Sanzione di 300.000,00 Euro nei confronti dell'INPS - Testo integrale del Provvedimento - Parte 2

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Sanzione di 300.000,00 Euro nei confronti dell'INPS - Testo integrale del Provvedimento - Parte 2

Messaggio da Giancarlo Favero »

6.2. Sulla violazione del principio di minimizzazione dei dati.

Nel caso di specie, risulta accertato che il trattamento effettuato sui dati personali, relativi a parlamentari e amministratori regionali e locali acquisiti dalle richiamate banche dati esterne, non sia stato limitato ai soli beneficiari della prestazione, ma abbia invece coinvolto tutti coloro che hanno richiesto il bonus Covid, compresi pertanto quelli contenuti nelle domande che già, in sede di controllo di primo livello, erano state esaminate e rigettate.

Il trattamento dei dati personali della totalità dei richiedenti il bonus in luogo dei soli beneficiari, è da ritenersi non necessario in tale contesto, in quanto la domanda era già stata respinta dall’Istituto per il mancato possesso di altri requisiti esplicitamente fissati dal d.l. n. 18/2020, indipendentemente dalla circostanza che il richiedente fosse titolare di un incarico di parlamentare o amministratore regionale o locale. Poiché lo scopo perseguito con i suddetti controlli era quello di escludere la possibilità che vi fosse stata un’indebita percezione delle indennità, da parte dei titolari dei predetti incarichi, il trattamento dei dati personali dei richiedenti esclusi dall’erogazione del bonus non risulta adeguato, pertinente e limitato a quanto necessario rispetto alle finalità per le quali i dati sono trattati (art. 5, par. 1, lett. c), del Regolamento), in quanto l’esito del controllo di secondo livello non avrebbe potuto, in alcun modo, influire sulla decisione di diniego dell’indennità precedentemente adottata.

Inoltre, non è possibile accogliere quanto sostenuto negli scritti difensivi circa la necessità di effettuare tale raffronto per generiche esigenze difensive relative a ipotetici ricorsi amministrativi o giurisdizionali da parte dei richiedenti non beneficiari, in quanto non è consentito effettuare un trattamento di dati personali, di un’intera categoria di interessati, semplicemente adducendo astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti, ma solo in presenza di specifici contenziosi in atto o di situazioni precontenziose (principio di carattere generale più volte ribadito dal Garante, ancorché non riferimento ad altri ambiti di trattamento, cfr., ex multis, provv. n. 146 del 5 giugno 2019, doc. web n. 9124510; provv. n. 139 dell´8 marzo 2018, doc. web n. 8163433).

Tale trattamento potrebbe, semmai, essere effettuato solamente con specifico riferimento ai singoli casi in cui un interessato esperisce una delle predette azioni e solamente allorché l’esito del raffronto sia ritenuto indispensabile, al fine di giustificare l’esclusione dal bonus determinata dall’Istituto (con la restituzione dell’indebito eventualmente già erogato); non è invece ammissibile un trattamento, in via preventiva e generalizzata, nei confronti di qualunque richiedente non beneficiario, anche di colui che abbia dimostrato acquiescenza rispetto alla decisione di rigetto assunta dall’Istituto.

Si rileva, pertanto, che, per la dichiarata finalità di promuovere azioni di recupero del bonus Covid erogato, il trattamento dei dati personali dei soggetti richiedenti il bonus Covid ma non beneficiari è stato effettuato in violazione del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento.

6.3. Sulla violazione del principio di esattezza.

È stato accertato che l’INPS, nell’ambito delle operazioni di trattamento in esame, ha attribuito agli interessati – tramite i dati personali presenti nelle richiamate banche dati esterne – un codice fiscale calcolato automaticamente, in via presuntiva sulla base del d.m. 12 marzo 1974, n. 2227, in violazione del principio di esattezza di cui all’art. 5, par. 1, lett. d), del Regolamento.

Tale decreto stabilisce che il numero di codice fiscale, anche per le persone fisiche, sia attribuito esclusivamente dall’Agenzia delle entrate (il “Centro nazionale di elaborazione dei dati per l’anagrafe tributaria”: art. 1, comma 2) e che siano applicati specifici correttivi “quando l’espressione alfanumerica relativa ai primi quindici caratteri del codice risulta comune a due o più soggetti” (art. 6).

Ciò significa che possono essere presenti delle c.d. omocodie, cioè identità di codice fiscale, tra due o più persone, per effetto dell’applicazione degli ordinari criteri di calcolo che solo l’Agenzia delle entrate, in quanto unico soggetto preposto all’assegnazione del codice fiscale, può risolvere, applicando le previste correzioni: in caso di omocodia, peraltro, a nessuno dei soggetti coinvolti viene attribuito il codice calcolato. Inoltre, il calcolo del presunto codice fiscale sulla base delle sole informazioni anagrafiche contenute nelle banche dati utilizzate per il raffronto potrebbe essere avvenuto sulla base di dati non corretti o incompleti (es. soggetti con due o più nomi separati o meno da virgola), compromettendo così la qualità dei controlli effettuati dall’Istituto.

La contestata violazione del principio di esattezza dei dati non concerne pertanto la qualità degli stessi, come resi disponibili presso le citate banche dati esterne dai titolari del trattamento, ma attiene alle operazioni di calcolo del codice fiscale sulla base delle informazioni in tal modo acquisite e al successivo raffronto che, per le ragioni sopra richiamate, contrariamente a quanto sostenuto negli scritti difensivi, non sono in grado di assicurare l’assenza di errori o inesattezze, in mancanza di ulteriori verifiche.

Essendo il trattamento ancora in corso, e non essendosi ancora neppure concluse le valutazioni da parte dell’INPS circa l’individuazione dei soggetti chiamati a restituire le somme indebitamente percepite, è assolutamente necessario che l’Istituto effettui le operazioni di raffronto finalizzate ai controlli in questione ricorrendo a dati esatti, cioè ai codici fiscali effettivamente attribuiti dall’Agenzia delle entrate e non a quelli calcolati in via presuntiva in base ai criteri forniti dal d.m. 12 marzo 1974, n. 2227 (sul punto cfr. infra par. 8).

6.4. Sulla violazione dei principi di privacy by design e by default.

Il trattamento in esame non è stato effettuato nel rispetto dei principi di protezione dei dati personali, fin dalla progettazione e per impostazione predefinita, sanciti dall’art. 25 del Regolamento, come sopra già illustrato. Ciò in considerazione della: mancata predeterminazione delle condizioni ostative alla spettanza o meno del bonus in capo a parlamentari e amministratori regionali e locali; del trattamento di dati non necessari per l’effettuazione dei controlli di secondo livello; della mancata considerazione dei rischi che il trattamento presenta per i diritti e le libertà degli interessati, tra cui anche quello derivante da possibili inesattezza delle modalità di calcolo del codice fiscale degli interessati.

Tale valutazione avrebbe, invece, dovuto svolgersi a prescindere dalle categorie di interessati e tipologie di dati personali trattati, non rilevando la loro natura non particolarmente riservata o “sensibile” rappresentata dall’INPS, considerando che l’art. 25 del Regolamento si applica a tutte le categorie di dati personali, come definiti dall’art. 4, n. 1, del Regolamento medesimo.

Nel caso di specie, oltre ai rischi connessi alle iniziali incertezze circa la spettanza del bonus, e quindi sull’impatto che avrebbe avuto sugli stessi interessati in caso di richiesta di restituzione dell’indebito da parte dell’INPS, si sono in aggiunte le ricadute derivanti dal clamore mediatico suscitato sulla vicenda, proprio in ragione del rilievo pubblico delle funzioni svolte dagli interessati coinvolti (parlamentari e amministratori regionali e locali).

Invero, ancorché, come dichiarato dall’Istituto, “per le misure adottate ed il trattamento eseguito, a distanza di mesi e malgrado la pressione mediatica ed i reiterati interventi invasivi anche con istanze di accesso, hanno dimostrato la impenetrabilità dei dati, risultando a tutt’oggi non emersi i nominativi dei soggetti evidenziati a seguito degli accertamenti effettuati”, è indiscutibile che la vicenda stessa, anche a causa dell’indeterminatezza dei soggetti che hanno effettivamente ottenuto il bonus, abbia avuto un impatto negativo, in termini di immagine pubblica e riprovazione sociale, sull’intera categoria composta da deputati e amministratori regionali e locali. Ciò vale sia per coloro che non hanno richiesto l’erogazione del bonus Covid (la stragrande maggioranza), sia per quelli che lo hanno richiesto e ottenuto, in prima battuta, senza che potessero essere in grado di capire, al momento della domanda, se fossero effettivamente legittimati a chiederlo (si, pensi, ad es., ai consiglieri di piccoli Comuni, con meno di 10.000 abitanti, che percepiscono gettoni di presenza di valore inferiore a venti euro), tanto è vero che anche l’ente erogatore (INPS), a distanza di mesi dall’avvio del trattamento, ha dovuto effettuare approfondimenti tali da coinvolgere anche il Ministero vigilante per verificare se sussistano i presupposti per l’erogazione del bonus alle predette categorie.

Tutto ciò, fermo restando che, come sopra evidenziato, trattamenti quali quelli in esame devono essere progettati prevedendo l’utilizzo di dati esatti, da raccogliere, se del caso, presso le amministrazioni in grado di fornire i dati corretti (in questo caso l’Agenzia delle entrate), nel rispetto del principio di minimizzazione, attuando in modo efficace i principi di protezione dei dati e integrando nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati (art. 25, par 1, del Regolamento).

6.5. Sulla violazione concernente la valutazione d’impatto sulla protezione dei dati e il mancato coinvolgimento del responsabile per la protezione dei dati personali nelle relative operazioni.

Come sopra già rilevato, l’INPS non ha adeguatamente ponderato la sussistenza di un rischio elevato, tale da richiedere lo svolgimento di una preliminare valutazione d’impatto sulla protezione dei dati, ai sensi dell’art. 35 del Regolamento.

Al riguardo, in base ai criteri forniti dalle Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, WP248 rev.01 (adottate dal Gruppo di lavoro articolo 29 per la protezione dei dati il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018), si ritiene, in particolare, che ricorrano i seguenti presupposti idonei a individuare un rischio elevato del trattamento in questione :

- benché, come dichiarato dall’Istituto, tra i circa 40.000 soggetti, poi risultati privi dei requisiti necessari per la fruizione del bonus Covid, solo “una frazione minimale rispetto a tutti i controlli effettuati” sarebbe riconducibile a coloro che sono stati successivamente individuati quali parlamentari o amministratori regionali o locali (che peraltro risulterebbero essere circa 2000 amministratori), il raffronto ha coinvolto, da una parte, “tutti i richiedenti” il bonus Covid – nell’ordine di alcuni milioni di persone, avendo l’Istituto dichiarato che i controlli in generale avevano riguardato circa 5 milioni di persone (cfr. nota del XX, p. 3) – e, dall’altra, tutti coloro che risultano ricoprire i suddetti incarichi – nell’ordine di diverse decine di migliaia di soggetti che rappresentano, in ogni caso, l’intera classe politica nazionale e locale – venendo così soddisfatto il criterio del “trattamento di dati su larga scala”;

- è inoltre soddisfatto anche il criterio della “creazione di corrispondenze o combinazione di insiemi di dati”, in quanto l’operazione di raffronto in questione ha interessato banche dati appartenenti a titolari diversi, rese disponibili per finalità di conoscenza e partecipazione più generali e, ancorché in astratto compatibili, diverse da quelle perseguite nel caso di specie dall’Istituto. In particolare, si evidenzia che la “creazione di corrispondenze o combinazione di insiemi di dati” presenta specifici rischi per i diritti e le libertà degli interessati soprattutto se, come nel caso in esame, in presenza di banche dati non adeguatamente raffrontabili, vengono utilizzate informazioni non esatte, calcolando, in modo automatico e presuntivo, il codice fiscale degli interessati;

- è altresì fuor di dubbio che “il trattamento in sé "impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”, in quanto il controllo effettuato dall’INPS mirava proprio a verificare la spettanza del diritto a percepire un indennizzo economico.

Per tutte queste ragioni, si rivela irricevibile la considerazione secondo cui, nel caso di parlamentari e amministratori regionali e locali, “si dovrebbe privilegiare la trasparenza e pubblicità rispetto alla tutela della riservatezza”, atteso che tutti i trattamenti dei dati personali devono avvenire nel rispetto del Regolamento. Tutt’al più, la valorizzazione del principio della trasparenza sarebbe potuto rilevare nell’ambito di una valutazione dei rischi, per ponderare adeguatamente la gravità degli stessi e individuare le misure necessarie, rispetto alla correttezza del trattamento e all’esattezza dei dati trattati, la cui violazione potrebbe, di contro, portare a un pregiudizio ancor più grave alla reputazione di soggetti che rivestono cariche politiche.

Non aver valutato accuratamente i rischi ha comportato: il trattamento di dati, relativi a tutti i richiedenti il bonus Covid e a tutti i soggetti presenti nelle banche dati esterne da cui sono state acquisite le informazioni relative agli incarichi politici, non necessari alle dichiarate finalità di controllo (par. 6.2); il ricorso a dati non corretti o incompleti per tale operazione di raffronto, idonei a compromettere la qualità dei controlli stessi (par. 6.3); l’accidentale divulgazione di informazioni, prima ancora che fosse determinata con certezza la spettanza (o meno) del bonus a tali categorie di soggetti.

A tale profilo si aggiunge inoltre il mancato coinvolgimento del Responsabile della protezione dei dati in merito alle operazioni di trattamento in corso di svolgimento. Questo aspetto appare meritevole di considerazione anche in quanto indice della violazione del principio di responsabilizzazione, nonché ulteriore indizio della colpa cosciente del titolare.

Anche in considerazione delle caratteristiche che accomunano i trattamenti posti in essere dall’Istituto in fase di controllo sui benefici erogati, si ritiene che la valutazione di impatto sul trattamento in esame potrebbe essere effettuata anche nell’ambito di una complessiva valutazione di impatto riferibile a tutti i trattamenti svolti dall’INPS per tale finalità, individuando così adeguate misure per mitigare i rischi per i diritti e le liberà degli interessati in tale contesto (cfr. infra par. 8).

6.6. Sulla violazione del principio di responsabilizzazione.

Nel caso di specie, l’INPS ha dato spiegazioni sul trattamento effettuato mediante dichiarazioni contenute nei due riscontri forniti (in data, rispettivamente, 31 agosto e 24 settembre 2020) e negli scritti difensivi (del 13 novembre 2020), con una rappresentazione non lineare degli elementi della vicenda.

Prova di ciò si ha facendo un confronto delle dichiarazioni rilasciate con riferimento, solo per fare alcuni esempi, alla questione dell’individuazione dei casi di spettanza del bonus o al tema del raffronto operato sui dati personali dei senatori.

A ciò si aggiunga che quanto dichiarato nelle predette note non è stato supportato da un’adeguata documentazione atta a comprovare quali livelli decisionali sono stati coinvolti, le valutazioni effettuate, le ragioni sottese alle decisioni prese e le misure adottate in relazione al trattamento dei dati personali in esame (si pensi agli aspetti sulla valutazione del rischio o alla valutazione di impatto sulla protezione dei dati).

In quest’ottica, non è nemmeno emerso un adeguato coinvolgimento, da parte del titolare del trattamento, del ruolo del Responsabile della protezione dei dati personali, considerato che invece, sulla base del Regolamento, quest’ultimo avrebbe dovuto essere “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali” (art. 38, par. 1, del Regolamento), al fine di consentirgli lo svolgimento dei compiti di consulenza nei confronti del titolare medesimo, oltre che di sorveglianza sulla conformità dei trattamenti, che gli sono attribuiti dal Regolamento (art. 39, par. 1, spec. lett. a), b) e c), ivi).

Nel contesto complessivamente considerato, alla luce documentazione istruttoria, si rileva che l’INPS non è stato, pertanto, in grado di comprovare le ragioni delle decisioni assunte nell’ambito del complesso trattamento di dati personali effettuato, al fine di dimostrare all’Autorità il rispetto della normativa in materia di protezione dei dati personali, in violazione del principio di responsabilizzazione (artt. 5, par. 2, e 24, del Regolamento), atteso che quest’ultimo assume una posizione centrale all’interno della disciplina europea di protezione dei dati personali, informando della sua essenza l’intero Regolamento, le cui norme alla luce di esso assumono coerenza, chiarezza ed organicità.

7. Esito dell’istruttoria.

Alla luce del complesso delle valutazioni sopra richiamate, le dichiarazioni rese dal titolare del trattamento negli scritti difensivi, seppure meritevoli di considerazione ai fini della valutazione della condotta, non consentono di superare i principali rilievi notificati dall’Ufficio con l’atto di avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del reg del Garante n. 1/2019.

In tale quadro, confermando i rilievi notificati dall’Ufficio con la nota prot. n. XX del XX, si rileva che il trattamento di dati personali effettuato dall’INPS non è risultato conforme alla disciplina rilevante in materia di protezione dei dati personali. Ciò considerando che il citato Istituto – nell’acquisire dati personali riferiti a parlamentari e amministratori regionali e locali da banche dati esterne della Camera e del Ministero dell’interno, per poi successivamente elaborarli e raffrontarli con quelli dei soggetti richiedenti il bonus Covid in proprio possesso, al fine di evitare un’indebita percezione delle indennità, senza però aver predeterminato con certezza per tutti i predetti soggetti se il rivestire una carica politica rappresentasse una condizione ostativa al riconoscimento dell’indennizzo, nei termini precedentemente descritti – ha violato:

1) il principio di liceità, correttezza e trasparenza del trattamento di cui all’art. 5, par. 1, lett. a), del Regolamento (cfr. par. 6.1);

2) il principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento (cfr. par. 6.2);

3) il principio di esattezza di cui all’art. 5, par. 1, lett. d), del Regolamento (cfr. par. 6.3);

4) la protezione dei dati personali fin dalla progettazione e per impostazione predefinita, di cui all’art. 25 del Regolamento (cfr. parr. 6.1 e 6.4);

5) l’obbligo di effettuare la valutazione d’impatto sulla protezione dei dati di cui all’art. 35 del Regolamento (cfr. par. 6.5);

6) il principio di responsabilizzazione di cui agli artt. 5, par. 2 e 24, del Regolamento (cfr. par. 6.6).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, parr. 4 e 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

8. Adozione di misure correttive (art. 58, par. 2, lett. d), del Regolamento).

Il Garante, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ha il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine”.

In considerazione delle violazioni sopra rilevate, si ritiene pertanto di dover ingiungere all’INPS, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di:

a) cancellare tutti i dati personali fino ad ora trattati in violazione del principio di minimizzazione in base alle considerazioni di cui al par. 6.2);

b) effettuare la valutazione di impatto sulla protezione dei dati di cui all’art. 35 del Regolamento con riferimento ai trattamenti in esame, prima di riavviare qualsiasi operazione di trattamento, anche nell’ambito di una complessiva valutazione di impatto riferibile a tutti i trattamenti svolti dall’Istituto per tale finalità (cfr. par. 6.5).

9. Conseguenze delle valutazioni del Garante sul regime di accessibilità e pubblicità dei dati dei parlamentari e amministratori regionali e locali trattati.

L’INPS è stato destinatario di diverse istanze di pubblicazione e di accesso – documentale e civico generalizzato (art. 22 ss. l. 7 agosto 1990, n. 241, e art. 5, comma 2, del d.lgs. 14 marzo 2013, n. 33) – presentate anche da organi di stampa, enti pubblici e associazioni, tese all’ostensione dei documenti e degli elenchi dei dati dei soggetti richiedenti o beneficiari del bonus Covid che rivestono la carica di parlamentare nonché di amministratore regionale o locale.

Dalle comunicazioni ricevute, risulta che l’INPS ha sospeso ogni ulteriore attività di trattamento di tali dati, differendo l’istruttoria sulle predette richieste e ogni connessa valutazione, all’esito delle determinazioni che sarebbero state assunte da questa Autorità.

Alla luce delle risultanze istruttorie sopra descritte, si ritiene utile fornire le seguenti indicazioni, distinguendo preliminarmente la posizione dei soggetti titolari di cariche pubbliche che hanno fatto richiesta del bonus Covid, ma non sono risultati beneficiari dell’indennità, da quelli che invece hanno ottenuto il bonus.

Quanto alla prima categoria, infatti, è stato rilevato che il trattamento dei dati personali, effettuato dall’INPS, riferiti a parlamentari e amministratori regionali o locali richiedenti il bonus Covid ma non beneficiari è stato effettuato in violazione del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento (cfr. supra par. 6.2). Di conseguenza, i predetti dati – essendo stati trattati in violazione della disciplina rilevante in materia di trattamento dei dati – “non possono essere utilizzati” (art. 2-decies del Codice). Inoltre, come conseguenza della rilevata illiceità è stato ingiunto all’INPS di cancellare i dati personali trattati in violazione del principio di minimizzazione (cfr. supra par. 8). Pertanto, nessuna richiesta di pubblicazione o accesso è possibile per i dati personali riferiti a tali categorie di soggetti.

Quanto alla seconda categoria, si ribadisce quanto già osservato sull’argomento nella nota inviata all’INPS prot. n. XX del XX (cfr. comunicato stampa del 17 agosto 2020, doc. web n. 9448663). In particolare, si rinvia alle osservazioni relative al regime di pubblicità e all’applicabilità, al caso in esame, dell’eccezione prevista dall’art. 26, comma 4, del d.lgs. n. 33/2013, considerando che l’Istituto, all’atto dell’erogazione del contributo, ha classificato il beneficio del bonus Covid, alla luce del d.l. n. 18/2020, fra gli ammortizzatori sociali. A ciò si aggiunge che la normativa statale di settore in materia di trasparenza non prevede alcun obbligo di pubblicazione di dati personali di coloro che sono tenuti a restituire un’indennità, laddove percepita indebitamente.

Per quanto riguarda, invece, le richieste di accesso civico generalizzato ricevute dall’Inps riguardo ai dati dei titolari di incarichi politici beneficiari del bonus Covid, anche eventualmente oggetto di restituzione – ricordando che il Garante non può esprimersi in questa sede, ma solo nel corso del procedimento nei casi previsti dall’art. 5, comma 7, del d.lgs. n. 33/2013 –, si ribadisce ancora una volta che spetta all’Inps verificare, caso per caso – previo il coinvolgimento dei soggetti controinteressati ai sensi dell’art. 5, comma 4, del d.lgs. n. 33/2013 –, la possibilità di rendere ostensibili, tramite l’accesso civico, i dati personali richiesti alla luce della normativa di settore e delle Linee guida dell’ANAC in materia di accesso civico (del. n. 1309 del 28 dicembre 2016, in www.anticorruzione.it), in conformità con i precedenti del Garante in materia di accesso civico.

A tal fine, si richiama l’attenzione dell’Inps su quanto indicato nelle citate Linee guida dell’ANAC, laddove si chiarisce che, per valutare l’esistenza di un reale pregiudizio concreto alla tutela dei dati personali dei controinteressati, in base al quale decidere se rifiutare o meno l’accesso civico, bisogna far riferimento a diversi parametri, fra i quali anche “il ruolo ricoperto nella vita pubblica, la funzione pubblica esercitata o l’attività di pubblico interesse svolta dalla persona cui si riferiscono i predetti dati”, nell’ambito della quale bisognerà tener conto anche della diversa posizione ricoperta dai titolari di cariche politiche a livello nazionale e locale. Esemplificando, mediante bilanciamento d’interessi andrebbe riconosciuto un diverso statuto di pubblicità alle informazioni che riguardano politici ed amministratori di livello nazionale (e.g. parlamentari, presidenti di Giunta regionale, sindaci di città capoluogo di provincia etc.) e quelle che riguardano amministratori di livello prettamente locale, i cui redditi dipendono per la maggior parte non tanto dall’attività politico-amministrativa, quanto da attività lavorative ed imprenditoriali svolte in seno alla comunità. Ad ogni ulteriore buon fine si rinvia alle indicazioni contenute nelle Linee guida dell’ANAC in materia di accesso civico (in particolare par. 4.2. e punto n. 5 dell’“Allegato. Guida operativa all’accesso generalizzato”), nonché nella circolare del Ministro per la semplificazione e la pubblica amministrazione n. 2/2017 recante “Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)” (parr. 7 e 8) laddove è riportato che l’amministrazione in tali casi può avviare eventualmente un dialogo cooperativo con il/i richiedente/i l’accesso “nel tentativo di ridefinire l’oggetto della richiesta entro limiti compatibili con i principi di buon andamento e di proporzionalità”.

10. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del complesso procedimento l’INPS risulta aver violato gli artt. 5, parr. 1, lett. a), c), d), e 2; 25; 35 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione delle sanzioni amministrative di cui all’art. 83, parr. 4 e 5, del Regolamento.

Al riguardo, l’art. 83, par. 3, del Regolamento, prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”.

Nel caso di specie, pertanto, la violazione delle disposizioni citate è soggetta alla sanzione amministrativa pecuniaria più grave prevista dall’art. 83, par. 5, del Regolamento, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del reg. del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In tal senso, va considerato che la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha riguardato i trattamenti connessi all’effettuazione di controlli sull’erogazione di indennità per lavoratori, che rappresenta una delle attività principali a cui è chiamato un soggetto pubblico come l’INPS nell’esecuzione dei compiti di interesse pubblico che l’ordinamento gli affida, interessando le grandi banche dati pubbliche di cui è titolare. Le misure tecniche e organizzative adottate dal titolare del trattamento non sono risultate adeguate ai sensi dell’art. 25 del Regolamento. Le violazioni rilevate – che appaiono in ogni caso di natura colposa, ma determinate in ogni caso da una cosciente mancata valutazione del rischio, in ragione dell’alta probabilità del realizzarsi dello stesso per i diritti e le libertà fondamentali degli interessati coinvolti – hanno riguardato trattamenti di dati personali non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD) e tuttavia riferibili a soggetti qualificabili come vulnerabili in quanto richiedenti un beneficio economico pubblico, posto che lo stesso Istituto, all’atto dell’erogazione del contributo, ha classificato il beneficio del bonus Covid fra gli ammortizzatori sociali ai sensi del d.l. n. 18/2020. Il titolare del trattamento, per attenuare gli effetti della condotta, ha affermato di aver sospeso i trattamenti in questione. L’INPS ha manifestato un sufficiente grado di cooperazione con l’Autorità sebbene talvolta con riscontri non coerenti. Merita tuttavia considerazione il fatto che alcune precedenti violazioni della disciplina in materia di protezione dei dati personali da parte del citato Istituto, accertate dal Garante, non risultano pertinenti rispetto alle violazioni oggetto del caso in esame.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del Regolamento, nella misura di euro 300.000,00 (trecentomila) per la violazione degli artt. 5, par. 1, lett. a), c), d), e 2; 25; 35 del Regolamento. quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo Regolamento.

Tenuto conto del contesto del caso in esame, anche in considerazione del risalto mediatico assunto, e del fatto che le violazioni accertate hanno riguardato comunque lo svolgimento di attività ordinarie nell’esecuzione dei compiti di interesse pubblico attribuiti all’INPS, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del reg. del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del reg. del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità dei trattamenti di dati personali, nei termini di cui in motivazione, effettuati dall’INPS, con sede legale in via Ciro il Grande 21, 00144 Roma, C.F. 80078750587:

1) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge all’INPS di:

1.a) cancellare tutti i dati personali fino ad ora trattati in violazione del principio di minimizzazione;

1.b) effettuare la valutazione di impatto sulla protezione dei dati di cui all’art. 35 del Regolamento con riferimento ai trattamenti in esame, prima di riavviare qualsiasi operazione di trattamento, anche nell’ambito di una complessiva valutazione di impatto riferibile a tutti i trattamenti svolti dall’Istituto per tale finalità.

2) ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, infligge all’INPS la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a), del succitato Regolamento ordinando e contestualmente ingiungendo al predetto trasgressore, di pagare la somma di euro 300.000,00 (trecentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs 1° settembre 2011, n. 150);

3) ai sensi dell’art. 157 del Codice, richiede all’INPS di comunicare a questa Autorità, quali iniziative siano state intraprese o si intendano intraprendere al fine di dare attuazione a quanto disposto ai precedenti punti 1.a) e 1.b) del presente provvedimento entro trenta giorni dalla notifica dello stesso;

4) ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del reg. del Garante n. 1/2019 dispone la pubblicazione del presente provvedimento sul sito web del Garante;

5) ai sensi dell’art. 17 del reg. del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate, ai sensi dell’art. 58, par. 2, del Regolamento, con il presente provvedimento.

Si ricorda, che l’inosservanza di quanto ordinato ai precedenti punti nn. 1.a) e 1.b) è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del Regolamento. Si evidenzia, altresì, che il mancato riscontro alla richiesta, formulata ai sensi dell’art. 157, di cui al precedente punto n. 3, è punito con la sanzione amministrativa di cui all’art. 166, comma 2, del Codice.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 febbraio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

Rispondi