GARANTE PROTEZIONE DATI PERSONALI – Comunicato 09 marzo 2021
Caso bonus Covid: il Garante privacy sanziona l’Inps per 300mila euro. Ok ai controlli, ma con modalità a prova di Privacy
Mancata definizione dei criteri per trattare i dati di determinate categorie di richiedenti il “bonus Covid”, uso di informazioni non necessarie rispetto alle finalità di controllo, ricorso a dati non corretti o incompleti, inadeguata valutazione dei rischi per la privacy.
Con queste motivazioni, il Garante per la protezione dati personali ha ordinato all’Inps il pagamento di una sanzione di 300 mila euro in relazione alle violazioni commesse nell’ambito degli accertamenti antifrode effettuati dall’Istituto riguardo al “bonus Covid” per le partite iva.
L’istruttoria del Garante era stata avviata nel mese di agosto, in seguito a notizie di stampa, riguardo al trattamento, da parte dell’Istituto, dei dati dei richiedenti che ricoprono cariche politiche (nello specifico, incarichi di parlamentare o di amministratore regionale o locale).
Nel corso degli accertamenti l’Autorità, pur riconoscendo che lo svolgimento dei controlli sulla sussistenza dei requisiti previsti dalla legge per l’erogazione del bonus è riconducibile a compiti di interesse pubblico rilevante, ha riscontrato numerose criticità nelle modalità utilizzate dall’Istituto nel procedervi.
L’istruttoria dell’Autorità ha messo in luce che l’Inps non ha adeguatamente progettato il trattamento e non è stata in grado di dimostrare di aver svolto i controlli nel rispetto del Regolamento, violando i principi di privacy by design, di privacy by default e di accountability.
In primo luogo, dopo aver acquisito da fonti aperte i dati di decine di migliaia di persone che ricoprono incarichi di carattere politico, l’Istituto ha effettuato elaborazioni e incroci tra i dati di tutti coloro che avevano richiesto il bonus con quelli dei titolari dei predetti incarichi. Ciò senza però aver prima determinato se ai parlamentari e agli amministratori regionali o locali spettasse o meno tale beneficio, anche in considerazione delle differenti caratteristiche delle cariche ricoperte. In questo modo l’Inps ha violato i principi di liceità, correttezza e trasparenza stabiliti dal Regolamento Ue in materia di protezione dei dati personali.
L’Inps non ha rispettato neppure il principio di minimizzazione dei dati, avendo avviato i controlli finalizzati al recupero dei bonus anche su tutti quei soggetti che, pur avendolo richiesto, non lo avevano percepito, visto che la loro domanda era già stata respinta per ragioni indipendenti dalla carica ricoperta.
E’ emerso inoltre che l’Inps non ha valutato adeguatamente i rischi collegati a un trattamento di dati così delicato come è quello riguardante i richiedenti un beneficio economico classificato come ammortizzatore sociale, non effettuando la valutazione di impatto sui diritti e le libertà degli interessati.
Per tali motivi, il Garante ha dichiarato illecito il trattamento dei dati personali effettuato dall’Inps e ha applicato la sanzione.
L’Autorità ha inoltre prescritto all’Istituto di cancellare i dati non necessari fino ad ora trattati ed effettuare un’adeguata valutazione di impatto privacy.
Possono essere interessanti anche le seguenti pubblicazioni:
- GARANTE PROTEZIONE DATI PERSONALI - Nota n. 506 del 17 luglio 2023 - App per rimborso pedaggi: dal Garante multa di 1 milione di euro ad Aspi - Fidelity card: il Garante multa la Rinascente per 300mila euro - Giornalismo: il Garante interviene a tutela…
- GARANTE della PROTEZIONE dei DATI PERSONALI - Nota n. 521 del 10 aprile 2024 - Attacco hacker ai sistemi informatici della Regione Lazio: sanzioni del Garante privacy - Dossier sanitario: il Garante Privacy sanziona una Asl - Pa: trasparenza siti, il…
- MINISTERO FINANZE - Decreto ministeriale 01 febbraio 2024 Modalità di utilizzo dei dati fiscali relativi ai corrispettivi trasmessi al Sistema tessera sanitaria Art. 1 Definizioni 1. Ai fini del presente decreto si intende per: a) «dati fiscali», i…
- GARANTE PROTEZIONE DATI PERSONALI - Nota 28 novembre 2022, n. 497 - Fidelity card: il Garante privacy sanziona Douglas Italia per 1 milione e 400 mila euro. Il Garante multa Vodafone, il call center deve dare informazioni comprensibili. Dossier…
- GARANTE della PROTEZIONE dei DATI PERSONALI - Nota n. 509 dell' 11 settembre 2023 - Telemarketing selvaggio: il Garante Privacy sanziona Tiscali e Comparafacile - Lavoro: sì all’accesso del dipendente alla relazione investigativa - Videosorveglianza:…
- GARANTE della PROTEZIONE dei DATI PERSONALI - Nota n. 519 del 7 marzo 2024 - Data breach: il Garante sanziona UniCredit per 2,8 milioni di euro - App per diabetici: il Garante Privacy multa una società di dispositivi medici - Autovelox, Garante…
RICERCA NEL SITO
NEWSLETTER
ARTICOLI RECENTI
- L’indennità sostitutiva di ferie non godute
La Corte di Cassazione, sezione lavoro, con l’ordinanza n. 9009 depositata…
- Il giudice tributario è tenuto a valutare la corre
La Corte di Cassazione, sezione tributaria, con l’ordinanza n. 5894 deposi…
- Il lavoratore ha diritto al risarcimento del danno
La Corte di Cassazione, sezione lavoro, con l’ordinanza n. 10267 depositat…
- L’Iva detratta e stornata non costituisce elusione
L’Iva detratta e stornata non costituisce elusione, infatti il risparmio fiscale…
- Spese di sponsorizzazione sono deducibili per pres
La Corte di Cassazione, sezione tributaria, con l’ordinanza n. 6079 deposi…