A causa di numerose violazioni del GDPR commesse nel contesto degli accertamenti antifrode relativi all’erogazione del “bonus covid” destinato alle partite iva, il Garante per la protezione dei dati personali, con provvedimento del 25 febbraio 2021, ha irrogato una sanzione di 300mila euro nei confronti dell’Istituto Nazionale della Previdenza Sociale (INPS).
La decisione dell’Authority trae origine da un’istruttoria avviata ad agosto 2020, dopo che la stampa aveva sollevato perplessità verso le pratiche di elaborazione dei dati dell’Istituto intorno alla revisione delle domande di assegnazione di determinate categorie di politici.
A fronte di ciò, gli accertamenti condotti dal Garante hanno evidenziato molteplici anomalie nell’esecuzione dei controlli sulla sussistenza dei requisiti legali previsti ai fini dell’erogazione del succitato beneficio. Ciò, peraltro, nella consapevolezza dell’Autorità garante di come l’attività di vigilanza dell’INPS fosse riconducibile ad un compito di interesse pubblico rilevante.
Dai riscontri emersi, infatti, sono state rilevate, in aperto contrasto con i principi di privacy by design e privacy by default enunciati dal GDPR, insufficienti evidenze circa l’impegno dell’Istituto nel perseguimento della propria conformità al predetto Regolamento, nonché il ricorso, da parte dello stesso, a dati non corretti o incompleti.
L’Authority, poi, ha constatato come i controlli INPS abbiano avuto ad oggetto, non solo i dati personali di coloro che avevano effettivamente percepito il “bonus covid”, ma anche dei soggetti richiedenti che, a seguito di presentazione della relativa domanda, erano stati esclusi dal riconoscimento dell’indennità già all’esito dei controlli di primo livello. Tale circostanza ha palesato la ricorrenza di un trattamento di dati non necessario, contrario al c.d. principio di minimizzazione ex GDPR, in quanto, verso i soggetti esclusi dal beneficio erano già emerse, in precedenza, cause ostative all’erogazione del bonus medesimo e, pertanto, il controllo dell’INPS non aveva più la finalità che ne aveva originato l’esecuzione, ovvero la promozione di eventuali azioni di recupero di somme già percepite.
Ulteriormente, il Garante ha contestato all’Istituto di non aver predisposto, in prossimità delle azioni di controllo, una valutazione di impatto sulla protezione dei dati personali coinvolti. Non erano stati valutati, dunque, i rischi elevati, per i diritti e le libertà degli interessati, relativi ad operazioni di trattamento connesse ad azioni di raffronto, su larga scala, di dati personali (acquisiti anche da banche dati esterne all’Istituto) con dati relativi ai richiedenti il bonus, finalizzate, eventualmente, alle suddette attività recuperatorie. Anche per tale ragione, dunque, l’Autorità ha altresì ingiunto all’Inps di cancellare tutti i dati personali fino ad ora trattati in violazione del principio di minimizzazione e di effettuare, in riferimento ai trattamenti suesposti, una valutazione di impatto sulla protezione dei dati di cui all’art. 35 del GDPR.