In merito a quanto accaduto il primo aprile scorso durante il 'click day'
Quindici giorni per comunicare a tutti i diretti interessati le violazioni dei dati personali che si verificarono il primo aprile scorso, cioè nel click day, quando il sito dell'Inps venne preso d'assalto dai beneficiari delle misure di sostegno, previste dal Cura Italia. E' questo il termine che il Garante della Privacy ha ingiunto all'istituto di previdenza, con un provvedimento pubblicato sul sito dell'authority. Il Garante, si legge nel testo, "ingiunge all'Inps di comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, le violazioni dei dati personali in esame a tutti gli interessati coinvolti". E, inoltre, "richiede all'Inps di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell'art. 157 del Codice, entro il termine di 20 giorni dalla data della ricezione del presente provvedimento; l'eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria" prevista.
"Alla luce del complessivo esame delle circostanze portate all’attenzione dell’Autorità e delle considerazioni svolte, ferma restando la necessità di proseguire l’istruttoria in corso", il Garante ha ravvisato "la necessità e l’urgenza di ingiungere" all'Inps "di comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonché fornendo loro indicazioni specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni". E, precisa il Garante, "tale comunicazione, inviata anche con mezzi elettronici, dovrà essere differenziata in funzione dei rischi e delle specifiche caratteristiche che le violazioni dei dati personali in esame presentano per ciascun interessato coinvolto e dovrà essere effettuata, senza ingiustificato ritardo, anche nei confronti di altri interessati che verranno individuati all'esito di eventuali ulteriori attività di analisi condotte dall’Istituto".
Inoltre, con specifico riferimento alla violazione dei dati personali determinata dall'errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting, la comunicazione dovrà riguardare gli interessati i cui dati personali erano presenti non solo nelle domande che sono risultate oggetto di visualizzazione (68 domande), modifica (17 domande), cancellazione (81 domande) o invio all'Inps (62 domande), ma anche nell'elenco delle 773 domande mostrato nella sezione "Consultazione domande" della procedura Bonus Baby Sitting. Il Garante ricorda che l'inosservanza di un ordine da parte dell'autorità è soggetta a sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore".
"Le violazioni dei dati personali in esame sono suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati" conclude il Garante per la Privacy. E questo, "diversamente da quanto sostenuto" dall'Inps. Il Garante, tra l'altro, rileva che "la comunicazione agli interessati coinvolti, allo stato individuati, non comporta sforzi sproporzionati da parte dell'Istituto, attesa la diretta disponibilità dei contatti telematici degli stessi, cui è possibile, se del caso, fare riferimento anche per la comunicazione nei confronti di coloro (figli e coniugi) ai quali si riferiscono i dati personali presenti nelle domande oggetto di violazione". Per l'autorità, "la comunicazione pubblica effettuata dall'Istituto mediante la pubblicazione, sul proprio sito istituzionale, di una semplice 'comunicazione in merito al data breach' – anche se, in un primo momento, poteva rappresentare una misura sufficiente a informare gli interessati circa le iniziative intraprese nell'immediato e a fornire indicazioni "in ordine alla necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli", offrendo un recapito dedicato al quale rivolgersi – non costituisce allo stato uno strumento idoneo all’assolvimento degli obblighi" previsti "in quanto non consente di informare efficacemente gli interessati che l'Istituto ha già individuato essere stati coinvolti in ciascuna violazione dei dati personali, anche al fine di permettere loro di prendere le precauzioni necessarie in considerazione delle diverse caratteristiche delle violazioni che li hanno riguardati".
L'Inps con note del 1° aprile e del 6 aprile 2020, aveva notificato al Garante della Privacy due distinte violazioni dei dati personali che hanno comportato, rispettivamente l’accesso ai dati personali di utenti del portale 'www.inps.it' da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio Cdn (Content Delivery Network) utilizzato; l'accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l'acquisto di servizi di baby-sitting con visualizzazione, modifica, cancellazione o invio all’INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati. Contestualmente, l’Autorità ha ricevuto più di un centinaio di segnalazioni e reclami da parte di soggetti che, oltre a manifestare i timori per le conseguenze sui diritti e le libertà fondamentali delle persone fisiche coinvolte, in molti casi hanno rappresentato di aver visualizzato dati personali riferiti a terzi, fornendone spesso prova documentale. In particolare, si evidenzia come, tra i predetti soggetti, siano presenti: numerosi utenti che stavano tentando di accedere a servizi online presenti sul portale dell’INPS, compresi quelli per compilare e inviare individualmente la propria domanda per l’erogazione delle prestazioni previste dal d.l. n. 18/2020; soggetti direttamente coinvolti nelle violazioni dei dati personali, in quanto i propri dati personali sono stati oggetto di accesso da parte di terzi; professionisti delegati dai propri clienti a effettuare operazioni per conto degli stessi; enti e associazioni, in rappresentanza di categorie professionali e utenti. E' muovendo da tali elementi, che il Garante ha avviato un’istruttoria sulle queste violazioni dei dati personali, mediante richieste di informazioni rivolte all'Istituto (note del 1° aprile e del 20 aprile 2020), volte ad acquisire ulteriori elementi in ordine alla natura e alla portata delle violazioni rappresentate dall'Inps e lamentate dagli utenti, nonché alle misure tecniche e organizzative adottate dall’Istituto per porvi rimedio e per attenuarne gli effetti negativi nei confronti degli interessati coinvolti. A tali richieste l’Istituto ha prodotto riscontro con note del 10 aprile e del 30 aprile 2020.
"Il garante della privacy ha ricostruito quel che è accaduto giorno 1 Aprile nel sito dell'Inps, quando milioni di italiani si affollarono sul sito per chiedere l'indennità da 600 euro: i dati anagrafici di almeno 42 soggetti e 773 famiglie furono visionati da terzi che in alcuni casi modificarono, cancellarono e inviarono domande non loro. Nessun pesce d'aprile, ma il caos assoluto, la frustrazione di tanti e la gravissima violazione della privacy". Lo scrive il capogruppo di Iv al Senato, Davide Faraone, su Fb. "Inps rischia fino a 20 milioni di euro di sanzioni amministrative pecuniarie. Naturalmente ci aspettiamo che le eventuali multe non vengano pagate prendendo risorse dalle casse Inps, soldi dei contributi previdenziali destinati alle pensioni degli incolpevoli italiani, ma dalle tasche dei responsabili, dal presidente in giù".