Il Garante della Privacy ha sanzionato l’INPS per 300mila euro a causa delle violazioni commesse nell’ambito degli accertamenti antifrode effettuati riguardo al “bonus Covid” per le partite IVA.

Durante l’istruttoria, il Garante ha riscontrato che l’Istituto non ha svolto i controlli nel rispetto del GDPR, violando i principi di privacy by design, di privacy by default e di accountability. Per poter verificare chi avesse richiesto il bonus, l’INPS ha acquisito i dati di alcune decine di migliaia di persone, ricoprenti anche cariche politiche, senza determinare se ai parlamentari e agli amministratori regionali o locali spettasse o meno tale beneficio e senza valutare adeguatamente i rischi collegati a un trattamento di dati così delicati.

Per questi motivi il Garante per la protezione dati personali ha dichiarato illecito il trattamento dei dati personali effettuato dall’Inps e ha applicato la sanzione. L’Autorità ha inoltre prescritto all’Istituto di cancellare i dati non necessari fino ad ora trattati ed effettuare un’adeguata valutazione di impatto privacy.

L’INPS ha preso atto della decisione del Garante e, pur ritenendo eccessivo l’impianto di giudizio complessivo ( sottolineando che «l’applicazione della privacy by design e by default può, per un Istituto che gestisce decine di milioni di prestazioni per lo Stato e i cittadine nella previdenza e assistenza, creare nella pratica molte incertezze nel funzionamento dell’amministrazione, che tende sempre più a gestioni automatizzate e digitali, e nelle sue legittime azioni di controllo massivo e di antifrode in tempi rapidi che uno Stato equo, efficiente ed agile richiede»), attiverà prontamente la cancellazione dei dati non necessari.