Dopo quasi due anni dalla sua istituzione, il bonus occhiali vede finalmente la luce con il parere positivo del Garante della Privacy sullo schema di decreto del Ministero della Salute.
Difatti, sebbene il contributo sia stato introdotto dalla legge di Bilancio varata a fine 2020, che ha previsto un “fondo per la tutela della vista” con una dotazione di 5 milioni di euro relativamente agli anni 2021, 2022 e 2023, solo adesso esso sarà reso concretamente operativo.
Entro la fine del 2022 il Ministero della Salute metterà, quindi, a disposizione una piattaforma sul proprio sito attraverso la quale sarà possibile, previa registrazione tramite SPID, CIE o CNS, chiedere l’erogazione del contributo.
IL PARERE DEL GARANTE
In data 19 settembre 2022 è pervenuta all’Autorità Garante una richiesta di parere, con la quale il Ministero della Salute ha sottoposto all’Autorità lo schema di decreto, di concerto con il Ministro dell’Economia e delle Finanze, concernente l’erogazione del contributo c.d. “bonus vista”.
Lo schema di decreto è il risultato di molteplici interlocuzioni informali, che hanno permesso all’Autorità di fornire delle osservazioni utili a rendere conformi i trattamenti dei dati personali previsti per l’ottenimento del bonus, in osservanza dei principi di privacy by design e by default (art. 25 del GDPR).
Con questo parere l’Autorità Garante evidenzia ancora una volta quanto, nelle proprie valutazioni, pesi il rispetto dei principi fondamentali del Regolamento EU 2016/679, spesso sottovalutati nell’impostazione di un’attività di trattamento.
Le principali indicazioni riguardano, in particolar modo, il rispetto dei seguenti principi:
- trasparenza, limitazione della finalità e accountability (art. 5, parr. 1, lett. a) e b), e 2, e art. 24 del Regolamento), relativamente alla necessità di prevedere entrambe le modalità di erogazione del contributo (attribuzione del voucher e rimborso);
- liceità, correttezza e trasparenza, integrità e riservatezza (art. 5, par. 1, lett. a) ed e), del Regolamento), da valutare nel garantire la possibilità per gli interessati di effettuare l’autenticazione informatica anche mediante CNS;
- liceità, correttezza e trasparenza, minimizzazione dei dati (art. 5, par. 1, lett. a) e c), del Regolamento). Il principio di minimizzazione viene preso in considerazione nella puntuale individuazione dei dati personali trattati in relazione alle varie fasi in cui si articola il trattamento, dei flussi informativi instaurati e della verifica della sussistenza dei requisiti per accedere al contributo. È stato, inoltre, escluso il trattamento dei dati relativi alla salute, nel rispetto di quanto previsto dall’art. 9, parr. 2, lett. g), e 4, del Regolamento;
- obbligo di fornire le informazioni sul trattamento dei dati personali, in ossequio ai principi di correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento) vista la necessità dei richiedenti di essere informati correttamente al momento della presentazione della domanda (ex artt. 12 e 13 del Regolamento);
- principio di minimizzazione dei dati (art. 5, par. 1, lett. c), del Regolamento), specificatamente nell’attività di trattamento per finalità di monitoraggio del programma da parte del Ministero della salute. Il questo caso, l’Autorità ha precisato che dovrà essere consentito esclusivamente l’utilizzo di dati aggregati, in modo che non sia possibile identificare, anche indirettamente, l’interessato richiedente il beneficio;
- principio di limitazione, richiamato nel determinare l’obbligo per il Ministero di individuare i tempi di conservazione (art. 5, par. 1, lett. e), del Regolamento);
LE MISURE TECNICHE, ORGANIZZATIVE E MODALITÀ DI ATTUAZIONE
Nel parere espresso il Garante non si sofferma sulle misure tecniche e organizzative che dovranno essere attuate nel trattamento dei dati personali necessari alla richiesta del contributo.
Difatti, il Ministero intende ricorrere alle misure tecniche e organizzative, oltre alle modalità di attuazione, già utilizzate in passato in analoghe iniziative, che hanno già ricevuto il parere favorevole dell’Autorità (cfr., ex multis: provv. n. 328 del 28 luglio 2016, disponibile su www.garanteprivacy.it, doc. web n. 5387638, e i provv. successivi nel medesimo ambito; provv. n. 2 del 15 gennaio 2020, doc. web n. 9264222; provv. n. 274 del 22 luglio 2021, doc. web n. 9689706; provv. n. 333 del 16 settembre 2021, doc. web n. 9713770; provv. n. 4 del 13 gennaio 2022, doc. web n. 9740759), avvalendosi altresì del medesimo soggetto attuatore in qualità di responsabile del trattamento ai sensi dell’art. 28 del Regolamento (SOGEI S.p.A.)
LA CONDIZIONE DEL GARANTE
L’unica condizione apposta dal Garante nel parere in questione attiene alla necessità che le modalità e i termini della comunicazione dei rimborsi debbano essere stabiliti “con provvedimento del Direttore dell’Agenzia delle Entrate, sentita l’Autorità garante per la protezione dei dati personali”. La comunicazione all’Agenzia delle entrate dei dati relativi ai rimborsi erogati, ai fini di elaborazione della dichiarazione dei redditi precompilata deve, in ogni caso, essere effettuata nel rispetto del quadro normativo che disciplina tale ambito (d.lgs. 175/2014, cfr. spec. art. 3, comma 4, nonché la relativa normativa di attuazione).