Carta Giovani Nazionale: Garante Privacy, sì alla valutazione d’impatto sulla protezione dati

Via libera del Garante per la privacy alla valutazione d’impatto sulla protezione dei dati (DPIA) nell’ambito del progetto Carta Giovani Nazionale (CGN) trasmessa dal Dipartimento per le politiche giovanili e il servizio civile universale della Presidenza del Consiglio dei Ministri.

Via libera del Garante per la privacy alla valutazione d’impatto sulla protezione dei dati (DPIA) nell’ambito del progetto Carta Giovani Nazionale (CGN)

La CGN è un servizio digitale, accessibile attraverso l’App IO, che permette ai giovani tra i 18 e i 35 anni residenti in Italia di ottenere sconti su manifestazioni culturali, sportive, attività di orientamento professionale, e di accedere all’European Youth Card.

La valutazione d’impatto è necessaria nei casi, come quello in questione, in cui il trattamento dei dati personali presenti rischi elevati perché coinvolge i dati di milioni di giovani.

La valutazione d’impatto approvata recepisce le indicazioni fornite dall’Autorità nell’ambito delle interlocuzioni informali intercorse con il Dipartimento per le politiche giovanili, PagoPa e Studiare Sviluppo srl volte ad assicurare il rispetto al Regolamento Ue. Le indicazioni hanno riguardato, in particolare, l’individuazione delle attività svolte nell’ambito del trattamento; il rispetto del principio di minimizzazione dei dati e di privacy by design e by default; le modalità di controllo sugli usi difformi della Carta da parte dei beneficiari.

La DPIA, oltre a individuare le modalità e i tempi di conservazione e la successiva cancellazione delle informazioni dei beneficiari della Carta Giovani Nazionale, pone attenzione alla definizione di ruoli e rapporti tra il Dipartimento per le politiche giovanili e il servizio civile universale, Studiare Sviluppo S.r.l. e PagoPA S.p.A., la società che gestisce l’App IO, rispettivamente Titolare e Responsabili del Trattamento.

Rispetto all’analisi dei rischi relativi alla sicurezza dei dati il Garante dà atto al Dipartimento di aver disposto l’adozione di misure volte a mitigarli in coerenza con gli obblighi stabiliti dal Regolamento europeo in materia di protezione dati.

Fonte: Garante Privacy