Bonus covid, Inps multata per 300 milioni di euro per violazioni di privacy

Costerà caro all'Inps il Bonus Covid da 600 euro per i titolari di partita Iva danneggiati dal primo lockdown del 2020: l’autorità Garante per la privacy ha ordinato all'istituto previdenziale il pagamento di una multa da 300 milioni di euro per violazioni commesse nelle procedure di accertamento antifrode condotte. Procedure giuste e doverose, ma che a quanto pare l'Inps ha svolto commettendo una serie di irregolarità. La brutta figura fatta con i disservizi del sito Web durante il “click day” per la richiesta del bonus è stata quindi solo l'inizio di una serie di guai.

In agosto aveva scatenato indignazione la notizia dei tre parlamentari (due leghisti e un esponente del Movimento Cinque Stelle) che avevano chiesto e incredibilmente ottenuto il bonus destinato ai professionisti in difficoltà. Incredibilmente, perché i loro stipendi mensili si aggirano tra i 14mila e i 15mila euro. Ad altri due parlamentari, anch'essi richiedenti, il bonus non era stato concesso. La stessa Inps, tramite la propria direzione centrale Antifrode, anticorruzione e trasparenza, aveva denunciato il fatto.

La notizia è che il Garante della privacy ha accertato l'esistenza di alcune irregolarità proprio negli accertamenti condotti dalla a direzione centrale Antifrode, anticorruzione e trasparenza dell'Inps. Non poche: mancata definizione dei criteri per trattare i dati di determinate categorie di richiedenti il bonus Covid, uso di informazioni non necessarie rispetto alle finalità di controllo, ricorso a dati non corretti o incompleti, inadeguata valutazione dei rischi per la privacy. A detta del Garante, Inps ha violato i principi privacy by design, di privacy by default, di accountability e di minimizzazione dei dati, previsti dal Gdpr. L'istituto, inoltre, ha progettato in modo inadeguato il trattamento dei dati dei cittadini, non ha saputo dimostrare di aver svolto i propri controlli nel rispetto del regolamento, e soprattutto non ha adeguatamente ponderato i rischi connessi al trattamento di dati delicati come quelli di utenti che richiedono un ammortizzatore sociale.

In comunicato stampa, Inps ha esposto le proprie ragioni, spiegando che “prende atto della decisione del Garante in merito al caso dei controlli effettuati dall’Istituto sui beneficiari di bonus Covid, in particolare tra coloro che ricoprono incarichi politici, per i quali il Ministero del Lavoro ha poi indicato che i percettori di indennità assimilabili al lavoro dipendente non ne avessero diritto”.

A detta dell'Inps, nei controlli effettuali alla direzione Antifrode “l’Istituto ha osservato integrale riservatezza, non sono stati utilizzati dati sensibili o anche dati che non fossero visibili al pubblico. Cionondimeno, è stato deciso di perseguire l’Inps con una sanzione e ravvisare gli estremi di violazione dei criteri di privacy. L’Istituto, pur ritenendo eccessivo l’impianto di giudizio complessivo, attiverà prontamente la valutazione di impatto richiesta e la cancellazione dei dati non necessari”. 

Lascia più sconcertati l'ultima parte della replica, che pare quasi contestare la validità o quantomeno la fattibilità del principio di privacy by default: “È opportuno rilevare che l’applicazione della privacy by design e by default – indicata dal Garante in ogni sua declinazione teorica come vincolante per tutte le attività – può, per un Istituto che gestisce decine di milioni di prestazioni per lo Stato e i cittadini nella previdenza e nell’assistenza, creare nella pratica molte incertezze nel funzionamento dell’amministrazione, che tende sempre più a gestioni automatizzate e digitali, e nelle sue legittime azioni di controllo massivo e di antifrode in tempi rapidi che uno Stato equo, efficiente ed agile richiede”.