Illegittima erogazione dei bonus Covid e protezione dati personali. Il sindacato del Garante sulle modalità di organizzazione della verifica della spettanza.
di Domenico Bottega
Sommario: 1. Premessa - 2. La vicenda - 3. La condotta contestata - 4. Le violazioni alla normativa in materia di protezione dei dati personali - 4.1. Le violazioni del principio di liceità, correttezza e trasparenza del trattamento - 4.2. La pianificazione dei controlli - 4.3 Il principio di responsabilizzazione - 5. Conclusioni.
1. Premessa
Una “fuga di notizie” relativa alla presentazione della richiesta per il cosiddetto “bonus Covid” da parte di cinque deputati ha puntato il riflettore, nel corso dell’estate 2020, sul trattamento dei dati personali svolto dall’INPS per l’erogazione di tale indennità, trattamento su cui il Garante per la protezione dei dati personali ha ritenuto opportuno aprire un procedimento.
Benché l’Authority abbia espresso alcune perplessità sul convincimento dell’Istituto per cui l’origine delle indiscrezioni non fosse da individuarsi nel personale in forze all’INPS stesso[1], altro non ha potuto fare – così scrive – che “limitarsi alle dichiarazioni rese dal titolare, che fanno fede a tutti gli effetti fino a querela di falso” e circoscrivere la propria istruttoria alle modalità con cui i dati dei richiedenti sono stati trattati.
L’esito dell’indagine svolta dal Garante è presto detto: è risultato accertato che l’INPS avrebbe sottovalutato i rischi della propria attività, non l’avrebbe pianificata a dovere e sarebbe quindi incorso in plurime violazioni dei principi sanciti nel G.D.P.R.
Scopo di questo contributo è allora quello di approfondire la condotta dell’Ente previdenziale per comprendere se e in che misura la stessa abbia violato la disciplina di settore.
2. La vicenda
Per non poco tempo il dibattito pubblico dell’estate 2020 è stato occupato dalla discussione sul fatto che alcuni “politici”[2] avessero presentato domanda all’INPS per l’erogazione di quel bonus (inizialmente di 600 euro, poi innalzato a 1.000) varato per sostenere i redditi dei lavoratori autonomi.
La notizia, riportata inizialmente dal quotidiano La Repubblica il 9 agosto 2020, non conteneva i nomi di chi avesse presentato tale istanza, ma le informazioni riportate erano non poco circostanziate: la stampa scriveva di cinque deputati e di un gran numero (oltre duemila) tra sindaci, consiglieri comunali e regionali (addirittura – si diceva – vi sarebbe stato qualche Presidente di Giunta regionale) tra i richiedenti.
Il clamore e la pubblica indignazione che ne sono seguiti hanno funzionato a mo’ di ricatto per i diretti interessati, che, in alcuni casi, si sono “autodenunciati” pubblicamente, con conseguenze di non poco conto: per alcuni di questi, infatti, l’aver presentato la richiesta di accedere al bonus (al di là, poi, di averlo ricevuto o meno e, nel primo caso, di essere disposti a restituirlo) ha comportato l’esclusione dalle liste dei candidati delle elezioni regionali che si sono celebrate nel successivo mese di settembre, senza contare l’impatto mediatico derivante dalla divulgazione di queste indiscrezioni in prossimità del referendum costituzionale sulla riduzione del numero dei parlamentari, tenutosi sempre nel mese di settembre.
Ebbene, il provvedimento sanzionatorio dell’Autorità Garante per la protezione dei dati che, in questa annotazione, si cercherà di commentare prende le mosse da qui: lo stesso, però, non si occupa della diffusione della notizia[3], bensì delle ragioni per cui l’INPS si sia occupato di verificare se alcuni dei soggetti sopra menzionati avessero presentato domanda per il bonus e delle modalità con cui sono stati trattati i relativi dati personali.
Come si è anticipato, l’esito dell’istruttoria è stato infausto per l’INPS, riconosciuto quale autore di plurime trasgressioni alle prescrizioni contenute nel G.D.P.R. nell’ambito del trattamento predetto: il Garante ha infatti ritenuto accertati la violazione dei principi di liceità, correttezza e trasparenza del trattamento[4], di minimizzazione dei dati[5], di esattezza[6], di responsabilizzazione[7], dell’obbligo di effettuare la valutazione d’impatto sulla protezione dei dati[8], nonché la mancata protezione dei dati personali fin dalla progettazione e per impostazione predefinita[9].
Su tutti questi profili ci si concentrerà ora partitamente, non prima di aver fornito qualche dettaglio in più sulla condotta tenuta dall’INPS.
3. La condotta contestata
Come noto, il D.L. n. 18/2020 (cosiddetto “Decreto Cura Italia”)[10] ha attribuito ai liberi professionisti titolari di partita iva attiva[11], ai lavoratori titolari di rapporti di collaborazione coordinata e continuativa[12], ai lavoratori autonomi[13], ai dipendenti stagionali del settore del turismo[14], agli operai agricoli[15] e ai lavoratori iscritti al Fondo pensioni Lavoratori dello spettacolo[16] il diritto a percepire il cosiddetto “bonus Covid”[17], un’indennità economica finalizzata a contenere i danni risentiti a causa dell’emergenza economica e sociale conseguente alla pandemia da Covid-19.
È emerso che l’INPS abbia erogato il “bonus Covid” a tutti i richiedenti che avevano superato i cosiddetti “controlli di primo livello”, effettuati mediante procedure informatiche basate sul confronto automatico tra le informazioni fornite dall’istante nella domanda con quelle presenti nelle banche dati detenute dall’Istituto.
Solo in un secondo momento – successivo all’erogazione dell’indennità – l’INPS ha proceduto coi “controlli di secondo livello”, effettuati dalla propria “Direzione centrale antifrode, anticorruzione e trasparenza”, la quale si è concentrata su tutte quelle situazioni che potevano essere state non rilevate nella prima fase della procedura: come si è detto, questa seconda verifica è stata effettuata a valle dell’erogazione, al fine di non ritardare la liquidazione dei bonus, considerato il contesto di crisi economica causata dal blocco delle attività produttive.
L’oggetto del procedimento sanzionatorio del Garante sono stati proprio i “controlli di secondo livello” effettuati sulla posizione dei parlamentari e dei titolari di cariche presso le amministrazioni locali e regionali.
In proposito, l’INPS ha dichiarato che la peculiarità delle posizioni dei parlamentari e degli amministratori regionali e locali ha richiesto specifici approfondimenti per verificare la spettanza del bonus, in considerazione della singolare situazione previdenziale di tali categorie di soggetti e, con specifico riferimento agli amministratori locali, “sia in ordine alla natura dell’iscrizione di tali soggetti ad altre forme di previdenza obbligatoria sia in ordine all’equiparazione della tutela assicurata dalle indennità percepite da tali soggetti rispetto a quella garantita da un reddito di lavoro dipendente”. Al riguardo, l’Istituto ha affermato che “in relazione a tale prima disamina e alle perplessità insorte in ordine alla spettanza del bonus, si è reso necessario comprendere se il problema fosse concreto, verificando se tra i soggetti percettori vi fossero anche parlamentari o titolari di cariche presso le amministrazioni locali e regionali”[18].
Tali verifiche sono state effettuate “con l’acquisizione dei dati anagrafici di deputati e amministratori regionali e locali dai dati aperti (open data) resi disponibili a chiunque, tramite le apposite pagine web messe a disposizione dalla Camera dei deputati (http://dati.camera.it/sparql) e dal Dipartimento per gli affari interni e territoriali del Ministero dell’interno (https://dait.interno.gov.it/elezioni/open-data/amministratori-locali-in-carica)”. A partire da queste informazioni l’INPS ha calcolato, in maniera automatizzata, il presunto codice fiscale che, successivamente, è stato posto in raffronto con quello indicato nelle domande presentate dai richiedenti il “bonus Covid”. All’esito di tale raffronto, l’Istituto ha accertato che tra i richiedenti vi erano anche deputati o soggetti titolari di incarichi di amministratori regionali o locali.
In contemporanea al raggiungimento di tale risultato da parte dell’Istituto è accaduto che tale notizia sia stata diffusa a mezzo stampa: il clamore mediatico suscitato, le numerose richieste di accesso agli atti pervenute all’INPS e l’apertura del procedimento del Garante hanno indotto l’Istituto a sospendere ogni attività di accertamento, “nel rispetto dei principi di precauzione e prevenzione”, e a “differire ogni valutazione in ordine alle richieste di ostensione e diffusione dei dati all’esito delle determinazioni” dell’Authority.
Così ricostruita la condotta tenuta dall’Amministrazione, è ora tempo di prendere in esame le singole contestazioni mosse dal Garante.
4. Le violazioni alla normativa in materia di protezione dei dati personali
Come si è anticipato, sei sono le violazioni emerse dall’istruttoria del Garante che l’INPS avrebbe commesso; vi è però un filo rosso che le accomuna tutte: l’assenza, prima dell’avvio del trattamento in questione, della predeterminazione della decisione circa la spettanza (o meno) del bonus Covid in capo ai titolari delle diverse tipologie di cariche politiche coinvolte.
Infatti, ciò che, a più riprese e sotto diversi profili, viene contestato all’INPS è l’assenza di un’adeguata progettazione del trattamento, indispensabile per assicurare, ed essere in grado di dimostrare, la conformità dello stesso al Regolamento.
Tale mancanza sarebbe ancor più grave perché commessa da un ente pubblico nell’ambito dell’esercizio dei propri legittimi poteri di controllo, la cui esecuzione ci si attende sia preceduta “da un’idonea valutazione dei rischi per i diritti e le libertà degli interessati e [dal]la conseguente adozione delle misure necessarie per mitigarli”.
4.1. Le violazioni del principio di liceità, correttezza e trasparenza del trattamento
Come si è anticipato, l’Authority ha ritenuto che “i trattamenti di dati personali necessari nell’ambito dei predetti controlli si sarebbero dovuti effettuare solo dopo aver superato le manifestate incertezze interpretative e avere quindi predeterminato, in astratto, la spettanza del bonus (non procedendo quindi all’incrocio dei dati prima di aver determinato la spettanza dell’indennità). Ciò, in quanto i trattamenti di dati personali per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri devono avvenire sulla base di un quadro normativo il più possibile chiaro e preciso la cui applicazione possa essere prevedibile per gli interessati (cfr. cons. 41 del Regolamento)”.
Agendo diversamente – sostiene il Garante –, la condotta dell’INPS si sarebbe posta in violazione del principio di liceità, correttezza e trasparenza del trattamento, di cui all’art. 5, par. 1, lett. a), del Regolamento.
Merita allora indugiare sul tema, onde comprendere se effettivamente la procedura svolta dall’INPS si sia posta in spregio del disposto recato dall’articolo appena menzionato.
Come è stato annotato da una certa dottrina, il principio di liceità, di primo acchito, potrebbe apparire quasi pleonastico[19], risultando superfluo consacrare in una norma ad hoc che il trattamento dei dati debba rispettare le norme sancite dalla legge e, in particolare, dal Regolamento.
Indagando più a fondo, tuttavia, ci accorge che l’art. 6 G.D.P.R. (rubricato “liceità del trattamento”) ha invero una portata concreta nel fissare i casi in cui il trattamento può dirsi lecito: si ha infatti una violazione del principio in parola nel momento in cui il trattamento dei dati non sia legittimato da alcuna della fattispecie elencate dall’art. 6 medesimo.
Così interpretata, ci si avvede come la norma non abbia una portata così ampia da finire per dover essere considerata ultronea, ma sia finalizzata a elevare a principio ciò di cui l’art. 6 è declinazione.
Come noto, il trattamento può dirsi lecito solo se: a) l’interessato ha espresso il suo consenso; b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte; c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi.
Nel caso che ci riguarda il Garante rinviene unicamente nell’“esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e]) la base legittimante l’attività dell’INPS, non risultando invocabile – come invece aveva tentato di fare l’Istituto – il “legittimo interesse” (art. 6, par. 1, lett. f]) alla prevenzione delle frodi: e ciò in quanto un soggetto che effettua un trattamento necessario per l’esecuzione di un compito di interesse pubblico non può avvalersi della condizione di liceità del legittimo interesse di cui all’art. 6, par. 1, lett. f), del Regolamento, come precisato dal considerando 47 del medesimo G.D.P.R.
La conclusione cui giunge il Garante in ordine all’individuazione della base legittimante il trattamento è condivisibile, non fosse altro perché l’art. 6, par. 1, ultimo periodo del G.D.P.R. chiarisce espressamente che le autorità pubbliche non possono invocare il “legittimo interesse” come fondamento di un trattamento effettuato nell’esecuzione dei propri compiti.
Ma, una volta chiarito che l’attività di controllo – di primo e di secondo livello – svolta dall’INPS deve essere annoverata entro l’ambito dell’esecuzione di un pubblico potere (e, in particolare, può essere vista come necessaria al fine di reprimere indebiti accessi a indennità economiche da parte di chi non ne ha diritto), pare doversi dubitare che la stessa sia da considerarsi illecita[20].
Anche a volersi ammettere che l’assenza di un convincimento certo sulla spettanza del bonus ai parlamentari prima dell’inizio del trattamento dei dati abbia un rilievo in punto di liceità, tale circostanza al più potrebbe avere un rimbalzo nella valutazione della correttezza del trattamento.
Il principio di correttezza, intrinseco alla liceità ma da essa distinto in ragione della specificità che esso assume”[21], sembra riconducibile, cercando concetti noti alla nostra cultura giuridica, alla regola di buona fede, la quale impone al titolare del trattamento di porre in essere “tutti gli atti giuridici e/o materiali che si rendono necessari alla salvaguardia” dell’interessato, “nella misura in cui essi non comportino un apprezzabile sacrificio a suo carico”[22] in ogni fase del rapporto, dalla raccolta, all’elaborazione fino alla conservazione dei dati.
Il quesito da porsi è quindi se possa ritenersi – più che illecita – scorretta la condotta di quell’Amministrazione che, nutrendo un forte sospetto sulla spettanza di una certa indennità in capo ad alcuni soggetti, decida, nelle more che si sia formato un convincimento definitivo sul punto, di valutare se tale fattispecie effettivamente ricorra o meno[23].
Perché, in altre parole, questo è ciò che viene contestato all’INPS: che questi abbia iniziato il trattamento in esame prima che fosse prestabilita la spettanza del bonus Covid a parlamentari e amministratori locali. Anzi, da un punto di vista strettamente formalistico, sarebbe mancato, nel caso di specie, un “att[o], anche intern[o], legittim[o] in base alla normativa che disciplina l’esercizio dei compiti da parte dell’Istituto”, che si esprimesse sulla questione e che potesse costituire il presupposto per il successivo trattamento.
L’assenza di tale provvedimento pare essere decisiva nella valutazione sull’eventuale violazione del principio di correttezza: ciò, tuttavia, solo per l’ipotesi in cui si possa affermare che l’INPS non ha adeguatamente pianificato i propri controlli, esponendo gli interessati ai rischi connessi a trattamenti non necessari.
Per comprendere quindi se vi sia stato un trattamento non tanto illecito quanto scorretto, si dovrà ora concentrarsi sulla pianificazione dei controlli e sulla disciplina relativa sancita dal Regolamento.
4.2. La pianificazione dei controlli.
Prima di scandagliare la condotta dell’Istituto, per quel che è possibile grazie agli elementi che emergono dal provvedimento sanzionatorio, pare opportuno concentrarsi su un aspetto innovativo contenuto nel Regolamento, che ha un’importanza centrale nel caso che ci riguarda: la progettazione del trattamento.
Rispetto alla normativa precedente, il G.D.P.R. segna un “cambio di rotta” sotto diversi profili: uno di questi è che il Regolamento, a differenza del Codice Privacy, non si fonda sul rispetto di numerosi obblighi di carattere squisitamente formale, bensì essenzialmente sul richiamo al principio dell’accountability, ossia l’adozione di “comportamenti attivi tesi a dimostrare l’effettivo rispetto del Regolamento”[24].
Tale condotta, che si concretizza nell’adozione di misure tecniche ed organizzative adeguate proprio al conseguimento dello scopo, si colloca in due precisi momenti: una prima fase preliminare, prodromica al trattamento, nella quale al titolare competono scelte ed oneri organizzativi e decisionali quali la predisposizione dei mezzi dei quali avvalersi, cui ne segue una seconda, operativa, in cui si concreta il trattamento vero e proprio.
Questa impostazione, che va sotto il nome di “privacy by design”, ha lo scopo di assicurare che le garanzie di protezione dei dati siano osservate dalla progettazione iniziale dei sistemi di trattamento fin ai loro successivi funzionamenti e sviluppi[25].
Tali prescrizioni sono contenute nell’art. 25 G.D.P.R., a mente del quale “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”: a ciò provvede “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”.
Come si vede, la disposizione non contiene, al di là della menzione della pseudonimizzazione, un’elencazione delle misure che devono essere adottate dal titolare: l’intento è quello che quest’ultimo non si reputi adempiente agli obblighi del G.D.P.R. per il sol fatto di aver adottato strumenti volti a garantire e ad accrescere la sicurezza della conservazione e della protezione dei dati[26], ma che sia consapevole di dover fare un quid pluris, che sta al medesimo titolare individuare in cosa si concretizzi.
La privacy by design si sostanzia quindi in un approccio sistemico-gestionale, che ha come obiettivo finale quello di progettare sistemi di gestione dei dati in grado di ridurre, in senso selettivo e sostenibile, i rischi di data breach nei sistemi informativi: per fare ciò, è indispensabile che il trattamento dei dati sia preceduto da un’attività di design basata sul risk based approach e il goal oriented approach. In altre parole, la normativa eurounitaria non si è posta come obiettivo quello di ricercare dei rimedi ex post[27], quanto più che altro di imporre al titolare del trattamento di compiere un esame prudenziale delle attività che andrà a compiere e di adottare quelle misure di sicurezza – tecniche e organizzative – che garantiscono la protezione dei dati.
Insomma, non è possibile semplicemente affidarsi alle best practices del settore per assicurarsi un corretto sviluppo della progettazione: il titolare dovrà, infatti, secondo criteri di ragionevolezza e diligenza, valutare l’adeguatezza delle misure tecniche ed organizzative e garantire che esse tutelino al massimo le istanze degli interessati.
Oltre alle pseudonimizzazione di cui si è detto sopra, tra le tecniche di sicurezza cui il Regolamento conferisce carattere obbligatorio vi è anche la minimizzazione dei dati, ossia l’utilizzo solamente delle informazioni che sono necessarie rispetto alle finalità per cui il trattamento è svolto.
Ciò chiarito in via generale, è ora possibile tirare le fila su quanto è risultato accertato con riguardo alla condotta dell’INPS.
Dall’istruttoria condotta dal Garante sarebbe emerso che i controlli “di secondo livello” compiuti dall’Istituto avrebbero avuto a oggetto non solo i dati personali di coloro che hanno effettivamente percepito il bonus Covid, ma anche dei soggetti richiedenti che, a seguito di presentazione della relativa domanda, erano stati esclusi dal riconoscimento dell’indennità già all’esito dei controlli di primo livello.
Secondo quanto dichiarato, tale circostanza è stata determinata dal fatto che “la banca dati dell’Istituto relativa al bonus […] conteneva un insieme di dati disomogenei, che andavano dalle domande accolte, a quelle non ancora elaborate, a quelle in corso di riesame, ecc.” e, “posto che le istanze di accesso al bonus pervenute all’Istituto, da chiunque provenienti, compresi parlamentari, amministratori locali o regionali potevano trovarsi in una qualunque delle predette fasi di trattazione (accolte, non ancora elaborate, in corso di esame), l’incrocio dei dati doverosamente doveva essere globale […] senza escludere nulla all’esame dell’attività ispettiva”.
Da quel che ha dichiarato l’INPS sembra quindi che la verifica in ordine al fatto che l’istanza fosse stata presentata da un parlamentare o da un amministratore locale ovvero regionale si sia sommata alle altre in corso, non tenendosi in conto che la domanda poteva essere stata respinta per altre ragioni, indipendentemente dalla circostanza che il richiedente fosse titolare di un incarico tra quelli predetti.
A detta del Garante il trattamento risulterebbe esorbitare da quanto necessario rispetto alle finalità per le quali i dati sono trattati, ponendosi quindi in violazione del principio di minimizzazione di cui all’art. 5, par. 1, lett. c), del Regolamento, il quale impone di contenere i dati oggetto di trattamento a quelli indispensabili per il raggiungimento dello scopo perseguito[28].
Non solo. Come già anticipato sopra, l’Istituto ha proceduto alla raccolta di dati personali da banche dati esterne, detenute dalla Camera dei deputati e dal Dipartimento per gli affari interni e territoriali del Ministero dell’interno: mancando, tra i dati resi fruibili liberamente, il codice fiscale, l’Istituto ha proceduto a calcolarlo in autonomia, in base ai parametri contenuti nel d.m. 12 marzo 1974, n. 2227, e ha quindi operato un raffronto con quelli riportati dagli interessati nelle domande presentate per l’erogazione del “bonus Covid”.
Su tale modalità di calcolo il Garante rileva che esso potrebbe comportare errori, non tenendosi in conto i casi di cosiddetta “omocodia”, cioè di coincidenza, tra più interessati, di alcuni dati, che impone all’Agenzia delle Entrate di assegnare loro un particolare codice fiscale diverso da quello ottenuto mediante la procedura di calcolo.
Così riassunti la condotta tenuta dall’INPS e gli aspetti che della stessa rilevano ai fini della valutazione di eventuali violazioni del G.D.P.R., in particolar modo dell’obbligo di pianificare il trattamento, pare potersi affermare che solo per l’effetto di un esame parcellizzato e non globale del comportamento dell’INPS il Garante abbia potuto decidere nei termini anzidetti.
Vale la pena sgombrare subito il campo dalla questione relativa all’esattezza dei dati trattati.
Il rischio di omocodia paventato dal Garante, benché ovviamente esistente, è tuttavia di portata limitata (in Italia ci sarebbero all’incirca 30.000 persone che potrebbero condividere lo stesso codice fiscale) e, nonostante non possa negarsi che il metodo adottato dall’INPS avrebbe potuto condurre a errori, il Garante, sotto questo profilo, pare non tenere in conto che l’Istituto, una volta aperto il procedimento di verifica sul trattamento dei dati in questione, ha interrotto ogni attività e non ha mai portato a termine i controlli di secondo livello. L’Authority avrebbe dovuto accertare – cosa che invece non ha fatto – quali ulteriori adempimenti sarebbero stati messi in campo dall’INPS prima di pronunciare un provvedimento di revoca del contributo, adempimenti che avrebbero potuto includere anche meccanismi di correzione delle eventuali inesattezze (fermo restando, e questo è indubitabile, che le stesse non sono state preventivate a monte e che quindi un meccanismo correttivo avrebbe potuto essere adottato solo “in corsa”).
Al di là di questo profilo che, se pur discutibile, non pare dirimente, la contestazione relativa alla mancata pianificazione dei controlli risiede ancora una volta nel fatto di aver proceduto a trattare i dati dei parlamentari (e degli altri amministratori locali), senza aver prima accertato in via ultimativa se a questi spettasse il bonus oppure no.
Ridotta a questi termini, la questione sembra ricondursi a un’eventuale inversione logica del procedimento, dovendosi imputare all’INPS di aver prima voluto comprendere la portata del problema e poi acclarare se di un problema effettivamente si potesse discorrere.
Un approccio di questo tipo da parte del Garante, però, pare, oltre che fondato su presupposti in fatto erronei, estremamente miope, perché inevitabilmente finisce per osservare la fattispecie da lontano, senza metterne a fuoco i dettagli, concentrandosi solamente su una serie di aspetti di secondario rilievo, che assumono importanza solo perché vicini allo sguardo di chi giudica.
L’Authority, infatti, ha valorizzato, in sostanza, un solo elemento: la mancanza di un atto – ossia di un documento – in cui l’INPS abbia versato il proprio parere in ordine alla spettanza del bonus. Così facendo, però, è mancato qualsiasi tipo di accertamento sui “comportamenti attivi” tenuti dall’Istituto.
Pare evidente, dalla ricostruzione dei fatti che emerge dal provvedimento, che l’INPS ha agito seguendo binari paralleli, dovendo perseguire finalità diverse nella sua azione.
L’Istituto doveva infatti bilanciare, da un lato, l’interesse dei soggetti istanti a vedersi corrisposto il bonus nel più breve tempo possibile, pena l’inefficacia di una misura che fosse stata erogata a emergenza conclusa; dall’altro lato, l’INPS doveva evidentemente evitare di erogare il bonus a chi erroneamente ne aveva fatto richiesta.
Esauriti quindi i controlli di primo grado, in grado di rilevare i casi più evidenti di trasgressione, è iniziato il secondo livello di verifiche, processo che comunque non poteva avere una durata irragionevole, pena non solo la difficoltà per l’erario di recuperare le somme illegittimamente erogate e magari già impiegate dai beneficiari, ma anche la lesione dell’affidamento ingenerato in questi ultimi dall’erogazione e dalla mancata sollecita revoca del bonus stesso.
A fronte di un dato legislativo piuttosto incerto, che ha costretto l’INPS a chiedere un parere anche al Ministero del Lavoro, l’Amministrazione ha ritenuto opportuno – si appende dalla lettura del provvedimento – cominciare le attività di verifica sui parlamentari, e ciò sulla base del convincimento che essi non avessero diritto alla percezione del contributo.
Come rimarca il Garante, tale convincimento non è stato consacrato in alcun atto interno, ma è altrettanto vero che tale incombente non era necessario, dovendo i casi di revoca del bonus risultare dalla mera interpretazione del dato letterale legislativo.
Insomma, sembra che il sintomo dell’assenza di pianificazione sia stata l’incertezza della legge sul punto e la manifestazione che anche per l’INPS il tema non era chiaro, avendo l’istituto domandato un parere al Ministero (che peraltro ha tardato mesi prima di fornirlo).
È passata invece sotto silenzio l’efficienza di questa Amministrazione e l’efficacia della sua azione: l’INPS, infatti, senza attendere per lungo tempo un parere non necessario da parte di un altro ente, ha intrapreso quelle attività prodromiche al recupero dei contributi erogati a soggetti non legittimati a riceverlo: attività che è stata compiuta non sulla base dell’incertezza normativa, ma del convincimento dell’ente della correttezza dell’interpretazione che esso stesso vi aveva fornito.
Al di là quindi di alcuni profili di inesattezza nel trattamento dei dati (come, ad esempio, aver calcolato il codice fiscale in modo automatico) e di un loro utilizzo sovrabbondante rispetto alle finalità (costituito dal fatto di aver cercato se vi fossero dei parlamentari tra gli istanti, anche tra coloro che già erano stati esclusi all’esito dei controlli di primo livello), non sembra potersi affermare che sia mancata una pianificazione dei controlli da parte dell’INPS e che il Garante sia giunto a questa erronea conclusione valorizzando un elemento di fatto non decisivo (l’assenza di un atto interno che desse conto della spettanza del “bonus Covid” ai parlamentari).
Ciò detto, però, al fine di comprendere se effettivamente la condotta tenuta dall’INPS possa dirsi o meno conforme al G.D.P.R., deve verificarsi se la stessa sia in grado di superare l’esame dell’accountability, che, come si è detto, costituisce il core della disciplina contenuta nel G.D.P.R.
4.3 Il principio di responsabilizzazione
Come si evince da quel che si è detto, l’art. 25 del G.D.P.R. rappresenta a buon diritto “una tra le norme più ambiziose dell’intera riforma”, racchiudendosi qui uno tra i principali obiettivi del Regolamento: la responsabilizzazione del titolare.
Essa va intesa secondo una duplice accezione: come anticipazione responsabile di tutele, misure e procedure (responsabilizzazione vera e propria) e come rendicontazione, ossia dimostrazione di aver rispettato le regole.
Il principio è consacrato al secondo paragrafo dell’art. 5 del G.D.P.R., il quale individua l’oggetto della responsabilità nei principi di cui al primo paragrafo. In verità, come è stato sottolineato, “esso costituisce una forza sotterranea che informa di sé pressoché tutti gli istituti del Regolamento”: esso è “il verso nella cui direzione occorre applicare e interpretare le norme de qua”[29].
Pare quindi che esso costituisca il parametro migliore per testare la condotta dell’INPS: bisognerà quindi verificare se, come insegna l’art. 25 a proposito della privacy by design, l’Istituto si sia dimostrato responsabile (e responsabilizzato) prima del trattamento. Il controllo, collocandosi ex post, sarà quindi finalizzato a verificare se il titolare sia in grado di fornire prova non solo dell’an (ossia di aver adottato delle misure), ma anche del quomodo e del quantum, cioè dell’efficacia delle scelte compiute.
Per rispondere quindi al quesito se l’INPS abbia effettivamente omesso di pianificare i propri controlli, si deve ripartire da ciò che ha fatto l’Istituto, così come emerso nell’istruttoria.
Nel provvedimento in commento il Garante ricostruisce nei dettagli la condotta tenuta dall’INPS, concentrandosi in particolar modo su tutti quegli elementi fattuali che dovrebbero rendere palese che l’Istituto avrebbe agito in modo casuale, in assenza di un progetto a monte sui controlli da svolgere.
Risulterebbe infatti che il trattamento di dati personali in questione sia stato effettuato prima della fine del mese di maggio 2020[30], quindi – annota il Garante – in un momento anteriore a quando è stato chiarito in via definitiva se gli incarichi di parlamentare e di amministratore regionale o locale costituissero una condizione ostativa alla spettanza del bonus Covid.
L’Authority àncora il momento in cui sarebbe stata raggiunta una ragionevole certezza sulla questione alla data in cui è giunto il parere – richiesto dall’INPS – al Ministero del Lavoro e delle Politiche Sociali, pervenuto il 2 dicembre 2020 (ossia nel corso del procedimento), dando scarso rilievo al fatto che la Direzione Centrale Antifrode, Anticorruzione e Trasparenza dell’INPS era già giunta in autonomia alla medesima conclusione[31].
La ricostruzione così proposta non sembra però corretta.
L’INPS ha infatti dichiarato che “la Direzione Centrale Antifrode, Anticorruzione e Trasparenza, secondo un’interpretazione letterale della norma alla luce dei parametri costituzionali di riferimento, considerava la prestazione non spettante ai parlamentari ed ai titolari di cariche presso le amministrazioni locali”, ma che “la complessità delle questioni in gioco richiedeva un approfondimento da parte delle Direzioni amministrative competenti e del vigilante Ministero del Lavoro e delle Politiche Sociali”.
Non è dato sapere se la Direzione Centrale predetta abbia cristallizzato in un atto interno il proprio convincimento, ma pare che, per quanto oscura fosse la questione, ben avesse interpretato la normativa di settore e che, sulla base di ciò, abbia deciso di intraprendere i controlli di secondo livello relativamente alle categorie soggettive di cui si è detto.
Peraltro, il parere del Ministero non era certo presupposto necessario per le attività di recupero che l’INPS sarebbe andato poi a compiere: insomma, anche a fronte di un’opinione diametralmente opposta che il Ministero avesse formulato, nulla avrebbe vietato all’Istituto di ritenere prevalente – perché migliore – la propria interpretazione delle disposizioni rilevanti.
Non pare, poi, che si possa biasimare la scelta dell’INPS di cominciare l’attività di controllo nel più breve tempo possibile, considerando l’esito che tali controlli hanno: quello di recupero di somme già versate ai richiedenti, risultando quindi certamente preferibile per chi si è visto accreditare il bonus, così come per l’Istituto che deve procedere al recupero, che tale attività si svolga nell’immediatezza e non a distanza di parecchi mesi.
Quanto al principio di responsabilizzazione, il Garante scrive che, alla luce della documentazione prodotta nell’ambito dell’istruttoria, l’INPS non è stato, in generale, in grado di comprovare, con argomenti logici o prove di fatto, le ragioni delle decisioni assunte nell’ambito del complesso trattamento di dati personali effettuato, al fine di dimostrare all’Autorità il rispetto della normativa in materia di protezione dei dati personali secondo quanto previsto dal «principio di responsabilizzazione» (art. 5, par. 2 del Regolamento).
Prova di ciò si avrebbe dalle dichiarazioni rilasciate con riferimento, ad esempio, alla questione dell’individuazione dei casi di spettanza del bonus, cui si aggiungerebbe il fatto che quanto dichiarato nelle predette note non sarebbe supportato da un’adeguata documentazione atta a comprovare quali livelli decisionali sono stati coinvolti, le valutazioni effettuate, le ragioni sottese alle decisioni prese e le misure adottate in relazione al trattamento dei dati personali in esame.
Ad avviso di chi scrive, il giudizio del Garante sembra eccessivamente severo, considerati le risultanze istruttorie e il significato delle disposizioni che il titolare avrebbe violato.
Nella valutazione dell’eventuale violazione del principio di responsabilizzazione è necessario, come si è detto, porsi idealmente nel momento precedente l’inizio del trattamento e considerare le attività che in quel momento sono state messe in atto: con specifico riferimento alla condotta dell’INPS, si può dire che quest’ultimo, in quella fase prodromica, si trovava in una situazione di incertezza normativa, da un lato, e di necessità di operare un bilanciamento tra interessi, dall’altro.
Quanto a questo secondo profilo, l’INPS, incaricato per legge di gestire l’erogazione del bonus Covid, ha condivisibilmente soddisfatto l’interesse della platea di professionisti che attendevano la nota indennità programmando solamente un controllo di primo livello di tipo automatico, garantendo così la liquidazione del danaro in tempi rapidi; così facendo, peraltro, già ha fatto fronte al rischio di frodi, eliminando dalla platea dei beneficiari una parte dei richiedenti. Le situazioni personali che, invece, richiedevano un maggior livello di indagine sono state riservate a una seconda fase, nella quale si è posto il problema che qui ci riguarda. La questione relativa alla spettanza del bonus ai parlamentari risulta essere stata risolta dalla Direzione Centrale Antifrode dell’INPS, che, sulla base di quel risultato, ha proceduto alle verifiche su descritte.
Benché manchi agli atti un provvedimento in cui l’Istituto abbia dato conto del proprio parere in ordine alla spettanza del “bonus Covid” ai soggetti titolari di incarichi politici, è incontestato che a tale convincimento l’INPS sia giunto prima di cominciare il trattamento (e certamente non potranno avere un impatto sulla condotta tenuta dall’Istituto le ragioni che lo hanno condotto a questa conclusione, rilevando solamente che tale scelta sia stata compiuta prima di cominciare il trattamento, e non a valle).
Non sembra quindi potersi concludere che sia mancata una pianificazione delle attività di controllo, ma semmai che l’Istituto non sia stato in grado di costituirsi la prova dell’esistenza di un proprio parere sulla disciplina da applicare. Prova che, lo si ripete, si dubita che dovesse esistere, considerato che la pianificazione ben può risultare anche da comportamenti tenuti dal titolare del trattamento.
In ordine poi all’efficacia delle scelte compiute, poco dice il provvedimento, limitandosi a rilevare che sarebbe mancata a monte la scelta di domandare all’Agenzia delle Entrate i codici fiscali dei parlamentari (invece che procedere a un calcolo automatico degli stessi).
Al netto di tale superficialità, che certo non può essere scusabile (benché non risulti aver condotto a qualche errore), non sembra potersi predicare che l’essenzialità della pianificazione dell’INPS si sia riverberata in gravi violazioni del G.D.P.R.
5. Conclusioni
Essendo risultato indimostrabile che la diffusione delle notizie in ordine al fatto che alcuni parlamentari avevano presentato istanza per ottenere il cosiddetto “bonus Covid” fosse attribuibile dall’INPS, il Garante ha intrapreso un’indagine in ordine al relativo trattamento dei dati.
È risultato accertato, in modo peraltro condivisibile, che l’Amministrazione abbia compiuto degli errori, avendo proceduto a calcolare il codice fiscale dei parlamentari in modo automatico e in autonomia (senza tenere in conto il rischio di omocodia) e abbia compiuto un trattamento inutile, verificando se vi erano dei parlamentari e degli amministratori locali non solo tra coloro cui il bonus era stato erogato ma anche tra gli esclusi all’esito dei controlli di primo livello (avendo utilizzato una banca dati che sommava tutti gli istanti).
È stato tuttavia stabilito che l’INPS non avrebbe adeguatamente pianificato l’attività di controllo, non avendo predeterminato la spettanza del bonus in capo ai titolari di incarichi politici prima di verificare se alcuni di questi avevano presentato istanza. Tale conclusione, come si è detto, appare erronea in punto di fatto, non avendo il Garante tenuto in considerazione che la Direzione Antifrode era giunta a formulare un parere prima di procedere al trattamento.
Di più, dalla ricostruzione sopra esposta pare che l’INPS abbia agito in modo tutt’altro che casuale, abbia compiuto un’indagine legale sulla spettanza del contributo e, sulla base dei risultati cui è giunto, abbia cominciato il trattamento dei dati finalizzato a recuperare le elargizioni illegittimamente disposte.
Si rivela poi eccessiva la contestazione del Garante, sempre con riguardo alle lacune nell’attività di pianificazione, in ordine all’assenza di prova di quali livelli decisionali siano stati coinvolti dall’INPS, di che valutazioni in concreto esso abbia fatto e che ragioni abbia posto alla base delle decisioni prese. Anzi, un’affermazione di questa portata, che impone un surplus di pianificazione non richiesto dal G.D.P.R., sembra, ad avviso di chi scrive, un aggravamento procedimentale inutile, finalizzato più che altro alla precostituzione di una prova in capo al titolare dell’attività svolta, piuttosto che a verificare l’evidenza che quell’attività sia stata effettivamente svolta.
Un approccio di questo genere, focalizzato sugli adempimenti formali piuttosto che sulla valorizzazione dei comportamenti attivi, sembra una regressione al Codice Privacy, regressione che non tiene conto del progresso fatto dalla legislazione eurounitaria, la quale, anche attraverso il Regolamento, impone non atti formali ma condotte concrete, in grado di dimostrare l’effettivo e sostanziale rispetto del G.D.P.R. Condotte che nel caso di specie non si può dubitare che non vi siano state.
[1] Nel provvedimento in commento si può leggere che è “verosimile che l’origine della diffusione della notizia e dei nomi dei cinque deputati richiedenti il sussidio sia interna all’INPS, al tempo l’unico ente a conoscenza di tali informazioni a seguito dei controlli che essa sola stava effettuando”.
[2] Il riferimento è a membri della Camera dei deputati, di Consigli e Giunte regionali, provinciali e comunali.
[3] Con riferimento alla divulgazione degli esiti di tali controlli alla stampa, l’INPS ha dichiarato che, “nessuna attività di comunicazione a terzi è stata effettuata dall’Istituto in ordine all’attività ispettiva in essere”; circostanza che è stata più volte ribadita dall’Istituto, anche in sede di audizione parlamentare, nel corso della quale il Presidente ha precisato di aver informato, già a fine maggio, il Consiglio di amministrazione dell’Istituto dell’esito dei primi controlli effettuati.
[4] di cui all’art. 5, par. 1, lett. a), del Regolamento.
[5] di cui all’art. 5, par. 1, lett. c), del Regolamento (cfr. par. 6.2).
[6] di cui all’art. 5, par. 1, lett. d), del Regolamento (cfr. par. 6.3).
[7] di cui agli artt. 5, par. 2 e 24, del Regolamento (cfr. par. 6.6).
[8] di cui all’art. 35 del Regolamento (cfr. par. 6.5).
[9] di cui all’art. 25 del Regolamento (cfr. parr. 6.1 e 6.4).
[10] Il riferimento è ai suoi artt. 27, 28, 29, 30, 31 e 38.
[11] Non titolari di pensione e non iscritti ad altre forme previdenziali obbligatorie (così l’art. 27).
[12] Non titolari di pensione e non iscritti ad altre forme previdenziali obbligatorie (così l’art. 27).
[13] Iscritti alle gestioni speciali dell’Ago, non titolari di pensione e non iscritti ad altre forme previdenziali obbligatorie, ad esclusione della Gestione separata di cui all’articolo 2, comma 26, della legge 8 agosto 1995, n. 335 (così l’art. 28).
[14] Nonché ai dipendenti degli stabilimenti termali che hanno cessato involontariamente il rapporto di lavoro nel periodo compreso tra il 1° gennaio 2019 e la data di entrata in vigore del decreto, non titolari di pensione e non titolari di rapporto di lavoro dipendente (così l’art. 29).
[15] Impiegati a tempo determinato, non titolari di pensione, che nel 2019 abbiano effettuato almeno 50 giornate effettive di attività di lavoro agricolo (così l’art. 30).
[16] Con almeno 30 contributi giornalieri versati nell’anno 2019 al medesimo Fondo, cui deriva un reddito non superiore a 50.000 euro, e non titolari di pensione (così l’art. 38).
[17] Diritto subordinato per legge alla mancata titolarità di una pensione, all’assenza di iscrizione ad altra forma previdenziale obbligatoria, ovvero, nei casi in cui il diritto nascesse in virtù di un rapporto di lavoro dipendente svolto nell’anno 2019, all’insussistenza di un rapporto di lavoro dipendente alla data di entrata in vigore del decreto (17 marzo 2020).
[18] Si tornerà nel prosieguo a discutere sul fatto se l’INPS abbia commesso un’inversione logica, nel momento in cui ha deciso prima di verificare se vi fossero dei parlamentari tra i richiedenti il “bonus Covid” e poi di acclarare se questi avessero diritto a percepirlo; vale la pena subito anticipare che la tesi del Garante è che l’Istituto avrebbe dovuto agire in senso opposto, ossia prima accertarsi se i membri delle due Camere e gli amministratori locali e regionali avessero astrattamente titolarità a ricevere il bonus in parola e, di poi, in caso di esito negativo, cercare i trasgressori.
[19] Così Piraino, La liceità e la correttezza, in Panetta (a cura di), Libera circolazione e protezione dei dati personali, I, Milano, 2006, 750 (benché con riguardo alla disciplina previgente il G.D.P.R.).
[20] Del resto, come annota attenta dottrina, il riferimento al legittimo interesse del titolare è posto, nelle argomentazioni del regolatore, a presidio del soddisfacimento di interessi pubblici: così Bosa, Commento all’art. 6 del G.D.P.R., in Commentario del Codice civile diretto da E. Gabrielli, Delle persone – Leggi collegate, vol II, Milano, 2019, 132 s.
[21] Si veda Navarretta, Art. 11, in Nuove leggi civ., 1999, 251, per la quale “la loro distinzione … consiste nella diversità del precetto violato. Tramite la liceità il legislatore detta specifiche regole di condotta, il cui contenuto – di matrice integralmente eteronoma – è in toto determinato a priori. Tramite la correttezza il legislatore indica all’agente un canone generale cui deve attenersi la sua condotta, che rimane fondamentalmente libera, ma nel rispetto della clausola generale che colora tale autonomia di una connotazione discrezionale”.
[22] Vedi Bianca, La nozione di buona fede quale regola di comportamento contrattuale, in Riv. dir. civ., 1983, I, 211.
[23] Lo si ripete: ammesso che tale convincimento non vi sia. Anche se, per quel che si dirà nel prosieguo, tale conclusione sembra da rifiutarsi.
[24] Montanari, Commento all’art. 25 del G.D.P.R., in Commentario del Codice civile diretto da E. Gabrielli, Delle persone – Leggi collegate, vol II, Milano, 2019, 524 ss.
[25] Tale approccio e la stessa formula privacy by design si devono ad Ann Cavoukian, Information and Privacy Commissioner dell’Ontario, che già negli Anni ‘90 elaborò questi concetti. L’autrice canadese scrive che “Privacy by Design advances the view that the future of privacy cannot be assured solely by compliance with regulatory frameworks; rather, privacy assurance must ideally become an organization’s default mode of operation”: cfr. Cavoukian, The 7 Foundational Principles, in https://www.ipc.on.ca/wpcontent/uploads/Resources/7foundationalprinciples.pdf . I concetti di privacy by design sono stati poi oggetto di discussione in seno alla Conferenza mondiale dei Garanti per la protezione dei dati personali tenutasi a Gerusalemme il 27-29 ottobre 2010, all’esito della quale è stata adottata una Resolution on Privacy by design, nella quale sono stati adottati i “sette principi” elaborati da Cavoukian. Essi sono: 1. Proactive not Reactive; Preventative not Remedial; 2. Privacy as the Default; 3. Privacy Embedded into Design; 4. Full Functionality: Positive-Sum, not Zero-Sum; 5. End-to-End Lifecycle Protection; 6. Visibility and Transparency; 7. Respect for User Privacy. La risoluzione è disponibile sul sito del Garante: https://www.garanteprivacy.it/documents/10160/10704/1807346.pdf/e2a585d9-7863-468c-81f5-0d5c57815b54?version=1.0 Sull’importanza del concetto di privacy by design e sulle sue ripercussioni, si veda quel che afferma la dottrina tedesca, in particolare Martini, in Paal, Pauly, Datenschutz-Grundverordung Bundesdatenschutzgesetz, München, 2018, 319, sub Art. 25: “Das Konzept „privacy by design” setzt entspr. auf der Erkenntnis auf, dass sich der Schutz informationeller Selbstbestimmung am besten sicherstellen lässt, wenn er bereits in die Programmierung und architektonische Konzipierung der Datenverarbeitungsvorgänge sowie der Datenverarbeitungstechnik integriert ist und bei deren Entwicklung Berücksichtigung findet“.
[26] Ci si riferisce qui alle Privacy Enhancing Technologies (PET), ossia quelle tecniche finalizzate alla minimizzazione dei dati personali raccolti e utilizzati, consistenti nell’adozione di pseudonimi, credenziali di accesso e ogni altro strumento volto a garantire anonimato e sicurezza dei dati.
[27] Rimedi che comunque non mancano. Sul tema non ci si concentra, ma si rinvia ai contributi di Mantelero (Cap. 6, par. 3) e Ratti (Cap. 13, par. 1) in Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, opera diretta da Finocchiaro, Bologna, 2017.
[28] Resta, Commento all’art. 5, in Riccio, Scorza, Bellisario (a cura di), G.D.P.R. e normativa privacy, Milano, 2018, 58.
[29] Così Achille, Commento all’art. 5 del G.D.P.R., in Commentario del Codice civile diretto da E. Gabrielli, Delle persone – Leggi collegate, vol II, Milano, 2019, 114.
[30] Come è emerso dall’audizione del Presidente alla Camera dei deputati.
[31] Nel provvedimento del garante viene citata una nota di INPS dove questi dichiara: “la Direzione Centrale Antifrode, Anticorruzione e Trasparenza, secondo un’interpretazione letterale della norma alla luce dei parametri costituzionali di riferimento, considerava la prestazione non spettante ai parlamentari ed ai titolari di cariche presso le amministrazioni locali”.