E’ stata particolarmente ingente (circa 300 mila euro) la multa irrogata dal Garante Privacy all’INPS – Istituto Nazionale Previdenza Sociale per la fattispecie relativa alle violazioni commesse nell’ambito del procedimento volto a verificare la correttezza delle domande per ottenere il Bonus “Covid” cui ne è conseguita l’erogazione di un aiuto economico a favore dei titolari di Partita Iva in questa fase di emergenza sanitaria.
Ed invero, l’istruttoria è stata svolta a seguito del trattamento, da parte dell’Istituto, di dati dei soggetti con cariche politiche (incarichi di parlamentare o di amministratore regionale o locale) che avevano fatto richiesta del sussidio.
Preme una breve premessa di inquadramento di questa forma di aiuto economico.
Hanno potuto richiedere il Bonus “Covid” tutti i lavoratori che a seguito del dilagare dell’epidemia da Corona virus si sono trovati impossibilitati a poter svolgere la propria attività lavorativa, avendola dovuta sospenderla o interromperla del tutto a causa delle restrizioni di movimento e di circolazione adottate per contrastare il contagio.
Ad introdurre l’indennità in commento è il d.l. n. 18/2020 (c.d. decreto Cura Italia) – recante “Misure di potenziamento del Servizio sanitario nazionale e di sostegno economico per famiglie, lavoratori e imprese connesse all’emergenza epidemiologica da COVID-19”, convertito con modificazioni dalla legge 24 aprile 2020, n. 27 – che ha previsto una indennità di sostegno per alcune categorie di lavoratori autonomi, liberi professionisti, parasubordinati e dipendenti le cui attività sono state colpite dall’emergenza Covid-19.
Nello specifico gli articoli 27, 28, 29, 30 e 38 hanno previsto l’indennità per i lavoratori iscritti ad INPS; l’art.44 per i professionisti e lavoratori autonomi iscritti alle Casse private di previdenza obbligatoria; l’art. 96 per i lavoratori sportivi.
Di seguito si riportano, ognuno oggetto di specifico commento, le motivazioni con le quali il Garante ha comminato la pesante sanzione nei confronti dell’INPS.
Partiamo dalla “mancata definizione dei criteri per trattare i dati di determinate categorie di richiedenti il “bonus Covid”.
Ed invero, nel corso della propria istruttoria, il Garante ha ravvisato la violazione da parte dell’Inps dei principi di liceità, correttezza e trasparenza stabiliti dal Regolamento Ue in materia di protezione dei dati personali.
Tali principi, racchiusi nell’art 5 GDPR, prevedono testualmente che i dati personali sono “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” nonché “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”
Il Garante inoltre contesta all’INPS un “Uso di informazioni non necessarie rispetto alle finalità di controllo”.
Sotto tale profilo viene infatti in gioco il rispetto del principio di minimizzazione, sempre prescritto dall’art. 5 GDPR, secondo cui i dati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
Continuando la carrellata dei motivi che hanno fondato il riconoscimento della sanzione, si legge che il l’INPS ha fatto “Ricorso a dati non corretti o incompleti”, ponendosi quindi in antitesi con la disposizione GDPR in commento la quale ci obbliga ci obbliga a trattare i dati personali affinchè gli stessi risultino “esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati”.
Ed ancora, a detta del Garante per la protezione dei dati personali, l’INPS non ha svolto le necessarie verifiche in ordine all’adozione delle corrette misure di sicurezza risultando quindi colpevole di non aver condotto un’ “adeguata valutazione di impatto sui diritti e le libertà degli interessati”.
La mancata valutazione dei rischi per la privacy rispetto ad un trattamento di dati così delicato come quello riguardante i richiedenti un beneficio economico comporta una violazione del Regolamento UE 679/16 particolarmente importante.
L’istruttoria dell’Autorità, inoltre, ha rilevato che l’Istituto erogante, pertanto, non svolgendo tali dovuti controlli, non ha rispettato due principi cardine del Regolamento UE 679/16 violando i principi di privacy by design, di privacy by default nonché la necessaria applicazione del principio di accountability.
A conclusione dell’intervento sanzionatorio formalizzato dal Garante, con il quale si è dichiarato illecito il trattamento dei dati personali effettuato dall’INPS per i motivi sopra esposti, l’Autorità per la protezione dei dati personali ha inoltre imposto all’Istituto la specifica azione di cancellare tutti i dati e le informazioni personali eccedenti, e quindi non necessari per l’erogazione dei sussidi, nonché di svolgere – quanto prima – la valutazione di impatto del trattamento (la cd. DPIA) così come specificamente prescritto a carico del Titolare del trattamento ex art 35 GDPR.
Avv. Eleonora Mataloni