PHOTO
L'Inps ha 15 giorni per comunicare ai diretti interessati le violazioni dei dati personali che si verificarono nel giorno del click day, il primo aprile scorso, quando il sito dell’Ente fu preso d’assalto dai beneficiari delle misure di sostegno previste dal Cura Italia. L'ultimatum arriva dal Garante della Privacy Antonello Soro, che ha ingiunto all’Inps, con un provvedimento pubblicato sul sito dell’authority. Il Garante, si legge nel testo, «ingiunge all’Inps di comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, le violazioni dei dati personali in esame a tutti gli interessati coinvolti». E, inoltre, «richiede all’Inps di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’articolo 157 del Codice, entro il termine di 20 giorni dalla data della ricezione del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria» prevista. «Alla luce del complessivo esame delle circostanze portate all’attenzione dell’Autorità e delle considerazioni svolte, ferma restando la necessità di proseguire l’istruttoria in corso», il Garante ha ravvisato «la necessità e l’urgenza di ingiungere» all’Inps «di comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonché fornendo loro indicazioni specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni». Tale comunicazione, inviata anche con mezzi elettronici, si legge ancora nel provvedimento, «dovrà essere differenziata in funzione dei rischi e delle specifiche caratteristiche che le violazioni dei dati personali in esame presentano per ciascun interessato coinvolto e dovrà essere effettuata, senza ingiustificato ritardo, anche nei confronti di altri interessati che verranno individuati all’esito di eventuali ulteriori attività di analisi condotte dall’Istituto». Inoltre, con specifico riferimento alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting, la comunicazione dovrà riguardare gli interessati i cui dati personali erano presenti non solo nelle domande che sono risultate oggetto di visualizzazione (68 domande), modifica (17 domande), cancellazione (81 domande) o invio all’Inps (62 domande), ma anche nell’elenco delle 773 domande mostrato nella sezione «Consultazione domande» della procedura Bonus Baby Sitting. Il Garante ricorda che «l’inosservanza di un ordine da parte dell’autorità è soggetta a sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore». L’Inps, con due distinte note datate 1 e 6 aprile, aveva notificato al Garante della Privacy due distinte violazioni dei dati personali che hanno comportato, rispettivamente l’accesso ai dati personali di utenti del portale «www.inps.it» da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio Cdn (Content Delivery Network) utilizzato; l’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting con visualizzazione, modifica, cancellazione o invio all’INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati. Contestualmente, l’Autorità ha ricevuto più di un centinaio di segnalazioni e reclami da parte di soggetti che, oltre a manifestare i timori per le conseguenze sui diritti e le libertà fondamentali delle persone fisiche coinvolte, in molti casi hanno rappresentato di aver visualizzato dati personali riferiti a terzi, fornendone spesso prova documentale. In particolare, si evidenzia come, tra i predetti soggetti, siano presenti numerosi utenti che stavano tentando di accedere a servizi online presenti sul portale dell’Inps, compresi quelli per compilare e inviare individualmente la propria domanda per l’erogazione delle prestazioni previste dal Cura Italia; soggetti direttamente coinvolti nelle violazioni dei dati personali, in quanto i propri dati personali sono stati oggetto di accesso da parte di terzi; professionisti delegati dai propri clienti a effettuare operazioni per conto degli stessi; enti e associazioni, in rappresentanza di categorie professionali e utenti. A partire da tali elementi, che il Garante ha avviato un’istruttoria sulle violazioni dei dati personali, mediante richieste di informazioni rivolte all’Istituto (note del 1° aprile e del 20 aprile 2020), volte ad acquisire ulteriori elementi in ordine alla natura e alla portata delle violazioni rappresentate dall’Inps e lamentate dagli utenti, nonché alle misure tecniche e organizzative adottate dall’Istituto per porvi rimedio e per attenuarne gli effetti negativi nei confronti degli interessati coinvolti. A tali richieste l’Istituto ha prodotto riscontro con note del 10 aprile e del 30 aprile 2020. «Pertanto - afferma il Garante -, diversamente da quanto sostenuto dall’Istituto, ancorché con diversa probabilità e gravità, le violazioni dei dati personali in esame sono suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati». Peraltro, la comunicazione agli interessati coinvolti, allo stato individuati, «non comporta sforzi sproporzionati da parte dell’Istituto, attesa la diretta disponibilità dei contatti telematici degli stessi, cui è possibile, se del caso, fare riferimento anche per la comunicazione nei confronti di coloro (figli e coniugi) ai quali si riferiscono i dati personali presenti nelle domande oggetto di violazione. La comunicazione pubblica effettuata dall’Istituto mediante la pubblicazione, sul proprio sito istituzionale, di una semplice “comunicazione in merito al data breach” – anche se, in un primo momento, poteva rappresentare una misura sufficiente a informare gli interessati circa le iniziative intraprese nell’immediato e a fornire indicazioni “in ordine alla necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli”, offrendo un recapito dedicato al quale rivolgersi – non costituisce allo stato uno strumento idoneo all’assolvimento degli obblighi di cui all’art. 34 del Regolamento, in quanto non consente di informare efficacemente gli interessati che l’Istituto ha già individuato essere stati coinvolti in ciascuna violazione dei dati personali, anche al fine di permettere loro di prendere le precauzioni necessarie in considerazione delle diverse caratteristiche delle violazioni che li hanno riguardati».