Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario    
             



Consulenza privacy e e-commerce



  


Privacy 09.03.2021    Pdf    Appunta    Letti    Post successivo  

Inps sanzionata per 300.000 per il metodo usato nei controlli contro gli amministratori pubblici

Caso bonus Covid: il Garante privacy sanziona l’Inps per 300mila euro
Ok ai controlli, ma con modalità a prova di privacy

Mancata definizione dei criteri per trattare i dati di determinate categorie di richiedenti il “bonus Covid”, uso di informazioni non necessarie rispetto alle finalità di controllo, ricorso a dati non corretti o incompleti, inadeguata valutazione dei rischi per la privacy.

Con queste motivazioni, il Garante per la protezione dati personali ha ordinato all’Inps il pagamento di una sanzione di 300 mila euro in relazione alle violazioni commesse nell’ambito degli accertamenti antifrode effettuati dall’Istituto riguardo al “bonus Covid” per le partite iva.

L’istruttoria del Garante era stata avviata nel mese di agosto, in seguito a notizie di stampa, riguardo al trattamento, da parte dell’Istituto, dei dati dei richiedenti che ricoprono cariche politiche (nello specifico, incarichi di parlamentare o di amministratore regionale o locale).

Nel corso degli accertamenti l’Autorità, pur riconoscendo che lo svolgimento dei controlli sulla sussistenza dei requisiti previsti dalla legge per l’erogazione del bonus è riconducibile a compiti di interesse pubblico rilevante, ha riscontrato numerose criticità nelle modalità utilizzate dall’Istituto nel procedervi.

L’istruttoria dell’Autorità ha messo in luce che l’Inps non ha adeguatamente progettato il trattamento e non è stata in grado di dimostrare di aver svolto i controlli nel rispetto del Regolamento, violando i principi di privacy by design, di privacy by default e di accountability.

In primo luogo, dopo aver acquisito da fonti aperte i dati di decine di migliaia di persone che ricoprono incarichi di carattere politico, l’Istituto ha effettuato elaborazioni e incroci tra i dati di tutti coloro che avevano richiesto il bonus con quelli dei titolari dei predetti incarichi. Ciò senza però aver prima determinato se ai parlamentari e agli amministratori regionali o locali spettasse o meno tale beneficio, anche in considerazione delle differenti caratteristiche delle cariche ricoperte. In questo modo l’Inps ha violato i principi di liceità, correttezza e trasparenza stabiliti dal Regolamento Ue in materia di protezione dei dati personali.

L’Inps non ha rispettato neppure il principio di minimizzazione dei dati, avendo avviato i controlli finalizzati al recupero dei bonus anche su tutti quei soggetti che, pur avendolo richiesto, non lo avevano percepito, visto che la loro domanda era già stata respinta per ragioni indipendenti dalla carica ricoperta.

E’ emerso inoltre che l’Inps non ha valutato adeguatamente i rischi collegati a un trattamento di dati così delicato come è quello riguardante i richiedenti un beneficio economico classificato come ammortizzatore sociale, non effettuando la valutazione di impatto sui diritti e le libertà degli interessati.

Per tali motivi, il Garante ha dichiarato illecito il trattamento dei dati personali effettuato dall’Inps e ha applicato la sanzione. L’Autorità ha inoltre prescritto all’Istituto di cancellare i dati non necessari fino ad ora trattati ed effettuare un’adeguata valutazione di impatto privacy.

Roma, 9 marzo 2021


Garante Privacy

 

&

 

[doc. web n. 9556958]

Provvedimento del 25 febbraio 2021

Registro dei provvedimenti
n. 87 del 25 febbraio 2021

^ IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito, “Codice”);

VISTO il regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.garanteprivacy.it, doc. web n. 9107633 (di seguito “reg. del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del reg. del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n. 1098801);

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Da alcuni articoli di stampa apparsi sui quotidiani nazionali nel agosto 2020, è emerso che “Cinque deputati […] in piena emergenza Covid a cavallo del lockdown […] hanno chiesto all’Inps il bonus da 600 euro mensili, poi elevato a mille, previsto dai Decreti Cura Italia e Rilancio per sostenere il reddito di autonomi e partite Iva […] [incassandolo] pure”, e che “ad accorgersene sarebbe stata la Direzione Centrale Antifrode Anticorruzione e Trasparenza dell’Inps” (cfr. La Repubblica del 9 agosto 2020). Inoltre, nell’elenco dei richiedenti o beneficiari del citato bonus sarebbero stati presenti “anche duemila amministratori locali tra assessori e consiglieri regionali, sindaci e consiglieri locali, persino qualche governatore” (cfr. La Repubblica del 10 agosto 2020).

L’Ufficio ha avviato un’istruttoria, nei confronti dell’Istituto Nazionale Previdenza Sociale (INPS), in ordine alle attività e modalità di trattamento dei dati personali delle predette cariche politiche, richiedenti le indennità previste, per il mese di marzo 2020, dagli artt. 27, 28, 29, 30, 31 e 38 del d.l. 17 marzo 2020, n. 18 (convertito, con modificazioni dalla l. 24 aprile 2020, n. 27), poi riconosciute, anche per il mese di aprile 2020, dall’art. 84 del d.l. 19 maggio 2020, n. 34 (convertito, con modificazioni dalla l. 17 luglio 2020, n. 77), c.d. “bonus Covid”.

Alle richieste d’informazioni dell’Ufficio (note prot. n. XX del XX e prot. n. XX del XX) e alla nota con cui, ex art. 166, comma 5, del Codice, sono state notificate le violazioni della disciplina in materia di protezione dei dati personali (nota prot. n. XX del XX), il citato Istituto ha fornito riscontro con diverse note e memorie difensive (prot. n. XX del XX, prot. n. XX del XX, prot. n. XX del XX e prot. n. XX del XX).

Ai fini dell’istruttoria, si è tenuto inoltre conto anche degli elementi forniti dall’INPS nell’ambito dell’audizione informale, sulle “modalità di richiesta e liquidazione del bonus in favore dei lavoratori autonomi, sulle categorie di destinatari di tale bonus nonché sulle attività di monitoraggio, vigilanza e controllo da parte dell’Istituto”, svoltasi il 14 agosto 2020, presso l’Ufficio di Presidenza della XI Commissione (Lavoro pubblico e privato) della Camera dei deputati (reperibile al https://webtv.camera.it/evento/16652), nonché del parere reso all’INPS dal il Ministero del lavoro e delle politiche sociali (nota del XX prot. n. XX).

2. Il quadro normativo stabilito dal d.l. n. 18/2020.

Il citato decreto legge prevede che le indennità in questione, non concorrono alla formazione del reddito, e sono erogate dall’INPS, previa domanda, a:

- “liberi professionisti titolari di partita iva attiva alla data del 23 febbraio 2020 e ai lavoratori titolari di rapporti di collaborazione coordinata e continuativa attivi alla medesima data, iscritti alla Gestione separata di cui all’articolo 2, comma 26, della legge 8 agosto 1995, n. 335, non titolari di pensione e non iscritti ad altre forme previdenziali obbligatorie” (art. 27);

- “lavoratori autonomi iscritti alle gestioni speciali dell’Ago, non titolari di pensione e non iscritti ad altre forme previdenziali obbligatorie, ad esclusione della Gestione separata di cui all’articolo 2, comma 26, della legge 8 agosto 1995, n. 335” (art. 28);

- “lavoratori dipendenti stagionali del settore del turismo e degli stabilimenti termali che hanno cessato involontariamente il rapporto di lavoro nel periodo compreso tra il 1° gennaio 2019 e la data di entrata in vigore della presente disposizione, non titolari di pensione e non titolari di rapporto di lavoro dipendente alla data di entrata in vigore della presente disposizione” (art. 29);

- “operai agricoli a tempo determinato, non titolari di pensione, che nel 2019 abbiano effettuato almeno 50 giornate effettive di attività di lavoro agricolo” (art. 30);

- “lavoratori iscritti al Fondo pensioni Lavoratori dello spettacolo, con almeno 30 contributi giornalieri versati nell’anno 2019 al medesimo Fondo, cui deriva un reddito non superiore a 50.000 euro, e non titolari di pensione” (art. 38).

Le predette indennità “non sono tra esse cumulabili e non sono altresì riconosciute ai percettori di reddito di cittadinanza ai sensi del decreto legge 28 gennaio 2019, n. 4, convertito, con modificazioni, dalla legge 28 marzo 2019, n. 26”, mentre sono cumulabili con l’assegno ordinario di invalidità di cui alla legge 12 giugno 1984, n. 222 (art. 31).

3. Il trattamento effettuato.

In base a quanto rappresentato dall’INPS, i citati artt. 27, 28, 29, 30, 31 e 38 del d.l. n. 18/2020 “stabiliscono che il diritto all’indennità per chi svolge o ha svolto determinate attività lavorative sia sempre subordinato alla mancata titolarità di una pensione, all’assenza (per i soggetti di cui agli artt. 27 e 28) di iscrizione ad altra forma previdenziale obbligatoria, ovvero, nei casi in cui il diritto nascesse in virtù di un rapporto di lavoro dipendente svolto nell’anno 2019, all’insussistenza di un rapporto di lavoro dipendente alla data di entrata in vigore del decreto (17 marzo 2020)” (nota del XX, pp. 1-3).

Nel corso dell’attività istruttoria, è emerso che l’INPS ha erogato il bonus Covid a tutti i richiedenti ritenuti in possesso dei requisiti stabiliti dalle disposizioni di cui al citato d.l. n. 18/2020, all’esito di cc.dd. “controlli di primo livello”, effettuati mediante procedure informatiche fondate sul riscontro automatizzato delle informazioni dichiarate dal richiedente nella domanda presentata, con le informazioni presenti nelle banche dati detenute dall’Istituto.

Successivamente, l’INPS ha effettuato ulteriori verifiche sulle istanze presentate e liquidate, procedendo con cc.dd. “controlli di secondo livello”, effettuati dalla propria “Direzione centrale antifrode, anticorruzione e trasparenza”, rivolti a situazioni non rilevate (o ritenute non rilevabili) dalle ordinarie procedure di gestione e di emissione dei pagamenti. Ciò anche per l’esigenza di non ritardare la liquidazione dei bonus, nel contesto di crisi economica determinata dal blocco delle attività produttive per ragioni di contrasto all’emergenza sanitaria.

L’INPS, in particolare, ha dichiarato che “nell’ambito dei controlli effettuati su tutti i soggetti richiedenti, si sono rese necessarie verifiche non realizzabili sulla base dei dati presenti nei soli archivi dell’Istituto per quanto riguarda la posizione dei parlamentari e dei titolari di cariche presso le amministrazioni locali e regionali che percepiscono indennità di mandato, in considerazione della sua natura di reddito assimilato al lavoro dipendente, nonché in ragione della loro peculiare posizione previdenziale”. La peculiarità delle posizioni dei parlamentari e degli amministratori regionali e locali ha richiesto specifici approfondimenti per verificare la spettanza del diritto, in considerazione delle peculiari situazioni previdenziali di tali categorie di soggetti e, con specifico riferimento agli amministratori locali, “sia in ordine alla natura dell’iscrizione di tali soggetti ad altre forme di previdenza obbligatoria sia in ordine all’equiparazione della tutela assicurata dalle indennità percepite da tali soggetti rispetto a quella garantita da un reddito di lavoro dipendente”. Al riguardo, l’Istituto, inoltre, ha affermato che “in relazione alla tale prima disamina e alle perplessità insorte in ordine alla spettanza del bonus, si è reso necessario comprendere se il problema fosse concreto, verificando se tra i soggetti percettori vi fossero anche parlamentari o titolari di cariche presso le amminstrazioni locali e regionali” (nota del XX, p. 4).

I predetti controlli di secondo livello, nel caso di specie, sono stati realizzati con l’acquisizione dei dati anagrafici di deputati e amministratori regionali e locali dai dati aperti (open data) resi disponibili a chiunque, tramite le apposite pagine web messe a disposizione dalla Camera dei deputati (http://dati.camera.it/sparql) e dal Dipartimento per gli affari interni e territoriali del Ministero dell’interno (https://dait.interno.gov.it/elezioni/open-data/amministratori-locali-in-carica). Da queste informazioni, in relazione a ciascun soggetto, è stato calcolato, in maniera automatizzata, in base alle regole stabilite dal decreto del Ministero delle finanze del 12 marzo 1974, n. 2227, il presunto codice fiscale che, successivamente, è stato posto in raffronto con il codice fiscale effettivo indicato nelle domande presentate dai richiedenti il bonus Covid. All’esito di tale raffronto, l’Istituto ha ritenuto di poter verificare se, tra i richiedenti, vi fossero anche deputati o soggetti titolari dell’incarico di amministratore regionale o locale (rilevando così la presenza di 5 deputati e circa 2000 amministratori, come rappresentato nella sopramenzionata audizione parlamentare).

Con riferimento alla divulgazione degli esiti di tali controlli alla stampa, l’INPS ha dichiarato che, “nessuna attività di comunicazione a terzi è stata effettuata dall’Istituto in ordine all’attività ispettiva in essere” (nota del XX, pag. 7); circostanza che è stata più volte ribadita dall’Istituto, anche nella citata audizione parlamentare, in cui il Presidente ha inoltre precisato di aver informato, già a fine maggio, il Consiglio di amministrazione dell’Istituto dell’esito dei primi controlli effettuati.

I controlli sui senatori sarebbero stati invece avviati successivamente alla diffusione delle notizie di stampa circa le richieste di bonus da parte di parlamentari e amministratori locali e alla prima richiesta istruttoria del Garante di cui alla nota prot. n. XX del 1XX (cfr. note dell’INPS del XX, p. 3, e scritti difensivi del XX, p. 4).

In relazione alle determinazioni conseguenti all’esito dei controlli in questione, l’INPS ha affermato che “qualora l’Istituto dovesse concludere la propria attività accertando l’assenza dei requisiti necessari per percepire il bonus, provvederà a darne comunicazione agli interessati, contestando, come prescritto in questi casi, l’indebito e procedendo al recupero delle somme corrisposte. In ogni caso, in considerazione del procedimento in corso sull’attività fin qui compiuta, l’Istituto, nel rispetto dei principi di precauzione e prevenzione, ha ritenuto opportuno sospendere ogni attività di trattamento dei dati e differire ogni valutazione in ordine alle richieste di ostensione e diffusione dei dati all’esito delle determinazioni di codesta Autorità” (nota del XX, pag. 8).

Infine, con la nota del XX prot. n. XX, il Ministero del lavoro e delle politiche sociali ha fornito all’INPS un parere –su specifica richiesta dell’Istituto con la nota del XX prot. n. XX – in ordine alla spettanza del bonus in capo a tali soggetti, affermando, in sintesi, che, pur non trascurando la complessità delle questioni giuridiche coinvolte, stante la ratio sottesa alle indennità in questione, l’erogazione del bonus dovrebbe essere ritenuta incompatibile con le “indennità percepite da parlamentari, consiglieri regionali e soggetti con mandati elettorali o incarichi politici” (parere del Ministero trasmesso al Garante dall’INPS con nota del XX prot. n. XX).

4. Le criticità emerse.

Alla luce del quadro descritto, sotto il profilo del trattamento dei dati personali, sono emerse le seguenti criticità, ascrivibili alla mancanza di un’adeguata progettazione del trattamento tradottasi nell’omissione di idonee misure volte ad attuare, in modo efficace, il Regolamento e di garantire che, per impostazione predefinita, fossero trattati i soli dati necessari per ogni specifica finalità del trattamento, eliminando così i molteplici profili di rischio probabile per i diritti e le libertà fondamentali degli interessati, con riferimento alla protezione dei dati personali dei suddetti.

4.1. La pianificazione dei controlli.

In base a quanto risulta dalle dichiarazioni dell’INPS (contenute nelle note di riscontro del 31 agosto 2020 e 24 settembre 2020, nonché nell’audizione del Presidente alla Camera dei deputati) il trattamento di dati personali in questione è stato effettuato in una data anteriore alla fine del maggio 2020 (come emerge chiaramente dalla predetta audizione), ossia molto prima che fosse definitivamente determinato se gli incarichi di parlamentare e di amministratore regionale o locale costituissero una condizione ostativa alla spettanza del bonus Covid previsto dal d.l. n. 18/2020.

Ciò emerge, in particolare, laddove è stato affermato espressamente che, alla luce delle “perplessità insorte in ordine alla spettanza del bonus”, l’Istituto ha ritenuto “necessario comprendere se il problema fosse concreto, verificando se fra i soggetti percettori vi fossero anche parlamentari o titolari di cariche presso le amministrazioni locali e regionali” (nota del XX, p. 4). Inoltre, con successiva nota, è stato aggiunto che – fermo restando che “la Direzione Centrale Antifrode, Anticorruzione e Trasparenza, secondo un’interpretazione letterale della norma alla luce dei parametri costituzionali di riferimento, considerava la prestazione non spettante ai parlamentari ed ai titolari di cariche presso le amministrazioni locali” – “una volta identificata la problematica, si è ritenuto che la complessità delle questioni in gioco richiedeva un approfondimento da parte delle Direzioni amministrative competenti e del vigilante Ministero del Lavoro e delle Politiche Sociali” e che “in questo quadro, data tutta l’attività ispettiva che l’Istituto deve svolgere ordinariamente e, in quel momento di emergenza, anche sulle prestazioni la cui erogazione è stata in via straordinaria affidata dal legislatore all’Istituto – prima di concentrare risorse ed energie su una problematica che poteva non avere risvolto pratico, è stato ritenuto opportuno accertare se ne esistessero o meno i presupposti in concreto”, precisando, altresì, che i dati non in possesso dell’Istituto sono stati acquisiti da fonti esterne costituenti “il campione sufficiente per comprendere, in quel momento, se il problema della spettanza o meno fosse concreto e meritasse un approfondimento” (nota del XX, pp. 2 e 3).

Da quanto dichiarato emerge dunque chiaramente che, al momento dello svolgimento delle operazioni di raccolta dei dati personali dalle fonti esterne e della loro successiva elaborazione, mediante raffronto tra i dati dei richiedenti il bonus con quelli dei titolari degli incarichi politici e amministrativi, nessuna determinazione era stata ancora assunta all’interno dell’Istituto in ordine alla spettanza (o meno) del bonus in capo ai titolari di incarichi politici. Ciò, in particolare, era dovuto alla peculiarità delle diverse situazioni soggettive e alla diversificazione della normativa previdenziale a seconda della carica istituzionale ricoperta (soprattutto per gli amministratori locali), a causa delle quali si sono resi necessari ulteriori approfondimenti successivi, coinvolgendo anche il Ministero del lavoro e delle politiche sociali che ha reso il proprio parere al riguardo solo il 2 dicembre 2020.

Sotto altro profilo, con specifico riferimento alla categoria dei parlamentari, in base a quanto dichiarato in sede istruttoria, a seguito dei chiarimenti richiesti dall’Autorità al riguardo, è emerso che l’Istituto, in una prima fase, ha effettuato il citato controllo di secondo livello, e dunque il trattamento in questione, solo sui dati personali dei deputati (nota), mentre, solo “dopo la diffusione da parte dei quotidiani della notizia in ordine alle attività ispettive che l’Istituto stava svolgendo, considerate le numerose richieste di accesso civico pervenute e da esaminare, […] l’Istituto ha deciso di operare un raffronto anche per il Senato” (note del XX, p. 5 e del XX, p. 3).

Al riguardo, si rileva, pertanto, che l’Istituto, pur ritenendo necessario avviare già a maggio il trattamento in questione, abbia poi rinviato le verifiche sulle posizioni di un’intera categoria di titolari di incarichi politici (i senatori) rispetto alle altre (i deputati e gli amministratori regionali e locali), in assenza di specifiche ragioni legate alla particolarità della posizione rivestita dai senatori rispetto al possesso dei requisiti richiesti.

4.2. Il trattamento dei dati personali dei soggetti richiedenti il bonus non beneficiari.

Dall’istruttoria è emerso che i controlli in argomento hanno avuto a oggetto, non solo i dati personali di coloro che hanno effettivamente percepito il bonus Covid, ma anche dei soggetti richiedenti che, a seguito di presentazione della relativa domanda, sono stati esclusi dal riconoscimento dell’indennità già all’esito dei controlli di primo livello.

Secondo quanto dichiarato, tale circostanza è stata determinata dal fatto che “la banca dati dell’Istituto relativa al bonus […] conteneva un insieme di dati disomogenei, che andavano dalle domande accolte, a quelle non ancora elaborate, a quelle in corso di riesame, ecc.”, e “Posto che le istanze di accesso al bonus pervenute all’Istituto, da chiunque provenienti, compresi parlamentari, amministratori locali o regionali potevano trovarsi in una qualunque delle predette fasi di trattazione (accolte, non ancora elaborate, in corso di esame), l’incrocio dei dati doverosamente doveva essere globale […] senza escludere nulla all’esame dell’attività ispettiva” (nota del XX, p. 1).

Ciononostante, se, in base a quanto dichiarato dall’INPS, lo scopo in concreto perseguito con i suddetti controlli era quello di evitare la possibilità che vi fosse stata un’indebita percezione delle indennità da parte di parlamentari e amministratori locali (nota del XX, p. 4), il trattamento dei dati personali dei richiedenti che erano stati esclusi dall’erogazione del bonus non risulta necessario al fine di promuovere azioni di recupero, essendo evidentemente già emerse, a seguito dei controlli di primo livello, altre condizioni di per sé ostative alla fruizione del beneficio in questione.

^ 4.3. Le modalità del raffronto.

L’INPS, al fine di verificare se tra i beneficiari e richiedenti il bonus vi fossero anche parlamentari o amministratori regionali o locali, ha proceduto alla raccolta di dati personali da banche dati esterne, detenute dalla Camera dei deputati e dal Dipartimento per gli affari interni e territoriali del Ministero dell’interno, rese liberamente fruibili, sotto forma di open data. Tra i dati ivi contenuti, manca tuttavia il codice fiscale degli interessati, informazione che consente di identificare univocamente una persona fisica.

Per questo motivo, per operare il raffronto con le domande dei richiedenti il bonus, l’Istituto dopo aver proceduto all’estrazione dei dati dagli archivi open data in questione, ha successivamente utilizzato i dati anagrafici ivi contenuti (nome, cognome, data e luogo di nascita), per ricavare, in maniera automatizzata, i presunti codici fiscali di ogni interessato, in base ai parametri contenuti nel d.m. 12 marzo 1974, n. 2227. L’Istituto ha di conseguenza operato il raffronto dei codici fiscali così calcolati, con quelli riportati dagli interessati nelle domande presentate per l’erogazione del bonus Covid, pervenendo così all’individuazione dei titolari dell’incarico di parlamentare o di amministratore regionale o locale che avevano presentato la domanda per ottenere il bonus.

Occorre tuttavia rilevare che le descritte modalità di calcolo del codice fiscale non sono in grado di assicurare, con assoluta certezza, la qualità dei dati utilizzati per i controlli; in questo delicato ambito, l’univoca identificazione dell’interessato richiede il più rigoroso rispetto del principio di esattezza dei dati (art. 5, par. 1, lett. d), del Regolamento). Il predetto metodo di calcolo del codice fiscale può comportare errori laddove venga effettuato sulla base di dati incompleti o non precisi (es. soggetti con due o più nomi separati o meno da virgola) così come in presenza di eventuali casi di omocodia (cioè di coincidenza, tra più interessati, di nome, cognome, data e luogo di nascita, che comporta l’assegnazione, a ciascuno di essi, di un particolare codice fiscale, da parte dell’Agenzia delle entrate, diverso da quello ottenuto mediante la procedura di calcolo). In assenza di dati esatti, la qualità del controllo effettuato dall’Istituto potrebbe risultare compromessa; il raffronto effettuato potrebbe infatti, da un lato, condurre all’individuazione di un soggetto sbagliato e, dall’altro, non consentire invece di identificare soggetti non aventi diritto.

4.4. L’assenza di un’adeguata valutazione dei rischi.

Con riferimento alla valutazione dei rischi per i diritti e le liberà degli interessati nell’ambito del trattamento in esame, l’INPS ha dichiarato che “trattandosi di una normale attività di vigilanza che viene svolta istituzionalmente dall’Istituto in relazione a tutte le prestazioni che il legislatore affida alla sua competenza, e considerato che si è trattato del mero incrocio di codici fiscali ai fini dell’individuazione di possibili erogazioni indebite, non si è ravvisato e non si ravvisa alcun rischio elevato per i diritti e le libertà delle persone fisiche, tale da richiedere per i sopra menzionati soggetti l’adozione di misure speciali e diverse rispetto a quelle ordinariamente adottate, che prevedono l’assoluta riservatezza in ordine all’attività ispettiva svolta e ai destinatari della stessa” (nota del XX, p. 4).

Su tale base, l’Istituto non ha, pertanto, condotto una valutazione di impatto sulla protezione dei dati.  Al riguardo si rappresenta che non risultano quindi essere stati correttamente valutati i rischi elevati, per i diritti e le libertà degli interessati, derivanti dal trattamento in esame, che comporta un’operazione di raffronto, su larga scala, di dati personali acquisiti anche da banche dati esterne all’Istituto, con i dati relativi ai richiedenti il bonus, al fine di valutare un eventuale recupero delle somme già percepite da parte degli stessi.

4.5. Il principio di responsabilizzazione.

Nel contesto complessivamente considerato, alla luce della documentazione prodotta nell’ambito dell’istruttoria, l’INPS non è stato, in generale, in grado di comprovare, con argomenti logici o prove di fatto, le ragioni delle decisioni assunte nell’ambito del complesso trattamento di dati personali effettuato, al fine di dimostrare all’Autorità il rispetto della normativa in materia di protezione dei dati personali secondo quanto previsto dal «principio di responsabilizzazione» (art. 5, par. 2 del Regolamento).

5. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, ai sensi dell’art. 166, comma 5, del Codice.

In relazione alle verifiche compiute, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio, con nota del XX (prot. n. XX), ha notificato all’INPS l’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori di cui all’articolo 58, par. 2, del Regolamento, avendo accertato l’effettuazione di un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali.

Con la medesima nota, sono state notificate al predetto Istituto le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), invitandolo a far pervenire scritti difensivi o documenti ed eventualmente a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

^ 5.1. Memorie difensive.

Con nota del XX (prot. n XX), l’INPS ha fatto pervenire i propri scritti difensivi, rappresentando, fra l’altro, che:

- “Gli articoli 27, 28, 29, 30 e 38 del citato D.L. 17 marzo 2020, n. 18, hanno previsto un’indennità di 600 euro per il mese di marzo 2020 a favore di particolari categorie di lavoratori (liberi professionisti iscritti alla gestione separata, titolari di un rapporto di collaborazione coordinata e continuativa alla data del 23 febbraio 2020, iscritti alle gestioni speciali dei lavoratori autonomi, nonché lavoratori stagionali, agricoli o dello spettacolo)” (p. 2);

- “Le disposizioni sopra richiamate […] stabiliscono che il diritto all’indennità per chi svolge o ha svolto determinate attività lavorative sia sempre subordinato al non essere titolare di pensione, ovvero a non essere iscritto ad altra forma previdenziale obbligatoria, ovvero, nei casi in cui il diritto nascesse in virtù di un rapporto di lavoro dipendente svolto nell’anno 2019, a non essere titolari di un rapporto di lavoro dipendente alla data di entrata in vigore del decreto (17 marzo 2020)” (pp. 2-3);

- “Nel momento dell’emergenza epidemiologica da Covid-19, il legislatore ha affidato il compito dell’erogazione delle sopra descritte specifiche indennità, da corrispondere nel più breve tempo possibile, all’INPS […]. Al fine di far fronte a questi nuovi compiti, nell’arco di dieci giorni circa, si è reso necessario predisporre apposite procedure informatiche fondate sul riscontro automatizzato con le banche dati degli archivi INPS delle informazioni dichiarate dal richiedente nella domanda presentata per ottenere il bonus (dati anagrafici, codice fiscale/partita iva, iscrizione alla gestione separata, codice iban), salvo le verifiche ed i controlli necessari da effettuarsi anche successivamente (cd. controlli di secondo livello). Pertanto, risultando prioritaria l’esigenza di procedere con immediatezza all’erogazione dei bonus, l’Istituto si è limitato alla verifica solo di quei presupposti, riservando ad una fase successiva i controlli ulteriori sui requisiti dai quali poteva scaturire anche il recupero delle somme percepite illegittimamente” (pp. 3-4);

- “Successivamente, […] per controllare la sussistenza dei presupposti per beneficiare dei sussidi richiesti con le istanze presentate e liquidate […], si sono rese necessarie verifiche, per accertare la presenza o meno di iscrizione ad altre forme previdenziali, non effettuabili avvalendosi dei soli archivi dell’Istituto come per coloro che rivestivano cariche parlamentari o presso le amministrazioni locali e regionali, poiché in ragione della loro funzione percepiscono indennità per le quali risulta prevista o l’iscrizione alla Gestione Separata presso l’INPS oppure costituita una peculiare posizione previdenziale obbligatoria non rinvenibile negli archivi dell’Istituto. Ed i dati necessari per verificare quali fossero i soggetti di cui al precedente punto erano rinvenibili […] sugli open data del Dipartimento per gli Affari Interni e Territoriali del Ministero dell’Interno e sugli open data della Camera dei Deputati” (p. 4);

- “Minimizzando il più possibile l’elaborazione, l’Istituto per poter individuare tra coloro che avevano presentato la domanda della c.d. “indennità COVID” i soggetti che in relazione dell’incarico elettorale potevano avere una posizione contributiva in altra gestione o altra forma previdenziale, preclusivi del diritto alla prestazione, ha operato un incrocio tra il codice fiscale fornito dai richiedenti (era uno dei requisiti richiesti per accedere alla compilazione della domanda di bonus) con il codice fiscale ricavato sulla base dei dati anagrafici personali disponibili nei richiamati open data, secondo le regole del DM 12 marzo 1974. I risultati del confronto non sono stati minimamente pubblicati né pubblicizzati e, stante la sopravvenuta diffusione da parte dei quotidiani della notizia in ordine alle attività ispettive che l’Istituto stava svolgendo, nonché delle numerose richieste di accesso civico pervenute, […] l’Istituto ha proseguito nelle verifiche anche in relazione agli open data del Senato, per poter completare le attività istruttorie in corso e per essere in condizioni, all’occorrenza, di riscontare compiutamente le richieste di accesso pervenute” (p. 4);

- “Alla luce di tali elementi e della corretta ricostruzione operata, appaiono del tutto infondate le contestazioni notificate all’INPS e le violazioni addebitate. […] non è minimamente in contestazione il diritto o la legittimazione dell’Istituto a trattare i dati necessari per le attività di verifica e controllo sulla sussistenza dei requisiti previsti dalla legge per l’erogazione di benefici economici, rispondendo la liceità del trattamento a quei rilevanti compiti di interesse pubblico previsti dalla normativa in materia” (p. 5).

Con riferimento, inoltre, agli specifici rilievi mossi dall’Ufficio, relativi al rispetto della disciplina in materia di protezione dei dati personali, l’INPS ha osservato quanto segue.

1) Sulle violazioni concernenti il principio di liceità, correttezza e trasparenza:

- “già con la circolare INPS n. 205 del 21.11.2001 […], in considerazione di quanto previsto dall’art.26, secondo comma, della Legge n.265/99, erano state individuate modalità e criteri di versamento della contribuzione previdenziale dovute dagli Enti locali alle forme pensionistiche (Gestioni Commercianti, Artigiani e Separata presso l’INPS) alle quali il soggetto che rivestiva la carica di amministratore locale era iscritto o continuava ad essere iscritto alla data dell’incarico. […]. D’altro canto, le citate disposizioni del D. L. n. 18/2020, in base all’espressione letterale della norma, delimitano la spettanza del beneficio ai soggetti che fossero lavoratori o Liberi professionisti, titolari di partita IVA attiva, consentendo quindi di escludere quei soggetti, come nel caso degli amministratori locali, che conservano l’iscrizione alla Gestione autonoma o Speciale solo per effetto del versamento della contribuzione da parte dell’Ente Locale presso il quale riveste l’incarico” (p. 6);

- “Come pure, per i parlamentari e consiglieri regionali, durante l’espletamento del mandato, è prevista l’iscrizione obbligatoria presso le rispettive Casse di previdenza, normate da appositi regolamenti, la cui disciplina nel tempo si è evoluta assimilandole ad una forma previdenziale obbligatoria di carattere pubblicistico” (p. 6);

- “É quindi innegabile che le disposizioni degli artt. 27, 28, 29, 30 e 38 del citato D.L. 17 marzo 2020, n. 18, individuano astrattamente le categorie di beneficiari destinatari della misura (coloro che siano lavoratori e che non siano iscritte ad altre forme previdenziali obbligatorie) predefinendo, con la condizione di lavoratore e di non iscritti ad altre forme di previdenza obbligatori, i criteri, tra gli altri, che l’INPS dovrà verificare per accertare o escludere il diritto ad accedere alla prestazione economica stabilita. […] Diversamente da quanto ritenuto, l’Amministrazione, nei controlli di secondo livello, prima dell’avvio del trattamento in esame, ha quindi ritenuto che, in base al quadro normativo di settore, la condizione di parlamentare o amministratore regionale o locale precludesse, per i soggetti che ricoprivano uno dei predetti incarichi, la possibilità di accedere al bonus Covid” (p. 7);

- il Regolamento ammetterebbe che un atto legislativo possa essere sufficiente a fungere da base giuridica per più trattamenti effettuati nell’esecuzione di un compito di interesse pubblico (cons. 45) e che la finalità di prevenzione delle frodi possa costituire un legittimo interesse del titolare del trattamento (cons. 47), mentre l’art. 2-sexies, comma 2, lett. dd), del Codice indica i compiti di rilevante interesse pubblico a cui sarebbe possibile ricondurre i trattamenti in esame (pp. 7-8).

2) Sulla violazione del principio di minimizzazione dei dati:

- “in materia previdenziale, si verte in tema di diritti soggettivi perfetti, in cui il riconoscimento del diritto avviene se sussistono tutti i requisiti e le ragioni per il diritto all’assistenza o previdenza, quali che siano i motivi della reiezione della domanda amministrativa, sicché l’accertamento dell’accesso al beneficio non risulta vincolato alla sola motivazione del rigetto dell’istanza. Anche per i benefici di cui al D.L. N. 18/2020 […], non essendosi consumato l’esercizio del diritto alla prestazione, risulta necessaria la verifica della sussistenza di ogni elemento richiesto dalla legge o dell’insussistenza di requisiti preclusivi, inclusi quelli oggetto del trattamento dei dati in esame anche per tutti i richiedenti e non solo per coloro che hanno avuto accolto la domanda in prima istanza. In sostanza, non essendo vincolato il diniego al solo motivo della reiezione già espressa, e risultando ancora esperibile ogni mezzo di impugnazione avverso lo stesso, l’Istituto ha legittimamente proceduto al riscontro dei dati per tutte le domande, incluse quelle respinte, al fine di poter verificare anche la sussistenza o meno dell’ulteriore requisito per l’accesso al beneficio, essendo ancora esperibili sia i rimedi amministrativi (ricorso, riesame, reclamo, etc.) che giudiziari dall’interessato per pretendere l’erogazione del beneficio” (p. 9).

3) Sulla violazione del principio di esattezza:

- “il codice fiscale è stato ricavato secondo le regole del DM 12 marzo 1974, ovvero in base ai criteri previsti dalla legge per la determinazione del codice fiscale. E quindi l’Istituto ha adottato tutte le misure idonee, nel rispetto del principio di esattezza del dato personale, attraverso il trattamento di dati anagrafici (nome, cognome, data e luogo di nascita) già verificati e validati da altre amministrazioni, titolari del trattamento dei dati, che ne hanno disposto e curato la pubblicazione con banca dati open” (p. 11);

- “salvo che non si debba ritenere esatto esclusivamente il dato “certificato” (e ciò comporterebbe paradossalmente in tutti i casi di trattamento del codice fiscale l’obbligo di far certificare il dato dalla Agenzia delle Entrate non essendo altrimenti in assoluto certo), appare logico e coerente con lo spirito della norma – che peraltro va letta in funzione delle “finalità per le quali sono trattati” ed adottando “misure ragionevoli” – determinare il codice fiscale in base alle disposizioni di legge in materia, sulla base dei dati anagrafici già validati e verificati dall’Ente che ha trattato e pubblicato tali dati” (p. 11);

- “la esattezza dei dati richiesta non attiene alla correttezza del dato in sé, ma in relazione alle finalità per le quali sono trattati; e, nel caso di specie, il riscontro dell’esattezza è risultato anche dal confronto dei dati ricavati con i codici fiscali già raccolti dall’Istituto, provenienti direttamente dagli interessati, e riportati nella identità di log in inserita per la presentazione delle domande per ottenere il beneficio […]. Peraltro, essendosi svolto il trattamento dei dati, attraverso la elaborazione automatizzata dei dati riportati nell’open data, secondo le regole del DM 12 marzo 1974, risulta garantita anche la esclusione di eventuali errori nella acquisizione ed elaborazione degli stessi. In ogni caso, a scanso di ogni equivoco, allo stato non si ritiene né si è avuto riscontro della presenza di dati inesatti rispetto alle finalità per le quali sono trattati” (p. 11).

4) Sulla violazione dei principi di privacy by design e by default:

- "Si è trattato quindi, […] al di là del clamore mediatico per i soggetti investiti, del trattamento di dati non particolarmente riservati o sensibili, con metodo rispondente alle previsioni di legge in materia per determinare il codice fiscale, sulla base di dati personali verificati e certificati da altra amministrazione che non presentava rischi particolari, rischi che addirittura nel caso di specie risultano evanescenti non essendo trapelato neanche un nominativo o dato dei soggetti emersi” (p. 13);

- “si ritiene che sono state idonee, sufficienti ed esaustive tutte le tutele e misure adottate dall’Istituto, non sussistendo particolari rischi nelle operazioni di verifica resesi necessarie, in considerazione del peculiare ruolo sociale e pubblico rivestito dai soggetti interessati, senza esporre ad alcuna lesione o messa in pericolo dei loro diritti. Riprova né è il fatto che per le misure adottate ed il trattamento eseguito, a distanza di mesi e malgrado la pressione mediatica ed i reiterati interventi invasivi anche con istanze di accesso, hanno dimostrato la impenetrabilità dei dati, risultando a tutt’oggi non emersi i nominativi dei soggetti evidenziati a seguito degli accertamenti effettuati” (p. 13);

- “Come pure, diversamente da quanto opinato, il mancato immediato riscontro sulle posizioni dei senatori non è riconducibile ad una assenza di progettazione, come si vorrebbe ritenere, ma, considerata l’intrusione mediatica sull’analisi in corso, prudenzialmente, l’Istituto ha differito l’esame ad un tempo successivo, sulla scorta dei chiarimenti ed indicazioni fornite da codesta Autorità” (pp. 13-14);

- “Per le sopra esposte ragioni, è da escludere ogni presunta violazione del principio di privacy by default, poiché l’Istituto, in presenza di criteri predeterminati, come già rilevato e configurati dalla stessa norma applicata, ha limitato, per impostazione predefinita, il trattamento di dati personali a quelli strettamente necessari (elenco pubblico dei soggetti incaricati di mandato parlamentare o di amministratore regionale o locale) nel pieno rispetto dei principi di privacy by design e privacy by default, anche considerato l’incarico pubblico rivestito dai soggetti interessati […]. Senza dimenticare che, nella specifica valutazione, […] assume considerevole rilevanza il fatto che avrebbe riguardato soggetti investiti di incarichi pubblici e, come tali, esposti ad una maggiore pubblicità e trasparenza nei rapporti con la Pubblica Amministrazione, prevalente sulla esigenza di riservatezza nei dati personali, non sensibili, rispetto alla generalità dei consociati” (p. 14).

5) Sulla violazione concernente la valutazione d’impatto sulla protezione dei dati:

- “il trattamento oggetto di contestazione attiene soltanto alla posizione di coloro che rivestono incarichi elettorali di parlamentari o di amministratori regionali o locali, ed hanno presentato domanda di accesso al beneficio previdenziale ex D.L. 18/2020, in qualità di lavoratori autonomi, professionisti o titolari di partita Iva. Non attengono, invece, alla verifica in esame i controlli operati dall’Istituto, con il trattamento di altri dati e con modalità differenti, sulla posizione di altri soggetti, poi ritenuti privi dei requisiti necessari per il diritto al beneficio economico invocato (i richiamati 40 mila individui soggetti a ben diversi controlli e verifiche), sottoposti a diverso tipo e modo di trattamento (per esempio, con dati già in possesso dell’Istituto). Si tratta quindi di una frazione minimale rispetto a tutti i controlli effettuati” (pp. 14-15);

- “Come pure, il trattamento dei dati oggetto di verifica non ha interessato creazioni di corrispondenze o combinazione di insieme di dati, derivanti da più operazioni svolte per finalità diverse e/o da titolari del trattamento diverso, oltre le ragionevoli aspettative dell’interessato. Difatti, come già ampiamente detto, si è trattato del mero confronto dei dati anagrafici personali relativi a soggetti rivestenti cariche pubbliche, risultanti da open data, ed elaborati in codici fiscali, con l’elenco dei codici fiscali dei nominativi di coloro che hanno presentato la domanda per l’accesso al beneficio economico previsto ai lavoratori autonomi e professionisti, ex D.L. N. 18/2020” (p. 15);

- “interessando il trattamento dei dati un numero di soggetti limitati, peraltro con un volume contenuto di dati oggetto del trattamento, neanche sensibili né particolarmente delicati, e con unica tipologia di dati oggetto di trattamento, peraltro tutti pubblicati e messi a disposizione di chiunque, appare evidente che non ricorre quell’elevato rischio per i diritti e le libertà delle persone. Anche perché, trattandosi di soggetti investiti di cariche pubbliche per i quali si dovrebbe privilegiare la trasparenza e pubblicità rispetto alla tutela della riservatezza, è coerente e legittimo escludere l’obbligo di valutazione d’impatto, in considerazione del limitato e contenuto criterio di trattamento dei dati. Si tratta infatti di un trattamento che riguarda un circoscritto numero di soggetti, peraltro con trattamento unico e di dati volti alla verifica del possesso dei requisiti per l’accesso ad un trattamento economico, senza immediata preclusione o impedimento agli interessati di esercitare un diritto. Un conto è infatti un motivo ostativo e preclusivo dell’accesso ad un diritto ed altra cosa è invece la verifica della sussistenza di un requisito per verificare la legittimità di un beneficio economico erogabile dall’Istituto” (pp. 15-16).

6)  Sulla violazione del principio di responsabilizzazione:

- “risultano disattese le comunicazioni e dichiarazioni fornite dall’Istituto, nel corso dell’istruttoria della presente procedura. Difatti, in relazione alle attività di verifica, controllo, accertamento (peraltro di secondo livello) assunte dall’Istituto dopo l’erogazione delle prestazioni, il trattamento dei dati, inerente attività di intelligence e confronto, come ripetutamente chiarito, è stato curato dalla Direzione Centrale Antifrode, Anticorruzione e Trasparenza, nell’ambito dei suoi compiti istituzionali” (p. 16).

Infine, con nota del XX (prot. n XX), l’INPS ha inviato un’integrazione dei propri scritti difensivi, con la quale ha dichiarato che “è pervenuta dal Ministero del Lavoro e delle Politiche Sociali la nota prot. XX con la quale il Ministero vigilante, riscontrando apposita richiesta di parere dell’Istituto, conferma, anche ai fini delle determinazioni conseguenti ora da assumere in ordine al recupero delle somme corrisposte, l’interpretazione della normativa adottata dall’Istituto nel procedere alle verifiche per accertare se vi fossero stati casi di domande proposte da soggetti che, come i parlamentari e gli amministratori regionali e locali, per le particolari condizioni del regime loro proprio, rientravano tra coloro che non avevano i requisiti previsti dalla legge”.

In particolare, si segnala che il parere fornito dal citato Ministero (allegato alla nota dell’INPS), nel fare preliminare riferimento “alla richiesta di parere concernente l’oggetto, trasmessa da codesto Istituto con nota […] del 24 settembre 2020”, conclude che “considerata la ratio della normativa emergenziale, si ritiene condivisibile un orientamento applicativo che conduca all’incompatibilità delle indennità percepite da parlamentari, consiglieri regionali e soggetti con mandati elettorali o incarichi politici, con le indennità di cui agli artt. 27, 28, 29, 30 e 38 del decreto-legge 17 marzo 2020, n. 18, convertito, con modificazioni, dalla legge 24 aprile 2020, n. 27”.

6. Osservazioni sul rispetto della normativa in materia di protezione dei dati personali.

In termini generali, i trattamenti effettuati dall’INPS al fine di concedere o revocare benefici economici, agevolazioni o altri emolumenti, con le conseguenti attività di controllo sulla sussistenza dei requisiti previsti dalla legge per l’erogazione degli stessi, sono sicuramente riconducibili a rilevanti compiti di interesse pubblico, ai sensi dell’art. 2-sexies, comma 2, lett. l) e m), del Codice, da effettuarsi quindi nel rispetto della normativa di settore applicabile (cfr., in via generale, d.P.R. 28 dicembre 2000, n. 445, spec. artt. 43 e 71 e, per l’Istituto, anche art. 7, comma 2, lett. h), d.l. 13 maggio 2011, n. 70, convertito, con modificazioni, dalla l. 12 luglio 2011, n. 106).

Al riguardo, occorre anzitutto precisare che il richiamo al cons. 47 del Regolamento, effettuato dall’Istituto nella memoria difensiva, circa la finalità di prevenzione delle frodi, quale legittimo interesse invocabile dal titolare del trattamento, non risulta pertinente al caso di specie, in quanto un soggetto che effettua un trattamento necessario per l’esecuzione di un compito di interesse pubblico non può avvalersi della condizione di liceità del legittimo interesse di cui all’art. 6, par. 1, lett. f), del Regolamento, come precisato proprio dallo stesso cons. 47.

Le criticità rilevate nel caso in esame riguardano i profili inerenti alle modalità con le quali sono stati progettati ed effettuati i trattamenti di dati personali nell’ambito dei controlli di secondo livello posti in essere sulla sussistenza dei requisiti per la fruizione del bonus Covid in capo a determinate categorie di soggetti.

In particolare, i rilievi mossi all’Istituto riflettono le risultanze, emerse nel corso dell’istruttoria, circa l’assenza, prima dell’avvio del trattamento in questione, della predeterminazione della decisione circa la spettanza (o meno) del bonus Covid in capo ai titolari delle diverse tipologie di cariche politiche coinvolte, fonte di incertezza, soprattutto con riferimento agli amministratori locali.

Un’adeguata progettazione del trattamento risulta indispensabile per assicurare, ed essere in grado di dimostrare, la conformità dello stesso al Regolamento; ciò, in particolare, quando un ente pubblico, con lo scopo di esercitare i propri legittimi poteri di controllo, si accinge a effettuare complessi trattamenti di dati personali, come quelli in esame, che presuppongono necessariamente un’idonea valutazione dei rischi per i diritti e le libertà degli interessati e la conseguente adozione delle misure necessarie per mitigarli.

Rischi che talvolta, come peraltro testimonia la specifica vicenda alla base del procedimento, possono risultare elevati, indipendentemente dalla natura dei dati coinvolti nel trattamento, considerato peraltro l’impatto mediatico derivante dalla divulgazione, a mezzo stampa, di indiscrezioni sull’esito dei controlli effettuati dall’Istituto, in prossimità della celebrazione, il 20 e 21 settembre 2020, del referendum costituzionale sulla riduzione del numero dei parlamentari. Infatti, se è pur vero che il Garante non può che limitarsi alle dichiarazioni rese dal titolare, che fanno fede a tutti gli effetti fino a querela di falso, è altrettanto verosimile che l’origine della diffusione della notizia e dei nomi dei cinque deputati richiedenti il sussidio sia interna all’INPS, al tempo l’unico ente a conoscenza di tali informazioni a seguito dei controlli che essa sola stava effettuando.

6.1. Sulle violazioni concernenti il principio di liceità, correttezza e trasparenza del trattamento.

Risulta accertato che l’INPS, prima della fine di maggio 2020, all’atto dell’avvio dei controlli di secondo livello, ha elaborato i dati personali dei deputati e degli amministratori regionali e locali, acquisiti presso le citate banche dati esterne, e li ha raffrontati con i dati personali dei richiedenti le indennità previste dal citato d.l. n. 18/2020, ben prima di aver definitivamente determinato se – in base al complesso quadro normativo di settore che presenta  peculiarità dovute alle diverse situazioni soggettive a seconda della carica istituzionale ricoperta (soprattutto per gli amministratori locali) – gli incarichi di parlamentare e di amministratore regionale o locale costituissero una condizione ostativa alla spettanza del bonus Covid, in violazione quindi del principio di liceità, correttezza e trasparenza del trattamento (art. 5, par. 1, lett. a), del Regolamento).

Nel corso dell’istruttoria, non sono infatti emersi elementi tali da far ritenere che fosse stata prestabilita (ad es., mediante atti, anche interni, legittimi in base alla normativa che disciplina l’esercizio dei compiti da parte dell’Istituto) la spettanza del bonus Covid nei casi in questione, prima che iniziasse il trattamento in esame. Come risulta, infatti, anche da dichiarazioni pubbliche, al momento del trattamento la peculiarità delle situazioni giuridiche interessate (soprattutto relative agli amministratori locali) necessitava ancora di specifici approfondimenti da parte dell’Istituto, tali da richiedere a fine settembre un parere al Ministero del lavoro e delle politiche sociali (cfr. nota del XX, p. 4, nota del XX, pp. 2 e 3, e citata audizione del 14 agosto 2020), che solo ai primi di dicembre ha rappresentato all’Istituto il proprio orientamento negativo (cfr. nota del XX).

Non risulta quindi conforme al Regolamento l’impostazione assunta dall’Istituto secondo cui, alla luce delle “perplessità insorte in ordine alla spettanza del bonus”, fosse necessario prima “comprendere se il problema fosse concreto, verificando se fra i soggetti percettori vi fossero anche parlamentari o titolari di cariche presso le amministrazioni locali e regionali” e acquisire i dati necessari, non in possesso dell’Istituto, da fonti esterne costituenti il “campione sufficiente per comprendere, in quel momento, se il problema della spettanza o meno fosse concreto e meritasse un approfondimento” (nota del XX, pp. 2-3).

I trattamenti di dati personali necessari nell’ambito dei predetti controlli si sarebbero dovuti effettuare solo dopo aver superato le manifestate incertezze interpretative e avere quindi predeterminato, in astratto, la spettanza del bonus (non procedendo quindi all’incrocio dei dati prima di aver determinato se spettava l’indennità). Ciò, in quanto i trattamenti di dati personali per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri devono avvenire sulla base di un quadro normativo il più possibile chiaro e preciso la cui applicazione possa essere prevedibile per gli interessati (cfr. cons. 41 del Regolamento).

6.2. Sulla violazione del principio di minimizzazione dei dati.

Nel caso di specie, risulta accertato che il trattamento effettuato sui dati personali, relativi a parlamentari e amministratori regionali e locali acquisiti dalle richiamate banche dati esterne, non sia stato limitato ai soli beneficiari della prestazione, ma abbia invece coinvolto tutti coloro che hanno richiesto il bonus Covid, compresi pertanto quelli contenuti nelle domande che già, in sede di controllo di primo livello, erano state esaminate e rigettate.

Il trattamento dei dati personali della totalità dei richiedenti il bonus in luogo dei soli beneficiari, è da ritenersi non necessario in tale contesto, in quanto la domanda era già stata respinta dall’Istituto per il mancato possesso di altri requisiti esplicitamente fissati dal d.l. n. 18/2020, indipendentemente dalla circostanza che il richiedente fosse titolare di un incarico di parlamentare o amministratore regionale o locale. Poiché lo scopo perseguito con i suddetti controlli era quello di escludere la possibilità che vi fosse stata un’indebita percezione delle indennità, da parte dei titolari dei predetti incarichi, il trattamento dei dati personali dei richiedenti esclusi dall’erogazione del bonus non risulta adeguato, pertinente e limitato a quanto necessario rispetto alle finalità per le quali i dati sono trattati (art. 5, par. 1, lett. c), del Regolamento), in quanto l’esito del controllo di secondo livello non avrebbe potuto, in alcun modo, influire sulla decisione di diniego dell’indennità precedentemente adottata.

Inoltre, non è possibile accogliere quanto sostenuto negli scritti difensivi circa la necessità di effettuare tale raffronto per generiche esigenze difensive relative a ipotetici ricorsi amministrativi o giurisdizionali da parte dei richiedenti non beneficiari, in quanto non è consentito effettuare un trattamento di dati personali, di un’intera categoria di interessati, semplicemente adducendo astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti, ma solo in presenza di specifici contenziosi in atto o di situazioni precontenziose (principio di carattere generale più volte ribadito dal Garante, ancorché non riferimento ad altri ambiti di trattamento, cfr., ex multis, provv. n. 146 del 5 giugno 2019, doc. web n. 9124510; provv. n. 139 dell´8 marzo 2018, doc. web n. 8163433).

Tale trattamento potrebbe, semmai, essere effettuato solamente con specifico riferimento ai singoli casi in cui un interessato esperisce una delle predette azioni e solamente allorché l’esito del raffronto sia ritenuto indispensabile, al fine di giustificare l’esclusione dal bonus determinata dall’Istituto (con la restituzione dell’indebito eventualmente già erogato); non è invece ammissibile un trattamento, in via preventiva e generalizzata, nei confronti di qualunque richiedente non beneficiario, anche di colui che abbia dimostrato acquiescenza rispetto alla decisione di rigetto assunta dall’Istituto.

Si rileva, pertanto, che, per la dichiarata finalità di promuovere azioni di recupero del bonus Covid erogato, il trattamento dei dati personali dei soggetti richiedenti il bonus Covid ma non beneficiari è stato effettuato in violazione del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento.

6.3. Sulla violazione del principio di esattezza.

È stato accertato che l’INPS, nell’ambito delle operazioni di trattamento in esame, ha attribuito agli interessati – tramite i dati personali presenti nelle richiamate banche dati esterne – un codice fiscale calcolato automaticamente, in via presuntiva sulla base del d.m. 12 marzo 1974, n. 2227, in violazione del principio di esattezza di cui all’art. 5, par. 1, lett. d), del Regolamento.

Tale decreto stabilisce che il numero di codice fiscale, anche per le persone fisiche, sia attribuito esclusivamente dall’Agenzia delle entrate (il “Centro nazionale di elaborazione dei dati per l’anagrafe tributaria”: art. 1, comma 2) e che siano applicati specifici correttivi “quando l’espressione alfanumerica relativa ai primi quindici caratteri del codice risulta comune a due o più soggetti” (art. 6).

Ciò significa che possono essere presenti delle c.d. omocodie, cioè identità di codice fiscale, tra due o più persone, per effetto dell’applicazione degli ordinari criteri di calcolo che solo l’Agenzia delle entrate, in quanto unico soggetto preposto all’assegnazione del codice fiscale, può risolvere, applicando le previste correzioni: in caso di omocodia, peraltro, a nessuno dei soggetti coinvolti viene attribuito il codice calcolato. Inoltre, il calcolo del presunto codice fiscale sulla base delle sole informazioni anagrafiche contenute nelle banche dati utilizzate per il raffronto potrebbe essere avvenuto sulla base di dati non corretti o incompleti (es. soggetti con due o più nomi separati o meno da virgola), compromettendo così la qualità dei controlli effettuati dall’Istituto.

La contestata violazione del principio di esattezza dei dati non concerne pertanto la qualità degli stessi, come resi disponibili presso le citate banche dati esterne dai titolari del trattamento, ma attiene alle operazioni di calcolo del codice fiscale sulla base delle informazioni in tal modo acquisite e al successivo raffronto che, per le ragioni sopra richiamate, contrariamente a quanto sostenuto negli scritti difensivi, non sono in grado di assicurare l’assenza di errori o inesattezze, in mancanza di ulteriori verifiche.

Essendo il trattamento ancora in corso, e non essendosi ancora neppure concluse le valutazioni da parte dell’INPS circa l’individuazione dei soggetti chiamati a restituire le somme indebitamente percepite, è assolutamente necessario che l’Istituto effettui le operazioni di raffronto finalizzate ai controlli in questione ricorrendo a dati esatti, cioè ai codici fiscali effettivamente attribuiti dall’Agenzia delle entrate e non a quelli calcolati in via presuntiva in base ai criteri forniti dal d.m. 12 marzo 1974, n. 2227 (sul punto cfr. infra par. 8).

6.4. Sulla violazione dei principi di privacy by design e by default.

Il trattamento in esame non è stato effettuato nel rispetto dei principi di protezione dei dati personali, fin dalla progettazione e per impostazione predefinita, sanciti dall’art. 25 del Regolamento, come sopra già illustrato. Ciò in considerazione della: mancata predeterminazione delle condizioni ostative alla spettanza o meno del bonus in capo a parlamentari e amministratori regionali e locali; del trattamento di dati non necessari per l’effettuazione dei controlli di secondo livello; della  mancata considerazione dei rischi che il trattamento presenta per i diritti e le libertà degli interessati, tra cui anche quello derivante da possibili inesattezza delle modalità di calcolo del codice fiscale degli interessati.

Tale valutazione avrebbe, invece, dovuto svolgersi a prescindere dalle categorie di interessati e tipologie di dati personali trattati, non rilevando la loro natura non particolarmente riservata o “sensibile” rappresentata dall’INPS, considerando che l’art. 25 del Regolamento si applica a tutte le categorie di dati personali, come definiti dall’art. 4, n. 1, del Regolamento medesimo.

Nel caso di specie, oltre ai rischi connessi alle iniziali incertezze circa la spettanza del bonus, e quindi sull’impatto che avrebbe avuto sugli stessi interessati in caso di richiesta di restituzione dell’indebito da parte dell’INPS, si sono in aggiunte le ricadute derivanti dal clamore mediatico suscitato sulla vicenda, proprio in ragione del rilievo pubblico delle funzioni svolte dagli interessati coinvolti (parlamentari e amministratori regionali e locali).

Invero, ancorché, come dichiarato dall’Istituto, “per le misure adottate ed il trattamento eseguito, a distanza di mesi e malgrado la pressione mediatica ed i reiterati interventi invasivi anche con istanze di accesso, hanno dimostrato la impenetrabilità dei dati, risultando a tutt’oggi non emersi i nominativi dei soggetti evidenziati a seguito degli accertamenti effettuati”, è indiscutibile che la vicenda stessa, anche a causa dell’indeterminatezza dei soggetti che hanno effettivamente ottenuto il bonus, abbia avuto un impatto negativo, in termini di immagine pubblica e riprovazione sociale, sull’intera categoria composta da deputati e amministratori regionali e locali. Ciò vale sia per coloro che non hanno richiesto l’erogazione del bonus Covid (la stragrande maggioranza), sia per quelli che lo hanno richiesto e ottenuto, in prima battuta, senza che potessero essere in grado di capire, al momento della domanda, se fossero effettivamente legittimati a chiederlo (si, pensi, ad es., ai consiglieri di piccoli Comuni, con meno di 10.000 abitanti, che percepiscono gettoni di presenza di valore inferiore a venti euro), tanto è vero che anche l’ente erogatore (INPS), a distanza di mesi dall’avvio del trattamento, ha dovuto effettuare approfondimenti tali da coinvolgere anche il Ministero vigilante per verificare se sussistano i presupposti per l’erogazione del bonus alle predette categorie.

Tutto ciò, fermo restando che, come sopra evidenziato, trattamenti quali quelli in esame devono essere progettati prevedendo l’utilizzo di dati esatti, da raccogliere, se del caso, presso le amministrazioni in grado di fornire i dati corretti (in questo caso l’Agenzia delle entrate), nel rispetto del principio di minimizzazione, attuando in modo efficace i principi di protezione dei dati e integrando nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati (art. 25, par 1, del Regolamento).

6.5. Sulla violazione concernente la valutazione d’impatto sulla protezione dei dati e il mancato coinvolgimento del responsabile per la protezione dei dati personali nelle relative operazioni.

Come sopra già rilevato, l’INPS non ha adeguatamente ponderato la sussistenza di un rischio elevato, tale da richiedere lo svolgimento di una preliminare valutazione d’impatto sulla protezione dei dati, ai sensi dell’art. 35 del Regolamento.

Al riguardo, in base ai criteri forniti dalle Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, WP248 rev.01 (adottate dal Gruppo di lavoro articolo 29 per la protezione dei dati il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018), si ritiene, in particolare, che ricorrano i seguenti presupposti idonei a individuare un rischio elevato del trattamento in questione :

- benché, come dichiarato dall’Istituto, tra i circa 40.000 soggetti, poi risultati privi dei requisiti necessari per la fruizione del bonus Covid, solo “una frazione minimale rispetto a tutti i controlli effettuati” sarebbe riconducibile a coloro che sono stati successivamente individuati quali parlamentari o amministratori regionali o locali (che peraltro risulterebbero essere circa 2000 amministratori), il raffronto ha coinvolto, da una parte, “tutti i richiedenti” il bonus Covid – nell’ordine di alcuni milioni di persone, avendo l’Istituto dichiarato che i controlli in generale avevano riguardato circa 5 milioni di persone (cfr. nota del XX, p. 3) – e, dall’altra, tutti coloro che risultano ricoprire i suddetti incarichi – nell’ordine di diverse decine di migliaia di soggetti che rappresentano, in ogni caso, l’intera classe politica nazionale e locale – venendo così soddisfatto il criterio del “trattamento di dati su larga scala”;

- è inoltre soddisfatto anche il criterio della “creazione di corrispondenze o combinazione di insiemi di dati”, in quanto l’operazione di raffronto in questione ha interessato banche dati appartenenti a titolari diversi, rese disponibili per finalità di conoscenza e partecipazione più generali e, ancorché in astratto compatibili, diverse da quelle perseguite nel caso di specie dall’Istituto. In particolare, si evidenzia che la “creazione di corrispondenze o combinazione di insiemi di dati” presenta specifici rischi per i diritti e le libertà degli interessati soprattutto se, come nel caso in esame, in presenza di banche dati non adeguatamente raffrontabili, vengono utilizzate informazioni non esatte, calcolando, in modo automatico e presuntivo, il codice fiscale degli interessati;

- è altresì fuor di dubbio che “il trattamento in sé "impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”, in quanto il controllo effettuato dall’INPS mirava proprio a verificare la spettanza del diritto a percepire un indennizzo economico.

Per tutte queste ragioni, si rivela irricevibile la considerazione secondo cui, nel caso di parlamentari e amministratori regionali e locali, “si dovrebbe privilegiare la trasparenza e pubblicità rispetto alla tutela della riservatezza”, atteso che tutti i trattamenti dei dati personali devono avvenire nel rispetto del Regolamento. Tutt’al più, la valorizzazione del principio della trasparenza sarebbe potuto rilevare nell’ambito di una valutazione dei rischi, per ponderare adeguatamente la gravità degli stessi e individuare le misure necessarie, rispetto alla correttezza del trattamento e all’esattezza dei dati trattati, la cui violazione potrebbe, di contro, portare a un pregiudizio ancor più grave alla reputazione di soggetti che rivestono cariche politiche. 

Non aver valutato accuratamente i rischi ha comportato: il trattamento di dati, relativi a tutti i richiedenti il bonus Covid e a tutti i soggetti presenti nelle banche dati esterne da cui sono state acquisite le informazioni relative agli incarichi politici, non necessari alle dichiarate finalità di controllo (par. 6.2); il ricorso a dati non corretti o incompleti per tale operazione di raffronto, idonei a compromettere la qualità dei controlli stessi (par. 6.3); l’accidentale divulgazione di informazioni, prima ancora che fosse determinata con certezza la spettanza (o meno) del bonus a tali categorie di soggetti.

A tale profilo si aggiunge inoltre il mancato coinvolgimento del Responsabile della protezione dei dati in merito alle operazioni di trattamento in corso di svolgimento. Questo aspetto appare meritevole di considerazione anche in quanto indice della violazione del principio di responsabilizzazione, nonché ulteriore indizio della colpa cosciente del titolare.

Anche in considerazione delle caratteristiche che accomunano i trattamenti posti in essere dall’Istituto in fase di controllo sui benefici erogati, si ritiene che la valutazione di impatto sul trattamento in esame potrebbe essere effettuata anche nell’ambito di una complessiva valutazione di impatto riferibile a tutti i trattamenti svolti dall’INPS per tale finalità, individuando così adeguate misure per mitigare i rischi per i diritti e le liberà degli interessati in tale contesto (cfr. infra par. 8).

6.6. Sulla violazione del principio di responsabilizzazione.

Nel caso di specie, l’INPS ha dato spiegazioni sul trattamento effettuato mediante dichiarazioni contenute nei due riscontri forniti (in data, rispettivamente, 31 agosto e 24 settembre 2020) e negli scritti difensivi (del 13 novembre 2020), con una rappresentazione non lineare degli elementi della vicenda.

Prova di ciò si ha facendo un confronto delle dichiarazioni rilasciate con riferimento, solo per fare alcuni esempi, alla questione dell’individuazione dei casi di spettanza del bonus o al tema del raffronto operato sui dati personali dei senatori.

A ciò si aggiunga che quanto dichiarato nelle predette note non è stato supportato da un’adeguata documentazione atta a comprovare quali livelli decisionali sono stati coinvolti, le valutazioni effettuate, le ragioni sottese alle decisioni prese e le misure adottate in relazione al trattamento dei dati personali in esame (si pensi agli aspetti sulla valutazione del rischio o alla valutazione di impatto sulla protezione dei dati).

In quest’ottica, non è nemmeno emerso un adeguato coinvolgimento, da parte del titolare del trattamento, del ruolo del Responsabile della protezione dei dati personali, considerato che invece, sulla base del Regolamento, quest’ultimo avrebbe dovuto essere “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali” (art. 38, par. 1, del Regolamento), al fine di consentirgli lo svolgimento dei compiti di consulenza nei confronti del titolare medesimo, oltre che di sorveglianza sulla conformità dei trattamenti, che gli sono attribuiti dal Regolamento (art. 39, par. 1, spec. lett. a), b) e c), ivi).

Nel contesto complessivamente considerato, alla luce documentazione istruttoria, si rileva che l’INPS non è stato, pertanto, in grado di comprovare le ragioni delle decisioni assunte nell’ambito del complesso trattamento di dati personali effettuato, al fine di dimostrare all’Autorità il rispetto della normativa in materia di protezione dei dati personali, in violazione del principio di responsabilizzazione (artt. 5, par. 2, e 24, del Regolamento), atteso che quest’ultimo assume una posizione centrale all’interno della disciplina europea di protezione dei dati personali, informando della sua essenza l’intero Regolamento, le cui norme alla luce di esso assumono coerenza, chiarezza ed organicità.

7.  Esito dell’istruttoria.

Alla luce del complesso delle valutazioni sopra richiamate, le dichiarazioni rese dal titolare del trattamento negli scritti difensivi, seppure meritevoli di considerazione ai fini della valutazione della condotta, non consentono di superare i principali rilievi notificati dall’Ufficio con l’atto di avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del reg del Garante n. 1/2019.

In tale quadro, confermando i rilievi notificati dall’Ufficio con la nota prot. n. XX del XX, si rileva che il trattamento di dati personali effettuato dall’INPS non è risultato conforme alla disciplina rilevante in materia di protezione dei dati personali. Ciò considerando che il citato Istituto – nell’acquisire dati personali riferiti a parlamentari e amministratori regionali e locali da banche dati esterne della Camera e del Ministero dell’interno, per poi successivamente elaborarli e raffrontarli con quelli dei soggetti richiedenti il bonus Covid in proprio possesso, al fine di evitare un’indebita percezione delle indennità, senza però aver predeterminato con certezza per tutti i predetti soggetti se il rivestire una carica politica rappresentasse una condizione ostativa al riconoscimento dell’indennizzo, nei termini precedentemente descritti – ha violato:

1) il principio di liceità, correttezza e trasparenza del trattamento di cui all’art. 5, par. 1, lett. a), del Regolamento (cfr. par. 6.1);

2) il principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento (cfr. par. 6.2);

3) il principio di esattezza di cui all’art. 5, par. 1, lett. d), del Regolamento (cfr. par. 6.3);

4) la protezione dei dati personali fin dalla progettazione e per impostazione predefinita, di cui all’art. 25 del Regolamento (cfr. parr. 6.1 e 6.4);

5) l’obbligo di effettuare la valutazione d’impatto sulla protezione dei dati di cui all’art. 35 del Regolamento (cfr. par. 6.5);

6) il principio di responsabilizzazione di cui agli artt. 5, par. 2 e 24, del Regolamento (cfr. par. 6.6).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, parr. 4 e 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

8. Adozione di misure correttive (art. 58, par. 2, lett. d), del Regolamento).

Il Garante, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ha il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine”.

In considerazione delle violazioni sopra rilevate, si ritiene pertanto di dover ingiungere all’INPS, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di:

a) cancellare tutti i dati personali fino ad ora trattati in violazione del principio di minimizzazione in base alle considerazioni di cui al par. 6.2);

b) effettuare la valutazione di impatto sulla protezione dei dati di cui all’art. 35 del Regolamento con riferimento ai trattamenti in esame, prima di riavviare qualsiasi operazione di trattamento, anche nell’ambito di una complessiva valutazione di impatto riferibile a tutti i trattamenti svolti dall’Istituto per tale finalità (cfr. par. 6.5).

9. Conseguenze delle valutazioni del Garante sul regime di accessibilità e pubblicità dei dati dei parlamentari e amministratori regionali e locali trattati.

L’INPS è stato destinatario di diverse istanze di pubblicazione e di accesso – documentale e civico generalizzato (art. 22 ss. l. 7 agosto 1990, n. 241, e art. 5, comma 2, del d.lgs. 14 marzo 2013, n. 33) – presentate anche da organi di stampa, enti pubblici e associazioni, tese all’ostensione dei documenti e degli elenchi dei dati dei soggetti richiedenti o beneficiari del bonus Covid che rivestono la carica di parlamentare nonché di amministratore regionale o locale.

Dalle comunicazioni ricevute, risulta che l’INPS ha sospeso ogni ulteriore attività di trattamento di tali dati, differendo l’istruttoria sulle predette richieste e ogni connessa valutazione, all’esito delle determinazioni che sarebbero state assunte da questa Autorità.

Alla luce delle risultanze istruttorie sopra descritte, si ritiene utile fornire le seguenti indicazioni, distinguendo preliminarmente la posizione dei soggetti titolari di cariche pubbliche che hanno fatto richiesta del bonus Covid, ma non sono risultati beneficiari dell’indennità, da quelli che invece hanno ottenuto il bonus.

Quanto alla prima categoria, infatti, è stato rilevato che il trattamento dei dati personali, effettuato dall’INPS, riferiti a parlamentari e amministratori regionali o locali richiedenti il bonus Covid ma non beneficiari è stato effettuato in violazione del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento (cfr. supra par. 6.2). Di conseguenza, i predetti dati – essendo stati trattati in violazione della disciplina rilevante in materia di trattamento dei dati – “non possono essere utilizzati” (art. 2-decies del Codice). Inoltre, come conseguenza della rilevata illiceità è stato ingiunto all’INPS di cancellare i dati personali trattati in violazione del principio di minimizzazione (cfr. supra par. 8). Pertanto, nessuna richiesta di pubblicazione o accesso è possibile per i dati personali riferiti a tali categorie di soggetti.

Quanto alla seconda categoria, si ribadisce quanto già osservato sull’argomento nella nota inviata all’INPS prot. n. XX del XX (cfr. comunicato stampa del 17 agosto 2020, doc. web n. 9448663). In particolare, si rinvia alle osservazioni relative al regime di pubblicità e all’applicabilità, al caso in esame, dell’eccezione prevista dall’art. 26, comma 4, del d.lgs. n. 33/2013, considerando che l’Istituto, all’atto dell’erogazione del contributo, ha classificato il beneficio del bonus Covid, alla luce del d.l. n. 18/2020, fra gli ammortizzatori sociali. A ciò si aggiunge che la normativa statale di settore in materia di trasparenza non prevede alcun obbligo di pubblicazione di dati personali di coloro che sono tenuti a restituire un’indennità, laddove percepita indebitamente.

Per quanto riguarda, invece, le richieste di accesso civico generalizzato ricevute dall’Inps riguardo ai dati dei titolari di incarichi politici beneficiari del bonus Covid, anche eventualmente oggetto di restituzione – ricordando che il Garante non può esprimersi in questa sede, ma solo nel corso del procedimento nei casi previsti dall’art. 5, comma 7, del d.lgs. n. 33/2013 –, si ribadisce ancora una volta che spetta all’Inps verificare, caso per caso – previo il coinvolgimento dei soggetti controinteressati ai sensi dell’art. 5, comma 4, del d.lgs. n. 33/2013 –, la possibilità di rendere ostensibili, tramite l’accesso civico, i dati personali richiesti alla luce della normativa di settore e delle Linee guida dell’ANAC in materia di accesso civico (del. n. 1309 del 28 dicembre 2016, in www.anticorruzione.it), in conformità con i precedenti del Garante in materia di accesso civico.

A tal fine, si richiama l’attenzione dell’Inps su quanto indicato nelle citate Linee guida dell’ANAC, laddove si chiarisce che, per valutare l’esistenza di un reale pregiudizio concreto alla tutela dei dati personali dei controinteressati, in base al quale decidere se rifiutare o meno l’accesso civico, bisogna far riferimento a diversi parametri, fra i quali anche “il ruolo ricoperto nella vita pubblica, la funzione pubblica esercitata o l’attività di pubblico interesse svolta dalla persona cui si riferiscono i predetti dati”, nell’ambito della quale bisognerà tener conto anche della diversa posizione ricoperta dai titolari di cariche politiche a livello nazionale e locale. Esemplificando, mediante bilanciamento d’interessi andrebbe riconosciuto un diverso statuto di pubblicità alle informazioni che riguardano politici ed amministratori di livello nazionale (e.g. parlamentari, presidenti di Giunta regionale, sindaci di città capoluogo di provincia etc.) e quelle che riguardano amministratori di livello prettamente locale, i cui redditi dipendono per la maggior parte non tanto dall’attività politico-amministrativa, quanto da attività lavorative ed imprenditoriali svolte in seno alla comunità. Ad ogni ulteriore buon fine si rinvia alle indicazioni contenute nelle Linee guida dell’ANAC in materia di accesso civico (in particolare par. 4.2. e punto n. 5 dell’“Allegato. Guida operativa all’accesso generalizzato”), nonché nella circolare del Ministro per la semplificazione e la pubblica amministrazione n. 2/2017 recante “Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)” (parr. 7 e 8) laddove è riportato che l’amministrazione in tali casi può avviare eventualmente un dialogo cooperativo con il/i richiedente/i l’accesso “nel tentativo di ridefinire l’oggetto della richiesta entro limiti compatibili con i principi di buon andamento e di proporzionalità”.

10. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del complesso procedimento l’INPS risulta aver violato gli artt. 5, parr. 1, lett. a), c), d), e 2; 25; 35 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione delle sanzioni amministrative di cui all’art. 83, parr. 4 e 5, del Regolamento.

Al riguardo, l’art. 83, par. 3, del Regolamento, prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”.

Nel caso di specie, pertanto, la violazione delle disposizioni citate è soggetta alla sanzione amministrativa pecuniaria più grave prevista dall’art. 83, par. 5, del Regolamento, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del reg. del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In tal senso, va considerato che la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha riguardato i trattamenti connessi all’effettuazione di controlli sull’erogazione di indennità per lavoratori, che rappresenta una delle attività principali a cui è chiamato un soggetto pubblico come l’INPS nell’esecuzione dei compiti di interesse pubblico che l’ordinamento gli affida, interessando le grandi banche dati pubbliche di cui è titolare. Le misure tecniche e organizzative adottate dal titolare del trattamento non sono risultate adeguate ai sensi dell’art. 25 del Regolamento. Le violazioni rilevate – che appaiono in ogni caso di natura colposa, ma determinate in ogni caso da una cosciente mancata valutazione del rischio, in ragione dell’alta probabilità del realizzarsi dello stesso per i diritti e le libertà fondamentali degli interessati coinvolti – hanno riguardato trattamenti di dati personali non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD) e tuttavia riferibili a soggetti qualificabili come vulnerabili in quanto richiedenti un beneficio economico pubblico, posto che lo stesso Istituto, all’atto dell’erogazione del contributo, ha classificato il beneficio del bonus Covid fra gli ammortizzatori sociali ai sensi del d.l. n. 18/2020. Il titolare del trattamento, per attenuare gli effetti della condotta, ha affermato di aver sospeso i trattamenti in questione. L’INPS ha manifestato un sufficiente grado di cooperazione con l’Autorità sebbene talvolta con riscontri non coerenti. Merita tuttavia considerazione il fatto che alcune precedenti violazioni della disciplina in materia di protezione dei dati personali da parte del citato Istituto, accertate dal Garante, non risultano pertinenti rispetto alle violazioni oggetto del caso in esame.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del Regolamento, nella misura di euro 300.000,00 (trecentomila) per la violazione degli artt. 5, par. 1, lett. a), c), d), e 2; 25; 35 del Regolamento. quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo Regolamento.

Tenuto conto del contesto del caso in esame, anche in considerazione del risalto mediatico assunto, e del fatto che le violazioni accertate hanno riguardato comunque lo svolgimento di attività ordinarie nell’esecuzione dei compiti di interesse pubblico attribuiti all’INPS, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del reg. del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del reg. del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità dei trattamenti di dati personali, nei termini di cui in motivazione, effettuati dall’INPS, con sede legale in via Ciro il Grande 21, 00144 Roma, C.F. 80078750587:

1) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge all’INPS di:

1.a) cancellare tutti i dati personali fino ad ora trattati in violazione del principio di minimizzazione;

1.b) effettuare la valutazione di impatto sulla protezione dei dati di cui all’art. 35 del Regolamento con riferimento ai trattamenti in esame, prima di riavviare qualsiasi operazione di trattamento, anche nell’ambito di una complessiva valutazione di impatto riferibile a tutti i trattamenti svolti dall’Istituto per tale finalità.

2) ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, infligge all’INPS la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a), del succitato Regolamento ordinando e contestualmente ingiungendo al predetto trasgressore, di pagare la somma di euro 300.000,00 (trecentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs 1° settembre 2011, n. 150);

3) ai sensi dell’art. 157 del Codice, richiede all’INPS di comunicare a questa Autorità, quali iniziative siano state intraprese o si intendano intraprendere al fine di dare attuazione a quanto disposto ai precedenti punti 1.a) e 1.b) del presente provvedimento entro trenta giorni dalla notifica dello stesso;

4) ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del reg. del Garante n. 1/2019 dispone la pubblicazione del presente provvedimento sul sito web del Garante;

5) ai sensi dell’art. 17 del reg. del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate, ai sensi dell’art. 58, par. 2, del Regolamento, con il presente provvedimento.

Si ricorda, che l’inosservanza di quanto ordinato ai precedenti punti nn. 1.a) e 1.b) è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del Regolamento. Si evidenzia, altresì, che il mancato riscontro alla richiesta, formulata ai sensi dell’art. 157, di cui al precedente punto n. 3, è punito con la sanzione amministrativa di cui all’art. 166, comma 2, del Codice.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 febbraio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

09.03.2021 Garante Privacy
Garante Privacy


E-privacy XXIX: Lasciateci la faccia - Spataro: password vs riconoscimenti biometrici
La gestione delle password e l'accesso alle risorse digitali
Doxing
La minimizzazione degli scritti difensivi nel rispetto del GDPR
Quale protezione per gli hard disk persi ?
EDPB: gli Stati rimettano in discussione i trattati internazionali non conformi al GDPR
Intelligenza artificiale: relazione finale, assicurare o affiancare ?
Il Garante boccia Sari in assenza di leggi specifiche e per trattamenti potenziali
Floc: il nuovo tracciamento di Google, abilitato by default. Usiamo bloc floc.
Fastweb e telemarketing aggressivo: 4.500.000



Segui le novità in materia di Privacy su Civile.it via Telegram
oppure via email: (gratis Info privacy)


Dossier:



dallo store:
visita lo store






Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.05