INPS: disponibile la procedura informatica per il contributo genitori con figli con disabilità
“Bonus Covid”, Garante Privacy sanziona l’Inps per 300mila euro
Il Garante ha dichiarato illecito il trattamento dei dati personali effettuato dall’Inps nell’ambito degli accertamenti antifrode sul “bonus Covid” per le partite iva. INPS: “Applichiamo le raccomandazioni del Garante, ma giudizio e sanzione appaiono eccessivi”
Il Garante Privacy ha ordinato all’Inps il pagamento di una sanzione di 300mila euro in relazione alle violazioni commesse nell’ambito degli accertamenti antifrode effettuati dall’Istituto riguardo al “bonus Covid” per le partite iva.
Il Garante ha contestato, in particolare, la “mancata definizione dei criteri per trattare i dati di determinate categorie di richiedenti il “bonus Covid”, l’uso di informazioni non necessarie rispetto alle finalità di controllo, il ricorso a dati non corretti o incompleti, l’inadeguata valutazione dei rischi per la privacy”.
L’Autorità ha inoltre prescritto all’Istituto di cancellare i dati non necessari, trattati fino ad ora, e di effettuare un’adeguata valutazione di impatto privacy.
Inps, le rilevazioni del Garante Privacy
L’istruttoria del Garante – si legge in una nota – era stata avviata nel mese di agosto, a seguito della diffusione di notizie stampa riguardo al trattamento dei dati, da parte dell’Istituto, dei richiedenti che ricoprono cariche politiche (nello specifico, incarichi di parlamentare o di amministratore regionale o locale).
Nel corso degli accertamenti l’Autorità ha riconosciuto che lo svolgimento dei controlli sui requisiti previsti dalla legge, per l’erogazione del bonus, è legato a compiti di interesse pubblico rilevante, tuttavia ha riscontrato numerose criticità nelle modalità utilizzate dall’Istituto.
“L’istruttoria – spiega l’Autorità – ha messo in luce che l’Inps non ha adeguatamente progettato il trattamento e non è stata in grado di dimostrare di aver svolto i controlli nel rispetto del Regolamento, violando i principi di privacy by design, di privacy by default e di accountability”.
Secondo le rilevazioni del Garante, l’Istituto, dopo aver acquisito da fonti aperte i dati di decine di migliaia di persone che ricoprono incarichi di carattere politico, ha effettuato elaborazioni e incroci tra i dati di tutti coloro che avevano richiesto il bonus con quelli dei titolari dei predetti incarichi.
“Questo – sottolinea – senza però aver prima determinato se ai parlamentari e agli amministratori regionali o locali spettasse o meno tale beneficio, anche in considerazione delle differenti caratteristiche delle cariche ricoperte. In questo modo l’Inps ha violato i principi di liceità, correttezza e trasparenza stabiliti dal Regolamento Ue in materia di protezione dei dati personali”.
“L’Inps – prosegue il Garante – non ha rispettato neppure il principio di minimizzazione dei dati, avendo avviato i controlli finalizzati al recupero dei bonus anche su tutti quei soggetti che, pur avendolo richiesto, non lo avevano percepito, visto che la loro domanda era già stata respinta per ragioni indipendenti dalla carica ricoperta”.
È emerso, inoltre, che l’Inps non ha valutato adeguatamente i rischi collegati a un trattamento di dati così delicato, non effettuando la valutazione di impatto sui diritti e le libertà degli interessati.
L’Istituto nazionale della previdenza sociale risponde
A seguito della decisione del Garante Privacy, l’Inps ha spiegato la sua posizione.
“Inps – si legge in una nota – prende atto della decisione del Garante in merito al caso dei controlli effettuati dall’Istituto sui beneficiari di bonus Covid, in particolare tra coloro che ricoprono incarichi politici, per i quali il Ministero del Lavoro ha poi indicato che i percettori di indennità assimilabili al lavoro dipendente non ne avessero diritto”.
L’Inps specifica, inoltre, che “nell’analisi e nei controlli effettuati, per i quali l’Istituto ha osservato integrale riservatezza, non sono stati utilizzati dati sensibili o anche dati che non fossero visibili al pubblico”.
“Cionondimeno – prosegue – è stato deciso di perseguire l’Inps con una sanzione e ravvisare gli estremi di violazione dei criteri di privacy. L’Istituto, pur ritenendo eccessivo l’impianto di giudizio complessivo, attiverà prontamente la valutazione di impatto richiesta e la cancellazione dei dati non necessari”.
“È opportuno rilevare – conclude – che l’applicazione della privacy by design e by default – indicata dal Garante in ogni sua declinazione teorica come vincolante per tutte le attività – può, per un Istituto che gestisce decine di milioni di prestazioni per lo Stato e i cittadini nella previdenza e nell’assistenza, creare nella pratica molte incertezze nel funzionamento dell’amministrazione, che tende sempre più a gestioni automatizzate e digitali, e nelle sue legittime azioni di controllo massivo e di antifrode in tempi rapidi che uno Stato equo, efficiente ed agile richiede”.
