Il Garante privacy sanziona l’INPS al pagamento di 300mila euro, per violazione delle norme del GDPR e per non aver valutato adeguatamente i rischi collegati al trattamento dei dati personali di parlamentari e amministratori regionali e locali, nel corso delle verifiche in ordine alla spettanza del c.d. Bonus Covid, ex d.l. 18/2020. L’istituto, infatti, per verificare se tra i richiedenti vi erano titolari di incarichi politici, ha usato dati personali tratti da banche dati esterne, violando i principi di liceità del trattamento, di minimizzazione e di esattezza dei dati.
Il 25 febbraio 2021, il Garante per la protezione dei dati personali ha irrogato all’Istituto nazionale della previdenza sociale (INPS) una sanzione amministrativa pecuniaria di 300 mila euro, per violazione del Regolamento europeo sulla protezione dei dati (GDPR).
In particolare, l’Autorità Garante, toccando la questione del rapporto tra l’intensità delle forme di tutela della privacy e la titolarità di un incarico di particolare visibilità, come quello politico, ha ritenuto illecito il trattamento dei dati personali effettuato dalla Direzione centrale antifrode, anticorruzione e trasparenza dell’INPS nei confronti di parlamentari e amministratori regionali e locali, nel corso delle verifiche in ordine alla spettanza del c.d. Bonus Covid, ex d.l. 18/2020.
La vicenda risale ad agosto 2020, quando è emerso che, durante i controlli antifrode per accertare la sussistenza dei requisiti previsti dal decreto-legge “Cura Italia” per l’erogazione del bonus da 600 euro a favore dei liberi professionisti titolari di partita Iva, in conseguenza dell’emergenza sanitaria causata dalla diffusione del virus Covid-19, tra i soggetti richiedenti vi erano anche 5 deputati e circa 2000 amministratori locali.
Nell’effettuare le dovute verifiche alla luce delle perplessità circa la spettanza dell’indennità Covid alle predette cariche politiche, secondo il Garante, l’INPS non ha provveduto a predisporre adeguati strumenti di tutela dei dati personali e non è stato in grado di svolgere i dovuti controlli nel rispetto dei principi di privacy by design, privacy by default e accountability previsti dal GDPR.
Infatti, per verificare se tra i richiedenti vi fossero veramente deputati o soggetti titolari di incarichi politici, l’Istituto ha proceduto alla raccolta dei dati personali di tali soggetti da banche dati esterne, calcolando i codici fiscali e operando il raffronto con quelli riportati dagli interessati nelle domande presentate per l’erogazione del bonus, senza prima però accertare che gli incarichi di parlamentare e di amministratore regionale o locale costituissero una condizione ostativa alla spettanza del bonus.
La modalità di trattamento dei dati è stata, dunque, ritenuta lesiva dei principi di liceità, correttezza e trasparenza, e altresì del principio di esattezza: l’Istituto, infatti, ha acquisito i dati anagrafici dalle banche dati open della Camera dei deputati e dal Dipartimento per gli affari interni e territoriali del Ministero dell’Interno, utilizzando gli ordinari criteri di calcolo dei codici fiscali, senza far certificare l’esattezza dei dati all’Agenzia delle Entrate, unico organo capace di risolvere sia i casi di omonimia che di omocodia.
I controlli effettuati dall’INPS sui dati personali hanno, peraltro, riguardato anche coloro la cui domanda era stata già rigettata in sede di una prima verifica, violando manifestamente anche il principio di minimizzazione dei dati. Secondo il Garante non era necessario il trattamento dei dati personali della totalità dei richiedenti il bonus in luogo dei soli beneficiari, essendo alcune domande già respinte per il mancato possesso di altri requisiti previsti espressamente dal d.l. n. 18/2020, indipendentemente dalla circostanza che i richiedenti fossero titolari di un incarico di parlamentare o amministratore regionale o locale.
Per l’Autorità privacy, inoltre, l’INPS, durante l’attività di monitoraggio e vigilanza, avrebbe dovuto effettuare una valutazione d’impatto sulla protezione dei dati in virtù del particolare ruolo ricoperto dai soggetti controllati.
Invero, la notizia e l’indeterminatezza dei nominativi di coloro che hanno effettivamente percepito il bonus hanno avuto un impatto negativo sull’intera categoria dei parlamentari e amministratori regionali e locali: in primo luogo, solo una netta minoranza ha richiesto l’erogazione dell’indennità Covid a fronte delle (circa) 5 milioni di domande; in secondo luogo, il d.l. 18/2020 non indicava espressamente l’incompatibilità del bonus con le indennità percepite da soggetti con mandati elettorali o incarichi politici, tanto che l’Istituto – per averne conferma – ha richiesto un parere al Ministero del lavoro e delle politiche sociali, pervenuto il 2 dicembre.
Per tali ragioni, il Garante privacy ha sanzionato l’INPS al pagamento di 300 mila euro, ordinando di cancellare i dati trattati in violazione del principio di minimizzazione e di effettuare la valutazione di impatto sulla protezione dei predetti dati.
Alla luce di tali premesse, la decisione dell’Autorità privacy sembrerebbe limitare, anche se non espressamente, l’utilizzabilità delle banche dati esterne per finalità di controllo: infatti, richiedere di far certificare l’esattezza dei dati da parte dell’Agenzia dell’entrate, non si pone in contrasto con il sistema di interoperabilità tra le banche dati?
L’interoperabilità garantisce una continua ed automatica interazione telematica tra pubbliche amministrazioni favorendo lo scambio in tempo reale di informazioni, dati e documenti in funzione della rispettiva attività istituzionale (per una ricostruzione sulla digitalizzazione della PA e interoperabilità, si veda qui e qui su questo Osservatorio)
Dunque, le amministrazioni, anche in attuazione del principio once only, dovrebbero incentivare di più l’utilizzo delle banche dati e limitare l’impiego dei dati solo laddove necessario: ad esempio – nel caso di specie – l’INPS in effetti avrebbe dovuto evitare di effettuare controlli sui dati personali di coloro la cui domanda era stata già rigettata in sede della prima verifica.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale