L’INPS ha violato la privacy dei richiedenti il bonus Covid per le partite IVA. Per questo motivo è stato sanzionato con 300mila euro dal Garante per la protezione dati personali.
L’indagine del Garante
L’istruttoria del Garante era stata avviata nel mese di agosto, quando è esploso il caso di parlamentare o di amministratore regionale o locale che hanno fatto richiesta e ricevuto il beneficio. Così l’Autorità ha avviato un’indagine per fare chiarezza sul trattamento, da parte dell’Istituto, dei dati dei richiedenti del bonus.
Tutte le violazioni dell’INPS
Nel corso degli accertamenti l’Autorità, ha riscontrato numerose criticità nelle modalità utilizzate dall’Istituto nel procedervi.
- L’Inps non ha adeguatamente progettato il trattamento e non è stata in grado di dimostrare di aver svolto i controlli nel rispetto del Regolamento, violando i principi di privacy by design, di privacy by default e di accountability.
INPS ha violato GDPR nelle verifiche sui parlamentari e amministratori regionali o locali
In primo luogo, dopo aver acquisito da fonti aperte i dati di decine di migliaia di persone che ricoprono incarichi di carattere politico, l’Istituto ha effettuato elaborazioni e incroci tra i dati di tutti coloro che avevano richiesto il bonus con quelli dei titolari dei predetti incarichi. Ciò senza però aver prima determinato se ai parlamentari e agli amministratori regionali o locali spettasse o meno tale beneficio, anche in considerazione delle differenti caratteristiche delle cariche ricoperte. In questo modo l’Inps ha violato i principi di liceità, correttezza e trasparenza stabiliti dal Regolamento Ue in materia di protezione dei dati personali.
Le altre violazioni
- L’Inps non ha rispettato neppure il principio di minimizzazione dei dati, avendo avviato i controlli finalizzati al recupero dei bonus anche su tutti quei soggetti che, pur avendolo richiesto, non lo avevano percepito, visto che la loro domanda era già stata respinta per ragioni indipendenti dalla carica ricoperta.
- È emerso inoltre che l’Inps non ha valutato adeguatamente i rischi collegati a un trattamento di dati così delicato come è quello riguardante i richiedenti un beneficio economico classificato come ammortizzatore sociale, non effettuando la valutazione di impatto sui diritti e le libertà degli interessati.
La sanzione cadrà sui cittadini
Per tutti questi motivi, il Garante ha dichiarato illecito il trattamento dei dati personali effettuato dall’Inps e ha applicato la sanzione di 300mila euro.
La multa cadrà alla fine sui cittadini, è giunto il momento di far pagare, con decurtazione dello stipendio, i manager pubblici che vìolano le leggi?
Infine, l’Autorità ha inoltre prescritto all’Istituto di cancellare i dati non necessari fino ad ora trattati ed effettuare un’adeguata valutazione di impatto privacy (DPIA).
La replica dell’INPS
L’Inps “prende atto della decisione” sui controlli sui beneficiari di bonus Covid e afferma che applica le raccomandazioni del Garante della privacy. “Nell’analisi e nei controlli effettuati, per i quali l’Istituto ha osservato integrale riservatezza, non sono stati utilizzati dati sensibili o anche dati che non fossero visibili al pubblico. Cionondimeno – prosegue l’istituto nazionale di previdenza sociale – è stato deciso di perseguire l’Inps con una sanzione e ravvisare gli estremi di violazione dei criteri di privacy”. “Pur ritenendo eccessivo l’impianto di giudizio, attiverà prontamente la valutazione di impatto richiesta e la cancellazione dei dati non necessari”.
Per approfondire: