Il Garante per la protezione dei dati personali ha irrogato una sanzione di 300.000 euro all’INPS per le violazioni commesse durante gli accertamenti effettuati con lo scopo di individuare i soggetti che non avevano diritto al Bonus COVID di 600 euro (successivamente aumentato a 1.000 euro). INPS ha pubblicato un comunicato stampa per confermare l’applicazione delle pratiche suggerite dal Garante, evidenziando però possibili problemi sui controlli futuri.
Bonus COVID: mancato rispetto della privacy
L’istruttoria del Garante era stata avviata ad agosto 2020, in seguito alle notizie riportate sulla stampa nazionale in merito ai controlli effettuati sui richiedenti che coprono cariche politiche. Il quotidiano La Repubblica aveva evidenziato che tra i beneficiari risultavano oltre 2.000 amministratori locali (assessori e consiglieri regionali e comunali, sindaci a governatori). Il Garante ha riscontrato numerose criticità nelle modalità utilizzate dall’INPS per verificare la sussistenza dei requisiti da parte dei suddetti soggetti.
L’istruttoria dell’autorità ha messo in luce che l’INPS non ha adeguatamente progettato il trattamento e non è stata in grado di dimostrare di aver svolto i controlli nel rispetto del Regolamento UE, violando i principi di privacy by design, di privacy by default e di accountability.
In pratica, l’istituto ha effettuato una serie di controlli “a tappeto”, raccogliendo i dati pubblici di migliaia di persone che ricoprono incarichi politici e successivamente confrontando questi dati con quelli dei soggetti che avevano richiesto il Bonus COVID. L’INPS ha quindi “violato i principi di liceità, correttezza e trasparenza stabiliti dal Regolamento UE in materia di protezione dei dati personali“.
L’istituto ha inoltre avviato i controlli anche sui soggetti che non hanno percepito il bonus perché la domanda era stata già respinta e non ha valutato le conseguenze sui diritti e le libertà degli interessati. Per questo motivi, l’INPS dovrà pagare una multa di 300.000 euro e cancellare tutti i dati non necessari.
La risposta di INPS
L’INPS ha subito risposto con un comunicato stampa che riportiamo integralmente:
INPS prende atto della decisione del Garante in merito al caso dei controlli effettuati dall’istituto sui beneficiari di bonus COVID, in particolare tra coloro che ricoprono incarichi politici, per i quali il Ministero del Lavoro ha poi indicato che i percettori di indennità assimilabili al lavoro dipendente non ne avessero diritto.
Nell’analisi e nei controlli effettuati, per i quali l’istituto ha osservato integrale riservatezza, non sono stati utilizzati dati sensibili o anche dati che non fossero visibili al pubblico. Cionondimeno, è stato deciso di perseguire l’INPS con una sanzione e ravvisare gli estremi di violazione dei criteri di privacy. L’istituto, pur ritenendo eccessivo l’impianto di giudizio complessivo, attiverà prontamente la valutazione di impatto richiesta e la cancellazione dei dati non necessari.
È opportuno rilevare che l’applicazione della privacy by design e by default – indicata dal Garante in ogni sua declinazione teorica come vincolante per tutte le attività – può, per un istituto che gestisce decine di milioni di prestazioni per lo Stato e i cittadini nella previdenza e nell’assistenza, creare nella pratica molte incertezze nel funzionamento dell’amministrazione, che tende sempre più a gestioni automatizzate e digitali, e nelle sue legittime azioni di controllo massivo e di antifrode in tempi rapidi che uno Stato equo, efficiente ed agile richiede.
In breve, l’INPS ritiene eccessiva la sanzione e sottolinea che il rispetto delle indicazioni renderà più difficili i controlli di massa.