Absence de définition des critères pour le traitement des données de certaines catégories de demandeurs de « bonus Covid », utilisation d’informations non nécessaires aux fins du contrôle, utilisation de données incorrectes ou incomplètes, mauvaise évaluation des risques pour la vie privée.
Pour ces raisons, l’Autorité de la protection des données personnelles a ordonné à l’INPS le paiement d’une sanction de 300000 euros en relation aux violations commises dans le cadre des vérifications antifraude effectuées par l’Institut au sujet du « bonus Covid » pour les matchs iva.
L’instruction de l’Autorité avait été entamée dans le mois d’août, suite à des nouvelles de presse, en ce qui concerne le traitement, de la part de l’Institut, des données des demandeurs qui recouvrent des charges politiques (dans le particulière, charges de parlementaire ou d’administrateur régional ou local).
Au cours des vérifications, l’Autorité, tout en reconnaissant que le contrôle du respect des exigences légales relatives à l’octroi de la prime relève d’une mission d’intérêt public important, a relevé de nombreux manquements dans les modalités utilisées par l’Institut pour y procéder.
L’instruction de l’Autorité a révélé que l’INPS n’a pas conçu le traitement de manière adéquate et n’a pas été en mesure de prouver qu’elle a effectué les contrôles conformément au Règlement, en violation des principes de confidentialité by design, de confidentialité by default et de accountability.
Premièrement, après avoir obtenu de sources ouvertes les données de dizaines de milliers de personnes occupant des postes à caractère politique, l’Institut a procédé à des calculs et des croisements entre les données de tous ceux qui avaient demandé le bonus et celles des titulaires de ces postes. Cela n’a toutefois pas déterminé au préalable si les parlementaires et les administrateurs régionaux ou locaux avaient droit ou non à un tel bénéfice, compte tenu des différentes caractéristiques des fonctions exercées. De cette manière, l’INPS a violé les principes de licéité, d’équité et de transparence établis par le règlement de l’UE sur la protection des données personnelles.
L’INPS n’a pas non plus respecté le principe de minimisation des données, ayant commencé les contrôles pour récupérer les bonus même sur tous les sujets qui, bien que l’ayant demandé, ne l’avaient pas perçu, vu que leur demande avait déjà été rejetée pour des raisons indépendantes de leur fonction.
En outre, il est apparu que l’INPS n’avait pas correctement évalué les risques liés à un traitement de données aussi sensible que celui concernant les demandeurs d’un avantage économique classé comme amortisseur social, en ne réalisant pas d’évaluation d’impact sur les droits et libertés des personnes concernées.
Pour ces raisons, l’Autorité a déclaré illégal le traitement des données à caractère personnel effectué par l’INPS et a appliqué la sanction. L’Autorité a également prescrit à l’Institut d’effacer les données inutiles traitées jusqu’à présent et de procéder à une évaluation adéquate de l’impact sur la vie privée.
SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELL’ITALIA – GPDP