Il Garante privacy ha ordinato all’INPS il pagamento di 300 mila euro di sanzione per violazioni commesse nell’ambito degli accertamenti antifrode effettuati riguardo al “bonus Covid” per le partite IVA. Il Garante privacy annuncia di aver irrogato all’Istituto Nazionale per la Previdenza Sociale (INPS) una sanzione di 300 mila euro in relazione alle violazioni commesse dall’Istituto nell’ambito degli accertamenti antifrode riguardanti l’attribuzione del “bonus Covid” per le partite Iva.
Tra le motivazioni del provvedimento il Garante privacy sottolinea la “mancata definizione dei criteri per trattare i dati di determinate categorie di richiedenti il “bonus Covid”, uso di informazioni non necessarie rispetto alle finalità di controllo, ricorso a dati non corretti o incompleti, inadeguata valutazione dei rischi per la privacy”.
Pur riconoscendo che lo svolgimento dei controlli sulla sussistenza dei requisiti previsti dalla legge per l’erogazione del bonus fosse riconducibile a compiti di interesse pubblico rilevante, in seguito ad un’approfondita istruttoria avviata nell’agosto del 2020, il Garante ha riscontrato numerose criticità nel modus operandi dell’INPS.
L’attività di accertamento ha evidenziato l’inadeguatezza dell’attività di trattamento condotta dall’INPS con conseguente violazione dei principi di privacy by design, di privacy by default e di accountability.
Secondo quanto riportato dal Garante, dopo aver acquisito da fonti aperte i dati di decine di migliaia di persone che ricoprono incarichi di carattere politico, l’Istituto ha effettuato elaborazioni e incroci tra i dati di tutti coloro che avevano richiesto il bonus con quelli dei titolari dei predetti incarichi. Tale attività, tuttavia, si è sostanziata in assenza di una puntuale valutazione dei requisiti di ammissibilità delle domande formulate dai parlamentari e dagli amministratori regionali o locali interessati. In questo modo l’INPS ha violato i principi di liceità, correttezza e trasparenza stabiliti dal Regolamento UE in materia di protezione dei dati personali.
Il provvedimento sottolinea anche l’inottemperanza dell’INPS al principio di minimizzazione dei dati. L’INPS avrebbe infatti avviato i controlli finalizzati al recupero dei bonus anche su tutti quei soggetti che, pur avendolo richiesto, non lo avevano di fatto percepito, visto che la loro domanda era già stata respinta per ragioni indipendenti dalla carica ricoperta.
Secondo le valutazioni del Garante, l’Istituto non ha determinato adeguatamente i rischi collegati a un trattamento di dati così delicato come è quello riguardante i richiedenti un beneficio economico classificato come ammortizzatore sociale, non effettuando la valutazione di impatto sui diritti e le libertà degli interessati.
Per tali motivi, il Garante ha dichiarato illecito il trattamento dei dati personali effettuato dall’INPS, applicando la sanzione. L’Autorità ha inoltre prescritto all’Istituto di cancellare i dati non necessari fino ad ora trattati ed effettuare un’adeguata valutazione di impatto privacy.
Su di un simile argomento, può essere interessante l’articolo “La gestione di un data breach durante l’emergenza Covid-19”.
Autore: DLA Piper
