Bonus Covid e partite iva: il Garante sanziona l’Inps per 300 mila euro

Il Garante per la protezione dati personali ha riscontrato violazioni alla normativa privacy nell’ambito degli accertamenti antifrode condotte dall’Istituto riguardo al bonus Covid per le partite iva e ha ordinato all’Inps il pagamento di trecentomila euro a titolo di sanzione.

Svariate le ragioni a fondamento del provvedimento sanzionatorio ovvero la “la mancata definizione dei criteri per trattare i dati di determinate categorie di richiedenti il “bonus Covid”, l’uso di informazioni non necessarie rispetto alle finalità di controllo, il ricorso a dati non corretti o incompleti e, infine, l’inadeguata valutazione dei rischi per la privacy.

L’istruttoria del Garante era stata avviata nel mese di agosto 2020, in seguito a rumors insistenti concernenti il trattamento dei dati di quei richiedenti che rivestono cariche politiche (nello specifico, incarichi di parlamentare o di amministratore regionale o locale). Nel corso degli accertamenti l’Autorità, pur riconoscendo che lo svolgimento dei controlli sulla sussistenza dei requisiti previsti dalla legge per l’erogazione del bonus fosse riconducibile a compiti di interesse pubblico rilevante, ha rilevato numerose criticità nelle modalità utilizzate dall’Inps nel procedervi.

L’Inps, infatti, – si legge nel comunicato pubblicato sul sito del Garante – non ha adeguatamente progettato il trattamento e non è stata in grado di dimostrare di aver svolto i controlli nel rispetto del Regolamento Ue 2016/679, violando i principi di privacy by design, di privacy by default e di accountability.

L’Autorità entra anche nel merito delle violazioni accertate. In primo luogo – prosegue la nota –  dopo aver acquisito da fonti aperte i dati di decine di migliaia di persone che ricoprono incarichi di carattere politico, l’Istituto ha effettuato elaborazioni e incroci tra i dati di tutti coloro che avevano richiesto il bonus con quelli dei titolari dei predetti incarichi. Ciò, però, senza aver prima determinato se ai parlamentari e agli amministratori regionali o locali spettasse o meno tale beneficio, anche in considerazione delle differenti caratteristiche delle cariche ricoperte. In questo modo l’Inps ha violato i principi di liceità, correttezza e trasparenza stabiliti dal Regolamento Ue in materia di protezione dei dati personali.

L’Inps non ha rispettato neppure il principio di minimizzazione dei dati, avendo avviato i controlli finalizzati al recupero dei bonus anche su tutti quei soggetti che, pur avendolo richiesto, non lo avevano percepito, visto che la loro domanda era già stata respinta per ragioni indipendenti dalla carica ricoperta.

E’ emerso inoltre che l’Istituto non ha valutato adeguatamente i rischi collegati a un trattamento di dati così delicato come è quello riguardante i richiedenti un beneficio economico classificato come ammortizzatore sociale, non effettuando la valutazione di impatto sui diritti e le libertà degli interessati.

Le condotte dell’Istituto hanno indotto il Garante a dichiarare illecito il trattamento dei dati personali effettuato e ad applicare la sanzione nei suoi confronti. L’Autorità ha altresì prescritto all’Inps di cancellare i dati non necessari fino a questo momento trattati e ad effettuare un’adeguata valutazione di impatto privacy (PIA).

Avv. Valentina D’Urso

Add Comment