Violazioni privacy e discriminazioni sui cittadini, e il DPO neanche era stato interpellato. Sanzione record all’agenzia delle entrate olandese
L'Agenzia delle entrate dei Paesi Bassi elaborava e conservava illecitamente dati di 270.000 persone all'interno di una black list utilizzata per individuare gli evasori e le frodi, il cui utilizzo in violazione alle normative sulla privacy ha avuto pesanti impatti discriminatori nei confronti di cittadini in base a nazionalità e tipologia di spese effettuate. Il tutto senza aver neanche chiesto prima un parere al Data Protection Officer.
Il database, denominato Fraud Signaling Facility (Fsv), era stato infatti utilizzato per tracciare tutti i tipi di segnali di potenziale frode sospetta o accertata sia all'interno che all'esterno dell'Agenzia delle entrate olandese. Come ha spiegato l’autorità nel comunicato stampa che ha reso noto il provvedimento adottato al termine dell’istruttoria del caso, se ad esempio il contribuente aveva nazionalità turca o marocchina veniva allora sottoposto ad ulteriori approfondimenti senza una valida ragione proprio a causa delle sue origini, e stesso trattamento veniva riservato a chi portava un cognome che sembrava provenire dall’Europa dell’Est, fattore che faceva scattare un alert per segnalare la persona come ad elevato rischio di frode.
(Nella foto: Aleid Wolfsen, presidente dell’autorità per la protezione dei dati dei Paesi Bassi)
Come ha sottolineato Aleid Wolfsen, presidente dell’autorità di controllo olandese per la protezione dei dati (Autoriteit Persoonsgegevens), quella dall'Agenzia delle Entrate olandese “è una discriminazione inaccettabile”, perché “le persone sono state spesso erroneamente etichettate come fraudolente, con conseguenze terribili”, e per questo il garante olandese le ha inflitto una sanzione record per i Paesi Bassi di 3,7 milioni di euro, contestando una lunga serie di violazioni del Regolamento UE sulla protezione dei dati personali (Gdpr), tra cui l’assenza di una valida base giuridica per effettuare il trattamento, la conservazione troppo lunga degli alert generati dalla black list, l’inesattezza delle informazioni contenute nel database, la carenza nelle misure di sicurezza, e addirittura il solo fatto di non aver neanche coinvolto il Data Protection Officer prima di iniziare un trattamento di dati così delicato è costato 500.000 euro al fisco olandese. Infatti, agli atti risulta che solo dopo più di un anno, l’Agenza delle Entrate aveva “chiesto un consiglio al DPO”, quando era probabilmente ormai troppo tardi.
Il ministro responsabile delle Entrate olandesi, Marnix van Rij, ha ammesso che la decisione dell’autorità per la privacy è stata "dura e innegabile, e mostra ancora una volta che sono necessari miglioramenti fondamentali”, anticipando che per questo non presenterà ricorso alla multa. Peraltro, non si tratta neanche della prima volta che l'autorità fiscale olandese viene colta in fallo sul rispetto della privacy, in quanto già lo scorso anno aveva ricevuto una sanzione di 2,75 milioni di euro a seguito di un trattamento illecito di codici fiscali e partite iva dei lavoratori autonomi nell’ambito di una vicenda legata alle frodi sui sussidi per l'assistenza ai bambini, da cui era derivato un tale scandalo da causare le dimissioni del governo olandese.