L’autorità Garante per la protezione dei dati personali, con il Provvedimento del 25 febbraio 2021, ha sanzionato INPS per 300 mila euro. 

Mancata definizione dei criteri per trattare i dati di determinate categorie di richiedenti il “bonus Covid”, uso di informazioni non necessarie rispetto alle finalità di controllo, ricorso a dati non corretti o incompleti, inadeguata valutazione dei rischi per la privacy. Con queste motivazioni, il Garante per la protezione dati personali ha ordinato all’INPS il pagamento di una sanzione di 300 mila euro in relazione alle violazioni commesse nell’ambito degli accertamenti antifrode effettuati dall’Istituto riguardo al “bonus Covid” per le partite IVA.

L’istruttoria del Garante era stata avviata nel mese di agosto 2020, in seguito a notizie di stampa, riguardo al trattamento, da parte dell’Istituto, dei dati dei richiedenti che ricoprono cariche politiche (nello specifico, incarichi di parlamentare o di amministratore regionale o locale). Nel corso degli accertamenti l’Autorità, pur riconoscendo che lo svolgimento dei controlli sulla sussistenza dei requisiti previsti dalla legge per l’erogazione del bonus è riconducibile a compiti di interesse pubblico rilevante, ha riscontrato numerose criticità nelle modalità utilizzate dall’Istituto nel procedervi.

Le violazioni contestate 

Vediamo da vicino le singole violazioni contestate all’Istituto Nazionale Previdenza Sociale:

Violazione del principio di liceità, correttezza e trasparenza del trattamento di cui all’art. 5, par. 1, lett. a), del Regolamento.

L’Autorità ha contestato all’INPS l’assenza di criteri (procedure) prestabilite (ad es., mediante atti, anche interni, legittimi in base alla normativa che disciplina l’esercizio dei compiti da parte dell’Istituto) al fine di individuare in modo chiaro e preciso i destinatari dell’indennità (bonus Covid), prima di iniziare il trattamento dei dati personali. L’INPS, quindi, non ha adeguatamente progettato il trattamento e non è stata in grado di dimostrare di aver svolto i controlli nel rispetto del Regolamento, violando i principi di privacy by design, di privacy by default e di accountability. 

Sul punto l’Autorità ha chiarito che: “I trattamenti di dati personali necessari nell’ambito dei predetti controlli si sarebbero dovuti effettuare solo dopo aver superato le manifestate incertezze interpretative e avere quindi predeterminato, in astratto, la spettanza del bonus (non procedendo quindi all’incrocio dei dati prima di aver determinato se spettava l’indennità). Ciò, in quanto i trattamenti di dati personali per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri devono avvenire sulla base di un quadro normativo il più possibile chiaro e preciso la cui applicazione possa essere prevedibile per gli interessati”.

Violazione del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento

Il Garante privacy ha riconosciuto la violazione del principio di minimizzazione nella parte in cui l’istituto, non si è limitato a raccogliere da fonti (banche dati) esterne i dati personali dei beneficiari della prestazione, ma ha coinvolto, in modo indiscriminato, tutti coloro che hanno richiesto il bonus Covid, compresi quelli contenuti nelle domande che già erano state esaminate e rigettate/respinte. Non si può, aggiunge il Garante Privacy, motivare la propria scelta di raccogliere e trattare i dati personali per  “generiche esigenze difensive relative a ipotetici ricorsi amministrativi o giurisdizionali da parte dei richiedenti non beneficiari, in quanto non è consentito effettuare un trattamento di dati personali, di un’intera categoria di interessati, semplicemente adducendo astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti, ma solo in presenza di specifici contenziosi in atto o di situazioni precontenziose”. L’INPS, quindi, non ha rispettato il principio di minimizzazione dei dati, avendo avviato i controlli finalizzati al recupero dei bonus anche su tutti quei soggetti che, pur avendolo richiesto, non lo avevano percepito, visto che la loro domanda era già stata respinta per ragioni indipendenti dalla carica ricoperta.

Il principio di esattezza di cui all’art. 5, par. 1, lett. d), del Regolamento (UE) 2016/679

Sul punto, Il Garante ha riconosciuto e contestato la violazione del suddetto principio nella parte in cui l’INPS nell’ambito delle operazioni (di verifica) di trattamento in esame, ha attribuito agli interessati – tramite i dati personali presenti nelle banche dati esterne – un codice fiscale calcolato automaticamente, in via presuntiva. Tale calcolo – del presunto codice fiscale – sulla base delle sole informazioni anagrafiche contenute nelle banche dati utilizzate per il raffronto potrebbe essere avvenuto sulla base di dati non corretti o incompleti, compromettendo così la qualità dei controlli effettuati dall’Istituto.

Violazione dei principi di privacy by design e by default.

Il trattamento in esame, a dire del Garante privacy, non è stato effettuato nel rispetto dei principi di protezione dei dati personali, fin dalla progettazione e per impostazione predefinita previsto dall’art. 25 del Regolamento per le criticità riscontrate ed in particolare:

• mancata predeterminazione delle condizioni ostative alla spettanza o meno del bonus in capo a parlamentari e amministratori regionali e locali;
• trattamento di dati non necessari per l’effettuazione dei controlli successivi;
• mancata considerazione dei rischi che il trattamento presenta per i diritti e le libertà degli interessati, tra cui anche quello derivante da possibili inesattezze delle modalità di calcolo del codice fiscale degli interessati;
• rilievo pubblico delle funzioni svolte da alcuni interessati coinvolti (parlamentari e amministratori regionali e locali).

Violazione concernente la valutazione d’impatto sulla protezione dei dati e il mancato coinvolgimento del responsabile per la protezione dei dati personali nelle relative operazioni.

Nel provvedimento si evidenzia che “l’INPS non ha adeguatamente ponderato la sussistenza di un rischio elevato, tale da richiedere lo svolgimento di una preliminare valutazione d’impatto sulla protezione dei dati, ai sensi dell’art. 35 del Regolamento”. In base ai criteri forniti dalle Linee guida in materia di valutazione d’impatto, l’INPS avrebbe dovuto effettuare la DPIA per i seguenti motivi:

• “trattamento di dati su larga scala” visto il numero elevato dei partecipanti (circa 5 milioni);
• il criterio di “creazione di corrispondenze o combinazione di insiemi di dati”;
• il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”, in quanto il controllo effettuato dall’INPS mirava proprio a verificare la spettanza del diritto a percepire un indennizzo economico.

Questa carenza, precisa l’Autorità, comporta il mancato coinvolgimento del Responsabile della protezione dei dati in merito alle operazioni di trattamento in corso di svolgimento. Questo aspetto appare meritevole di considerazione in quanto: 

• indice della violazione del principio di responsabilizzazione e
• indizio per quanto riguarda l’elemento soggettivo (colpa cosciente del titolare).

Violazione del principio di responsabilizzazione

Il Garante Privacy chiarisce che, a seguito dell’istruttoria, l’INPS non è stato in grado di comprovare le ragioni delle decisioni assunte nell’ambito del complesso trattamento di dati personali effettuato, al fine di dimostrare il rispetto della normativa in materia di protezione dei dati personali. Le dichiarazioni dell’INPS, si legge nel provvedimento, non sono state supportate da un’adeguata documentazione atta a comprovare quali livelli decisionali sono stati coinvolti, le valutazioni effettuate, le ragioni sottese alle decisioni prese, le misure adottate in relazione al trattamento dei dati personali in esame e infine non è emerso un adeguato coinvolgimento del Responsabile della protezione dei dati personali ( considerato che quest’ultimo avrebbe dovuto essere “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”). 

Il Garante per la protezione dei dati personali, con il provvedimento sopracitato, ci insegna che anche in presenza di una norma di legge, che obbliga il Titolare ad effettuare uno o più trattamenti di dati personali, la stessa non lo esime dal rispetto della normativa privacy vigente a dai conseguenti adempimenti previsti.