Bonus Covid INPS: arriva la pronuncia del Garante Privacy

Bonus Covid INPS: arriva la pronuncia del Garante Privacy
Il presente contributo si propone di fornire una breve analisi del provvedimento reso lo scorso 25 febbraio dall'Autorità Garante per la Protezione dei Dati Personali (“Garante Privacy”), mediante il quale è stata comminata la sanzione di € 300.000 nei confronti dell'INPS conseguente all'istruttoria relativa al trattamento dati effettuato dall'Istituto nell'ambito dell'erogazione del bonus previsto dai decreti “Cura Italia” e “Rilancio”.
Premessa

Da alcuni articoli di stampa apparsi sui quotidiani nazionali nell'agosto 2020 era emerso che cinque deputati e numerosi amministratori locali richiesti – e talvolta incontrati – il bonus previsto dai decreti “Cura Italia” e “Rilancio” a favore di lavoratori autonomi e partite IVA .

In seguito alla pubblicazione di questi articoli, era stata avviata un'istruttoria da parte del Garante Privacy nei confronti dell'INPS in merito “ alle attività e modalità di trattamento dei dati personali delle predette cariche politiche, richiedenti le indennità previste […] dal cd “bonus Covid ”.

Questa complessa e articolata istruttoria si conclude con l'adozione di un provvedimento sanzionatorio .

Il trattamento dati effettuato dall'INPS

Nel contesto dello scoppio della pandemia dello scorso marzo, l'INPS si è trovata a far fronte numerose richieste volte ad ottenere il cd “bonus Covid” (di seguito, anche, il “ Bonus ”), decidendo quindi di agire tramite due livelli differenti di controllo delle richieste.

In particolare, i controlli di secondo livello risultavano atti ad approfondire situazioni peculiari che avrebbero potuto essere ignorate dalle ordinarie procedure di primo livello o che non risultavano chiaramente definiti dalla legge. Approfondimento che, a detta dell'Istituto, nel caso di parlamentari e titolari di cariche presso le amministrazioni locali, poteva essere realizzato solo attingendo ad informazioni ulteriori rispetto a quelle presenti negli archivi dell'INPS, stante la peculiare posizione previdenziale.

Le criticità rilevate dal Garante Privacy

Sulle scoperte concernenti i principi di liceità, correttezza e trasparenza del trattamento

Il Trattamento – caratterizzato dall'incrocio dei dati derivati da fonti differenti – si sarebbe dovuto eseguire solo dopo aver chiaramente definito e determinato le regole per la spettanza del Bonus. Trattasi infatti di un trattamento che incide sulla sfera giuridica degli interessati e che impedisce loro di ottenere un servizio o di esercitare un diritto, necessitando, pertanto, di presupposti estremamente chiari e scevri da qualunque risultanza discriminatoria. Un'adeguata progettazione del trattamento risulterebbe, infatti, ancor più indispensabile allorché un ente pubblico si accinge a effettuare complessi trattamenti di dati personali, come quelli in esame.Al contrario l'INPS, non avendo riscontrato certezza giuridica nella lettura del decreto legge circa la spettanza del bonus a soggetti con incarichi politici o meno,

        2. Sulla violazione del principio di minimizzazione dei dati

Il Trattamento, inoltre, non risulterebbe circoscritto ai soli politici beneficiari del Bonus, al contrario coinvolgendo tutti coloro che avevano presentato domanda, inclusi coloro che erano stati già rifiutati. In questo modo il trattamento fuoriusciva dai limiti della finalità per esso stabilita (ossia escludendo la possibilità che vi fosse stata un'indebita percezione delle indennità) e dunque violava il principio di minimizzazione dei dati sancito dal GDPR.

3. Sulla violazione dei principi di privacy by design e by default

La mancata predeterminazione circa la spettanza o meno del Bonus in capo a parlamentari e amministratori locali, il trattamento di dati non necessari e non in linea con le finalità del trattamento durante i controlli di secondo livello, l'assenza di una Data Protection Impact Assessment atta a valutare il rischio per i diritti e le libertà degli interessati coinvolti ed infine anche il non coinvolgimento di un Data Protection Officer, sono tutti elementi che hanno concorso a causare una violazione dei principi in esame.

4. Sulla violazione del principio di accountability

Il trattamento, inoltre, non è stato complessivamente supportato da una documentazione sufficiente “ atta a comprovare quali livelli decisionali sono stati coinvolti, le valutazioni effettuate, le ragioni sottese alle decisioni prese e le misure adottate in relazione al trattamento dei dati personali in esame ” .

Esito del provvedimento

In forza delle argomentazioni esposte, il Garante Privacy ha quindi comminato nei riguardi dell'ente una sanzione pari ad € 300.000,00.

L'Autorità ha, inoltre, obbligato l'Istituto a cancellare tutti i dati personali oggetto del Trattamento trattati in violazione del principio di minimizzazione e ad effettuare debita valutazione di impatto sulla protezione dei dati ai sensi dell'art. 35 del RGPD.

Infine, anche tenuto conto del clamore mediatico suscitato dal caso, il Garante Privacy ha deciso di applicare la sanzione accessoria della pubblicazione sul proprio sito del provvedimento ai sensi dell'art. 166, comma 7, del Codice Privacy.

 

Avv. Pietro Maria Mascolo e Dott. Marcello Ferrara

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori