Il Garante della privacy ha condannato i processi adottati per verificare l’assegnazione del bonus da 600 euro ai politici nazionali e locali

L’Autorità garante per la protezione dei dati personali ha sanzionato l’Istituto nazionale della previdenza sociale con una multa da 300mila euro, per non aver utilizzato correttamente i dati di alcune categorie che hanno richiesto il bonus Covid-19. L’indagine del Garante riguarda il trattamento dei dati degli iscritti per risalire ai politici che avevano fatto richiesta del bonus da 600 euro. Un caso esploso la scorsa estate e che ha visto da agosto l’Autorità impegnata per far luce sui procedimenti di analisi dei dati da parte dell’Inps.

I risultati hanno portato alla sanzione da 300mila euro. Questo perché, come si legge in una nota del Garante, l’Inps non ha “adeguatamente progettato il trattamento” dei dati e “non è stata in grado di dimostrare di aver svolto i controlli nel rispetto del Regolamento, violando i principi di privacy by design, di privacy by default e di accountability”. In sintesi, i cardini su cui si basa il Gdpr, il regolamento europeo per la protezione dei dati che regola queste attività.

Nel corso degli accertamenti, l’Autorità ha verificato come l’Inps abbia effettuato elaborazioni e incroci di dati senza prima stabilire se i parlamentari e gli amministratori locali fossero o meno titolari dei benefici di assistenza finanziaria. Andando così a violare i principi di liceità, correttezza e trasparenza stabiliti dal Gdpr.

Inoltre, l’Inps non avrebbe nemmeno rispettato il principio di minimizzazione dei dati, avendo svolto dei controlli per il recupero del bonus anche su chi non lo ha ottenuto, perché la richiesta era stata respinta. In sostanza controlli a tappeto, che per l’Autorità nuovamente non tengono conto dei principi europei a tutela dei dati personali. Si parla di decine di migliaia di cittadini con incarichi politici scrutinati dall’ente. Il Garante ha quindi stabilito l’inadempienza dell’Inps nel valutare i rischi “collegati a un trattamento di dati così delicato” e nella “definizione dei criteri per trattare i dati”.

L’Inps fa sapere di aver preso atto della decisione del Garante e precisato che “nell’analisi e nei controlli effettuati, per i quali l’istituto ha osservato integrale riservatezza, non sono stati utilizzati dati sensibili o anche dati che non fossero visibili al pubblico“. L’ente previdenziale, “pur ritenendo eccessivo l’impianto di giudizio complessivo, attiverà prontamente la valutazione di impatto richiesta e la cancellazione dei dati non necessari” e precisa che “l’applicazione della privacy by design e by default – indicata dal Garante in ogni sua declinazione teorica come vincolante per tutte le attività – può, per un Istituto che gestisce decine di milioni di prestazioni per lo Stato e i cittadini nella previdenza e nell’assistenza, creare nella pratica molte incertezze nel funzionamento dell’amministrazione, che tende sempre più a gestioni automatizzate e digitali, e nelle sue legittime azioni di controllo massivo e di antifrode in tempi rapidi che uno Stato equo, efficiente ed agile richiede“.