Una sanzione pecuniaria di 300.000 euro e obbligo di cancellare i dati non necessari trattati in violazione del principio di minimizzazione, nonchè di effettuare un’adeguata valutazione di impatto sulla protezione dei dati privacy. E' quanto ha disposto il Garante privacy nei confronti dell'INPS con riferimento al trattamento dei dati personali effettuato sui dati di coloro che ricoprono cariche politiche (nello specifico, incarichi di parlamentare o di amministratore) e che avevano chiesto e ottenuto l'erogazione del bonus Covid di 600 euro per ciascuno dei mesi di marzo e aprile 2020. "Su controlli bonus Covid applichiamo le raccomandazioni del Garante della privacy, ma giudizio e sanzione appaiono eccessivi. Difficile ora fare controlli massivi", è la replica dell'INPS.

Il Garante per la protezione dati personali ha ingiunto all’INPS di pagare la somma di 300 mila euro a titolo di sanzione per le violazioni commesse durante gli accertamenti antifrode effettuati dallo stesso Istituto per verificare la spettanza dei bonus Covid in base al decreto Cura Italia e al decreto Rilancio, erogati a beneficiari con incarichi di parlamentare o di amministratore. A prevederlo è il provvedimento del 25 febbraio 2021 [9556958], di cui l'Autorità ha dato notizia con il comunicato stampa del 9 marzo 2021.

Il provvedimento rappresenta il punto di approdo di una istruttoria avviata lo scorso mese di agosto dal Garante privacy, in seguito a notizie di stampa, nei confronti dell'INPS, per accertare le modalità di trattamento dei dati personali di parlamentari, amministratori regionali e locali che avevano richiesto il bonus Covid del valore di 600 euro per il mese di marzo 2020 (artt. 27, 28, 29, 30, 31 e 38 del D.L. 17 marzo 2020, n. 18, convertito, con modificazioni dalla legge 24 aprile 2020, n. 27), poi riconosciuti, anche per il mese di aprile 2020 (art. 84 del D.L. 19 maggio 2020, n. 34, convertito, con modificazioni dalla legge 17 luglio 2020, n. 77)”.

Si ricorda che Il Cura Italia ha riconosciuto una indennità per i lavoratori danneggiati dall'emergenza epidemiologica da COVID-19 dell'importo di 600 euro per il mese di marzo 2020, successivamente estesa al mese di aprile 2020 grazie al decreto Rilancio.

Il bonus, che non concorre alla formazione del reddito, è stato liquidato dall'INPS su domanda ai:

- “liberi professionisti titolari di partita IVA attiva alla data del 23 febbraio 2020 e ai lavoratori titolari di rapporti di collaborazione coordinata e continuativa attivi alla medesima data, iscritti alla Gestione separata di cui all’articolo 2, comma 26, della legge 8 agosto 1995, n. 335, non titolari di pensione e non iscritti ad altre forme previdenziali obbligatorie” (art. 27);

- “lavoratori autonomi iscritti alle gestioni speciali dell’AGO, non titolari di pensione e non iscritti ad altre forme previdenziali obbligatorie, ad esclusione della Gestione separata di cui all’articolo 2, comma 26, della legge 8 agosto 1995, n. 335” (art. 28);

- “lavoratori dipendenti stagionali del settore del turismo e degli stabilimenti termali che hanno cessato involontariamente il rapporto di lavoro nel periodo compreso tra il 1° gennaio 2019 e la data di entrata in vigore della presente disposizione, non titolari di pensione e non titolari di rapporto di lavoro dipendente alla data di entrata in vigore della presente disposizione” (art. 29);

- “operai agricoli a tempo determinato, non titolari di pensione, che nel 2019 abbiano effettuato almeno 50 giornate effettive di attività di lavoro agricolo” (art. 30);

- “lavoratori iscritti al Fondo pensioni Lavoratori dello spettacolo, con almeno 30 contributi giornalieri versati nell’anno 2019 al medesimo Fondo, cui deriva un reddito non superiore a 50.000 euro, e non titolari di pensione” (art. 38).

Il diritto all’indennità era subordinato alla mancata titolarità di una pensione, all’assenza (per i soggetti di cui agli artt. 27 e 28) di iscrizione ad altra forma previdenziale obbligatoria, ovvero all’insussistenza di un rapporto di lavoro dipendente al 17 marzo 2020 (data di entrata in vigore del Cura Italia) per i titolari di rapporto di lavoro dipendente svolto nell’anno 2019.

Inoltre, i bonus non erano tra loro cumulabili e non erano riconosciuti a chi riceve il reddito di cittadinanza, mentre erano cumulabili con l’assegno ordinario di invalidità.

Ma come ha proceduto l'INPS nella liquidazione dei bonus del Cura Italia e del decreto Rilancio?

L'Istituto ha effettuato una doppia serie di verifiche. In una prima fase sono stati svolti “controlli di primo livello” ricorrendo a procedure informatiche basate sul riscontro automatizzato delle informazioni dichiarate dal richiedente nella domanda presentata, con le informazioni presenti nelle banche dati detenute dall’Istituto. Quindi il bonus è stato erogato ai richiedenti ritenuti in possesso dei requisiti stabiliti dalle disposizioni emergenziali.

Successivamente, sulle istanze presentate e già liquidate, l’INPS ha effettuato, ulteriori verifiche con i “controlli di secondo livello” affidate alla propria “Direzione centrale antifrode, anticorruzione e trasparenza”, con la precipua finalità di verificare l'esistenza di situazioni non rilevate (o ritenute non rilevabili) dalle ordinarie procedure di gestione e di emissione dei pagamenti.

La doppia fase di controlli si è resa necessaria per non ritardare eccessivamente la liquidazione dei bonus in un contesto di crisi economica gravato dagli effetti negativi legati all’emergenza sanitaria da Covid-19.

Venendo poi alle posizioni dei parlamentari e degli amministratori regionali e locali, le verifiche hanno richiesto l'avvio da parte dell'INPS di specifici approfondimenti in considerazione delle peculiari situazioni previdenziali di tali categorie di soggetti.

L’INPS, in particolare, ha dichiarato che “nell’ambito dei controlli effettuati su tutti i soggetti richiedenti, si sono rese necessarie verifiche non realizzabili sulla base dei dati presenti nei soli archivi dell’Istituto per quanto riguarda la posizione dei parlamentari e dei titolari di cariche presso le amministrazioni locali e regionali che percepiscono indennità di mandato, in considerazione della natura di reddito assimilato al lavoro dipendente di tale indennità, nonché in ragione della loro peculiare posizione previdenziale”.

Il Garante privacy, pur riconoscendo la necessarietà dei controlli sulla sussistenza dei requisiti previsti dalla legge per l’erogazione del bonus, riconducibili a compiti di interesse pubblico rilevante, ha riscontrato numerose criticità nelle modalità adottate per svolgerli. Criticità, rileva l'Autorità, ascrivibili alla mancanza di un’adeguata progettazione del trattamento che si è tradotta nell’omissione di idonee misure volte ad attuare, in modo efficace, il Regolamento GDPR e a garantire il trattamento dei soli dati necessari per ogni specifica finalità del trattamento.

L’INPS, oltre a non aver adeguatamente progettato il trattamento dei dati, ha violato i principi di privacy by design, di privacy by default e di accountability.

Sono stati inoltre violati i principi di liceità, correttezza e trasparenza stabiliti dal Regolamento Ue in materia di protezione dei dati personali. Dopo aver acquisito i dati di decine di migliaia di persone che ricoprono incarichi di carattere politico, l’Istituto ha incrociato i dati di tutti coloro che avevano richiesto il bonus con quelli dei titolari dei predetti incarichi. Ciò senza però aver prima determinato se ai parlamentari e agli amministratori regionali o locali spettasse o meno tale beneficio, anche in considerazione delle differenti caratteristiche delle cariche ricoperte.

Non è stato neppure rispettato il principio di minimizzazione dei dati, avendo avviato i controlli finalizzati al recupero dei bonus anche su tutti quei soggetti che, pur avendolo richiesto, non lo avevano percepito, visto che la loro domanda era già stata respinta per ragioni indipendenti dalla carica ricoperta.

Inoltre, conclude il Garante privacy, non è stata effettuata la valutazione di impatto sui diritti e le libertà degli interessati.

Il Garante ha dichiarato illecito il trattamento dei dati personali effettuato dall’INPS e ha applicato la sanzione pecuniaria di euro 300.000.

L’Autorità ha inoltre prescritto di cancellare i dati non necessari trattati in violazione del principio di minimizzazione ed effettuare un’adeguata valutazione di impatto sulla protezione dei dati privacy.

A stretto giro di posta è giunta la replica dell'INPS che, con comunicato stampa del 9 marzo 2021, si è detto disponibile ad applicare le raccomandazioni del garante della privacy ma ha affermato che "giudizio e sanzione appaiono eccessivi". "Nell’analisi e nei controlli effettuati” - ha dichiarato l'INPS - "per i quali l’Istituto ha osservato integrale riservatezza, non sono stati utilizzati dati sensibili o anche dati che non fossero visibili al pubblico. Cionondimeno, è stato deciso di perseguire l’Inps con una sanzione e ravvisare gli estremi di violazione dei criteri di privacy.

"L’Istituto, pur ritenendo eccessivo l’impianto di giudizio complessivo, attiverà prontamente la valutazione di impatto richiesta e la cancellazione dei dati non necessari. È opportuno rilevare che l’applicazione della privacy by design e by default – indicata dal Garante in ogni sua declinazione teorica come vincolante per tutte le attività – può, per un Istituto che gestisce decine di milioni di prestazioni per lo Stato e i cittadini nella previdenza e nell’assistenza, creare nella pratica molte incertezze nel funzionamento dell’amministrazione, che tende sempre più a gestioni automatizzate e digitali, e nelle sue legittime azioni di controllo massivo e di antifrode in tempi rapidi che uno Stato equo, efficiente ed agile richiede".

Garante per la protezione dati personali, provvedimento 25/02/2021

Fonte: https://www.ipsoa.it/documents/lavoro-e-previdenza/rapporto-di-lavoro/quotidiano/2021/03/10/bonus-covid-parlamentari-amministratori-locali-controlli-inps-non-prova-privacy