在调查冠状病毒危机期间要求国家援助的政客时,意大利社会保障和养老金机构Istituto Nazionale della Previdenza Sociale(INPS)因违反隐私保护法而被勒令支付30万欧元。
《共和报》(La Repubblica)去年8月报道称,该机构的反欺诈部门发现,有5名议员和2000名地区或地方政界人士声称,政府的“新冠病毒津贴”高达每月1000欧元,以帮助在增值税(vat)注册的个别人度过大流行的早期阶段。
但是,意大利数据保护局Garante随后对INPS所采用的方法进行了调查。
DPA承认INPS的反欺诈调查事关诸多公众利益,但DPA表示,它在该机构使用的方法中发现了许多问题。
Garante得出结论,INPS未能为处理某些Covid津贴申请人的数据定义标准;为控制目的使用了不必要的信息;使用了不正确或不完整的数据;且没有充分评估隐私风险。
DPA还发现,INPS无法证明自己进行了检查,以遵守欧盟《通用数据保护条例》(GDPR),违反了设计隐私原则、默认隐私原则和问责制。
在从公开来源获取了成千上万担任政治职务的人的信息后,该机构将其与要求奖金的人的数据进行了交叉引用,而没有首先确定政客们是否有权享受这一利益,也没有考虑到所担任职务的不同性质。
Garante说:“INPS违反了欧盟个人数据保护条例所确立的合法、正确和透明原则。”
此外,DPA表示,该机构没遵守数据最小化原则。
DPA还发现,INPS没有对数据主体的权利和自由进行影响评估,因此未充分评估与此类精细数据处理相关的风险。
除了罚款,Garante还要求INPS删除到目前为止处理过的不必要数据,并进行充分的隐私影响评估。(本文出自SCA安全通信联盟,转载请注明出处。)