Il Garante privacy è intervenuto sui noti data breach del portale web INPS avvenuti durante la richiesta del bonus baby sitter

Il Garante privacy è intervenuto sui noti data breach del portale web INPS avvenuti durante la richiesta del bonus baby sitter

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Avv. Pier Paolo Muià – Dott.ssa Ludovica Giancola

Garante per la protezione dei dati personali: comunicazione agli interessati coinvolti nel data breach INPS – 14 maggio 2020

 

Premessa

Nell’aprile 2020, in occasione dell’avvio delle procedure necessarie per la richiesta di erogazione di prestazioni a sostegno del reddito, così come previste dal d.l. 18/2020, per far fronte alla situazione emergenziale da Covid-19, sono arrivate al Garante per la protezione dei dati personali numerose segnalazioni con cui sono state comunicate ripetute violazioni di sicurezza di dati personali registrati sul portale INPS.

In considerazione di dette segnalazioni, è stata avviata preliminarmente un’istruttoria nei riguardi dell’INPS mediante due note dell’Ufficio del Garante Privacy, quella del 01.04.2020 e quella del 20.04.2020.

In particolare, nella prima di esse veniva lamentata la violazione dei dati personali determinata dal caching delle informazioni personali presenti nel portale www.inps.it, che aveva prodotto la replica di alcune schede anagrafiche (e di conseguenza la comunicazione di dati quali: nome, cognome, codice fiscale, residenza, data e luogo di nascita, indirizzo mail e PEC) che sono state portate a conoscenza di soggetti terzi, non autorizzati, che avevano effettuato l’accesso al portale web dell’INPS per richiedere l’erogazione delle prestazioni a sostegno del reddito introdotte per l’emergenza Covid. A tal proposito, l’Istituto nazionale previdenza sociale ha rappresentato che, dopo aver riscontrato le prime criticità nel sistema, ha provveduto tempestivamente alla chiusura dello stesso e alla sua riattivazione dopo tre ore, nonché all’istituzione di una apposita casella violazionedatiGDPR@inps.it, resa pubblica, ove ricevere le segnalazioni degli utenti coinvolti. Pertanto, anche a fronte dell’identificazione di non oltre 23 soggetti interessati dalla violazione, l’Istituto di previdenza nazionale ha ritenuto che non potesse trattarsi di una violazione tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche interessate.

Nella seconda nota, invece, si è lamentata la violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting, a causa della quale sono stati resi noti a terzi non autorizzati diverse tipologie di dati personali del richiedente il bonus, del figlio minore e del coniuge (dati quali: nome, cognome, codice fiscale, residenza, data e luogo di nascita, indirizzo mail e PEC). A tal riguardo, l’INPS ha segnalato di aver provveduto immediatamente alla chiusura del servizio e alla correzione delle anomalie, che avrebbero riguardato circa 773 utenti, ritenendo quindi anche in questo caso che, non essendosi riscontrate evidenze di diffusione dei dati personali di specifiche domande di Baby Sitting, la violazione non fosse tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche.

 

 

 

Il provvedimento del Garante

A seguito dell’istruttoria effettuata, lo scorso 14 maggio 2020, il Garante per la Protezione dei Dati Personali ha quindi emesso un provvedimento nei confronti dell’Istituto nazionale previdenza sociale, con cui ha ingiunto a quest’ ultimo di comunicare agli interessati, che sono stati coinvolti, le violazioni dei dati personali realizzatesi a seguito dei due suddetti data breach sul proprio portale.

Rispetto alle risposte e agli elementi forniti dall’INPS nelle note difensive presentate lo scorso aprile, il Garante ha provveduto ad arricchire il quadro istruttorio, sulla base di quanto emerso da segnalazioni e reclami degli utenti, tramite i quali si è provato che: (i) le violazione fossero numericamente maggiori di quelle individuate dall’INPS; (ii) le stesse riguardassero dati ulteriori e particolarmente sensibili, come ad esempio la posizione lavorativa e fiscale dell’utente; (iii) pertanto, dette violazioni intervenute a seguito dei Data Breach sul portale INPS fossero consistenti, tanto da determinare un’invasione della sfera privata dell’utente, un disagio psicologico, nonché il possibile utilizzo dei dati per finalità di phishing illeciti.

Difatti il Garante ha ritenuto che ci fossero gli estremi per qualificare l’esistenza di un rischio elevato per i diritti e le libertà dell’interessato a seguito delle suddette violazioni. In particolare, richiamando il Regolamento UE, l’Autorità di controllo ha specificato come la valutazione dei rischi deve necessariamente determinarsi in base ad una valutazione oggettiva della vicenda, considerando sicuramente il tipo di violazione, la natura, il carattere sensibile e il volume dei dati personali, la facilità di identificazione degli interessati, la gravità delle conseguenze e il numero degli soggetti coinvolti. Rispetto, quindi, ad una violazione di tal tipo, si è ritenuto che la comunicazione agli interessati fosse indubbiamente una misura particolarmente efficace da adottare per limitare gli effetti negativi della violazione, nonché per fornire delle indicazioni dettagliate ed analitiche sulle azioni riservate agli interessati con cui fronteggiare la violazione subita.

In particolare, nel provvedimento il Garante ha esplicitato i vari rischi che potrebbero verificarsi a seguito dei due data breach, procurando un danno notevole anzitutto all’interessato, soggetto ad un’indiscutibile invasione della sfera privata e personale. A tal proposito, il riferimento è sia ad aspetti generali, come la necessaria fiducia e trasparenza a cui gli utenti legittimamente aspirano nel rapporto con il proprio Istituto previdenziale e quindi l’impatto delle decisioni dello stesso Istituto sulla collettività, sia di aspetti particolari, quali l’impossibilità di conoscere le intenzioni degli utenti terzi, non autorizzati, che hanno avuto accesso a dette informazioni personali, riguardanti tra l’altro anche minori.

Secondo il Garante, l’INPS non ha avuto piena contezza di tali rischi per i diritti e le libertà degli interessati, nella misura in cui non ha provveduto, di fatto, a comunicare agli interessati coinvolti le due violazioni: in tal modo, l’Istituto ha dimostrato di non ritenere sussistente un rischio elevato per le libertà e i diritti degli utenti. Tuttavia, secondo il Garante, al contrario, il rischio in questione sarebbe elevato e pertanto le iniziative intraprese dall’Istituto nazionale previdenza sociale non sono state consone e conformi alle normative di riferimento: per l’Autority è proprio questo il caso in cui, ai sensi dell’art. 34, par. 1 del Regolamento UE, il titolare del trattamento deve effettuare una comunicazione ai soggetti interessati, espressamente differenziata in base al tipo di violazione subita.

Il Garante ha, inoltre, osservato che tale comunicazione non avrebbe comportato degli sforzi sproporzionati per l’INPS, essendo già in possesso dei contatti telematici degli utenti, e che le comunicazioni pubbliche effettuate fino a quel momento sul portale INPS non potessero dirsi idonee a consentire un’informazione corretta ed efficace degli utenti.

In considerazione di ciò, il Garante ha emesso il provvedimento oggetto di commento, con cui, in primo luogo, ha ingiunto all’INPS di comunicare le violazioni agli interessati, entro 15 giorni dalla ricezione del provvedimento, ed in secondo luogo ha richiesto allo stesso Istituto di rendere note, entro 20 giorni, le iniziative intraprese per attuare il provvedimento emanato, pena l’applicazione della sanzione amministrativa di cui all’art. 83, par. 5, del Regolamento UE.

Volume consigliato

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

Stefano Comellini, 2020, Maggioli Editore

L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle...



 

 

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!