A causa di una mancanza di criteri per trattare i dati di alcune categorie che hanno richiesto il “bonus Covid” il Garante privacy ha dichiarato un’inadeguata valutazione per quanto riguarda i rischi della privacy.

Il Garante quindi ordinato all’Inps il pagamento di una sanzione di 300 mila euro proprio per queste violazioni nell’ambito degli accertamenti antifrode effettuati dall’Istituto riguardo al “bonus Covid” per le partite iva.

L’istruttoria è stata avviata nel mese di agosto dopo le notizie di stampa che riguardavano i trattamenti di dati di richiedenti che ricoprono cariche politiche. Grazie a quest’azione è emerso che l’Inps non ha adeguatamente progettato il trattamento e non è riuscito a dimostrare di aver svolto i controlli nel rispetto del Regolamento, violando diversi principi tra cui: privacy by design by default e di accountability.

Senza aver controllato se a parlamentari, amministratori regionali o locali spettasse il bonus, l’Istituto ha effettuato elaborazioni e incroci tra i dati di tutti coloro che avevano richiesto il bonus con quelli dei titolari dei predetti incarichi. Così facendo l’Inps ha violato i principi di liceità, correttezza e trasparenza stabiliti dal Regolamento UE in materia di protezione dei dati personali.

Oltre a tutto questo l’Inps non ha rispettato il principio di minimizzazione dei dati poiché ha avviato controlli anche a coloro che lo hanno richiesto ma non lo hanno ricevuto. Da tutto questo emerge che l’Inps non ha propriamente calcolato i rischi collegati a un trattamento di dati di questo genere ovvero come quello riguardante i richiedenti un beneficio economico classificato come ammortizzatore sociale, non effettuando la valutazione di impatto sui diritti e le libertà degli interessati.

Il Garante ha perciò dichiarato illecito il trattamento dei dati personali effettuato dall’Inps e ha deciso di applicare una sanzione, oltre che prescrivere l’eliminazione dei dati non necessari fino ad ora ed effettuare un’adeguata valutazione di impatto privacy.