Garante per la protezione dei dati personali: comunicazione agli interessati coinvolti nel data breach INPS – 14 maggio 2020
Premessa
Nell’aprile 2020, in occasione dell’avvio delle procedure necessarie per la richiesta di erogazione di prestazioni a sostegno del reddito, così come previste dal d.l. 18/2020, per far fronte alla situazione emergenziale da Covid-19, sono arrivate al Garante per la protezione dei dati personali numerose segnalazioni con cui sono state comunicate ripetute violazioni di sicurezza di dati personali registrati sul portale INPS.
In considerazione di dette segnalazioni, è stata avviata preliminarmente un’istruttoria nei riguardi dell’INPS mediante due note dell’Ufficio del Garante Privacy, quella del 01.04.2020 e quella del 20.04.2020.
In particolare, nella prima di esse veniva lamentata la violazione dei dati personali determinata dal caching delle informazioni personali presenti nel portale www.inps.it, che aveva prodotto la replica di alcune schede anagrafiche (e di conseguenza la comunicazione di dati quali: nome, cognome, codice fiscale, residenza, data e luogo di nascita, indirizzo mail e PEC) che sono state portate a conoscenza di soggetti terzi, non autorizzati, che avevano effettuato l’accesso al portale web dell’INPS per richiedere l’erogazione delle prestazioni a sostegno del reddito introdotte per l’emergenza Covid. A tal proposito, l’Istituto nazionale previdenza sociale ha rappresentato che, dopo aver riscontrato le prime criticità nel sistema, ha provveduto tempestivamente alla chiusura dello stesso e alla sua riattivazione dopo tre ore, nonché all’istituzione di una apposita casella violazionedatiGDPR@inps.it, resa pubblica, ove ricevere le segnalazioni degli utenti coinvolti. Pertanto, anche a fronte dell’identificazione di non oltre 23 soggetti interessati dalla violazione, l’Istituto di previdenza nazionale ha ritenuto che non potesse trattarsi di una violazione tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche interessate.
Nella seconda nota, invece, si è lamentata la violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting, a causa della quale sono stati resi noti a terzi non autorizzati diverse tipologie di dati personali del richiedente il bonus, del figlio minore e del coniuge (dati quali: nome, cognome, codice fiscale, residenza, data e luogo di nascita, indirizzo mail e PEC). A tal riguardo, l’INPS ha segnalato di aver provveduto immediatamente alla chiusura del servizio e alla correzione delle anomalie, che avrebbero riguardato circa 773 utenti, ritenendo quindi anche in questo caso che, non essendosi riscontrate evidenze di diffusione dei dati personali di specifiche domande di Baby Sitting, la violazione non fosse tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Il provvedimento del Garante
A seguito dell’istruttoria effettuata, lo scorso 14 maggio 2020, il Garante per la Protezione dei Dati Personali ha quindi emesso un provvedimento nei confronti dell’Istituto nazionale previdenza sociale, con cui ha ingiunto a quest’ ultimo di comunicare agli interessati, che sono stati coinvolti, le violazioni dei dati personali realizzatesi a seguito dei due suddetti data breach sul proprio portale.
Rispetto alle risposte e agli elementi forniti dall’INPS nelle note difensive presentate lo scorso aprile, il Garante ha provveduto ad arricchire il quadro istruttorio, sulla base di quanto emerso da segnalazioni e reclami degli utenti, tramite i quali si è provato che: (i) le violazione fossero numericamente maggiori di quelle individuate dall’INPS; (ii) le stesse riguardassero dati ulteriori e particolarmente sensibili, come ad esempio la posizione lavorativa e fiscale dell’utente; (iii) pertanto, dette violazioni intervenute a seguito dei Data Breach sul portale INPS fossero consistenti, tanto da determinare un’invasione della sfera privata dell’utente, un disagio psicologico, nonché il possibile utilizzo dei dati per finalità di phishing illeciti.
Difatti il Garante ha ritenuto che ci fossero gli estremi per qualificare l’esistenza di un rischio elevato per i diritti e le libertà dell’interessato a seguito delle suddette violazioni. In particolare, richiamando il Regolamento UE, l’Autorità di controllo ha specificato come la valutazione dei rischi deve necessariamente determinarsi in base ad una valutazione oggettiva della vicenda, considerando sicuramente il tipo di violazione, la natura, il carattere sensibile e il volume dei dati personali, la facilità di identificazione degli interessati, la gravità delle conseguenze e il numero degli soggetti coinvolti. Rispetto, quindi, ad una violazione di tal tipo, si è ritenuto che la comunicazione agli interessati fosse indubbiamente una misura particolarmente efficace da adottare per limitare gli effetti negativi della violazione, nonché per fornire delle indicazioni dettagliate ed analitiche sulle azioni riservate agli interessati con cui fronteggiare la violazione subita.
In particolare, nel provvedimento il Garante ha esplicitato i vari rischi che potrebbero verificarsi a seguito dei due data breach, procurando un danno notevole anzitutto all’interessato, soggetto ad un’indiscutibile invasione della sfera privata e personale. A tal proposito, il riferimento è sia ad aspetti generali, come la necessaria fiducia e trasparenza a cui gli utenti legittimamente aspirano nel rapporto con il proprio Istituto previdenziale e quindi l’impatto delle decisioni dello stesso Istituto sulla collettività, sia di aspetti particolari, quali l’impossibilità di conoscere le intenzioni degli utenti terzi, non autorizzati, che hanno avuto accesso a dette informazioni personali, riguardanti tra l’altro anche minori.
Secondo il Garante, l’INPS non ha avuto piena contezza di tali rischi per i diritti e le libertà degli interessati, nella misura in cui non ha provveduto, di fatto, a comunicare agli interessati coinvolti le due violazioni: in tal modo, l’Istituto ha dimostrato di non ritenere sussistente un rischio elevato per le libertà e i diritti degli utenti. Tuttavia, secondo il Garante, al contrario, il rischio in questione sarebbe elevato e pertanto le iniziative intraprese dall’Istituto nazionale previdenza sociale non sono state consone e conformi alle normative di riferimento: per l’Autority è proprio questo il caso in cui, ai sensi dell’art. 34, par. 1 del Regolamento UE, il titolare del trattamento deve effettuare una comunicazione ai soggetti interessati, espressamente differenziata in base al tipo di violazione subita.
Il Garante ha, inoltre, osservato che tale comunicazione non avrebbe comportato degli sforzi sproporzionati per l’INPS, essendo già in possesso dei contatti telematici degli utenti, e che le comunicazioni pubbliche effettuate fino a quel momento sul portale INPS non potessero dirsi idonee a consentire un’informazione corretta ed efficace degli utenti.
In considerazione di ciò, il Garante ha emesso il provvedimento oggetto di commento, con cui, in primo luogo, ha ingiunto all’INPS di comunicare le violazioni agli interessati, entro 15 giorni dalla ricezione del provvedimento, ed in secondo luogo ha richiesto allo stesso Istituto di rendere note, entro 20 giorni, le iniziative intraprese per attuare il provvedimento emanato, pena l’applicazione della sanzione amministrativa di cui all’art. 83, par. 5, del Regolamento UE.
Volume consigliato
GDPR: ISPEZIONI E SANZIONI DEL GARANTE
L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.
Stefano Comellini | 2020 Maggioli Editore
12.90 € 10.97 €
Scrivi un commento
Accedi per poter inserire un commento