Bonus Covid, botta e risposta tra Garante della privacy e INPS: violazioni da 300.000 euro

Bonus Covid, prende vita un botta e risposta tra Garante per la privacy e INPS. L’Istituto che dall’inizio della pandemia è stato chiamato a gestire ed erogare le indennità per sostenere i lavoratori e le partite IVA nei mesi dell’emergenza coronavirus ha commesso violazioni per un valore di 300.000 euro.

La causa? Le verifiche su tutti i soggetti che hanno richiesto l’indennità di 600 euro e che hanno portato a individuare tra i beneficiari degli aiuti anche i titolari di incarichi politici, deputati e amministratori locali, esclusi dalla platea di destinatari della misura di aiuto.

Le finalità di interesse pubblico, non discutibili, sarebbero state perseguite con una formula del tutto discutibile perché in contrasto con i principi alla base della protezione dei dati personali.

“Ok ai controlli, ma con modalità a prova di privacy”, ammonisce l’Autorità per la protezione dei dati personali con il comunicato stampa del 9 marzo 2021. Grandi numeri, digitalizzazione dei processi e tempi stretti sono causa di incertezza, risponde l’INPS con un comunicato pubblicato nella stessa data.

Bonus Covid, botta e risposta tra Garante della privacy e INPS: violazioni da 300.000 euro

Dopo quasi un anno dall’apertura delle domande dei bonus Covid, la privacy torna ad essere una questione spinosa per l’INPS.

Il 1° aprile dello scorso anno debuttava la procedura per la richiesta dell’indennità con un data breach, quella che in gergo si definisce una fuoriuscita dei dati personali.

Con il rilascio del servizio online per presentare domanda di accesso ai bonus Covid, il portale INPS viene letteralmente preso d’assalto, non è possibile accedervi e ai pochissimi utenti che riescono a navigare appaiono i dati personali di altri utenti.

L’Autorità Garante avvia un’istruttoria, per inconvenienti di questo tipo sono previste “sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale”.

Dopo circa un anno, il binomio bonus Covid-privacy per l’INPS è ancora una volta foriero di brutte notizie.

“Mancata definizione dei criteri per trattare i dati di determinate categorie di richiedenti il bonus Covid, uso di informazioni non necessarie rispetto alle finalità di controllo, ricorso a dati non corretti o incompleti, inadeguata valutazione dei rischi per la privacy.

Con queste motivazioni, il Garante per la protezione dati personali ha ordinato all’Inps il pagamento di una sanzione di 300 mila euro in relazione alle violazioni commesse nell’ambito degli accertamenti antifrode effettuati dall’Istituto riguardo al bonus Covid per le partite iva”.

Si legge nel comunicato stampa del 9 marzo 2021.

Bonus Covid, Autorità Garante: violati i principi della privacy con i controlli

Sotto la lente di ingrandimento del Garante sono finite le modalità utilizzate per individuare i politici, deputati o amministratori locali, che hanno richiesto e ottenuto il bonus Covid introdotto per sostenere le partite IVA durante i primi mesi dell’emergenza coronavirus.

E quello che l’Autorità ha potuto rilevare è tutt’altro che in linea con le regole di tutela da rispettare sempre e comunque, anche quando è in gioco l’interesse pubblico.

In sintesi, l’INPS ha violato una serie di principi chiave stabiliti dal GDPR, regolamento europeo sulla protezione dei dati personali:

• liceità, correttezza e trasparenza: l’Istituto ha effettuato elaborazioni e incroci tra i dati di tutti coloro che avevano richiesto il bonus con quelli dei titolari degli incarichi, senza aver prima stabilito se ai parlamentari e agli amministratori regionali o locali spettasse o meno tale beneficio, anche in considerazione delle differenti caratteristiche delle cariche ricoperte;
• minimizzazione dei dati: ha avviato i controlli per il recupero dei bonus Covid anche su tutti coloro che, pur avendolo richiesto, non lo avevano percepito, perché la loro domanda era già stata respinta.

“L’istruttoria dell’Autorità ha messo in luce che l’Inps non ha adeguatamente progettato il trattamento e non è stata in grado di dimostrare di aver svolto i controlli nel rispetto del Regolamento, violando i principi di privacy by design, di privacy by default e di accountability”.

Si legge nel comunicato, con cui si annuncia una sanzione per l’INPS pari a 300.000 euro e l’indicazioni di cancellare i dati non necessari.

Garante per la protezione dei dati personali - Comunicato stampa del 9 marzo 2021

Caso bonus Covid: il Garante privacy sanziona l’Inps per 300mila euro - Ok ai controlli, ma con modalità a prova di privacy

Bonus Covid, la risposta dell’INPS al Garante per la privacy

La risposta arriva immediata da parte dell’INPS. Nella stessa data del 9 marzo, pubblica un comunicato stampa sul tema:

“L’Istituto, pur ritenendo eccessivo l’impianto di giudizio complessivo, attiverà prontamente la valutazione di impatto richiesta e la cancellazione dei dati non necessari”.

Le parole, però, con cui l’INPS prende atto della decisione del Garante non sembrano essere rassicuranti per gli utenti:

“È opportuno rilevare che l’applicazione della privacy by design e by default – indicata dal Garante in ogni sua declinazione teorica come vincolante per tutte le attività – può, per un Istituto che gestisce decine di milioni di prestazioni per lo Stato e i cittadini nella previdenza e nell’assistenza, creare nella pratica molte incertezze nel funzionamento dell’amministrazione, che tende sempre più a gestioni automatizzate e digitali, e nelle sue legittime azioni di controllo massivo e di antifrode in tempi rapidi che uno Stato equo, efficiente ed agile richiede”.

Dire che grandi numeri, digitalizzazione dei processi e tempi stretti rendono difficile l’applicazione pratica dei principi di tutela dei dati personali è come dire che la violazione della privacy per l’Istituto è un pericolo costante.

INPS - Comunicato stampa del 9 marzo 2021

INPS, su controlli bonus covid applichiamo le raccomandazioni del garante della privacy