BONUS COVID: GARANTE DELLA PRIVACY MULTA L’INPS PER 300 MILA EURO

Il Garante per la protezione dati personali ha ordinato all’Inps il pagamento di una sanzione di 300 mila euro.

Il Garante per la protezione dati personali ha ordinato all’Inps il pagamento di una sanzione di 300 mila euro in relazione alle violazioni commesse nell’ambito degli accertamenti antifrode effettuati dall’Istituto riguardo al “bonus Covid” per le partite iva, per le seguenti motivazioni:

• mancata definizione dei criteri per trattare i dati di determinate categorie di richiedenti il “bonus Covid”;
• uso di informazioni non necessarie rispetto alle finalità di controllo;
• ricorso a dati non corretti o incompleti;
• inadeguata valutazione dei rischi per la privacy.

L’istruttoria del Garante era stata avviata nel mese di agosto e, nel corso degli accertamenti l’Autorità, ha riscontrato numerose criticità nelle modalità utilizzate dall’Istituto nel modo di procedere.Nello specifico, dall’attività istruttoria dell’Autorità è emerso che l’Inps non ha adeguatamente progettato il trattamento e non è stata in grado di dimostrare di aver svolto i controlli nel rispetto del Regolamento, violando i principi:

• di privacy by design, 
• di privacy by default, 
• di accountability.

In particolare, l’Istituto ha effettuato elaborazioni e incroci tra i dati di tutti coloro che avevano richiesto il bonus con quelli dei titolari dei predetti incarichi, senza però aver prima determinato se ai parlamentari e agli amministratori regionali o locali spettasse o meno tale beneficio, anche in considerazione delle differenti caratteristiche delle cariche ricoperte. In questo modo l’Inps ha violato i principi di liceità, correttezza e trasparenza stabiliti dal Regolamento Ue in materia di protezione dei dati personali.

Inoltre, non ha rispettato neppure il principio di minimizzazione dei dati, avendo avviato i controlli finalizzati al recupero dei bonus anche su tutti quei soggetti che, pur avendolo richiesto, non lo avevano percepito, visto che la loro domanda era già stata respinta per ragioni indipendenti dalla carica ricoperta.

Per tali motivi, il Garante:

1. ha dichiarato illecito il trattamento dei dati personali effettuato dall’Inps e ha applicato la sanzione;
2. ha prescritto all’Istituto di cancellare i dati non necessari fino ad ora trattati ed effettuare un’adeguata valutazione di impatto privacy.