collaborazione con l’Istituto, volti a conformare, alla normativa in materia di protezione dei dati personali, i trattamenti in esame;
Vista la nota dell’Ufficio del Garante, del 19 novembre 2019 (prot. n. 40041), con la quale l’Istituto è stato sollecitato a formalizzare l’invio della documentazione necessaria per le valutazioni di competenza dell’Autorità in relazione agli aspetti di protezione dei dati personali connessi alla realizzazione del censimento permanente e che, all’esito del parere del 4 ottobre 2018, presentavano ancora specifiche criticità indicate nella nota stessa;
Vista la nota, del 29 novembre 2019 (prot. n. 3081653), con la quale l’Istat, a seguito del richiamato provvedimento del Garante del 4 ottobre 2018 e delle numerose interlocuzione con l’Autorità, nel rappresentare la necessita di “dover provvedere entro il più breve tempo possibile al rilascio di una prima parte delle tabelle previste dal piano di diffusione del censimento permanente così da rispondere al fabbisogno informativo degli utilizzatori e, in particolare, degli enti territoriali in primo luogo dei comuni che collaborano con l’Istat nella conduzione dell’attività di raccolta dei dati”, ha trasmesso una nuova versione aggiornata di schema di Piano generale di censimento (di seguito anche solo PGC) e della relativa valutazione di impatto;
Visto l’art. 2-quinquesdecies del Codice che dà attuazione all’art. 36, par. 5, del Regolamento in relazione ai trattamenti che presentano rischi elevati per l’esecuzione di un compito di interesse pubblico;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. XX;
OSSERVA
1. Premessa
Con il provvedimento del 9 maggio 2018, il Garante, nel formulare il parere di competenza sullo schema di Programma statistico nazionale 2017-2019, aggiornamento 2018-2019, si è espresso negativamente sui lavori statistici connessi all’attuazione del censimento permanente(1), rilevando, in particolare, come i prospetti informativi di tali lavori non consentissero di comprenderne la finalità e le modalità di trattamento, né il processo decisionale automatizzato (profilazione) e la logica utilizzata per l'individuazione del campione di interessati, evidenziando, altresì, che, all’epoca, l’Istat non aveva ancora provveduto alla trasmissione del Piano generale di censimento.
Negli stessi termini il Garante si è espresso in relazione al SIM (Sistema di integrazione logico-fisica di microdati amministrativi), contraddistinto nel PSN dal codice IST-02270. Salvo quanto di seguito rilevato, resta fermo che tale lavoro, come evidenziato nel richiamato parere, è anche oggetto di specifica istruttoria da parte del Garante, che dovrà prevedere, in particolare, l’esame della relativa valutazione di impatto sulla protezione dei dati, ai sensi dell’art. 35 del Regolamento.
Successivamente, a seguito della trasmissione da parte l’Istat della documentazione sul censimento permanente, corredata delle valutazioni di impatto relative ai citati lavori statistici, l’Autorità si è espressa con il provvedimento, del 4 ottobre 2018, autorizzando l’avvio delle sole operazioni censuarie di raccolta dei dati sul campo.
Attesa la persistenza di specifiche criticità connesse ai trattamenti di dati personali effettuati nell’ambito del censimento permanente nella fase successiva alla raccolta dei dati, nel medesimo provvedimento è evidenziata la necessità di proseguire, anche in collaborazione con l’Istat, l’istruttoria. Gli ambiti maggiormente critici, che verranno affrontati nei paragrafi che seguono, hanno riguardato:
1. la specificazione delle basi dati e l’esatta individuazione, nel PGC, delle tipologie di dati oggetto di trattamento;
2. la sospensione della raccolta dei dati dal Sistema informativo dell’Acquirente unico S.p.A., in ragione dei rischi già evidenziati nel citato provvedimento;
3. la logica applicata al trattamento, sia per la costruzione del campione, che per il riporto all’universo delle risultanze delle indagini;
4. il ruolo degli uffici provinciali e comunali di censimento e le cautele individuate per il trattamento dei dati, con particolare riferimento ai rischi di ricadute individuali e alla verifica delle incongruenze dei dati;
5. le misure per garantire l’esattezza, la minimizzazione dei dati e la pseudonimizzazione;
6. i tempi di conservazione dei dati da individuare nel rispetto del principio di proporzionalità;
7. le garanzie per la diffusione dei dati;
8. l’integrazione delle misure di sicurezza, da assicurare anche presso i responsabili del trattamento;
9. la corretta identificazione dei rischi connessi al trattamento;
10. l’analisi complessiva della sicurezza funzionale nel processo;
11. la motivazione e la documentazione delle scelte effettuate.
2. Modalità di realizzazione del censimento permanente
Il censimento permanente supera la logica della rilevazione decennale ed è effettuato con cadenza annuale.
Secondo quanto riportato dall’Istat sul proprio sito internet istituzionale, a differenza delle passate tornate censuarie, esso non coinvolge più tutte le famiglie nello stesso momento, ma solo un campione di esse. Il nuovo censimento è, comunque, in grado di restituire informazioni rappresentative dell’intera popolazione, grazie all’integrazione dei dati raccolti, tramite le rilevazioni campionarie, con quelli provenienti dalle diverse fonti amministrative indicate nella legge di bilancio.
Così operando, l’Istituto riesce ad ottenere il medesimo risultato, riducendo, da un lato, il c.d. “fastidio statistico” sugli interessati e dall’altro, i costi di questa ingente operazione.
Per la realizzazione della parte di censimento effettuata attraverso le indagini dirette, autorizzate con il richiamato provvedimento del 4 ottobre 2018, sono previste la rilevazione Areale (A)(2) e la rilevazione da Lista (L)(3).
La restante parte di popolazione viene invece censita sulla base di un processo statistico che prevede diverse fasi il cui punto di partenza è rappresentato dalle unità censite in ANVIS/ MIDEA, precursori del RBI, con le rilevazioni censuarie, alle quali sono applicati pesi di correzione per sotto e sovra copertura(4).
Da questi registri viene selezionato un “campione casuale rappresentativo della popolazione italiana”, disponibile al momento dell’estrazione. “La selezione di un campione casuale garantisce la rappresentatività di tutte le principali sotto-popolazioni da cui è composta la popolazione italiana (…). Ovviamente, la capacità del campione di rappresentare con un buon livello di qualità popolazioni “rare”, ossia al di sotto di determinate prevalenze, dipende dalla numerosità complessiva del campione”.
Ciò premesso, l’Istituto ha precisato che dai dati delle indagini censuarie, basate sulle rilevazioni dirette di cui sopra, viene calcolato un sistema di pesi che, applicato ai record del RBI, consente di calcolare i conteggi relativi alla popolazione residente, corretti per sovra e sotto copertura. In particolare: “è l’utilizzo dei pesi che consente di produrre stime della consistenza e della struttura della popolazione sulla base di RBI coerenti con i risultati del censimento permanente e corrette statisticamente rispetto agli errori di sovra o sotto copertura delle fonti amministrative che alimentano il registro (…) Il calcolo dei risultati (statistiche) finali consiste nella stima, tramite modelli statistici predittivi, in cui si elaborano i dati del RBI ponderati (….) insieme ai dati campionari rilevati a cui è stato applicato il coefficiente di riporto. Si tratta di una procedura complessa ma ampiamente riconosciuta ed applicata, anche in campo internazionale, che si utilizza per produrre stime accurate nei casi in cui il campione riportato all’universo (tramite i coefficienti di cui sopra) non è in grado di coprire tutti i domini di interesse (nel caso specifico tutti i Comuni)”.
L’Istat, utilizzando molteplici fonti amministrative per gli scopi censuari, se da una parte, come già evidenziato, riduce il c.d. “fastidio statistico”, tipico delle rilevazioni censuarie, e i costi connessi a tali operazioni, dall’altra, tuttavia, aumenta i rischi connessi a tali trattamenti per i diritti e le libertà fondamentali degli interessati.
Tale rinnovata modalità operativa, infatti, non solo prevede l'interconnessione di numerosi archivi amministrativi, determinando un trattamento su larga scala riferito all'intera popolazione, per verificare la probabilità di ciascun individuo (e della sua famiglia) "di presenza/assenza in un dato ambito territoriale", e per la successiva revisione delle anagrafi, ma prevede, altresì, tempi di conservazione dei dati molto estesi. Le elaborazioni statistiche svolte a scopi censuari, inoltre, hanno luogo in un contesto, come quello dell’Istituto, del tutto peculiare, trattandosi dell’amministrazione pubblica che detiene il più ingente e rilevante patrimonio informativo riferito alla popolazione residente sul territorio nazionale.
3. Principio di responsabilizzazione
In via preliminare, si rileva che, nonostante le molteplici interlocuzioni, anche informali, con l’Autorità, l’Istituto ha fornito indicazioni non sempre chiare, circostanziate e adeguatamente motivate circa le scelte effettuate in relazione ad alcuni aspetti, soprattutto tecnici, relativi al trattamento di dati personali svolti nell’ambito del censimento permanente.
Al riguardo, si evidenzia che il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento e sia di avere effettivamente tutelato il diritto alla protezione dei dati personali degli interessati fin dalla progettazione (artt. 5, par. 2, 24 e 25 par. 1 del Regolamento).
In base al rinnovato quadro normativo in materia di protezione dei dati personali, si richiede, infatti, una valutazione ponderata di tutte le scelte connesse ai trattamenti di dati personali, dimostrabile sul piano logico attraverso specifiche motivazioni, volte all’individuazione di misure necessarie e proporzionate rispetto alla concreta efficacia del principio di volta in volta tutelato.
In ossequio all’obbligo della protezione dei dati sin dalla progettazione, i titolari devono, inoltre, assumere una condotta attiva nell’applicazione dei principi, ponendosi l’obiettivo di ottenere un reale effetto di tutela. Non si richiede, quindi, la mera applicazione di misure generiche, non direttamente correlate allo scopo di tutela, ma di misure qualitativamente e quantitativamente efficaci rispetto all’obiettivo e progettate per essere, all’occorrenza, revisionate in relazione ad eventuali aumenti o riduzioni dei rischi per gli interessati.
Tali misure dovranno, ove possibile, includere specifici indicatori volti a dimostrarne in modo inequivoco l’efficacia. In tale ottica, il richiamato obbligo di documentazione delle scelte inerenti al trattamento dei dati personali si intende compiutamente adempiuto solo laddove il titolare sia in grado di dimostrare, attraverso indicatori di prestazione (qualitativi e ove possibile, quantitativi), l’efficacia delle misure (cfr. Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Adopted on 13 November 2019 by the EDPB).
Tanto premesso, l’Autorità, pur conscia delle difficoltà intrinseche connesse alla particolare complessità della realizzazione delle operazioni censuarie, svolte attraverso l’utilizzo integrato di fonti amministrative e di altre fonti di dati, ritiene necessario avvertire l’Istituto che, da un punto di vista metodologico, il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento effettuato è conforme alla disciplina; ciò, nel caso di specie, con particolare riferimento alla elaborazione della documentazione, alla motivazione delle scelte effettuate e alla descrizione e analisi dei rischi connessi ai trattamenti. Ciò nel pieno rispetto del principio di accountability e dell’obbligo di protezione dei dati fin dalla progettazione (art. 5, par. 2, 24 e 25, par. 1 del Regolamento).
4. Principio di minimizzazione, di limitazione della conservazione e obbligo di protezione dei dati fin dalla progettazione
Si rilevano, inoltre, specifiche criticità in relazione alla effettiva attuazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c) del Regolamento) con riferimento ai trattamenti connessi a operazioni censuarie e ai successivi trattamenti svolti per ulteriori finalità statistiche. Se, infatti, come di seguito rilevato, allo stato e sulla base di quanto riferito in atti, gli aspetti correlati all’implementazione di misure tecniche e organizzative di sicurezza, possono considerarsi adeguati rispetto ai rischi derivanti da tali trattamenti -tenuto anche conto della complessità della struttura, interna e esterna, all’Istat-, non ci si può esprimere negli stessi termini in relazione alle misure tecniche implementate per la codifica dei dati nelle diverse fasi del trattamento, ivi incluse quelle di conservazione.
In particolare, l’Istituto ha ritenuto di poter considerare come una compiuta forma di pseudonimizzazione dei dati quella che conduce alla attribuzione del cd “Codice Sim” evidenziando che “la pseudonimizzazione dei dati individuali operata nell’ambito del sistema SIM, consiste nel mascherare i dati personali di una persona fisica al fine di non renderli direttamente attribuibili alla stessa senza l’utilizzo di informazioni aggiuntive. Il codice SIM, è il codice univoco che identifica l’individuo nell’ambito delle banche dati Istat provenienti da fonti amministrative e destinate alla raccolta e al trattamento delle informazioni di statistica sugli individui. Le informazioni aggiuntive sono materialmente conservate in zone differenti per impedirne un facile ricongiungimento”.
Con riferimento alla conservazione dei dati, al punto 13 della valutazione di impatto sulla protezione dei dati (vip) è precisato che: “in ottemperanza a quanto prescritto dall’art. 6 del Regolamento (UE) n. 2017/881 i dati e i metadati richiesti per la realizzazione del Censimento permanente della popolazione e delle abitazioni per l’anno di riferimento 2021 sono conservati fino al 1° gennaio 2035 ai sensi del Commission implementing regulation (EU) 2017/881 of 23 May 2017 (punto 6). Successivamente i dati raccolti mediante indagini e quelli presenti nei registri a supporto del censimento saranno conservati per permettere la riproducibilità delle elaborazioni statistiche, necessaria a garantire la verifica della qualità del dato statistico, e la realizzazione di basi dati longitudinali, che costituiscono un patrimonio informativo irrinunciabile per l’analisi dei fenomeni riferiti alla popolazione, (per la cui realizzazione è necessaria la conservazione dei dati identificati dal codice SIM per il periodo di circa 120 anni). In particolare, questo vale anche per quanto concerne i registri a supporto del censimento, RBI e MIDEA (Micro demographic accounting) ANVIS (Anagrafe virtuale statistica), in considerazione del carattere strumentale e continuativo che essi presentano per la produzione statistica ufficiale. I dati non sono cancellati al termine del trattamento ma sono conservati in forma personale corredati dal codice SIM, privi di identificativi diretti, oltre il periodo necessario per il raggiungimento degli scopi censuari per circa 120 anni, per consentirne la storicizzazione e l’aggiornamento, ai sensi del citato art. 10 delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistan (di seguito Regole deontologiche). La storicizzazione è indispensabile per la ricostruzione del movimento della popolazione (bilancio demografico) e per la costruzione di indicatori riferiti agli anni, funzionale alla lettura longitudinale delle trasformazioni demografiche del paese”.
Si prevede, inoltre, che la necessità dell’ulteriore conservazione dei dati sia soggetta a una verifica “in occasione di ogni programmazione triennale del Programma Statistico Nazionale e comunque ogni volta che intervengono innovazioni di carattere normativo o tecnico-metodologico”.
In via preliminare, deve darsi atto che l’attribuzione di un codice univoco alle singole unità statistiche nella fase di raccolta e prima elaborazione dei dati per le operazioni censuarie in esame costituisce una misura adeguata a rafforzare la confidenzialità dei dati trattati e a ricondurre ad un unico interessato i dati raccolti attraverso diverse fonti amministrative, a garanzia dell’accuratezza del dato. Sul punto l’Autorità, nel riservarsi di verificare la modalità di generazione di tale codice -che non deve essere sequenziale, né contenere elementi semanticamente riconducibili all’identità degli interessati-, rileva, tuttavia, l’inidoneità di tale unica misura a garantire un’efficace attuazione degli altri principi applicabili al trattamento dei dati personali.
Tale processo presenta, invero, specifiche criticità in relazione alla effettiva attuazione del principio di minimizzazione dei dati trattati e di limitazione della conservazione in quanto, giova ripeterlo, “il codice Sim è un codice univoco che identifica l’individuo nell’ambito delle banche dati Istat provenienti da fonti amministrative e destinate alla raccolta e al trattamento delle informazioni statistiche sugli individui”.
La staticità di tale codice presenta, almeno, due significative criticità, tenuto anche conto dello specifico contesto dei trattamenti che si realizzano presso l’Istat, deputato, per legge, alla gestione di uno straordinario patrimonio informativo per la produzione della statistica ufficiale del Paese.
In primo luogo, tale meccanismo di codifica conferisce ai dati personali una struttura rigida, esponendo al rischio che, nel selezionare i dati personali necessari per un qualsiasi lavoro statistico, vengano trattate anche informazioni riferite ad un singolo interessato non pertinenti rispetto allo scopo perseguito. Ciò, in quanto l’assegnazione di un codice invariante nelle diverse basi dati non è in grado di offrire quella flessibilità necessaria a selezionare, di volta in volta, le informazioni effettivamente pertinenti rispetto alla specifica finalità statistica perseguita.
Diversamente, l’assegnazione di diversi codici pseudonimi, ciascuno con una validità limitata alla specifica finalità perseguita, equivale ad una forma di disaccoppiamento logico tra basi dati, rappresentando, in questo contesto, una modalità assai più efficace per attuare il principio di minimizzazione dei dati.
Tale disaccoppiamento non preclude, in ogni caso, la possibilità -ove se ne ravvisi la necessità- di ricongiungere i diversi pseudonimi al medesimo interessato attraverso una strutturazione gerarchica di tali pseudonimi. In tal modo, viene, inoltre, favorita l’efficace attuazione del principio di minimizzazione anche sotto il profilo organizzativo, richiedendo tale ricongiungimento specifici livelli di autorizzazione e di accesso.
In secondo luogo, il mantenimento di tale codice univoco nel tempo impedisce di differenziare i tempi di conservazione dei dati in relazione alle diverse finalità statistiche perseguite. L’invarianza del codice infatti, condiziona le scelte del titolare rispetto alla conservazione o cancellazione del dato offrendogli esclusivamente due opzioni: quella del mantenimento del codice univoco con tutte le informazioni ad esso associate ovvero la cancellazione di tali informazioni. Viceversa, l’introduzione di plurimi codici pseudonimi consente una attuazione più efficace del principio di limitazione della conservazione. Ciò, in quanto a ciascuno di essi può essere associato uno specifico periodo di validità, allo scadere del quale si può, in ragione delle esigenze statistiche, provvedere alla loro rigenerazione o alla cancellazione dei codici e dei dati ad esso associati.
Si rende, quindi, necessaria l’introduzione di un meccanismo di disaccoppiamento gerarchico dei codici nelle varie basi di dati e di rotazione degli stessi nel tempo.
A tale riguardo, è opportuno tenere presente che i dati personali devono essere “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. e) del Regolamento). I dati poi, “possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato” (art. 5, par. 1, lett. e) del Regolamento).
La previsione della rotazione del codice pseudonimo nel tempo si rende, quindi, necessaria anche al fine di conformare la conservazione dei dati raccolti a scopi censuari per gli ulteriori fini statistici sopra richiamati, per un periodo di 120 anni, venendo a costituire una misura a tutela dei diritti degli interessati, ai sensi dell’art. 89 del Regolamento, nei casi di deroga al principio di limitazione della conservazione.
Tutto ciò premesso, si ritiene, pertanto, necessario che l’Istat implementi effettive misure di pseudonimizzazione, idonee a prevenire i richiamati rischi di trattamenti di dati personali non pertinenti e in violazione del principio di limitazione della conservazione. Ciò, ad esempio, attraverso l’assegnazione di diversi codici pseudonimi ciascuno con una validità limitata alla specifica finalità perseguita secondo una logica gerarchica che consenta ove se ne ravvisi la necessità di ricongiungere i vari pseudonimi al medesimo interessato. Tali codici, inoltre, dovranno avere tempi di validità differenziati in ragione dei diversi scopi perseguiti, allo scadere dei quali, essi dovranno essere rigenerati o cancellati unitamente ai dati ad essi associati.
Si prescrive, pertanto, all’Istat di far conoscere a questa Autorità entro 120 giorni dalla notifica del presente provvedimento, le tecniche di pseudonimizzazione adottate o che si intendono adottare per garantire l’effettività dei principi di minimizzazione dei dati e di limitazione della conservazione.
5. Individuazione nel PGC delle basi dati e delle tipologie di dati oggetto di trattamento e delle relative garanzie: principi di trasparenza e di minimizzazione
L’Istituto, nella documentazione da ultimo inviata, ha individuato analiticamente tutte le basi dati che concorrono, insieme con le rilevazioni sul campo, alla realizzazione del censimento permanente.
La legge di bilancio, infatti, elenca n. 7 categorie di basi di dati che l’Istituto può utilizzare per lo scopo censuario. Rispetto a talune di queste, il dettato normativo è piuttosto generico (es. “archivi sui lavoratori e pensionati INPS”), lasciando un, seppur minimo, margine di discrezionalità all’Istituto (art. 1, comma 228, legge di bilancio).
Si prende, quindi, favorevolmente atto che l’Istat, recependo le indicazioni dell’Autorità connesse all’esigenza che, in omaggio al principio di trasparenza, le basi dati utilizzate per lo scopo censuario siano indicate puntualmente, ha proceduto in tal senso (cfr. punto 2.5. del PGC).
Il rispetto del principio di trasparenza è rafforzato dalla indicazione, nell’ambito del Piano generale di censimento e della ulteriore documentazione trasmessa, anche delle specifiche variabili utilizzate per gli scopi censuari (cfr. punto 2.3. PGC) e delle categorie di interessati cui esse si riferiscono. Sul punto l’Istat, nell’assicurare che le operazioni censuarie non prevedono -allo stato e salvi specifici approfondimenti circa le ipotesi di cambio di sesso e di codice fiscale- la raccolta e il successivo trattamento di particolari categorie di dati o di dati relativi a condanne penali o reati (artt. 9 e 10 del Regolamento), ha precisato che vi sono alcune variabili “core topics” (es. informazioni relative alla struttura delle famiglie alle caratteristiche anagrafiche ecc.) e “non core” (es. luogo di nascita della madre e del padre).
L’indicazione delle tipologie di dati trattati e le esigenze statistiche per le quali questi si ritengono necessari, lascia intendere, seppur ancora una volta in base a motivazioni non estremamente articolate, che l’Istituto raccoglie solo dati pertinenti allo scopo statistico perseguito (art. 5, par. 1, lett. c) del Regolamento).
6. Le garanzie per la diffusione dei dati
L’art. 1, comma 233 della legge di bilancio, stabilisce che l’Istat debba definire nel PGC le modalità di restituzione, in forma aggregata, ai comuni delle informazioni raccolte nell’ambito del Censimento.
Al riguardo, si rileva che tale indicazione non risulta nel PGC trasmesso.
Si prescrive, pertanto, all’Istituto di integrare il PGC con tale elemento mancante.
Ciò premesso, si dà atto che nella documentazione trasmessa a margine del PGC sono indicate le tavole di diffusione pubblicate per il Censimento del 2011, che lasciano intendere che le tecniche di aggregazione utilizzate in occasione del Censimento permanente in esame siano le medesime.
Richiamando le criticità connesse all’attuazione del principio di responsabilizzazione, si rileva che, anche in tal caso le tecniche di aggregazione non sono supportate da adeguate argomentazioni (misure e indicatori di prestazione) circa la probabilità di reidentificazione degli interessati.
Su tali basi, seppure in astratto i criteri di aggregazione prospettati, quali le percentuali di popolazione distinte per Comuni di appartenenza, per sesso e fasce di età, quinquennali o decennali, non risultino critiche, si prescrive, pertanto, di integrare la valutazione d’impatto sulla protezione dei dati personali con l’indicazione delle probabilità, attraverso specifiche metriche, di reidentificazione degli interessati.
7. Criticità superate
7.1 Principio di liceità del trattamento: le basi giuridiche
Nel corso delle interlocuzioni, anche informali, avute con l’Istituto era stato rilevato come dagli atti non emergessero con la dovuta chiarezza le basi giuridiche dei trattamenti in esame.
Al riguardo, si prende favorevolmente atto della circostanza che le indicazioni dell’Autorità sul punto sono state correttamente recepite e la documentazione trasmessa risulta, in parte qua, completa (cfr. punto 1, PGC).
7.2 Sospensione della raccolta dei dati dal Sistema informativo dell’Acquirente unico S.p.A.
Nel parere del 9 maggio 2018 sul PSN il Garante, evidenziando le criticità connesse all’inserimento del Sistema informativo integrato dell’Acquirente Unico S.p.a., tra gli archivi utilizzati per l’esecuzione del censimento, derivanti dalla circostanze che tale sistema contiene informazioni sui consumi individuali, per fascia oraria di energia e gas e, potenzialmente idonee a rivelare, in determinati casi, anche lo stato di salute delle persone interessate (come quelle riferite a macchinari salvavita), ha ribadito che la legge di bilancio ha previsto che il predetto Sistema informativo possa essere utilizzato solo previa stipulazione di un protocollo d'intesa tra l'Istat e l'Acquirente unico S.p.A., sentiti il Garante per la protezione dei dati personali, l'Autorità di regolazione per energia, reti e ambiente e l'Autorità garante della concorrenza e del mercato (art. 1, comma 228, lett. e), della legge di bilancio).
A tale riguardo, si prende favorevolmente atto che nel PGC l’Istat ha subordinato l’acquisizione dei dati contenuti nel richiamato sistema all’adozione del predetto protocollo e delle eventuali specifiche prescrizioni del Garante.
7.3 Ruolo degli uffici provinciali e comunali di censimento e cautele individuate per il trattamento dei dati, con particolare riferimento ai rischi di ricadute individuali e alla verifica delle incongruenze dei dati
Il Piano generale di censimento descrive in maniera estremamente dettagliata e approfondita la pianificazione sul territorio nazionale (articolato in quattro livelli: nazionale, regionale, provinciale e comunale(5)) per la realizzazione del censimento, evidenziando, altresì, le misure organizzative implementate per i connessi aspetti di protezione dei dati personali, attraverso la definizione dei ruoli e delle responsabilità dei soggetti coinvolti (cfr. par. 3).
Nel PGC l’Istat, dopo avere descritto la struttura organizzativa costituita a livello territoriale, ha evidenziato che “le province e i comuni, rispettivamente nella persona del responsabile dell’Ufficio Provinciale di Censimento e del responsabile dell’Ufficio Comunale di Censimento” sono “responsabili del trattamento dei dati personali ai sensi dell’art. 28 del Regolamento”. L’atto giuridico con il quale sono disciplinati i trattamenti e i compiti, in parte già anticipati nel PGC, svolti dai responsabili è individuato in una specifica circolare dell’Istituto (art. 28, par. 3 del Regolamento).
Fermo restando che l’Autorità si riserva la facoltà di acquisire, eventualmente, in futuro le circolari con le quali l’Istat definisce compiti e trattamenti assegnati ai responsabili e impartisce le istruzioni per il trattamento dei dati effettuato dai richiamati soggetti sotto la sua autorità (artt. 28 e 29 del Regolamento), si rileva che la struttura organizzativa implementata per la realizzazione del censimento permanente appare tale da escludere, in astratto, che soggetti terzi non autorizzati siano coinvolti nelle operazioni censuarie.
Con specifico riferimento al divieto di utilizzare i dati personali raccolti per finalità censuarie per scopi differenti, in particolare per scopi amministrativi che possano determinare ricadute nella sfera giuridica di un singolo interessato, si auspica, inoltre, che l’Istituto, oltre a ribadire, correttamente, il divieto della c.d. “ricaduta amministrativa” (cons. 162 del Regolamento e art. 105 del Codice), fornisca, nelle circolari integrative del PGC, ulteriori indicazioni operative ai responsabili del trattamento che dovrebbero, ed esempio, consistere, nella separazione, laddove possibile, dei ruoli tra i rilevatori addetti alla verifica delle incoerenze e il personale amministrativo comunale deputato alla gestione delle liste anagrafiche comunali ovvero nell’assicurare adeguata riservatezza al rilevatore in fase di consultazione degli archivi anagrafici e altri archivi disponibili presso gli uffici comunali.
La documentazione trasmessa non riporta alcuna esplicita indicazione in ordine alle misure di sicurezza che i responsabili del trattamento dell’Istituto, coinvolti nella realizzazione del censimento permanente, sono tenuti a implementare nello svolgimento dei loro compiti, al fine di garantire adeguata tutela ai diritti e alle libertà fondamentali degli interessati.
Tale circostanza non costituisce di per sé una criticità, tenuto conto che queste indicazioni ben possono essere rese nelle circolari che conferiscono gli incarichi di responsabile (art. 28, par. 3, lett. c) del Regolamento).
Tanto premesso, occorre, tuttavia, rilevare che la circostanza che gli Uffici territoriali di censimento, essendo incardinati presso regioni, province e comuni, si trovano ad operare in contesti estremamente eterogenei, giusta la diversità di mezzi e risorse di tali enti sul territorio nazionale, non può, tuttavia, costituire motivo per giustificare o ammettere che sia assicurato un livello di tutela differente ai diritti e alle libertà fondamentali degli interessati in ragione della loro diversa collocazione geografica, anche sotto il profilo della sicurezza dei dati trattati.
TUTTO CIO’ PREMESSO IL GARANTE
1. ai sensi dell’art. 58, par. 2, lett. a) del Regolamento, avverte l’Istat che, da un punto di vista metodologico, il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento effettuato è conforme alla disciplina; ciò, nel caso di specie, con particolare riferimento alla elaborazione della documentazione, alla motivazione delle scelte effettuate e alla descrizione e analisi dei rischi connessi ai trattamenti (artt. 5, par. 2, 24 e 25, par. 1 del Regolamento; cfr. par. 3);
2. ai sensi dell’art. 58, par. 3, lett. c) del Regolamento e dell’art. 2-quinquiesdecies del Codice, autorizza l’Istat allo svolgimento dei trattamenti di dati personali necessari per la realizzazione del censimento permanente prescrivendo di:
a) adottare idonee tecniche di pseudonimizzazione per garantire l’effettività dei principi di minimizzazione e di limitazione della conservazione (cfr. punto 4);
b) integrare il Piano generale di censimento con l’indicazione delle modalità di restituzione, in forma aggregata, ai comuni delle informazioni raccolte nell’ambito del Censimento (cfr. punto 6);
c) integrare la valutazione di impatto sulla protezione dei dati personali relativa ai lavori statistici correlati alla realizzazione del Censimento permanente con l’indicazione delle probabilità, attraverso specifiche metriche, di reidentificazione degli interessati (cfr. punto 6);
3. si richiede all’Istat di comunicare, entro 120 giorni dalla notifica del presente provvedimento, quali iniziative siano state intraprese o che si intendono intraprendere al fine di dare attuazione a quanto prescritto nel presente provvedimento, con particolare riferimento alle tecniche di pseudonimizzazione, e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
Fonte: Garante - Provvedimento del 23 gennaio 2020