NEWS

Violazioni privacy e discriminazioni sui cittadini, e il DPO neanche era stato interpellato. Sanzione record all’agenzia delle entrate olandese

L'Agenzia delle entrate dei Paesi Bassi elaborava e conservava illecitamente dati di 270.000 persone all'interno di una black list utilizzata per individuare gli evasori e le frodi, il cui utilizzo in violazione alle normative sulla privacy ha avuto pesanti impatti discriminatori nei confronti di cittadini in base a nazionalità e tipologia di spese effettuate. Il tutto senza aver neanche chiesto prima un parere al Data Protection Officer.

Sanzione record per l’agenzia delle entrate olandese

Il database, denominato Fraud Signaling Facility (Fsv), era stato infatti utilizzato per tracciare tutti i tipi di segnali di potenziale frode sospetta o accertata sia all'interno che all'esterno dell'Agenzia delle entrate olandese. Come ha spiegato l’autorità nel comunicato stampa che ha reso noto il provvedimento adottato al termine dell’istruttoria del caso, se ad esempio il contribuente aveva nazionalità turca o marocchina veniva allora sottoposto ad ulteriori approfondimenti senza una valida ragione proprio a causa delle sue origini, e stesso trattamento veniva riservato a chi portava un cognome che sembrava provenire dall’Europa dell’Est, fattore che faceva scattare un alert per segnalare la persona come ad elevato rischio di frode.

Aleid Wolfsen, presidente dell’autorità di controllo olandese per la protezione dei dati olandese

(Nella foto: Aleid Wolfsen, presidente dell’autorità per la protezione dei dati dei Paesi Bassi)

Come ha sottolineato Aleid Wolfsen, presidente dell’autorità di controllo olandese per la protezione dei dati (Autoriteit Persoonsgegevens), quella dall'Agenzia delle Entrate olandese “è una discriminazione inaccettabile”, perché “le persone sono state spesso erroneamente etichettate come fraudolente, con conseguenze terribili”, e per questo il garante olandese le ha inflitto una sanzione record per i Paesi Bassi di 3,7 milioni di euro, contestando una lunga serie di violazioni del Regolamento UE sulla protezione dei dati personali (Gdpr), tra cui l’assenza di una valida base giuridica per effettuare il trattamento, la conservazione troppo lunga degli alert generati dalla black list, l’inesattezza delle informazioni contenute nel database, la carenza nelle misure di sicurezza, e addirittura il solo fatto di non aver neanche coinvolto il Data Protection Officer prima di iniziare un trattamento di dati così delicato è costato 500.000 euro al fisco olandese. Infatti, agli atti risulta che solo dopo più di un anno, l’Agenza delle Entrate aveva “chiesto un consiglio al DPO”, quando era probabilmente ormai troppo tardi.

Black list utilizzata per individuare gli evasori e le frodi in violazione alle normative sulla privacy

Il ministro responsabile delle Entrate olandesi, Marnix van Rij, ha ammesso che la decisione dell’autorità per la privacy è stata "dura e innegabile, e mostra ancora una volta che sono necessari miglioramenti fondamentali”, anticipando che per questo non presenterà ricorso alla multa. Peraltro, non si tratta neanche della prima volta che l'autorità fiscale olandese viene colta in fallo sul rispetto della privacy, in quanto già lo scorso anno aveva ricevuto una sanzione di 2,75 milioni di euro a seguito di un trattamento illecito di codici fiscali e partite iva dei lavoratori autonomi nell’ambito di una vicenda legata alle frodi sui sussidi per l'assistenza ai bambini, da cui era derivato un tale scandalo da causare le dimissioni del governo olandese.

Note sull'Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev La moglie che sta divorziando passa ai raggi X reddito e patrimonio di lui
Next Dati sull'HIV e altre informazioni sulla salute diffuse online: privacy svanita per 500mila pazienti e maxi sanzione per la società informatica

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy