Circolare INPS n.123 del 18.06.2015

Premessa

Principi generali per il trattamento dei dati personali e particolari regole per i trattamenti

Modello organizzativo privacy in INPS - Soggetti coinvolti nel trattamento dei dati personali:

• Titolare del trattamento
• Responsabili del trattamento
• Incaricati del trattamento
• Responsabili esterni per il trattamento dei dati

Sanzioni

Premessa

A fronte delle nuove competenze che il legislatore ha attribuito all'INPS negli ultimi anni e in considerazione degli ulteriori trattamenti di dati personali, anche sensibili e giudiziari, acquisiti a seguito delle intervenute integrazioni con altri Enti previdenziali (in particolare, con l'IPOST, ai sensi dell'art. 7, co. 2, del decreto legge 31 maggio 2010, n. 78, convertito con modificazioni in legge 30 luglio 2010, n. 122; con l'INPDAP e l'ENPALS, ai sensi dell'articolo 21 del decreto legge n. 201/2011, convertito in legge n. 214/2011) e del nuovo conseguente modello organizzativo integrato, l'Istituto è chiamato ad aggiornare la propria governance della privacy, ridefinendo l'assetto dei ruoli, delle responsabilità, dei compiti attinenti alla protezione dei dati personali rispetto a quanto era stato delineato con la circolare n. 50 del 2007, emanata alla luce del d. lgs. n. 196/2003, recante il "Codice in materia di protezione dei dati personali" (d'ora in avanti soltanto "Codice").

Principi generali per il trattamento dei dati personali e regole particolari

In attuazione dei principi dettati dal Codice, l'INPS è tenuto ad assicurare la protezione dei dati personali trattati nell'ambito della propria attività istituzionale. Tali dati, per la maggior parte, sono conferiti direttamente dagli interessati (utenti, dipendenti, fornitori e quanti altri entrino in contatto con l'Istituto) oppure possono essere acquisiti presso terzi nei casi di legge. Al fine predetto, l'INPS adotta tutte le misure tecnologiche, organizzative e logistiche più adeguate a garantire l'effettivo rispetto delle garanzie e dei principi previsti dal Codice, nonché una appropriata copertura dei rischi di perdita dell'integrità, della riservatezza e della disponibilità delle informazioni di cui è in possesso.

Alla luce di quanto sopra, l'Istituto definisce i processi di trattamento dei dati personali in modo che le operazioni materiali di trattamento dei dati (raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione, distruzione) avvengano nel rispetto dei principi generali in materia fissati dal Codice e da altre leggi, i più rilevanti dei quali, sono qui di seguito sinteticamente descritti:

1. Il diritto alla protezione dei dati personali
   Si tratta di una regola fondamentale, secondo la quale ogni individuo ha il diritto che il trattamento dei suoi dati personali si svolga nel rispetto dei suoi diritti e libertà fondamentali, nonché della sua dignità, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. Nel rispetto di tali prerogative, pertanto, il trattamento di dati dell'interessato da parte di tutti i soggetti coinvolti deve avvenire con modalità che assicurino un elevato livello di tutela.
2. Il principio di finalità
   È il principio secondo cui la raccolta dei dati deve essere collegata alla finalità perseguita, che deve essere legittima, determinata e non incompatibile con l'impiego dei dati. In particolare, per espressa previsione del Codice, qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali.
3. Il principio di necessità nel trattamento dei dati
   Tale regola impone che le raccolte e i trattamenti di dati siano limitati alle sole informazioni necessarie all'attività, in modo da ridurre al minimo l'utilizzo di dati personali e di dati identificativi; infatti, laddove le stesse finalità possano essere perseguite anche senza l'uso di dati personali, il trattamento deve riguardare solo dati anonimi oppure deve essere posto in essere adottando opportune modalità che permettano di identificare l'interessato solo in caso di necessità.
4. Principio di proporzionalità
   Tale principio prevede che una volta riscontrata, osservando il principio di necessità, la possibilità di trattare dati personali, occorre altresì verificare, in ogni fase del trattamento, se le singole operazioni siano in concreto pertinenti e non eccedenti le finalità perseguite.
5. Il principio di liceità e correttezza
   E' la regola che impone al soggetto che agisce sui dati personali che il trattamento posto in essere sia conforme alla legge e che la raccolta e le altre operazioni avvengano in modo trasparente per l'interessato e non mediante ricorso ad artifizi e raggiri.
6. Divieto di utilizzo
   Il Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.
7. Il principio di prevenzione a tutela dell'integrità del dato e degli abusi
   I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

In coerenza con questi principi fondamentali, il Codice fissa esplicitamente le modalità a cui devono attenersi tutti i soggetti che, a qualsiasi titolo, compiono materialmente operazioni di trattamento sulle informazioni che l'Istituto ha a disposizione.

In particolare i dati personali oggetto di trattamento devono essere:

• trattati in modo lecito e secondo correttezza;
• raccolti e registrati per scopi determinati, espliciti e legittimi, e utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
• esatti e, se necessario, aggiornati;
• pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
• conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

Il Codice, inoltre, detta specifiche regole di trattamento con riferimento alle diverse tipologie di dati trattati, a particolari tipi di trattamento oppure, ancora, con riguardo al soggetto Titolare, differenziando se si tratti di un soggetto pubblico o privato. In tali ambiti, è utile sottolineare quanto rilevante per l'INPS:

1. Distinzione tra dati comuni e dati sensibili e giudiziari: all'interno della categoria dei dati personali, riferiti alle sole informazioni relative a persone fisiche (identificate o identificabili) ai sensi dell'art. 4, comma 1, lettera b) del d.lgs. n. 196/2003 e s.m.i., la normativa individua in modo specifico i "dati sensibili" e i "dati giudiziari". Infatti l'art. 4, comma 1, lettera d) del Codice definisce dati sensibili "i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale". E sempre l'art. 4, comma 1, alla lettera e) del Codice definisce "dati giudiziari" i dati personali idonei a rivelare provvedimenti iscrivibili nel casellario giudiziale indicati dall'articolo 3, comma 1, lettere da a) ad o) e da r) ad u) del d.P.R. del 14 novembre 2002, n. 313, o la qualità di imputato o di indagato ai sensi degli articolo 60 e 61 del codice di procedura penale.
   Rispetto ai dati comuni, il trattamento dei dati sensibili e dei dati giudiziari è sottoposto ad una specifica disciplina e a particolari cautele sia che avvenga con strumenti elettronici sia in formato cartaceo, e ciò si riflette anche sulle più rafforzate misure di sicurezza dettate dalla legge a tutela di tale tipologia di dati. In generale il Codice legittima il trattamento dei soli dati sensibili e giudiziari indispensabili a svolgere le attività istituzionali che, caso per caso, non possono essere realizzate mediante il trattamento di dati anonimi o di dati personali di diversa natura. Inoltre, il Codice impone che il trattamento dei dati sensibili e giudiziari da parte di un soggetto pubblico debba essere previsto da espressa disposizione di legge, che indichi i dati che possono essere trattati, le operazioni eseguibili sugli stessi e le finalità di rilevante interesse pubblico perseguite. In linea con la normativa di riferimento l'INPS si è dotato di un proprio Regolamento per il trattamento dei dati sensibili e giudiziari, adottato con deliberazione del Consiglio di Amministrazione n. 343 del 13 dicembre 2006. Detto Regolamento è reperibile sulla INTRANET dell'Istituto, alla sezione Direzione generale - Ufficio centrale di monitoraggio e coordinamento in materia di protezione dei dati personali e accesso alle banche dati - Documentazione - Documentazione in materia di protezione dei dati personali. Nella stessa sezione sono pubblicati altresì i Regolamenti afferenti ex INPDAP, ENPALS e IPOST.
   La consultazione dei Regolamenti predetti è utile per gli operatori poiché essi delimitano i confini del trattamento dei dati sensibili e giudiziari in Istituto; i Regolamenti, infatti, effettuano una ricognizione alla data odierna di tutte le attività istituzionali dell'INPS che implicano il trattamento di dati sensibili e, per ciascuna di esse, indicano le disposizioni di legge che autorizzano il trattamento e individuano le finalità di rilevante interesse pubblico perseguite dall'Inps, identificando i tipi di dati sensibili e le operazioni eseguibili.
   Pertanto, non è consentito effettuare trattamenti di dati sensibili e giudiziari al di fuori delle ipotesi contemplate nei suddetti Regolamenti e il trattamento eventualmente posto in essere in violazione dei Regolamenti configura un illecito che può avere conseguenze penali, civili e amministrative.
   Per quanto attiene alle modalità prescritte dall'INPS per effettuare il trattamento di tale particolare tipologia di dati personali, si rinvia alle istruzioni per gli incaricati di cui all'Allegato 2 alla presente circolare.
   Regola generale, per i dati idonei a rivelare lo stato di salute e la vita sessuale, è che devono essere conservati separatamente dagli altri dati personali trattati per finalità che non richiedono il loro utilizzo.
   
2. Strumenti cartacei e strumenti elettronici: le operazioni di trattamento dei dati personali possono essere effettuate in forma cartacea (in realtà sempre meno in uso in Istituto) oppure con l'ausilio di strumenti elettronici e il Codice detta precise regole con riferimento a ciascuno dei casi per l'adozione di apposite misure di sicurezza volte ad assicurare la protezione dei dati personali e, quindi, ridurre al minimo i rischi di distruzione o perdita dei dati stessi, di accessi abusivi o non conformi alle finalità della raccolta. Le istruzioni operative per entrambi i trattamenti sono contenute nell'Allegato 2 alla presente circolare.
   
3. Consenso: ai sensi dell'art. 18, comma 4, del Codice, l'INPS, in quanto soggetto pubblico, agisce senza il consenso degli interessati, rendendo loro, secondo quanto previsto dall'art. 13 del medesimo testo, una informativa circa le modalità dei trattamenti effettuati. A tal fine l'Istituto ha predisposto un'informativa generale sul trattamento dei dati (accessibile dalla home page del sito istituzionale e disponibile presso tutte le Sedi territoriali aperte al pubblico), nonché informative specifiche relative ai diversi procedimenti amministrativi, apposte di norma in calce ai moduli di domanda di prestazioni.

Modello organizzativo privacy in INPS - Soggetti coinvolti nel trattamento dei dati personali

Come è noto, il Codice individua tre principali figure - il "Titolare del trattamento", il "Responsabile del trattamento" e l' "Incaricato del trattamento" - a diverso titolo e con differenti responsabilità coinvolte nelle operazioni sui dati personali; alle stesse fanno riferimento rispettivamente gli articoli 28, 29 e 30 del Codice. Di seguito si rappresenta l'organizzazione dell'Istituto con riferimento a tali soggetti.

? Titolare del trattamento è l'INPS nel suo complesso.

L'articolo 28 del Codice chiarisce, infatti, che quando il trattamento è effettuato da una pubblica amministrazione, il Titolare coincide con l'entità giuridica nel suo complesso ovvero con l'unità o l'organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Pertanto, l'INPS, a livello centrale, pianifica ed attua le linee strategiche ed organizzative per quanto attiene al governo dei trattamenti dei dati e ne fissa criteri di attuazione circa la raccolta, l'utilizzo e l'elaborazione, l'individuazione degli scopi pertinenti e l'implementazione delle misure di sicurezza.

A questo ampio potere di direzione corrisponde, a norma del Codice, un'articolata serie di responsabilità ed adempimenti, che investono i rapporti con gli interessati e con il Garante.

? Responsabile del trattamento, a norma dell'art. 29 del Codice, è il soggetto designato dal Titolare che sovraintende all'intero processo del trattamento dei dati, dalla iniziale acquisizione fino alla eventuale cessazione o distruzione, sulla base delle istruzioni impartitegli dal Titolare stesso. In linea con tali funzioni, in Istituto sono designati Responsabili tutti i Direttori delle strutture di livello dirigenziale (generale e non) centrali e territoriali e i Coordinatori generali delle attività professionali, relativamente al complesso di attività e alle operazioni svolte nell'ambito delle unità organizzative di cui sono responsabili.

Nell'attuale assetto organizzativo, ai sensi della determina n. 10 del 2 aprile 2015, in dettaglio, risultano designati Responsabili i soggetti titolari pro tempore delle seguenti funzioni: Direttori centrali, dirigenti titolari di funzione di livello dirigenziale generale e di funzioni specifiche centrali, Coordinatori generali delle attività professionali, titolari degli uffici centrali di supporto agli organi, Direttori regionali, Direttori provinciali / di Aree Metropolitane e Direttori delle filiali di coordinamento.

I Responsabili designati, oltre che al rispetto delle prescrizioni del Codice, si attengono alle istruzioni specificate dal Titolare, a partire da quanto contenuto nell'Allegato 1 alla presente circolare.

? Incaricato del trattamento, secondo la previsione del Codice, è la persona fisica che esegue materialmente le operazioni di trattamento dei dati, con l'ausilio di strumenti informatici e/o mediante supporti cartacei, sotto la diretta autorità del Titolare o del Responsabile.

L'INPS, in considerazione della complessità della propria organizzazione e del rilevante numero dei dipendenti, applicando il meccanismo della designazione "con modalità semplificata" previsto dall'articolo 30 del Codice, nomina ciascun dipendente "Incaricato del trattamento dei dati", anche sensibili o giudiziari, attraverso "la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima".

In tal senso occorre, anzitutto, riferirsi all'ordine di servizio con il quale il Direttore della struttura di livello dirigenziale di appartenenza, come sopra individuato quale Responsabile del trattamento, nel disporre l'assegnazione del singolo dipendente ad una unità organizzativa, nel contempo, nomina, ai sensi della citata norma del Codice, detto dipendente incaricato del trattamento dei dati personali.

L'ambito del trattamento di dati personali consentito all'operatore incaricato è specificato e circoscritto attraverso l'individuazione del complesso delle attività correlate allo svolgimento dell'attività lavorativa all'interno dell'unità organizzativa a cui è assegnato e, in tale cornice, sono individuati i tipi di dati personali che lo stesso è abilitato a trattare e le singole operazioni che può eseguire.

Inoltre, anche per fare fronte ai casi in cui siano da disciplinare profili di autorizzazione trasversali rispetto a più unità funzionali, resta comunque nella facoltà del Direttore della struttura di livello dirigenziale di individuare puntualmente le possibilità di trattamento consentite ai dipendenti interessati.

Con le modalità sopra descritte tutti i dipendenti dell'INPS sono nominati, ai sensi e per gli effetti dell'art. 30 del Codice, Incaricati del trattamento dei dati personali, compresi quelli di natura sensibile o giudiziaria, necessari allo svolgimento delle attività lavorative alle quali sono addetti.

Per le materiali operazioni sui dati, ciascuno degli Incaricati deve puntualmente attenersi alle istruzioni impartite dal Responsabile del trattamento nonché alle più generali istruzioni e linee guida, valide per tutti gli incaricati del trattamento, indicate in allegato alla presente circolare (Allegato 2).

? Responsabili esterni. Per lo svolgimento della propria azione amministrativa, l'INPS, con contratto o mediante convenzione, può affidare l'esercizio di alcune attività, operazioni e servizi a soggetti esterni che, a tal fine, vengono designati, ai sensi dell'art. 29 del Codice, quali Responsabili esterni dei trattamenti dei dati.

In tali casi l'INPS mantiene l'autonomia decisionale in qualità di Titolare dei dati ed esercita l'autorità e il potere di controllo sui trattamenti effettuati dagli outsourcers.

Contestualmente all'atto di nomina a Responsabile esterno, l'Istituto impartisce le istruzioni alle quali il Responsabile medesimo deve attenersi nell'effettuazione delle operazioni poste in essere per suo conto e, in ogni caso, poiché mantiene la titolarità dei trattamenti esternalizzati, è tenuto a vigilare sulla puntuale osservanza delle proprie prescrizioni, anche tramite verifiche periodiche.

Si fa presente che la normativa prevede che la designazione dei Responsabili (anche esterni) sia atto del Titolare, dunque dell'INPS nel suo complesso, e, pertanto, in tale ambito è fatta salva esclusivamente la possibilità di una delega da parte del Presidente alla sola firma degli atti di nomina per i Responsabili esterni.

Al fine poi di garantire un unitario punto di raccordo e di riferimento nel processo continuo di adeguamento dell'attività dell'Istituto alle norme contenute nel Codice, è stato istituito, presso la Direzione generale, l'Ufficio centrale di monitoraggio e coordinamento in materia di protezione dei dati personali e accesso alle banche dati, con il compito di sovraintendere alla corretta applicazione della normativa in argomento allo scopo di evitare che un uso improprio delle informazioni possa recare danno o ledere i diritti, le libertà fondamentali e la dignità delle persone interessate a cui le stesse si riferiscono. Detto Ufficio coordina l'attività di tutti i soggetti coinvolti nelle operazioni di trattamento di dati personali e accesso alle banche dati, assicurando alle questioni di particolare rilievo una specifica trattazione, e, in tali ambiti, intrattiene a livello unitario i rapporti con il Garante per la protezione dei dati, il Ministero vigilante e tutti gli altri soggetti pubblici e privati interessati nell'applicazione della normativa in questione.

Sanzioni

Il Codice prevede illeciti penali, violazioni amministrative e responsabilità civile per danni collegati ai trattamenti illegittimi di dati o non conformi alla normativa di riferimento.

Molte delle norme in tema di sanzioni si applicano al Titolare, ma è opportuno in questa sede segnalare che sono previste ipotesi di responsabilità direttamente in capo ai soggetti che materialmente compiono le operazioni di trattamento dei dati.

Tra gli illeciti penali, si segnala l'articolo 167 del Codice, a norma del quale, chi agisca al fine di trarne per sé o per altri profitto o di recare ad altri un danno, trattando dati personali in violazione della normativa, è punito con pene detentive che possono arrivare anche a tre anni di reclusione.

Per quel che concerne la responsabilità civile per danni, il Codice, all'articolo 15, dispone che chiunque cagioni "danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile" e che "il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11".

In tale ambito, pertanto, il trattamento dei dati personali è qualificato come attività pericolosa ai sensi dell'art. 2050 c.c. ed è da evidenziare come ciò comporti un'inversione dell'onere della prova nell'azione risarcitoria.

La presente circolare e le istruzioni allegate, che abrogano le precedenti disposizioni dettate dall'Istituto in materia, devono essere notificate, con le consuete modalità, a tutto il personale, ai collaboratori a qualsiasi titolo, ai membri dei comitati centrali e periferici e notificate al personale assente dal servizio per periodi di lunga durata mediante raccomandata con avviso di ricevimento.