L'authority contesta di aver "effettuato incroci tra i dati di tutti coloro che avevano richiesto il bonus con quelli dei titolari di incarichi politici" senza aver prima determinato se ai parlamentari e agli amministratori locali spettasse o meno quel beneficio. E di non aver "valutato adeguatamente i rischi collegati a un trattamento di dati così delicato". L'istituto: "Non sono stati utilizzati dati sensibili o visibili al pubblico. L'applicazione delle richieste del garante può creare nella pratica molte incertezze nel funzionamento dell’amministrazione e nelle sue legittime azioni di controllo massivo e di antifrode in tempi rapidi"
L’Inps ha cercato e trovato i deputati e politici locali che hanno preso – senza averne diritto – il bonus di 600 euro per le partite Iva? Secondo il Garante della privacy, in applicazione del regolamento Ue sulla protezione dei dati personali l’istituto deve pagare 300mila euro di multa per aver violato il regolamento europeo in materia di protezione dei dati personali. Perché i funzionari della task force antifrode hanno incrociato i dati di coloro che avevano richiesto il bonus con quelli dei titolari di incarichi politici senza aver prima determinato se a parlamentari e amministratori locali spettasse o meno quel beneficio, “anche in considerazione delle differenti caratteristiche delle cariche ricoperte”. Morale: le verifiche per scovare i furbi, stando alla normativa comunitaria, sono fuori legge.
La sanzione non è per aver dato quell’indennità ai deputati che pure, come ha chiarito a gennaio l’ufficio legislativo del ministero del Lavoro, essendo iscritti a forme di previdenza obbligatorie non ne avevano diritto. Le contestazioni riguardano appunto l’incrocio dei dati e il fatto di non aver “valutato adeguatamente i rischi collegati a un trattamento così delicato come è quello riguardante i richiedenti un beneficio economico classificato come ammortizzatore sociale, non effettuando la valutazione di impatto sui diritti e le libertà degli interessati”. Ultimo punto finito nel mirino dell’authority è il fatto di non aver rispettato il principio di minimizzazione dei dati, perché Inps ha “avviato i controlli finalizzati al recupero dei bonus anche su tutti quei soggetti che, pur avendolo richiesto, non lo avevano percepito, visto che la loro domanda era già stata respinta per ragioni indipendenti dalla carica ricoperta”.
L’istruttoria del Garante – il cui collegio è stato rinnovato in luglio – era partita in agosto, quando è uscita la notizia sui politici che hanno preso il bonus e in seguito sul trattamento dei dati da parte della task force antifrode. Nel corso degli accertamenti l’Autorità presieduta da Pasquale Stanzione, “pur riconoscendo che lo svolgimento dei controlli sulla sussistenza dei requisiti previsti dalla legge per l’erogazione del bonus è riconducibile a compiti di interesse pubblico rilevante, ha riscontrato numerose criticità nelle modalità utilizzate dall’Istituto nel procedervi”.
L’istruttoria ha messo in luce che l’Inps “non ha adeguatamente progettato il trattamento e non è stata in grado di dimostrare di aver svolto i controlli nel rispetto del Regolamento, violando i principi di privacy by design, di privacy by default e di accountability“. Si tratta dell’obbligo di tener conto della protezione dei dati – in termini di quantità raccolta, portata trattamento e periodo di conservazione – e prevedere misure tecniche e organizzative conseguenti fin dalla progettazione del trattamento. In primo luogo, “dopo aver acquisito da fonti aperte i dati di decine di migliaia di persone che ricoprono incarichi di carattere politico, l’Istituto ha effettuato elaborazioni e incroci tra i dati di tutti coloro che avevano richiesto il bonus con quelli dei titolari dei predetti incarichi”. Ma senza aver prima determinato se ai parlamentari e agli amministratori regionali o locali spettasse o meno quel beneficio, “anche in considerazione delle differenti caratteristiche delle cariche ricoperte”. In questo modo dunque “l’Inps ha violato i principi di liceità, correttezza e trasparenza stabiliti dal Regolamento Ue in materia di protezione dei dati personali”. Il risultato è che il Garante ha dichiarato illecito il trattamento dei dati personali effettuato dall’Inps e ha applicato la sanzione, oltre a prescrivere all’Istituto di cancellare i dati non necessari fino ad ora trattati ed effettuare un’adeguata valutazione di impatto privacy.
Inps in una nota “prende atto della decisione del Garante” precisando che “nell’analisi e nei controlli effettuati, per i quali l’Istituto ha osservato integrale riservatezza, non sono stati utilizzati dati sensibili o anche dati che non fossero visibili al pubblico“. Cionondimeno, “è stato deciso di perseguire l’Inps con una sanzione e ravvisare gli estremi di violazione dei criteri di privacy”. L’Istituto, “pur ritenendo eccessivo l’impianto di giudizio complessivo, attiverà prontamente la valutazione di impatto richiesta e la cancellazione dei dati non necessari”. Ma aggiunge che “è opportuno rilevare che l’applicazione della privacy by design e by default – indicata dal Garante in ogni sua declinazione teorica come vincolante per tutte le attività – può, per un Istituto che gestisce decine di milioni di prestazioni per lo Stato e i cittadini nella previdenza e nell’assistenza, creare nella pratica molte incertezze nel funzionamento dell’amministrazione, che tende sempre più a gestioni automatizzate e digitali, e nelle sue legittime azioni di controllo massivo e di antifrode in tempi rapidi che uno Stato equo, efficiente ed agile richiede”.