Il Garante sanziona l’INPS per violazione della privacy dei richiedenti il bonus COVID
Il Garante della privacy, con provvedimento del 25 febbraio 2021 n. 87, ha ordinato all’INPS il pagamento di una sanzione di 300.000 euro per violazioni nel trattamento dei dati dei soggetti richiedenti il “bonus covid” che ricoprono cariche politiche (nello specifico, incarichi di parlamentare o di amministratore regionale o locale).
La violazione sarebbe avvenuta nell’ambito dei controlli effettuati dall’Istituto sulla sussistenza dei requisiti previsti dalla legge per l’erogazione del bonus, a seguito delle notizie di cronaca da cui era emerso che alcuni deputati avevano richiesto e ottenuto il bonus da 600 euro mensili. L’INPS, in particolare:
- ha violato i principi di liceità, correttezza e trasparenza stabiliti dal Regolamento UE n. 679/2016 in materia di protezione dei dati personali, incrociando i dati di tutti coloro che avevano richiesto il bonus con quelli dei titolari di incarichi politici, senza prima determinare se ai parlamentari e agli amministratori regionali o locali spettasse o meno tale beneficio;
- non ha rispettato il principio di minimizzazione dei dati, avendo avviato i controlli anche sui soggetti che, pur avendo richiesto il bonus, non lo avevano percepito, in quanto la loro domanda era stata respinta per ragioni indipendenti dalla carica ricoperta.
Per tali motivi, il Garante ha dichiarato il trattamento di dati personali effettuato dall’INPS non conforme alla disciplina in materia di protezione dei dati personali e ha ingiunto all’Istituto di cancellare tutti i dati trattati in violazione del principio di minimizzazione, effettuare la valutazione di impatto privacy e pagare una sanzione amministrativa pecuniaria pari a 300.000 euro.
L’Istituto per parte sua, con un comunicato diffuso ieri, ha annunciato di aver preso atto della decisione del Garante: “L’Istituto, pur ritenendo eccessivo l’impianto di giudizio complessivo, attiverà prontamente la valutazione di impatto richiesta e la cancellazione dei dati non necessari. È opportuno rilevare che l’applicazione della privacy by design e by default – indicata dal Garante in ogni sua declinazione teorica come vincolante per tutte le attività – può, per un Istituto che gestisce decine di milioni di prestazioni per lo Stato e i cittadini nella previdenza e nell’assistenza, creare nella pratica molte incertezze nel funzionamento dell’amministrazione, che tende sempre più a gestioni automatizzate e digitali, e nelle sue legittime azioni di controllo massivo e di antifrode in tempi rapidi che uno Stato equo, efficiente ed agile richiede”.
Vietata ogni riproduzione ed estrazione ex art. 70-quater della L. 633/41