Diritti interna

Doveri interna

ricerca avanzata

Parere sullo schema di Programma statistico nazionale 2017-2019, Aggiornamento 2018-2019 - 9 maggio 2018 [9001732]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9001732
Data:
09/05/18
Tipologia:
Parere del Garante

[doc. web n. 9001732]

Parere sullo schema di Programma statistico nazionale 2017-2019, Aggiornamento 2018-2019 - 9 maggio 2018

Registro dei provvedimenti
n. 271 del 9 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Codice in materia di protezione dei dati personali, d.lgs. 30 giugno 2003, n. 196, (di seguito Codice);

Visto l'art. 4-bis del Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale, Allegato A3 al Codice (di seguito codice di deontologia);

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento);

Visto il decreto legislativo 6 settembre 1989, n. 322, recante le Norme sul Sistema statistico nazionale e sulla riorganizzazione dell'Istituto nazionale di statistica;

Vista la richiesta di parere sullo schema di Programma statistico nazionale 2017-2019, Aggiornamento 2018-2019, trasmessa dall'Istituto Nazionale di Statistica con la nota dell'11 novembre 2017, e aggiornata con la nota del 19 marzo 2018;

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

L'Istituto nazionale di statistica (di seguito Istat) ha chiesto il parere del Garante sullo schema di Programma statistico nazionale (di seguito Psn) 2017-2019, Aggiornamento 2018- 2019 (di seguito Aggiornamento).

Il parere è reso, ai sensi dell'art. 4-bis del codice di deontologia, in relazione ai 243 lavori statistici che comportano il trattamento di dati personali, sensibili e giudiziari, rappresentati nei prospetti identificativi inseriti per la prima volta nell'Aggiornamento e in quelli modificati rispetto alla versione inclusa nel Psn 2017-2019, sul quale il Garante ha espresso il parere il 2 marzo 2017 (doc. web n. 6239992).

OSSERVA

1. Premessa

Lo schema di Aggiornamento in esame tiene conto di alcune indicazioni fornite dall'Ufficio del Garante nel corso di numerosi contatti informali con i rappresentanti dell'Istituto, volti ad assicurare la conformità dei trattamenti di dati personali alla normativa in materia di protezione dei dati personali, con particolare riguardo alla:

- corretta indicazione degli archivi amministrativi utilizzati nell'ambito dei lavori statistici;

- esatta individuazione delle variabili rilevate;

- precisazione delle modalità di trattamento, specie con riferimento alla conservazione dei dati identificativi diretti.

Tuttavia, in alcuni lavori permangono rilevanti criticità, di seguito rappresentate ai punti 3, 4, 5, 6 e 7.

Più in generale, in relazione all'insieme dei lavori inseriti nel Psn, nell'ottica del necessario adeguamento al Regolamento, di imminente applicazione (25 maggio p.v.), si ritiene necessario fornire alcune indicazioni, specificate nel seguente punto 2, pur prendendo atto, al riguardo, dell'impegno assunto formalmente dall'Istituto nella richiesta di parere a "integrare le informazioni per gli interessati con la specificazione del periodo di conservazione dei dati personali, ovvero i criteri utilizzati per determinare tale periodo di conservazione, prima della trasmissione del Programma alla Funzione pubblica per l'adozione del relativo decreto di approvazione".

2. L'adeguamento al Regolamento

Il nuovo quadro regolatorio in materia di protezione dei dati personali sarà completato con l'adozione, in attuazione della legge 25 ottobre 2017, n. 163 "Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2016-2017" (art. 13), del decreto legislativo volto a garantire l'adattamento della normativa nazionale alle disposizioni del Regolamento, destinato a produrre effetti anche in relazione ai trattamenti effettuati per scopi statistici.

In attesa della completa definizione del predetto quadro normativo, si ritiene comunque opportuno segnalare la necessità che l'Istat, e gli altri soggetti appartenenti al Sistema Statistico nazionale (Sistan), garantiscano quanto prima la conformità al Regolamento, in particolare, assicurando -per impostazione predefinita e fin dalla progettazione- la protezione dei dati nell'ambito dei trattamenti effettuati nell'ambito del Psn (art. 25), con l'ausilio del responsabile della protezione dati (artt. 37-39).

Ciò sulla base, in primo luogo, in linea con il principio di responsabilizzazione previsto dall'art. 24, di una preventiva e completa individuazione, analisi e stima dei rischi che il trattamento effettuato presenta per i diritti e le libertà delle persone fisiche, con la conseguente adozione di modalità di trattamento e misure tecniche e organizzative adeguate dando piena attuazione ai principi dell'art. 5, par. 1 (tra i quali, in particolare, la limitazione dei dati e della conservazione degli stessi, nonché la minimizzazione).

Poiché nello schema di Aggiornamento in esame - come nei precedenti Psn - sono ricompresi numerosi lavori statistici che presentano un rischio elevato, per i diritti e le libertà delle persone fisiche, i titolari del trattamento devono, quindi, tenere conto che, in tali casi, il nuovo quadro giuridico impone, prima di procedere al trattamento, di effettuare una valutazione d'impatto sulla protezione dei dati, per l'individuazione di specifiche misure e garanzie, riservandosi di consultare l'Autorità qualora ciò risulti necessario (artt. 35 e 36).

Si evidenzia in merito che, come chiarito dal Gruppo di lavoro art. 29, la predetta valutazione è da effettuarsi anche sui trattamenti in corso alla data del 25 maggio 2018 che presentano rischi elevati, in precedenza non verificati dall'Autorità (cfr. Linee-guida del 4 aprile 2017, concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679 - WP248).

Appare opportuno specificare, infatti, che il presente parere, come anche quelli resi sui precedenti Psn, formulati sulla base delle sole schede informative ivi contenute, non possono considerarsi idonei ad assolvere l'obbligo di valutazione di impatto sui trattamenti in corso. Ciò in quanto, per la formulazione di tali pareri, l'Autorità non ha potuto esaminare tutti gli elementi che il titolare deve, invece, prendere analiticamente in considerazione nell'ambito della valutazione d'impatto e fornire al Garante ai fini dell'eventuale consultazione preventiva; ciò, impregiudicato l'esercizio da parte dell'Autorità dei propri poteri di vigilanza e controllo (artt. 57 e 58 del Regolamento).

Tra le altre attività di adeguamento, in ossequio al principio di trasparenza del trattamento (art. 5, par. 1, lett. a)), occorrerà, infine, fornire agli interessati le informazioni previste dagli artt. 13 e 14, necessarie a garantire un trattamento corretto e trasparente, anche riformulando i prospetti identificativi dei lavori statistici in vista dell'Aggiornamento 2019 del Programma statistico nazionale 2017-2019.

3. Il Sistema di integrazione logico-fisica di microdati amministrativi e statistici e il Sistema integrato dei registri

3.1. Il Sistema di integrazione logico-fisica di microdati amministrativi (SIM)

Nel corso degli ultimi anni è emersa la progressiva tendenza dell'Istituto a rafforzare l'utilizzo dei dati amministrativi a fini statistici, dotandosi di una vera e propria infrastruttura centralizzata per la loro gestione, che contiene la duplicazione di numerose decine di archivi amministrativi e statistici relativi alla totalità dei cittadini. Il processo di integrazione degli archivi in tale repository prevede che, attraverso i codici fiscali delle persone fisiche censite nelle diverse banche dati, tramite tecniche di record linkage (che consistono nell'attribuzione di record provenienti da diverse fonti allo stesso soggetto in ragione della presenza di chiavi comuni di collegamento), venga attribuito, a ciascun individuo, uno specifico codice univoco, denominato "codice SIM".

Tale infrastruttura è rappresentata nel lavoro IST-02270-Sistema di integrazione logico-fisica di microdati amministrativi (SIM), sul quale, come noto, in considerazione delle già rilevate criticità per i diritti e le libertà degli interessati, nel 2017, l'Autorità ha avviato, presso l'Istat, un apposito approfondimento istruttorio, tutt'ora in corso, finalizzato a verificare, in via preliminare, i rischi specifici derivanti dai trattamenti di dati personali ivi previsti, subordinandone l'effettivo utilizzo all'esito di tale verifica.

Al riguardo, giova ribadire che nel SIM, contenente dati identificativi diretti, attraverso nuove acquisizioni e integrazioni di dati provenienti da fonti amministrative e statistiche, in costante incremento e in prospettiva diacronica, si determina una vera e propria schedatura permanente di ogni individuo, nel tempo e nello spazio, con gravi rischi per i diritti e le libertà degli interessati.

3.2. Il Sistema integrato dei registri

Analoghe, se non maggiori, preoccupazioni suscita l'intenzione dell'Istat di avvalersi, per i propri lavori statistici, di un "Sistema integrato dei registri", a cui già si è fatto cenno nel Psn 2017-2019, che neppure nello schema di Aggiornamento in esame viene adeguatamente descritto. Alcuni sporadici riferimenti a tale Sistema si rinvengono, in particolare, nel prospetto identificativo del SIM, dove, a motivo della conservazione dei dati identificativi diretti, viene indicata la costituzione del Sistema Integrato dei registri, definito quale "archivio delle unità statistiche".

Dagli elementi disponibili, emerge che i registri con dati identificativi diretti dei quali tale sistema si dovrebbe comporre, sembrerebbero individuati, in particolare, nei seguenti lavori statistici: IST-02729-Registro degli Edifici e delle Unità abitative, IST-02721-Registro base degli individui delle famiglie e delle convivenze (integrazione di più di 50 fonti amministrative, anche contenti dati sensibili), IST-02742-Registro del lavoro (integrazione di 26 fonti amministrative), IST-01382-Registro Annuale su retribuzioni, ore e Costo del Lavoro Individuale (integrazione di quasi 20 fonti amministrative), IST-02638-Integrazione dati e registro redditi, consumi e ricchezza.

Si rileva che, in molti lavori statistici, tra cui rilevano in particolare quelli afferenti al Sistema dei registri, è stata da ultimo introdotta una nuova variabile denominata "codice univoco indirizzo (CUI) di residenza SIM" o "codice univoco indirizzo (CUI) di domicilio SIM", non meglio definita nel prospetto identificativo del SIM.

Al riguardo, si rappresenta che l'utilizzo di tali codici, riferibili alle persone fisiche che risultano, di volta in volta, attraverso la mera consultazione di pubblici registri, intestatarie, proprietarie, residenti o titolari di attività economiche nei luoghi individuati, è idoneo a rivelare, con tecniche di linkage e di georeferenziazione degli indirizzi, sia i luoghi di dimora abituale, di lavoro, di studio, di abitazione e di cura, sia i legami tra individui, luoghi, enti e istituzioni, aumentando, così, esponenzialmente il patrimonio informativo riferibile all'intera popolazione e, quindi, anche i connessi rischi per le libertà e diritti degli interessati.

3.3. L'Integrazione dati e registro redditi, consumi e ricchezza e il Registro Asia Occupazione

Criticità analoghe si registrano nel lavoro IST-02638-Integrazione dati e registro redditi, consumi e ricchezza, ove si vorrebbero integrare, su base pluriennale, non solo fonti amministrative già utilizzate a fini statistici in altre rilevazioni, ma anche dati personali, sensibili e relativi ad ogni aspetto della vita quotidiana degli individui, raccolti presso gli interessati, anche con obbligo di risposta presidiato da una sanzione amministrativa (ad esempio, caratteristiche delle abitazioni, redditi, deprivazione materiale, percezione delle difficoltà economiche, stato di salute, tipologie di spese di consumo anche relative a visite mediche, articoli sanitari, accertamenti diagnostici, autoconsumi, luoghi d'acquisto, ecc.).

Simili considerazioni valgono anche per il lavoro IST-02634-Sistema informativo sull'occupazione - Registro Asia Occupazione, archivio strutturato secondo una struttura di tipo LEED (Linked Employer Employee Database), in cui i microdati integrati riguardano, invece, i singoli lavoratori (caratteri demografici come il sesso, l'età, il luogo di nascita) e le informazioni sul rapporto di lavoro (principali caratteristiche del rapporto di lavoro, differenziate a seconda della tipologia di lavoro svolto dal lavoratore all'interno dell'impresa) raccolte da fonti amministrative di natura previdenziale, fiscale, camerale e assicurativa.

Fermi restando gli esiti dell'approfondimento istruttorio in corso sul SIM, da quanto sopra rilevato emerge che i lavori statistici, individuati ai precedenti punti 3.1, 3.2. e 3.3, potrebbero verosimilmente violare le disposizioni del Codice e del Regolamento, in considerazione dei gravi rischi, per i diritti e le libertà degli interessati, derivanti dall'integrazione di una moltitudine di archivi amministrativi e statistici, dalla conservazione degli identificativi diretti, dall'integrazione anche di fonti statistiche raccolte presso gli interessati con obbligo di risposta, e dall'indeterminatezza delle indagini e dei risultati statistici che tali trattamenti sono predeterminati a realizzare, anche attraverso la profilazione degli interessati.

Allo stato, nell'ambito del presente parere l'Autorità non dispone, tuttavia, di elementi sufficienti per stimare pienamente la gravità e la probabilità dei rischi derivanti da siffatti trattamenti, né per valutare le misure che sarebbero necessarie, in concreto, per garantire i diritti e le libertà degli interessati in tale contesto. Ciò, anche in presenza di dati pseudonimizzati, aggregati o anonimi, in considerazione delle forti probabilità di reidentificazione dovute all'immenso patrimonio informativo progressivamente accumulato dall'Istituto e alle tecniche di elaborazione utilizzabili.

Pur riconoscendo la rilevante finalità di interesse pubblico perseguita dall'Istituto nazionale di statistica, permangono legittimi interrogativi  circa la compatibilità di tali trattamenti con l'essenza del diritto alla protezione dei dati personali, che risulta di per sé gravemente compromesso da un tale disegno.

Pertanto, in relazione ai predetti lavori statistici, sulla base degli elementi rappresentati in atti, non è possibile esprimere parere favorevole.

4. Le criticità connesse all'attuazione del censimento permanente

Alcuni prospetti identificativi presenti nello schema di Aggiornamento in esame (in particolare, IST-02493-Sistema Integrato Censimento permanente e Indagini sociali, componente areale, IST-02494-Sistema Integrato Censimento permanente e Indagini sociali, componente da lista, IST-02545-Progettazione metodologica e organizzativa del Censimento permanente della popolazione e delle abitazioni attraverso integrazione di dati amministrativi e indagini campionarie, IST-02703-MIDEA (Micro demographic accounting) - ANVIS (Anagrafe virtuale statistica), IST-02721-Registro base degli individui delle famiglie e delle convivenze) sono funzionali alla realizzazione del nuovo censimento della popolazione e delle abitazioni, c.d. "censimento permanente".

Il censimento permanente, che l'Istituto intende realizzare, con cadenza annuale, prevede l'integrazione di archivi amministrativi, con dati direttamente identificativi, classificando l'intera popolazione in relazione alla probabilità di ciascun individuo (e della sua famiglia) "di presenza/assenza in un dato ambito territoriale" (segnali diretti e indiretti di presenza sul territorio), anche al fine di comunicare alle competenti amministrazioni comunali i nominativi degli stessi per la successiva revisione delle anagrafi.

Già dal 2015, il Garante ha rappresentato all'Istat e alla Presidenza del Consiglio dei Ministri le criticità del "censimento permanente" (cfr. Pareri del Garante del 29 ottobre 2015, doc. web n. 4476104, e del 15 ottobre 2015, doc. web n. 4481301), che riguardano in sintesi:

a) la decisione di utilizzare le risultanze del censimento per la puntuale revisione delle anagrafi della popolazione residente (par. 4.1.);

b) l'integrazione, presso un unico soggetto (Istat), di interi archivi amministrativi raffrontati tra loro con tecniche di linkage e di georeferenziazione (par. 4.2.);

c) le modalità di realizzazione del censimento e l'informativa agli interessati (par. 4.3).

4.1. Il divieto di ricadute amministrative

I dati trattati per scopi statistici non possono essere utilizzati per altre finalità, né comportare ricadute personalizzate sugli interessati (art. 105 del Codice). Tale assunto costituisce un principio cardine della protezione dei dati personali nel settore statistico, costantemente richiamato anche in ambito internazionale ed europeo (cfr. il considerando n. 27 del Regolamento CE n. 2009/223 sulle statistiche europee e l'art. 4 della Raccomandazione del Consiglio d'Europa n. R (97) relativa alla protezione dei personali raccolti e trattati per scopi statistici).

La predetta garanzia è, peraltro, ribadita anche dal Regolamento, ai sensi del quale la "finalità statistica implica che il risultato del trattamento per finalità statistiche non siano dati personali, ma dati aggregati, e che tale risultato o i dati personali non siano utilizzati a sostegno di misure o decisioni riguardanti persone fisiche specifiche" (cfr. considerando 162).

L'utilizzo dei dati personali trattati nell'ambito del censimento permanente, per la finalità di revisione delle anagrafi della popolazione residente, non risulta, pertanto, compatibile con i principi e le disposizioni sopra richiamati.

4.2. L'integrazione, a fini statistici presso l'Istat, di interi archivi amministrativi

Come già illustrato al punto 3, l'integrazione, presso l'Istat, di intere basi dati amministrative relative alla totalità della popolazione, con trattamenti automatizzati volti anche a definire il profilo o la personalità dell'interessato (ancorché non finalizzati a una ricaduta amministrativa sugli individui, vietata dalla predetta normativa sulla protezione dei dati personali), richiede necessariamente l'introduzione di uno specifico quadro di garanzie a tutela degli interessati, specie in relazione alla natura, alla qualità dei dati, alle modalità del trattamento, nonché alle misure di sicurezza, che allo stato non risulta individuato.

4.3. Le modalità di realizzazione del censimento

Le modalità di realizzazione del censimento devono essere individuate predisponendo garanzie adeguate per i diritti e le libertà degli interessati, fornendo loro le informazioni necessarie ad assicurare un trattamento corretto e trasparente, con particolare riferimento alla logica utilizzata per ogni processo decisionale.

Allo stato, non è ancora stato sottoposto al Garante il Piano generale del Censimento (da ultimo rinvenuto sul sito dell'Istituto, https://www.istat.it/it/files/2016/03/PGC-CENSIMENTO-POPOLAZIONE-E-ABITAZIONI.pdf, nella versione approvata il 26 marzo 2018) che, a norma dell'art. 1, comma 232, lett. c), della legge 27 dicembre, n. 205, deve definire, in particolare, le misure per la protezione dei dati personali.

Dagli elementi rinvenibili nei prospetti identificativi dei lavori statistici finalizzati alla realizzazione del censimento permanente, indicati al punto 4, che prevedono l'integrazione degli archivi e le indagini campionarie (ovvero questionari da somministrare a un campione di soggetti, selezionato attraverso una logica non precisata, sulla base dell'integrazione di 53 archivi amministrativi) si evince, inoltre, che le richiamate rilevazioni IST-02493 e IST-02494 -per cui è previsto l'obbligo di risposta- sono strumentali alla costruzione e all'aggiornamento costante del c.d. Registro di base degli individui, delle famiglie e delle convivenze (RBI, lavoro IST-02721), facente parte del sopra menzionato Sistema integrato dei registri dell'Istat, elemento fondamentale dell'impianto metodologico del censimento permanente.

Cionondimeno, tali prospetti, che dovrebbero peraltro informare i cittadini al fine di garantire un trattamento corretto e trasparente, pur elencando puntualmente gli archivi amministrativi utilizzati, non consentono di comprendere la finalità e le modalità di trattamento, né il processo decisionale automatizzato (profilazione) e la logica utilizzati per l'individuazione del campione di interessati, contribuendo ad aggravare ulteriormente le considerazioni sopra illustrate relative alla conseguente revisione delle anagrafi.

4.4. La segnalazione al Parlamento e al Governo sulla legge di bilancio per l'anno 2018 (legge n. 205/2017, art. 1, commi 227-237)

Nel d.d.l. di bilancio per l'anno 2018 sono state introdotte alcune disposizioni sui censimenti permanenti, ivi incluso il censimento della popolazione e delle abitazioni, che hanno confermato le gravi preoccupazioni del Garante circa le predette criticità, che sono state, quindi, rappresentate al Parlamento e al Governo con la segnalazione del 7 novembre 2017 (doc. web n. 7447536).

Nella segnalazione è stato rappresentato anche il rischio derivante dall'inserimento del Sistema informativo integrato dell'Acquirente unico S.p.a., tra gli archivi da integrare per l'esecuzione del censimento. Tale sistema informativo contiene, infatti, tra gli altri, i dati sui consumi individuali, per fascia oraria di energia e gas e, quindi, informazioni idonee a rivelare, in determinati casi, anche lo stato di salute delle persone interessate (come quelle riferite a macchinari salvavita).

La legge di bilancio ha previsto che il predetto Sistema informativo possa essere utilizzato solo previa stipulazione di un protocollo d'intesa tra l'ISTAT e l'Acquirente unico S.p.A., sentiti il Garante per la protezione dei dati personali, l'Autorità di regolazione per energia, reti e ambiente e l'Autorità garante della concorrenza e del mercato (art. 1, comma 228, lett. e), della legge di bilancio).

Fermo restando il divieto di ricadute amministrative, analogamente a quanto rilevato nel precedente punto 3, i lavori statistici connessi alla realizzazione del censimento permanente della popolazione e delle abitazioni non riportano elementi sufficienti per stimare pienamente, in particolare, la gravità e la probabilità dei rischi derivanti da siffatti trattamenti, né per valutare le misure che sarebbero necessarie, in concreto, per garantire i diritti e le libertà degli interessati.

I trattamenti di dati personali previsti nei prospetti identificativi IST-02493, IST-02494, IST-02545, IST-02703 e IST-02721, che, allo stato, non risultano caratterizzati da sufficienti garanzie idonee ad assicurare la conformità alle disposizioni del Codice e del Regolamento, potranno, pertanto, essere avviati solo all'esito dell'esame, da parte dell'Autorità, del Piano generale del censimento, corredato da tutti gli elementi necessari a valutare compiutamente la conformità dei predetti trattamenti alla disciplina sulla protezione dei dati personali (e, in particolare, dalla valutazione di impatto che dovrà essere effettuata dall'Istituto ,ai sensi dell'art. 35 del Regolamento, prima di avviare i relativi trattamenti, in considerazione del fatto che questi presentano un rischio elevato per i diritti degli interessati, che il Regolamento diverrà pienamente applicabile dal 25 maggio prossimo e che, sulla base della documentazione in atti, il censimento avrà inizio nell'ottobre del 2018).

In ogni caso, ai sensi dell'art. 1, comma 228, lett. e), della legge di bilancio, il trattamento dei dati personali contenuti nel Sistema informativo integrato dell'Acquirente unico potrà avvenire –nell'ambito dei lavori censuari, come degli altri lavori statistici presenti nel Psn che prevedono l'utilizzo di tali informazioni- solo dopo la stipula del protocollo previsto dalla legge di bilancio, sentito, tra gli altri, il Garante per la protezione dei dati personali.

5. Il trattamento di dati personali riferiti a minori

Nello schema di Aggiornamento in esame sono contenute numerose "statistiche da indagine", che prevedono il coinvolgimento di soggetti minori di età, anche infra-quattordicenni, in qualità di "unità di rilevazione" (es. IST-02607-Indagine su bambini e ragazzi: comportamenti, atteggiamenti e progetti futuri, IST-01858-Multiscopo sulle famiglie: uso del tempo, IST-02565-Indagine europea sulla salute (EHIS), IST-02726-Indagine sulle discriminazioni, IST-02732-Indagine sulla immagine sociale della violenza nella popolazione e nelle scuole, IST-02066-Indagine sulla condizione degli stranieri).

La realizzazione di tali progetti prevede che minori, anche giovanissimi, siano chiamati a rispondere (talvolta obbligatoriamente, tramite la compilazione di appositi questionari, anche on line, o diari) a numerosi quesiti, spesso connessi ad aspetti molto delicati della vita quotidiana che, oltre a rivelare informazioni, anche sensibili, sono comunque idonee a creare situazioni di forte disagio e imbarazzo. Tra le variabili si rilevano, in particolare, le difficoltà nelle attività quotidiane (cura della persona, attività domestiche), la contraccezione e la vita sessuale, i determinanti della salute (abitudine al fumo, problemi di peso, attività fisica, consumo di alcol, consumo di frutta e verdura) e la storia migratoria.

Anche laddove tali informazioni vengano acquisite tramite terzi (genitore o adulto di riferimento, c.d. proxy), la giovane età dei soggetti interessati impone un'ancor più prudente valutazione dell'Istituto degli elevati rischi derivanti dalla realizzazione di siffatti lavori statistici in cui vengono previste la conservazione dei dati identificativi diretti per un tempo indefinito e l'integrazione dei dati raccolti con altre fonti amministrative. Ciò, a maggior ragione con riferimento alla previsione, in alcuni lavori, dell'obbligo di risposta, che risulta suscettibile di determinare un'ingiustificata ingerenza nella sfera della personalità dei minori, tenuto anche conto dei rischi derivanti dalla mancata anonimizzazione dei dati e dagli ulteriori trattamenti prospettati in alcuni lavori statistici.

In via generale, al fine di assicurare il massimo rispetto ai diritti, alla libertà e alla dignità di soggetti la cui personalità è ancora in via di sviluppo, si invita, pertanto, l'Istituto a valutare con estrema attenzione, anche nell'ambito di una specifica valutazione d'impatto effettuata ai sensi dell'art. 35 del Regolamento, l'opportunità di trattare dati personali riferiti a tale particolare categoria vulnerabile di interessati e ad adottare appropriate garanzie (ad esempio, innalzando l'età per la quale la raccolta dei dati viene effettuata tramite proxy e rendendo anonimi i dati al termine trattamento statistico per il quale sono stati raccolti).

Con specifico riferimento al lavoro IST-02607-Indagine su bambini e ragazzi: comportamenti, atteggiamenti e progetti futuri, svolto in collaborazione con l'Unicef, si rilevano, invece, specifiche criticità in relazione alla conservazione dei dati identificativi diretti (finalizzata alla creazione di non meglio specificati "data base sui giovani" e un "data set-integrato e longitudinale per l'analisi dei processi di integrazione dei cittadini stranieri"), nonché alle modalità di realizzazione di tale lavoro (compilazione del questionario on line con credenziali fornite ai ragazzi dal rilevatore nel giorno dell'intervista). Anche in ragione delle caratteristiche delle variabili oggetto di rilevazione e sulla base di una segnalazione pervenuta al riguardo, prima dell'avvio dei trattamenti di dati personali connessi a tale specifico lavoro statistico, si ritiene, pertanto, necessario acquisire il questionario, l'informativa da rendere ai genitori, nonché idonei chiarimenti sul ruolo assunto dall'Unicef nel trattamento dei dati e sulle modalità di realizzazione dei "data base" e "data set" che si intenderebbero costituire.

In relazione al lavoro IST-02732-Indagine sulla immagine sociale della violenza nella popolazione e nelle scuole, si rileva, inoltre, che, nel prospetto, non viene specificata l'età dei soggetti minorenni coinvolti nella rilevazione e non è, quindi, possibile valutare l'opportunità che gli stessi siano chiamati personalmente a rispondere a quesiti idonei a rivelare il proprio stato di salute, la propria vita sessuale, per giunta, in relazione ad un contesto molto delicato come quello della violenza sulle donne e del bullismo. Suscita inoltre forti perplessità la prevista conservazione, senza l'individuazione di limiti temporali, dei dati identificativi diretti dei minori. Si ritiene quindi di dover acquisire ulteriori informazioni circa l'età dei soggetti rispondenti, le ragioni della mancata anonimizzazione delle informazioni e i questionari ad essi sottoposti prima dell'avvio del trattamento in esame.

In ragione della delicatezza delle informazioni rilevate presso minori, relative anche alle discriminazioni eventualmente subite in diversi ambiti (origine etnica, identità di genere, genere, religione o credo, aspetti relativi alla salute, orientamento sessuale), occorre, altresì, che vengano forniti chiarimenti in relazione ai questionari utilizzati nell'ambito del lavoro IST-02726-Indagine sulle discriminazioni, nonché alla conservazione dei dati identificativi diretti per la "creazione di un archivio per ritorni sull'argomento", prima di avviare il trattamento.

6. Alcuni ulteriori lavori statistici

6.1. IST-02589 Uso a fini statistici dei Big Data

Il prospetto IST-02589-Uso a fini statistici dei Big Data, già oggetto di specifici rilievi nei pareri del Garante sui precedenti Psn (da ultimo, cfr. il citato parere del 2 marzo 2017), è stato modificato nello schema di Aggiornamento in esame, indicando i seguenti specifici ambiti di analisi:

1. sperimentazione dell'utilizzo, a fini statistici, di fonti di telefonia mobile ai fini della stima dei flussi per tipologie utenti nella matrice origine/destinazione nell'ambito del Progetto Istat (Persons & Places);

2. sperimentazione dell'utilizzo, a fini statistici, di fonti di telefonia mobile per la stima dei flussi turistici inbound e outbound. I dati di telefonia mobile potranno essere utilizzati per tracciare i flussi turistici in Italia, da parte di turisti stranieri, o di turisti stranieri all'estero, utilizzando le connessioni effettuate in roaming;

3. sperimentazione dell'utilizzo, a fini statistici, di dati ottenuti dal web mediante tecniche di web scraping (applicazioni nell'ambito dell'indagine sull''Uso dell'ICT da parte delle imprese' per la individuazione di e-commerce, online job application, presenza nei social media, sostenibilità socio-ambientale e attività effettiva dell'impresa) e della rilevazione sulle "Aziende di Agriturismo";

4. sperimentazione dell'utilizzo, a fini statistici, dei contenuti dei Social Media (Facebook, Twitter) per la stima del grado di fiducia dei consumatori e delle aspettative degli attori economici;

5. sperimentazione dell'utilizzo, a fini statistici, di dati ottenuti da sensori (webcam e immagini satellitari) per la stima dei flussi di traffico stradale e per la stima della produzione agricola;

6. sperimentazione dell'utilizzo, a fini statistici, delle serie storiche di Google Trends per nowcasting di indicatori del mercato del lavoro;

7. sperimentazione dell'utilizzo, a fini statistici, degli scanner data della grande distribuzione ai fini della costruzione dell'indice dei prezzi al consumo;

8. sperimentazione dell'utilizzo, a fini statistici, dei dati prodotti dagli smart meters relativi al consumo di energia elettrica da parte delle famiglie;

9. sperimentazione dell'utilizzo, a fini statistici, dei dati prodotti dagli AIS (Automatic Identification Systems) per stimare i flussi di traffico marittimo.

Con riferimento alle sperimentazioni prospettate nei punti nn. 1 e 2, che prevedono l'utilizzo di fonti di telefonia mobile, si ribadisce quanto già evidenziato nei pareri sui precedenti Psn, ricordando che l'utilizzo di queste informazioni comporta specifici rischi per la riservatezza e la protezione dei dati personali degli interessati, tenuto anche conto che, grazie alle nuove tecnologie e alle nuove tecniche di analisi, elaborazione e interconnessione dei dati, risulta spesso possibile (o, comunque altamente probabile) la reidentificazione di un interessato anche attraverso informazioni apparentemente anonime (c.d. "single-out").

Occorre, pertanto, che, prima di avviare il trattamento di dati personali previsto nell'ambito di tali sperimentazioni, l'Istat sottoponga al Garante le metodologie individuate e le garanzie adottate per gli interessati, illustrando, in particolare, le tecniche di anonimizzazione impiegate e le metriche adottate, in ciascun caso (anche mediante esemplificazioni), per la stima della probabilità di reidentificazione.
Con riferimento alla sperimentazione n. 8, come osservato al precedente punto 4, i dati contenuti nel Sistema informativo dell'Acquirente unico potranno essere trattati solo in seguito alla stipula del protocollo di intesa tra le Autorità competenti.

Si conferma, inoltre, quanto previsto nei precedenti pareri sul lavoro statistico IST-02645-Quantificazione delle popolazioni in ambiti territoriali potenzialmente a rischio, in relazione al quale è stato richiesto che l'Istat sottoponesse preventivamente al Garante, per l'acquisizione del parere, la metodologia da adottare nello studio.

6.2. L'Archivio disabilità

Nel solco di tali rilevanti criticità, si collocano anche i rilievi relativi al lavoro statistico IST-02748-Archivio disabilità, che si propone di integrare fonti amministrative e statistiche al fine costituire un archivio delle persone con disabilità.

Il prospetto identificativo di tale lavoro non evidenzia le specifiche finalità statistiche perseguite, lasciando presumere -anche alla luce della tendenza di raccogliere e integrare banche dati amministrative per finalità statistiche o propedeutiche alla statistica- l'intenzione dell'Istituto di costituire l'ennesimo grande repository, sulla base di sette archivi dell'Inps e dell'Agenzia delle entrate e dei risultati ricavati dal lavoro statistico IST-02565-Indagine europea sulla salute (EHIS), volto a studiare lo stato di salute della popolazione.

Il lavoro in esame comporta una trattamento su larga scala di dati idonei a rivelare lo stato di salute, concentrando, in un unico archivio, le informazioni disponibili a livello nazionale sui disabili. Pur comprendendo il fabbisogno statistico sottostante al predetto lavoro, si rappresenta che il trattamento in esame espone, per sua stessa natura, a un rischio elevato i diritti e libertà fondamentali di tale categoria vulnerabile di interessati.

Al riguardo, infatti, deve rilevarsi l'insufficienza delle misure di garanzie indicate nel prospetto informativo che potrebbe verosimilmente determinare la violazione delle disposizioni del Codice e del Regolamento. Pertanto, si invita l'Istituto, prima di avviare il trattamento, a comunicare al Garante tutti gli elementi necessari a consentire una compiuta valutazione circa la conformità dello stesso alla disciplina sulla protezione dei dati personali (corredando, in particolare, tale comunicazione dalla valutazione di impatto, che dovrà essere condotta dall'Istituto, ai sensi dell'art. 35 del Regolamento, dal momento che il predetto trattamento sarà effettuato successivamente alla data in cui questo diverrà pienamente applicabile).

6.3. L'Osservatorio epidemiologico sui suicidi e tentativi di suicidio

Il lavoro statistico ISS-00053-Osservatorio epidemiologico sui suicidi e tentativi di suicidio è volto alla creazione, da parte dell'Istituto superiore di sanità, di un osservatorio epidemiologico basato sull'integrazione di fonti di dati amministrative e statistiche (raccolte da altre amministrazioni per finalità di cura e amministrative ad essa correlate).

Al riguardo, si osserva che la normativa vigente applicabile al trattamento a fini epidemiologici di dati idonei a rivelare lo stato di salute, che si intenderebbero utilizzare nell'ambito del predetto Osservatorio, prevede l'adozione di specifiche garanzie a tutela degli interessati.

Pertanto, anche in attesa dell'adozione del nuovo decreto legislativo, volto a ridefinire il quadro giuridico nazionale in materia di protezione dei dati personali, con possibili ricadute anche sul trattamento connesso al lavoro in esame, si ritiene necessario sospendere il trattamento ivi previsto al fine di avviare un confronto con l'Istituto superiore di sanità per garantire il rispetto dei diritti, delle libertà e della dignità degli interessati.

7. La diffusione di variabili in forma disaggregata

Lo schema di Aggiornamento in esame include 23 lavori statistici per i quali è prevista la diffusione di variabili, in forma disaggregata, al fine di soddisfare specifiche "esigenze conoscitive anche di carattere internazionale e comunitario".

Come noto, infatti, l'art. 4, comma 2, del Codice di deontologia e l'art. 13 comma 3-bis del d. lgs. n. 322 del 1989 consentono che, in deroga alla disciplina in materia di protezione dei dati personali e ai limiti posti dal segreto statistico, i risultati di lavori statistici possano, per le richiamate esigenze, essere diffusi in forma disaggregata.

Al riguardo si rileva che in alcuni casi, diversamente da quanto previsto nei precedenti Psn, non viene garantito adeguatamente il rischio di reidentificazione dei singoli interessati.

Ciò vale, in particolare, con riferimento al lavoro della Presidenza del Consiglio dei Ministri, PCM-00033-Le adozioni internazionali, volto allo studio, analisi e monitoraggio delle adozioni internazionali e dell'operatività degli enti autorizzati in cui, rispetto alle garanzie assicurate nei precedenti Psn, sono state eliminate le soglie di aggregazione per la diffusione delle variabili. Viene, infatti, prospettata, senza motivarne la scelta in discontinuità rispetto agli anni passati, la diffusione del numero di minori autorizzati all'ingresso in Italia, distinti per paese di provenienza e provincia di residenza delle coppie adottanti, nonché il numero di minori adottati distinti per sesso ed età secondo al provincia di provenienza in riferimento al singolo ente autorizzato.

Al fine di garantire il più alto livello di tutela della riservatezza, dignità e libertà fondamentali dei minori coinvolti nelle procedure di adozione, si ritiene, invece, necessario che tali dati vengano diffusi rispettando i livelli di aggregazione previsti nei precedenti Psn.

Anche nel lavoro del Ministero dell'Istruzione dell'Università e della Ricerca, MUR-00026-Istruzione Universitaria (I-II-III ciclo), viene individuata, come unità di analisi aggregate per sede e corso, il singolo studente presente nel sistema universitario italiano (corsi di laurea triennali, magistrali, ciclo unico, dottorato, master di I e II livello, specializzazione).

Tenuto conto che il livello territoriale di diffusione è la sede dell'istituzione, le variabili che si intendono diffondere, in forma disaggregata, sono tali da esporre gli interessati ad un ingiustificato rischio di identificazione per cui si rende necessario aggregare i risultati destinati alla diffusione nel rispetto dalla c.d. regola del 3 (cfr. art. 4, comma 1, lett. a) del codice di deontologia), anche modificando le variabili oggetto di diffusione che rischiano di consentire l'identificazione di un singolo studente.

TUTTO CIO' PREMESSO IL GARANTE

ai sensi dell'art. 154, comma 1, lett. c) e g) del Codice e dell'art. 4-bis del codice di deontologia, esprime parere favorevole sullo schema di Programma statistico nazionale 2017-2019, Aggiornamento 2018-2019, ad eccezione dei lavori statistici indicati nei punti 3, 4, 5, 6 e 7, sui quali il parere non è favorevole nei termini di cui in motivazione.

Roma, 9 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia