Sanzione di 300.000,00 Euro nei confronti dell'INPS - Testo integrale del Provvedimento - Parte 1

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Sanzione di 300.000,00 Euro nei confronti dell'INPS - Testo integrale del Provvedimento - Parte 1

Messaggio da Giancarlo Favero »

[doc. web n. 9556958]

Provvedimento del 25 febbraio 2021

Registro dei provvedimenti
n. 87 del 25 febbraio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito, “Codice”);

VISTO il regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.garanteprivacy.it, doc. web n. 9107633 (di seguito “reg. del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del reg. del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n. 1098801);

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Da alcuni articoli di stampa apparsi sui quotidiani nazionali nel agosto 2020, è emerso che “Cinque deputati […] in piena emergenza Covid a cavallo del lockdown […] hanno chiesto all’Inps il bonus da 600 euro mensili, poi elevato a mille, previsto dai Decreti Cura Italia e Rilancio per sostenere il reddito di autonomi e partite Iva […] [incassandolo] pure”, e che “ad accorgersene sarebbe stata la Direzione Centrale Antifrode Anticorruzione e Trasparenza dell’Inps” (cfr. La Repubblica del 9 agosto 2020). Inoltre, nell’elenco dei richiedenti o beneficiari del citato bonus sarebbero stati presenti “anche duemila amministratori locali tra assessori e consiglieri regionali, sindaci e consiglieri locali, persino qualche governatore” (cfr. La Repubblica del 10 agosto 2020).

L’Ufficio ha avviato un’istruttoria, nei confronti dell’Istituto Nazionale Previdenza Sociale (INPS), in ordine alle attività e modalità di trattamento dei dati personali delle predette cariche politiche, richiedenti le indennità previste, per il mese di marzo 2020, dagli artt. 27, 28, 29, 30, 31 e 38 del d.l. 17 marzo 2020, n. 18 (convertito, con modificazioni dalla l. 24 aprile 2020, n. 27), poi riconosciute, anche per il mese di aprile 2020, dall’art. 84 del d.l. 19 maggio 2020, n. 34 (convertito, con modificazioni dalla l. 17 luglio 2020, n. 77), c.d. “bonus Covid”.

Alle richieste d’informazioni dell’Ufficio (note prot. n. XX del XX e prot. n. XX del XX) e alla nota con cui, ex art. 166, comma 5, del Codice, sono state notificate le violazioni della disciplina in materia di protezione dei dati personali (nota prot. n. XX del XX), il citato Istituto ha fornito riscontro con diverse note e memorie difensive (prot. n. XX del XX, prot. n. XX del XX, prot. n. XX del XX e prot. n. XX del XX).

Ai fini dell’istruttoria, si è tenuto inoltre conto anche degli elementi forniti dall’INPS nell’ambito dell’audizione informale, sulle “modalità di richiesta e liquidazione del bonus in favore dei lavoratori autonomi, sulle categorie di destinatari di tale bonus nonché sulle attività di monitoraggio, vigilanza e controllo da parte dell’Istituto”, svoltasi il 14 agosto 2020, presso l’Ufficio di Presidenza della XI Commissione (Lavoro pubblico e privato) della Camera dei deputati (reperibile al https://webtv.camera.it/evento/16652), nonché del parere reso all’INPS dal il Ministero del lavoro e delle politiche sociali (nota del XX prot. n. XX).

2. Il quadro normativo stabilito dal d.l. n. 18/2020.

Il citato decreto legge prevede che le indennità in questione, non concorrono alla formazione del reddito, e sono erogate dall’INPS, previa domanda, a:

- “liberi professionisti titolari di partita iva attiva alla data del 23 febbraio 2020 e ai lavoratori titolari di rapporti di collaborazione coordinata e continuativa attivi alla medesima data, iscritti alla Gestione separata di cui all’articolo 2, comma 26, della legge 8 agosto 1995, n. 335, non titolari di pensione e non iscritti ad altre forme previdenziali obbligatorie” (art. 27);

- “lavoratori autonomi iscritti alle gestioni speciali dell’Ago, non titolari di pensione e non iscritti ad altre forme previdenziali obbligatorie, ad esclusione della Gestione separata di cui all’articolo 2, comma 26, della legge 8 agosto 1995, n. 335” (art. 28);

- “lavoratori dipendenti stagionali del settore del turismo e degli stabilimenti termali che hanno cessato involontariamente il rapporto di lavoro nel periodo compreso tra il 1° gennaio 2019 e la data di entrata in vigore della presente disposizione, non titolari di pensione e non titolari di rapporto di lavoro dipendente alla data di entrata in vigore della presente disposizione” (art. 29);

- “operai agricoli a tempo determinato, non titolari di pensione, che nel 2019 abbiano effettuato almeno 50 giornate effettive di attività di lavoro agricolo” (art. 30);

- “lavoratori iscritti al Fondo pensioni Lavoratori dello spettacolo, con almeno 30 contributi giornalieri versati nell’anno 2019 al medesimo Fondo, cui deriva un reddito non superiore a 50.000 euro, e non titolari di pensione” (art. 38).

Le predette indennità “non sono tra esse cumulabili e non sono altresì riconosciute ai percettori di reddito di cittadinanza ai sensi del decreto legge 28 gennaio 2019, n. 4, convertito, con modificazioni, dalla legge 28 marzo 2019, n. 26”, mentre sono cumulabili con l’assegno ordinario di invalidità di cui alla legge 12 giugno 1984, n. 222 (art. 31).

3. Il trattamento effettuato.

In base a quanto rappresentato dall’INPS, i citati artt. 27, 28, 29, 30, 31 e 38 del d.l. n. 18/2020 “stabiliscono che il diritto all’indennità per chi svolge o ha svolto determinate attività lavorative sia sempre subordinato alla mancata titolarità di una pensione, all’assenza (per i soggetti di cui agli artt. 27 e 28) di iscrizione ad altra forma previdenziale obbligatoria, ovvero, nei casi in cui il diritto nascesse in virtù di un rapporto di lavoro dipendente svolto nell’anno 2019, all’insussistenza di un rapporto di lavoro dipendente alla data di entrata in vigore del decreto (17 marzo 2020)” (nota del XX, pp. 1-3).

Nel corso dell’attività istruttoria, è emerso che l’INPS ha erogato il bonus Covid a tutti i richiedenti ritenuti in possesso dei requisiti stabiliti dalle disposizioni di cui al citato d.l. n. 18/2020, all’esito di cc.dd. “controlli di primo livello”, effettuati mediante procedure informatiche fondate sul riscontro automatizzato delle informazioni dichiarate dal richiedente nella domanda presentata, con le informazioni presenti nelle banche dati detenute dall’Istituto.

Successivamente, l’INPS ha effettuato ulteriori verifiche sulle istanze presentate e liquidate, procedendo con cc.dd. “controlli di secondo livello”, effettuati dalla propria “Direzione centrale antifrode, anticorruzione e trasparenza”, rivolti a situazioni non rilevate (o ritenute non rilevabili) dalle ordinarie procedure di gestione e di emissione dei pagamenti. Ciò anche per l’esigenza di non ritardare la liquidazione dei bonus, nel contesto di crisi economica determinata dal blocco delle attività produttive per ragioni di contrasto all’emergenza sanitaria.

L’INPS, in particolare, ha dichiarato che “nell’ambito dei controlli effettuati su tutti i soggetti richiedenti, si sono rese necessarie verifiche non realizzabili sulla base dei dati presenti nei soli archivi dell’Istituto per quanto riguarda la posizione dei parlamentari e dei titolari di cariche presso le amministrazioni locali e regionali che percepiscono indennità di mandato, in considerazione della sua natura di reddito assimilato al lavoro dipendente, nonché in ragione della loro peculiare posizione previdenziale”. La peculiarità delle posizioni dei parlamentari e degli amministratori regionali e locali ha richiesto specifici approfondimenti per verificare la spettanza del diritto, in considerazione delle peculiari situazioni previdenziali di tali categorie di soggetti e, con specifico riferimento agli amministratori locali, “sia in ordine alla natura dell’iscrizione di tali soggetti ad altre forme di previdenza obbligatoria sia in ordine all’equiparazione della tutela assicurata dalle indennità percepite da tali soggetti rispetto a quella garantita da un reddito di lavoro dipendente”. Al riguardo, l’Istituto, inoltre, ha affermato che “in relazione alla tale prima disamina e alle perplessità insorte in ordine alla spettanza del bonus, si è reso necessario comprendere se il problema fosse concreto, verificando se tra i soggetti percettori vi fossero anche parlamentari o titolari di cariche presso le amminstrazioni locali e regionali” (nota del XX, p. 4).

I predetti controlli di secondo livello, nel caso di specie, sono stati realizzati con l’acquisizione dei dati anagrafici di deputati e amministratori regionali e locali dai dati aperti (open data) resi disponibili a chiunque, tramite le apposite pagine web messe a disposizione dalla Camera dei deputati (http://dati.camera.it/sparql) e dal Dipartimento per gli affari interni e territoriali del Ministero dell’interno (https://dait.interno.gov.it/elezioni/op ... -in-carica). Da queste informazioni, in relazione a ciascun soggetto, è stato calcolato, in maniera automatizzata, in base alle regole stabilite dal decreto del Ministero delle finanze del 12 marzo 1974, n. 2227, il presunto codice fiscale che, successivamente, è stato posto in raffronto con il codice fiscale effettivo indicato nelle domande presentate dai richiedenti il bonus Covid. All’esito di tale raffronto, l’Istituto ha ritenuto di poter verificare se, tra i richiedenti, vi fossero anche deputati o soggetti titolari dell’incarico di amministratore regionale o locale (rilevando così la presenza di 5 deputati e circa 2000 amministratori, come rappresentato nella sopramenzionata audizione parlamentare).

Con riferimento alla divulgazione degli esiti di tali controlli alla stampa, l’INPS ha dichiarato che, “nessuna attività di comunicazione a terzi è stata effettuata dall’Istituto in ordine all’attività ispettiva in essere” (nota del XX, pag. 7); circostanza che è stata più volte ribadita dall’Istituto, anche nella citata audizione parlamentare, in cui il Presidente ha inoltre precisato di aver informato, già a fine maggio, il Consiglio di amministrazione dell’Istituto dell’esito dei primi controlli effettuati.

I controlli sui senatori sarebbero stati invece avviati successivamente alla diffusione delle notizie di stampa circa le richieste di bonus da parte di parlamentari e amministratori locali e alla prima richiesta istruttoria del Garante di cui alla nota prot. n. XX del 1XX (cfr. note dell’INPS del XX, p. 3, e scritti difensivi del XX, p. 4).

In relazione alle determinazioni conseguenti all’esito dei controlli in questione, l’INPS ha affermato che “qualora l’Istituto dovesse concludere la propria attività accertando l’assenza dei requisiti necessari per percepire il bonus, provvederà a darne comunicazione agli interessati, contestando, come prescritto in questi casi, l’indebito e procedendo al recupero delle somme corrisposte. In ogni caso, in considerazione del procedimento in corso sull’attività fin qui compiuta, l’Istituto, nel rispetto dei principi di precauzione e prevenzione, ha ritenuto opportuno sospendere ogni attività di trattamento dei dati e differire ogni valutazione in ordine alle richieste di ostensione e diffusione dei dati all’esito delle determinazioni di codesta Autorità” (nota del XX, pag. 8).

Infine, con la nota del XX prot. n. XX, il Ministero del lavoro e delle politiche sociali ha fornito all’INPS un parere –su specifica richiesta dell’Istituto con la nota del XX prot. n. XX – in ordine alla spettanza del bonus in capo a tali soggetti, affermando, in sintesi, che, pur non trascurando la complessità delle questioni giuridiche coinvolte, stante la ratio sottesa alle indennità in questione, l’erogazione del bonus dovrebbe essere ritenuta incompatibile con le “indennità percepite da parlamentari, consiglieri regionali e soggetti con mandati elettorali o incarichi politici” (parere del Ministero trasmesso al Garante dall’INPS con nota del XX prot. n. XX).

4. Le criticità emerse.

Alla luce del quadro descritto, sotto il profilo del trattamento dei dati personali, sono emerse le seguenti criticità, ascrivibili alla mancanza di un’adeguata progettazione del trattamento tradottasi nell’omissione di idonee misure volte ad attuare, in modo efficace, il Regolamento e di garantire che, per impostazione predefinita, fossero trattati i soli dati necessari per ogni specifica finalità del trattamento, eliminando così i molteplici profili di rischio probabile per i diritti e le libertà fondamentali degli interessati, con riferimento alla protezione dei dati personali dei suddetti.

4.1. La pianificazione dei controlli.

In base a quanto risulta dalle dichiarazioni dell’INPS (contenute nelle note di riscontro del 31 agosto 2020 e 24 settembre 2020, nonché nell’audizione del Presidente alla Camera dei deputati) il trattamento di dati personali in questione è stato effettuato in una data anteriore alla fine del maggio 2020 (come emerge chiaramente dalla predetta audizione), ossia molto prima che fosse definitivamente determinato se gli incarichi di parlamentare e di amministratore regionale o locale costituissero una condizione ostativa alla spettanza del bonus Covid previsto dal d.l. n. 18/2020.

Ciò emerge, in particolare, laddove è stato affermato espressamente che, alla luce delle “perplessità insorte in ordine alla spettanza del bonus”, l’Istituto ha ritenuto “necessario comprendere se il problema fosse concreto, verificando se fra i soggetti percettori vi fossero anche parlamentari o titolari di cariche presso le amministrazioni locali e regionali” (nota del XX, p. 4). Inoltre, con successiva nota, è stato aggiunto che – fermo restando che “la Direzione Centrale Antifrode, Anticorruzione e Trasparenza, secondo un’interpretazione letterale della norma alla luce dei parametri costituzionali di riferimento, considerava la prestazione non spettante ai parlamentari ed ai titolari di cariche presso le amministrazioni locali” – “una volta identificata la problematica, si è ritenuto che la complessità delle questioni in gioco richiedeva un approfondimento da parte delle Direzioni amministrative competenti e del vigilante Ministero del Lavoro e delle Politiche Sociali” e che “in questo quadro, data tutta l’attività ispettiva che l’Istituto deve svolgere ordinariamente e, in quel momento di emergenza, anche sulle prestazioni la cui erogazione è stata in via straordinaria affidata dal legislatore all’Istituto – prima di concentrare risorse ed energie su una problematica che poteva non avere risvolto pratico, è stato ritenuto opportuno accertare se ne esistessero o meno i presupposti in concreto”, precisando, altresì, che i dati non in possesso dell’Istituto sono stati acquisiti da fonti esterne costituenti “il campione sufficiente per comprendere, in quel momento, se il problema della spettanza o meno fosse concreto e meritasse un approfondimento” (nota del XX, pp. 2 e 3).

Da quanto dichiarato emerge dunque chiaramente che, al momento dello svolgimento delle operazioni di raccolta dei dati personali dalle fonti esterne e della loro successiva elaborazione, mediante raffronto tra i dati dei richiedenti il bonus con quelli dei titolari degli incarichi politici e amministrativi, nessuna determinazione era stata ancora assunta all’interno dell’Istituto in ordine alla spettanza (o meno) del bonus in capo ai titolari di incarichi politici. Ciò, in particolare, era dovuto alla peculiarità delle diverse situazioni soggettive e alla diversificazione della normativa previdenziale a seconda della carica istituzionale ricoperta (soprattutto per gli amministratori locali), a causa delle quali si sono resi necessari ulteriori approfondimenti successivi, coinvolgendo anche il Ministero del lavoro e delle politiche sociali che ha reso il proprio parere al riguardo solo il 2 dicembre 2020.

Sotto altro profilo, con specifico riferimento alla categoria dei parlamentari, in base a quanto dichiarato in sede istruttoria, a seguito dei chiarimenti richiesti dall’Autorità al riguardo, è emerso che l’Istituto, in una prima fase, ha effettuato il citato controllo di secondo livello, e dunque il trattamento in questione, solo sui dati personali dei deputati (nota), mentre, solo “dopo la diffusione da parte dei quotidiani della notizia in ordine alle attività ispettive che l’Istituto stava svolgendo, considerate le numerose richieste di accesso civico pervenute e da esaminare, […] l’Istituto ha deciso di operare un raffronto anche per il Senato” (note del XX, p. 5 e del XX, p. 3).

Al riguardo, si rileva, pertanto, che l’Istituto, pur ritenendo necessario avviare già a maggio il trattamento in questione, abbia poi rinviato le verifiche sulle posizioni di un’intera categoria di titolari di incarichi politici (i senatori) rispetto alle altre (i deputati e gli amministratori regionali e locali), in assenza di specifiche ragioni legate alla particolarità della posizione rivestita dai senatori rispetto al possesso dei requisiti richiesti.

4.2. Il trattamento dei dati personali dei soggetti richiedenti il bonus non beneficiari.

Dall’istruttoria è emerso che i controlli in argomento hanno avuto a oggetto, non solo i dati personali di coloro che hanno effettivamente percepito il bonus Covid, ma anche dei soggetti richiedenti che, a seguito di presentazione della relativa domanda, sono stati esclusi dal riconoscimento dell’indennità già all’esito dei controlli di primo livello.

Secondo quanto dichiarato, tale circostanza è stata determinata dal fatto che “la banca dati dell’Istituto relativa al bonus […] conteneva un insieme di dati disomogenei, che andavano dalle domande accolte, a quelle non ancora elaborate, a quelle in corso di riesame, ecc.”, e “Posto che le istanze di accesso al bonus pervenute all’Istituto, da chiunque provenienti, compresi parlamentari, amministratori locali o regionali potevano trovarsi in una qualunque delle predette fasi di trattazione (accolte, non ancora elaborate, in corso di esame), l’incrocio dei dati doverosamente doveva essere globale […] senza escludere nulla all’esame dell’attività ispettiva” (nota del XX, p. 1).

Ciononostante, se, in base a quanto dichiarato dall’INPS, lo scopo in concreto perseguito con i suddetti controlli era quello di evitare la possibilità che vi fosse stata un’indebita percezione delle indennità da parte di parlamentari e amministratori locali (nota del XX, p. 4), il trattamento dei dati personali dei richiedenti che erano stati esclusi dall’erogazione del bonus non risulta necessario al fine di promuovere azioni di recupero, essendo evidentemente già emerse, a seguito dei controlli di primo livello, altre condizioni di per sé ostative alla fruizione del beneficio in questione.

4.3. Le modalità del raffronto.

L’INPS, al fine di verificare se tra i beneficiari e richiedenti il bonus vi fossero anche parlamentari o amministratori regionali o locali, ha proceduto alla raccolta di dati personali da banche dati esterne, detenute dalla Camera dei deputati e dal Dipartimento per gli affari interni e territoriali del Ministero dell’interno, rese liberamente fruibili, sotto forma di open data. Tra i dati ivi contenuti, manca tuttavia il codice fiscale degli interessati, informazione che consente di identificare univocamente una persona fisica.

Per questo motivo, per operare il raffronto con le domande dei richiedenti il bonus, l’Istituto dopo aver proceduto all’estrazione dei dati dagli archivi open data in questione, ha successivamente utilizzato i dati anagrafici ivi contenuti (nome, cognome, data e luogo di nascita), per ricavare, in maniera automatizzata, i presunti codici fiscali di ogni interessato, in base ai parametri contenuti nel d.m. 12 marzo 1974, n. 2227. L’Istituto ha di conseguenza operato il raffronto dei codici fiscali così calcolati, con quelli riportati dagli interessati nelle domande presentate per l’erogazione del bonus Covid, pervenendo così all’individuazione dei titolari dell’incarico di parlamentare o di amministratore regionale o locale che avevano presentato la domanda per ottenere il bonus.

Occorre tuttavia rilevare che le descritte modalità di calcolo del codice fiscale non sono in grado di assicurare, con assoluta certezza, la qualità dei dati utilizzati per i controlli; in questo delicato ambito, l’univoca identificazione dell’interessato richiede il più rigoroso rispetto del principio di esattezza dei dati (art. 5, par. 1, lett. d), del Regolamento). Il predetto metodo di calcolo del codice fiscale può comportare errori laddove venga effettuato sulla base di dati incompleti o non precisi (es. soggetti con due o più nomi separati o meno da virgola) così come in presenza di eventuali casi di omocodia (cioè di coincidenza, tra più interessati, di nome, cognome, data e luogo di nascita, che comporta l’assegnazione, a ciascuno di essi, di un particolare codice fiscale, da parte dell’Agenzia delle entrate, diverso da quello ottenuto mediante la procedura di calcolo). In assenza di dati esatti, la qualità del controllo effettuato dall’Istituto potrebbe risultare compromessa; il raffronto effettuato potrebbe infatti, da un lato, condurre all’individuazione di un soggetto sbagliato e, dall’altro, non consentire invece di identificare soggetti non aventi diritto.

4.4. L’assenza di un’adeguata valutazione dei rischi.

Con riferimento alla valutazione dei rischi per i diritti e le liberà degli interessati nell’ambito del trattamento in esame, l’INPS ha dichiarato che “trattandosi di una normale attività di vigilanza che viene svolta istituzionalmente dall’Istituto in relazione a tutte le prestazioni che il legislatore affida alla sua competenza, e considerato che si è trattato del mero incrocio di codici fiscali ai fini dell’individuazione di possibili erogazioni indebite, non si è ravvisato e non si ravvisa alcun rischio elevato per i diritti e le libertà delle persone fisiche, tale da richiedere per i sopra menzionati soggetti l’adozione di misure speciali e diverse rispetto a quelle ordinariamente adottate, che prevedono l’assoluta riservatezza in ordine all’attività ispettiva svolta e ai destinatari della stessa” (nota del XX, p. 4).

Su tale base, l’Istituto non ha, pertanto, condotto una valutazione di impatto sulla protezione dei dati. Al riguardo si rappresenta che non risultano quindi essere stati correttamente valutati i rischi elevati, per i diritti e le libertà degli interessati, derivanti dal trattamento in esame, che comporta un’operazione di raffronto, su larga scala, di dati personali acquisiti anche da banche dati esterne all’Istituto, con i dati relativi ai richiedenti il bonus, al fine di valutare un eventuale recupero delle somme già percepite da parte degli stessi.

4.5. Il principio di responsabilizzazione.

Nel contesto complessivamente considerato, alla luce della documentazione prodotta nell’ambito dell’istruttoria, l’INPS non è stato, in generale, in grado di comprovare, con argomenti logici o prove di fatto, le ragioni delle decisioni assunte nell’ambito del complesso trattamento di dati personali effettuato, al fine di dimostrare all’Autorità il rispetto della normativa in materia di protezione dei dati personali secondo quanto previsto dal «principio di responsabilizzazione» (art. 5, par. 2 del Regolamento).

5. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, ai sensi dell’art. 166, comma 5, del Codice.

In relazione alle verifiche compiute, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio, con nota del XX (prot. n. XX), ha notificato all’INPS l’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori di cui all’articolo 58, par. 2, del Regolamento, avendo accertato l’effettuazione di un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali.

Con la medesima nota, sono state notificate al predetto Istituto le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), invitandolo a far pervenire scritti difensivi o documenti ed eventualmente a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

5.1. Memorie difensive.

Con nota del XX (prot. n XX), l’INPS ha fatto pervenire i propri scritti difensivi, rappresentando, fra l’altro, che:

- “Gli articoli 27, 28, 29, 30 e 38 del citato D.L. 17 marzo 2020, n. 18, hanno previsto un’indennità di 600 euro per il mese di marzo 2020 a favore di particolari categorie di lavoratori (liberi professionisti iscritti alla gestione separata, titolari di un rapporto di collaborazione coordinata e continuativa alla data del 23 febbraio 2020, iscritti alle gestioni speciali dei lavoratori autonomi, nonché lavoratori stagionali, agricoli o dello spettacolo)” (p. 2);

- “Le disposizioni sopra richiamate […] stabiliscono che il diritto all’indennità per chi svolge o ha svolto determinate attività lavorative sia sempre subordinato al non essere titolare di pensione, ovvero a non essere iscritto ad altra forma previdenziale obbligatoria, ovvero, nei casi in cui il diritto nascesse in virtù di un rapporto di lavoro dipendente svolto nell’anno 2019, a non essere titolari di un rapporto di lavoro dipendente alla data di entrata in vigore del decreto (17 marzo 2020)” (pp. 2-3);

- “Nel momento dell’emergenza epidemiologica da Covid-19, il legislatore ha affidato il compito dell’erogazione delle sopra descritte specifiche indennità, da corrispondere nel più breve tempo possibile, all’INPS […]. Al fine di far fronte a questi nuovi compiti, nell’arco di dieci giorni circa, si è reso necessario predisporre apposite procedure informatiche fondate sul riscontro automatizzato con le banche dati degli archivi INPS delle informazioni dichiarate dal richiedente nella domanda presentata per ottenere il bonus (dati anagrafici, codice fiscale/partita iva, iscrizione alla gestione separata, codice iban), salvo le verifiche ed i controlli necessari da effettuarsi anche successivamente (cd. controlli di secondo livello). Pertanto, risultando prioritaria l’esigenza di procedere con immediatezza all’erogazione dei bonus, l’Istituto si è limitato alla verifica solo di quei presupposti, riservando ad una fase successiva i controlli ulteriori sui requisiti dai quali poteva scaturire anche il recupero delle somme percepite illegittimamente” (pp. 3-4);

- “Successivamente, […] per controllare la sussistenza dei presupposti per beneficiare dei sussidi richiesti con le istanze presentate e liquidate […], si sono rese necessarie verifiche, per accertare la presenza o meno di iscrizione ad altre forme previdenziali, non effettuabili avvalendosi dei soli archivi dell’Istituto come per coloro che rivestivano cariche parlamentari o presso le amministrazioni locali e regionali, poiché in ragione della loro funzione percepiscono indennità per le quali risulta prevista o l’iscrizione alla Gestione Separata presso l’INPS oppure costituita una peculiare posizione previdenziale obbligatoria non rinvenibile negli archivi dell’Istituto. Ed i dati necessari per verificare quali fossero i soggetti di cui al precedente punto erano rinvenibili […] sugli open data del Dipartimento per gli Affari Interni e Territoriali del Ministero dell’Interno e sugli open data della Camera dei Deputati” (p. 4);

- “Minimizzando il più possibile l’elaborazione, l’Istituto per poter individuare tra coloro che avevano presentato la domanda della c.d. “indennità COVID” i soggetti che in relazione dell’incarico elettorale potevano avere una posizione contributiva in altra gestione o altra forma previdenziale, preclusivi del diritto alla prestazione, ha operato un incrocio tra il codice fiscale fornito dai richiedenti (era uno dei requisiti richiesti per accedere alla compilazione della domanda di bonus) con il codice fiscale ricavato sulla base dei dati anagrafici personali disponibili nei richiamati open data, secondo le regole del DM 12 marzo 1974. I risultati del confronto non sono stati minimamente pubblicati né pubblicizzati e, stante la sopravvenuta diffusione da parte dei quotidiani della notizia in ordine alle attività ispettive che l’Istituto stava svolgendo, nonché delle numerose richieste di accesso civico pervenute, […] l’Istituto ha proseguito nelle verifiche anche in relazione agli open data del Senato, per poter completare le attività istruttorie in corso e per essere in condizioni, all’occorrenza, di riscontare compiutamente le richieste di accesso pervenute” (p. 4);

- “Alla luce di tali elementi e della corretta ricostruzione operata, appaiono del tutto infondate le contestazioni notificate all’INPS e le violazioni addebitate. […] non è minimamente in contestazione il diritto o la legittimazione dell’Istituto a trattare i dati necessari per le attività di verifica e controllo sulla sussistenza dei requisiti previsti dalla legge per l’erogazione di benefici economici, rispondendo la liceità del trattamento a quei rilevanti compiti di interesse pubblico previsti dalla normativa in materia” (p. 5).

Con riferimento, inoltre, agli specifici rilievi mossi dall’Ufficio, relativi al rispetto della disciplina in materia di protezione dei dati personali, l’INPS ha osservato quanto segue.

1) Sulle violazioni concernenti il principio di liceità, correttezza e trasparenza:

- “già con la circolare INPS n. 205 del 21.11.2001 […], in considerazione di quanto previsto dall’art.26, secondo comma, della Legge n.265/99, erano state individuate modalità e criteri di versamento della contribuzione previdenziale dovute dagli Enti locali alle forme pensionistiche (Gestioni Commercianti, Artigiani e Separata presso l’INPS) alle quali il soggetto che rivestiva la carica di amministratore locale era iscritto o continuava ad essere iscritto alla data dell’incarico. […]. D’altro canto, le citate disposizioni del D. L. n. 18/2020, in base all’espressione letterale della norma, delimitano la spettanza del beneficio ai soggetti che fossero lavoratori o Liberi professionisti, titolari di partita IVA attiva, consentendo quindi di escludere quei soggetti, come nel caso degli amministratori locali, che conservano l’iscrizione alla Gestione autonoma o Speciale solo per effetto del versamento della contribuzione da parte dell’Ente Locale presso il quale riveste l’incarico” (p. 6);

- “Come pure, per i parlamentari e consiglieri regionali, durante l’espletamento del mandato, è prevista l’iscrizione obbligatoria presso le rispettive Casse di previdenza, normate da appositi regolamenti, la cui disciplina nel tempo si è evoluta assimilandole ad una forma previdenziale obbligatoria di carattere pubblicistico” (p. 6);

- “É quindi innegabile che le disposizioni degli artt. 27, 28, 29, 30 e 38 del citato D.L. 17 marzo 2020, n. 18, individuano astrattamente le categorie di beneficiari destinatari della misura (coloro che siano lavoratori e che non siano iscritte ad altre forme previdenziali obbligatorie) predefinendo, con la condizione di lavoratore e di non iscritti ad altre forme di previdenza obbligatori, i criteri, tra gli altri, che l’INPS dovrà verificare per accertare o escludere il diritto ad accedere alla prestazione economica stabilita. […] Diversamente da quanto ritenuto, l’Amministrazione, nei controlli di secondo livello, prima dell’avvio del trattamento in esame, ha quindi ritenuto che, in base al quadro normativo di settore, la condizione di parlamentare o amministratore regionale o locale precludesse, per i soggetti che ricoprivano uno dei predetti incarichi, la possibilità di accedere al bonus Covid” (p. 7);

- il Regolamento ammetterebbe che un atto legislativo possa essere sufficiente a fungere da base giuridica per più trattamenti effettuati nell’esecuzione di un compito di interesse pubblico (cons. 45) e che la finalità di prevenzione delle frodi possa costituire un legittimo interesse del titolare del trattamento (cons. 47), mentre l’art. 2-sexies, comma 2, lett. dd), del Codice indica i compiti di rilevante interesse pubblico a cui sarebbe possibile ricondurre i trattamenti in esame (pp. 7-8).

2) Sulla violazione del principio di minimizzazione dei dati:

- “in materia previdenziale, si verte in tema di diritti soggettivi perfetti, in cui il riconoscimento del diritto avviene se sussistono tutti i requisiti e le ragioni per il diritto all’assistenza o previdenza, quali che siano i motivi della reiezione della domanda amministrativa, sicché l’accertamento dell’accesso al beneficio non risulta vincolato alla sola motivazione del rigetto dell’istanza. Anche per i benefici di cui al D.L. N. 18/2020 […], non essendosi consumato l’esercizio del diritto alla prestazione, risulta necessaria la verifica della sussistenza di ogni elemento richiesto dalla legge o dell’insussistenza di requisiti preclusivi, inclusi quelli oggetto del trattamento dei dati in esame anche per tutti i richiedenti e non solo per coloro che hanno avuto accolto la domanda in prima istanza. In sostanza, non essendo vincolato il diniego al solo motivo della reiezione già espressa, e risultando ancora esperibile ogni mezzo di impugnazione avverso lo stesso, l’Istituto ha legittimamente proceduto al riscontro dei dati per tutte le domande, incluse quelle respinte, al fine di poter verificare anche la sussistenza o meno dell’ulteriore requisito per l’accesso al beneficio, essendo ancora esperibili sia i rimedi amministrativi (ricorso, riesame, reclamo, etc.) che giudiziari dall’interessato per pretendere l’erogazione del beneficio” (p. 9).

3) Sulla violazione del principio di esattezza:

- “il codice fiscale è stato ricavato secondo le regole del DM 12 marzo 1974, ovvero in base ai criteri previsti dalla legge per la determinazione del codice fiscale. E quindi l’Istituto ha adottato tutte le misure idonee, nel rispetto del principio di esattezza del dato personale, attraverso il trattamento di dati anagrafici (nome, cognome, data e luogo di nascita) già verificati e validati da altre amministrazioni, titolari del trattamento dei dati, che ne hanno disposto e curato la pubblicazione con banca dati open” (p. 11);

- “salvo che non si debba ritenere esatto esclusivamente il dato “certificato” (e ciò comporterebbe paradossalmente in tutti i casi di trattamento del codice fiscale l’obbligo di far certificare il dato dalla Agenzia delle Entrate non essendo altrimenti in assoluto certo), appare logico e coerente con lo spirito della norma – che peraltro va letta in funzione delle “finalità per le quali sono trattati” ed adottando “misure ragionevoli” – determinare il codice fiscale in base alle disposizioni di legge in materia, sulla base dei dati anagrafici già validati e verificati dall’Ente che ha trattato e pubblicato tali dati” (p. 11);

- “la esattezza dei dati richiesta non attiene alla correttezza del dato in sé, ma in relazione alle finalità per le quali sono trattati; e, nel caso di specie, il riscontro dell’esattezza è risultato anche dal confronto dei dati ricavati con i codici fiscali già raccolti dall’Istituto, provenienti direttamente dagli interessati, e riportati nella identità di log in inserita per la presentazione delle domande per ottenere il beneficio […]. Peraltro, essendosi svolto il trattamento dei dati, attraverso la elaborazione automatizzata dei dati riportati nell’open data, secondo le regole del DM 12 marzo 1974, risulta garantita anche la esclusione di eventuali errori nella acquisizione ed elaborazione degli stessi. In ogni caso, a scanso di ogni equivoco, allo stato non si ritiene né si è avuto riscontro della presenza di dati inesatti rispetto alle finalità per le quali sono trattati” (p. 11).

4) Sulla violazione dei principi di privacy by design e by default:

- "Si è trattato quindi, […] al di là del clamore mediatico per i soggetti investiti, del trattamento di dati non particolarmente riservati o sensibili, con metodo rispondente alle previsioni di legge in materia per determinare il codice fiscale, sulla base di dati personali verificati e certificati da altra amministrazione che non presentava rischi particolari, rischi che addirittura nel caso di specie risultano evanescenti non essendo trapelato neanche un nominativo o dato dei soggetti emersi” (p. 13);

- “si ritiene che sono state idonee, sufficienti ed esaustive tutte le tutele e misure adottate dall’Istituto, non sussistendo particolari rischi nelle operazioni di verifica resesi necessarie, in considerazione del peculiare ruolo sociale e pubblico rivestito dai soggetti interessati, senza esporre ad alcuna lesione o messa in pericolo dei loro diritti. Riprova né è il fatto che per le misure adottate ed il trattamento eseguito, a distanza di mesi e malgrado la pressione mediatica ed i reiterati interventi invasivi anche con istanze di accesso, hanno dimostrato la impenetrabilità dei dati, risultando a tutt’oggi non emersi i nominativi dei soggetti evidenziati a seguito degli accertamenti effettuati” (p. 13);

- “Come pure, diversamente da quanto opinato, il mancato immediato riscontro sulle posizioni dei senatori non è riconducibile ad una assenza di progettazione, come si vorrebbe ritenere, ma, considerata l’intrusione mediatica sull’analisi in corso, prudenzialmente, l’Istituto ha differito l’esame ad un tempo successivo, sulla scorta dei chiarimenti ed indicazioni fornite da codesta Autorità” (pp. 13-14);

- “Per le sopra esposte ragioni, è da escludere ogni presunta violazione del principio di privacy by default, poiché l’Istituto, in presenza di criteri predeterminati, come già rilevato e configurati dalla stessa norma applicata, ha limitato, per impostazione predefinita, il trattamento di dati personali a quelli strettamente necessari (elenco pubblico dei soggetti incaricati di mandato parlamentare o di amministratore regionale o locale) nel pieno rispetto dei principi di privacy by design e privacy by default, anche considerato l’incarico pubblico rivestito dai soggetti interessati […]. Senza dimenticare che, nella specifica valutazione, […] assume considerevole rilevanza il fatto che avrebbe riguardato soggetti investiti di incarichi pubblici e, come tali, esposti ad una maggiore pubblicità e trasparenza nei rapporti con la Pubblica Amministrazione, prevalente sulla esigenza di riservatezza nei dati personali, non sensibili, rispetto alla generalità dei consociati” (p. 14).

5) Sulla violazione concernente la valutazione d’impatto sulla protezione dei dati:

- “il trattamento oggetto di contestazione attiene soltanto alla posizione di coloro che rivestono incarichi elettorali di parlamentari o di amministratori regionali o locali, ed hanno presentato domanda di accesso al beneficio previdenziale ex D.L. 18/2020, in qualità di lavoratori autonomi, professionisti o titolari di partita Iva. Non attengono, invece, alla verifica in esame i controlli operati dall’Istituto, con il trattamento di altri dati e con modalità differenti, sulla posizione di altri soggetti, poi ritenuti privi dei requisiti necessari per il diritto al beneficio economico invocato (i richiamati 40 mila individui soggetti a ben diversi controlli e verifiche), sottoposti a diverso tipo e modo di trattamento (per esempio, con dati già in possesso dell’Istituto). Si tratta quindi di una frazione minimale rispetto a tutti i controlli effettuati” (pp. 14-15);

- “Come pure, il trattamento dei dati oggetto di verifica non ha interessato creazioni di corrispondenze o combinazione di insieme di dati, derivanti da più operazioni svolte per finalità diverse e/o da titolari del trattamento diverso, oltre le ragionevoli aspettative dell’interessato. Difatti, come già ampiamente detto, si è trattato del mero confronto dei dati anagrafici personali relativi a soggetti rivestenti cariche pubbliche, risultanti da open data, ed elaborati in codici fiscali, con l’elenco dei codici fiscali dei nominativi di coloro che hanno presentato la domanda per l’accesso al beneficio economico previsto ai lavoratori autonomi e professionisti, ex D.L. N. 18/2020” (p. 15);

- “interessando il trattamento dei dati un numero di soggetti limitati, peraltro con un volume contenuto di dati oggetto del trattamento, neanche sensibili né particolarmente delicati, e con unica tipologia di dati oggetto di trattamento, peraltro tutti pubblicati e messi a disposizione di chiunque, appare evidente che non ricorre quell’elevato rischio per i diritti e le libertà delle persone. Anche perché, trattandosi di soggetti investiti di cariche pubbliche per i quali si dovrebbe privilegiare la trasparenza e pubblicità rispetto alla tutela della riservatezza, è coerente e legittimo escludere l’obbligo di valutazione d’impatto, in considerazione del limitato e contenuto criterio di trattamento dei dati. Si tratta infatti di un trattamento che riguarda un circoscritto numero di soggetti, peraltro con trattamento unico e di dati volti alla verifica del possesso dei requisiti per l’accesso ad un trattamento economico, senza immediata preclusione o impedimento agli interessati di esercitare un diritto. Un conto è infatti un motivo ostativo e preclusivo dell’accesso ad un diritto ed altra cosa è invece la verifica della sussistenza di un requisito per verificare la legittimità di un beneficio economico erogabile dall’Istituto” (pp. 15-16).

6) Sulla violazione del principio di responsabilizzazione:

- “risultano disattese le comunicazioni e dichiarazioni fornite dall’Istituto, nel corso dell’istruttoria della presente procedura. Difatti, in relazione alle attività di verifica, controllo, accertamento (peraltro di secondo livello) assunte dall’Istituto dopo l’erogazione delle prestazioni, il trattamento dei dati, inerente attività di intelligence e confronto, come ripetutamente chiarito, è stato curato dalla Direzione Centrale Antifrode, Anticorruzione e Trasparenza, nell’ambito dei suoi compiti istituzionali” (p. 16).

Infine, con nota del XX (prot. n XX), l’INPS ha inviato un’integrazione dei propri scritti difensivi, con la quale ha dichiarato che “è pervenuta dal Ministero del Lavoro e delle Politiche Sociali la nota prot. XX con la quale il Ministero vigilante, riscontrando apposita richiesta di parere dell’Istituto, conferma, anche ai fini delle determinazioni conseguenti ora da assumere in ordine al recupero delle somme corrisposte, l’interpretazione della normativa adottata dall’Istituto nel procedere alle verifiche per accertare se vi fossero stati casi di domande proposte da soggetti che, come i parlamentari e gli amministratori regionali e locali, per le particolari condizioni del regime loro proprio, rientravano tra coloro che non avevano i requisiti previsti dalla legge”.

In particolare, si segnala che il parere fornito dal citato Ministero (allegato alla nota dell’INPS), nel fare preliminare riferimento “alla richiesta di parere concernente l’oggetto, trasmessa da codesto Istituto con nota […] del 24 settembre 2020”, conclude che “considerata la ratio della normativa emergenziale, si ritiene condivisibile un orientamento applicativo che conduca all’incompatibilità delle indennità percepite da parlamentari, consiglieri regionali e soggetti con mandati elettorali o incarichi politici, con le indennità di cui agli artt. 27, 28, 29, 30 e 38 del decreto-legge 17 marzo 2020, n. 18, convertito, con modificazioni, dalla legge 24 aprile 2020, n. 27”.

6. Osservazioni sul rispetto della normativa in materia di protezione dei dati personali.

In termini generali, i trattamenti effettuati dall’INPS al fine di concedere o revocare benefici economici, agevolazioni o altri emolumenti, con le conseguenti attività di controllo sulla sussistenza dei requisiti previsti dalla legge per l’erogazione degli stessi, sono sicuramente riconducibili a rilevanti compiti di interesse pubblico, ai sensi dell’art. 2-sexies, comma 2, lett. l) e m), del Codice, da effettuarsi quindi nel rispetto della normativa di settore applicabile (cfr., in via generale, d.P.R. 28 dicembre 2000, n. 445, spec. artt. 43 e 71 e, per l’Istituto, anche art. 7, comma 2, lett. h), d.l. 13 maggio 2011, n. 70, convertito, con modificazioni, dalla l. 12 luglio 2011, n. 106).

Al riguardo, occorre anzitutto precisare che il richiamo al cons. 47 del Regolamento, effettuato dall’Istituto nella memoria difensiva, circa la finalità di prevenzione delle frodi, quale legittimo interesse invocabile dal titolare del trattamento, non risulta pertinente al caso di specie, in quanto un soggetto che effettua un trattamento necessario per l’esecuzione di un compito di interesse pubblico non può avvalersi della condizione di liceità del legittimo interesse di cui all’art. 6, par. 1, lett. f), del Regolamento, come precisato proprio dallo stesso cons. 47.

Le criticità rilevate nel caso in esame riguardano i profili inerenti alle modalità con le quali sono stati progettati ed effettuati i trattamenti di dati personali nell’ambito dei controlli di secondo livello posti in essere sulla sussistenza dei requisiti per la fruizione del bonus Covid in capo a determinate categorie di soggetti.

In particolare, i rilievi mossi all’Istituto riflettono le risultanze, emerse nel corso dell’istruttoria, circa l’assenza, prima dell’avvio del trattamento in questione, della predeterminazione della decisione circa la spettanza (o meno) del bonus Covid in capo ai titolari delle diverse tipologie di cariche politiche coinvolte, fonte di incertezza, soprattutto con riferimento agli amministratori locali.

Un’adeguata progettazione del trattamento risulta indispensabile per assicurare, ed essere in grado di dimostrare, la conformità dello stesso al Regolamento; ciò, in particolare, quando un ente pubblico, con lo scopo di esercitare i propri legittimi poteri di controllo, si accinge a effettuare complessi trattamenti di dati personali, come quelli in esame, che presuppongono necessariamente un’idonea valutazione dei rischi per i diritti e le libertà degli interessati e la conseguente adozione delle misure necessarie per mitigarli.

Rischi che talvolta, come peraltro testimonia la specifica vicenda alla base del procedimento, possono risultare elevati, indipendentemente dalla natura dei dati coinvolti nel trattamento, considerato peraltro l’impatto mediatico derivante dalla divulgazione, a mezzo stampa, di indiscrezioni sull’esito dei controlli effettuati dall’Istituto, in prossimità della celebrazione, il 20 e 21 settembre 2020, del referendum costituzionale sulla riduzione del numero dei parlamentari. Infatti, se è pur vero che il Garante non può che limitarsi alle dichiarazioni rese dal titolare, che fanno fede a tutti gli effetti fino a querela di falso, è altrettanto verosimile che l’origine della diffusione della notizia e dei nomi dei cinque deputati richiedenti il sussidio sia interna all’INPS, al tempo l’unico ente a conoscenza di tali informazioni a seguito dei controlli che essa sola stava effettuando.

6.1. Sulle violazioni concernenti il principio di liceità, correttezza e trasparenza del trattamento.

Risulta accertato che l’INPS, prima della fine di maggio 2020, all’atto dell’avvio dei controlli di secondo livello, ha elaborato i dati personali dei deputati e degli amministratori regionali e locali, acquisiti presso le citate banche dati esterne, e li ha raffrontati con i dati personali dei richiedenti le indennità previste dal citato d.l. n. 18/2020, ben prima di aver definitivamente determinato se – in base al complesso quadro normativo di settore che presenta peculiarità dovute alle diverse situazioni soggettive a seconda della carica istituzionale ricoperta (soprattutto per gli amministratori locali) – gli incarichi di parlamentare e di amministratore regionale o locale costituissero una condizione ostativa alla spettanza del bonus Covid, in violazione quindi del principio di liceità, correttezza e trasparenza del trattamento (art. 5, par. 1, lett. a), del Regolamento).

Nel corso dell’istruttoria, non sono infatti emersi elementi tali da far ritenere che fosse stata prestabilita (ad es., mediante atti, anche interni, legittimi in base alla normativa che disciplina l’esercizio dei compiti da parte dell’Istituto) la spettanza del bonus Covid nei casi in questione, prima che iniziasse il trattamento in esame. Come risulta, infatti, anche da dichiarazioni pubbliche, al momento del trattamento la peculiarità delle situazioni giuridiche interessate (soprattutto relative agli amministratori locali) necessitava ancora di specifici approfondimenti da parte dell’Istituto, tali da richiedere a fine settembre un parere al Ministero del lavoro e delle politiche sociali (cfr. nota del XX, p. 4, nota del XX, pp. 2 e 3, e citata audizione del 14 agosto 2020), che solo ai primi di dicembre ha rappresentato all’Istituto il proprio orientamento negativo (cfr. nota del XX).

Non risulta quindi conforme al Regolamento l’impostazione assunta dall’Istituto secondo cui, alla luce delle “perplessità insorte in ordine alla spettanza del bonus”, fosse necessario prima “comprendere se il problema fosse concreto, verificando se fra i soggetti percettori vi fossero anche parlamentari o titolari di cariche presso le amministrazioni locali e regionali” e acquisire i dati necessari, non in possesso dell’Istituto, da fonti esterne costituenti il “campione sufficiente per comprendere, in quel momento, se il problema della spettanza o meno fosse concreto e meritasse un approfondimento” (nota del XX, pp. 2-3).

I trattamenti di dati personali necessari nell’ambito dei predetti controlli si sarebbero dovuti effettuare solo dopo aver superato le manifestate incertezze interpretative e avere quindi predeterminato, in astratto, la spettanza del bonus (non procedendo quindi all’incrocio dei dati prima di aver determinato se spettava l’indennità). Ciò, in quanto i trattamenti di dati personali per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri devono avvenire sulla base di un quadro normativo il più possibile chiaro e preciso la cui applicazione possa essere prevedibile per gli interessati (cfr. cons. 41 del Regolamento).

Rispondi