Nella memoria predisposta per la Commissione Permanente del Senato della Repubblica, il Garante Privacy ha evidenziato come alcune disposizioni del decreto-legge sul Reddito di cittadinanza (“Rdc”) e il relativo sito violino la normativa vigente sulla protezione dei dati personali.

In particolare:

  1. il Rdc implica un trattamento su larga scala di dati personali, incluse categorie particolari di dati personali, riguardanti i richiedenti e i componenti del nucleo familiare, senza aver tenuto in debita considerazione i principi del GDPR quali il principio di trasparenza, minimizzazione dei dati, privacy by design e by default;
  2. le disposizioni del decreto-legge, volte alla verifica dei requisiti dei richiedenti il Rdc, prevedono degli accessi a vari archivi tra cui quello dell’INPS e dell’Anagrafe tributaria che implicano un ingente flusso di dati tra varie banche dati, senza però, individuare i soggetti pubblici coinvolti né le misure tecniche e organizzative volte a prevenire accessi indebiti e/o utilizzi fraudolenti dei dati raccolti;
  3. il monitoraggio centralizzato e sistematico sull’utilizzo della carta del Rdc e i relativi controlli sulle scelte di consumo sono condotti in assenza di una previa valutazione dei rischi e di criteri definiti;
  4. il sito web non soddisfa tutti i requisiti richiesti per l’informativa sul trattamento dei dati e presenta alcune carenze nelle modalità tecniche della sua implementazione, permettendo un’indebita e non trasparente comunicazione a terzi dei dati di navigazione dei visitatori del sito;
  5. la disciplina sul rilascio delle attestazioni ISEE non garantisce la sicurezza dei dati contenuti nell’Anagrafe Tributaria e nell’archivio dei rapporti finanziari dell’Agenzia delle entrate, stante la mancata previsione di idonee misure tecniche e organizzative.