Il Garante per la protezione dati personali ha condannato l’INPS al pagamento di una sanzione di 300mila euro in relazione alle violazioni commesse nell’ambito degli accertamenti antifrode effettuati dall’Istituto riguardo al c.d. “bonus Covid” per le partite iva.
Quali violazioni sono state contestate all’INPS?
Gli addebiti contestati all’INPS sono stati:
1) la mancata definizione dei criteri per trattare i dati di determinate categorie di richiedenti il “bonus Covid”;
2) l’uso di informazioni non necessarie rispetto alle finalità di controllo;
3) il ricorso a dati non corretti o incompleti;
4) l’inadeguata valutazione dei rischi per la privacy.
L’istruttoria del Garante, avviata nel mese di agosto in seguito a notizie di stampa riguardo al trattamento da parte dell’Istituto dei dati dei richiedenti che ricoprono cariche politiche (nello specifico, incarichi di parlamentare o di amministratore regionale o locale), ha messo in luce che l’INPS non ha adeguatamente progettato il trattamento e non è stata in grado di dimostrare di aver svolto i controlli nel rispetto del GDPR, violando i principi di privacy by design, di privacy by default e di accountability.
Per quali ragioni il Garante ha sanzionato l’INPS?
Il Garante, pur riconoscendo che lo svolgimento dei controlli da parte dell’INPS sulla sussistenza dei requisiti previsti dalla legge per l’erogazione del bonus è riconducibile a compiti di interesse pubblico rilevante, ha riscontrato numerose criticità nelle modalità utilizzate dall’Istituto nel procedervi.
In primo luogo, dopo aver acquisito da fonti aperte i dati di decine di migliaia di persone che ricoprono incarichi di carattere politico, l’Istituto ha effettuato elaborazioni e incroci tra i dati di tutti coloro che avevano richiesto il bonus con quelli dei titolari dei predetti incarichi.
Ciò senza però aver prima determinato se ai parlamentari e agli amministratori regionali o locali spettasse o meno tale beneficio, anche in considerazione delle differenti caratteristiche delle cariche ricoperte.
In questo modo l’INPS ha violato i principi di liceità, correttezza e trasparenza stabiliti all’art. 5 del Reg. UE 2016/679 (GDPR).
L’INPS, inoltre, non ha rispettato il principio di minimizzazione dei dati, dal momento che i controlli finalizzati al recupero dei bonus sono stati avviati anche nei confronti di soggetti che, pur avendolo richiesto, non lo avevano percepito, essendo la domanda stata già respinta per ragioni indipendenti dalla carica ricoperta.
E’ emerso, inoltre, che l’INPS non ha valutato adeguatamente i rischi collegati a un trattamento di dati così delicato come è quello riguardante i richiedenti un beneficio economico classificato come ammortizzatore sociale, non effettuando la necessaria valutazione di impatto privacy (DPIA) sui diritti e le libertà degli interessati.
Per tali motivi, il Garante ha dichiarato illecito il trattamento dei dati personali effettuato dall’INPS e ha applicato all’Istituto la pesante sanzione di 300 mila euro. L’Autorità ha, inoltre, prescritto la cancellazione dei dati non necessari fino ad ora trattati e l’effettuazione di un’adeguata valutazione di impatto privacy.
