Tridico nei guai per i dati esposti:”Grave violazione,rischio multa da 20 mln"

Privacy a Inps, in 15 gg comunichi violazioni dati a coinvolti 

L'Inps e' tenuto a comunicare entro 15 giorni "le violazioni dei dati personali in esame a tutti gli interessati coinvolti" dal data breach dello scorso primo aprile, quando in occasione dell'avvio delle procedure per la richiesta di erogazione di prestazioni a sostegno del reddito, legate all'emergenza coronavirus, molti dei richiedenti che avevano tentato di accedere contemporaneamente ai servizi online erogati tramite il portale dell'Istituto avevano visto esposti i propri dati sul sito. E' quanto prevede un provvedimento emanto dall'Autorita' garante per la protezione dei dati personali, presieduta da Antonello Soro. Premesso che l'istruttoria e' tuttora in corso, l'Autorita' chiede all'Inps anche di "comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell'articolo 157 del Codice, entro il termine di 20 giorni dalla data della ricezione". Nel testo si ricorda che ai sensi dell'articolo 83, paragrafo 6, del Regolamento della privacy, "l'inosservanza di un ordine da parte dell'autorita' di controllo ai sensi dell'articolo 58, paragrafo 2, e' soggetta a sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore".

L'Autorita', di fatto, ordina all'Inps di "comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere piu' informazioni, nonche' fornendo loro indicazioni specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni. Tale comunicazione - precisa il Garante - inviata anche con mezzi elettronici, dovra' essere differenziata in funzione dei rischi e delle specifiche caratteristiche che le violazioni dei dati personali in esame presentano per ciascun interessato coinvolto e dovra' essere effettuata, senza ingiustificato ritardo, anche nei confronti di altri interessati che verranno individuati all'esito di eventuali ulteriori attivita' di analisi condotte dall'istituto".

Era stato lo stesso istituto a notificare, l'1 e il 6 aprile, due distinte violazioni dei dati personali "che - si legge nel provvedimento dell'Autorita' - hanno comportato rispettivamente: 1. l'accesso ai dati personali di utenti del portale www.Inps.it da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalita' di caching del servizio CDN (Content Delivery Network) utilizzato; 2. l'accesso ai dati personali di utenti che hanno richiesto l'erogazione del bonus per l'acquisto di servizi di baby-sitting (cosiddetto 'Bonus Baby Sitting'), con visualizzazione, modifica, cancellazione o invio all'Inps di domande, contenenti dati personali riferiti a minori, anche con disabilita', da parte di terzi non autorizzati".

In ordine alla violazione dei dati personali determinata dal caching delle informazioni personali presenti nelle pagine del portale www.Inps.it, sulla base di una prima analisi delle segnalazioni e dei reclami ricevuti dall'Autorita', nonche' di ulteriori elementi reperibili in rete "emerge che la violazione dei dati personali ha coinvolto almeno 42 soggetti, quindi in numero superiore sia agli 8 soggetti gia' individuati dallistituto, che ai 23 soggetti complessivamente indicati da quest'ultimo come numero massimo di interessati che sarebbero stati coinvolti".

Sul fronte invece della violazione dei dati personali determinata dall'errata configurazione del sistema di autorizzazione della procedura 'Bonus Baby Sitting,' dalle segnalazioni e dai reclami "e' emersa la necessita' di chiarire la circostanza per cui, accedendo alla sezione 'Consultazione Domande' della procedura, in data 2 aprile 2020 erano visualizzabili anche domande presentate in data 31 marzo, ossia il giorno precedente alla data a decorrere dalla quale, come rappresentato dall'istituto, sarebbe stato possibile presentare le domande". Alcune segnalazioni e reclami hanno, infine, portato alla luce "ulteriori anomalie", quali "accessi non autorizzati a dati personali occorsi gia' nella giornata del 31 marzo 2020" e "anomalie riscontrate nell'ambito della procedura Indennita' Covid-19. 

Inps, Privacy: da violazioni dati gravi rischi diritti persone 

"Diversamente da quanto sostenuto dall'istituto, ancorche' con diversa probabilita' e gravita', le violazioni dei dati personali in esame sono suscettibili di presentare un rischio elevato per i diritti e le liberta' delle persone fisiche". E' quanto sottolinea il Garante della privacy nel provvedimento con il quale si richiede all'istituto di comunicare agli interessati le violazioni dei dati personali occorse nei data breach dello scorso aprile. Per l'Autorita', "la comunicazione agli interessati coinvolti, allo stato individuati, non comporta sforzi sproporzionati da parte dell'istituto, attesa la diretta disponibilita' dei contatti telematici degli stessi, cui e' possibile, se del caso, fare riferimento anche per la comunicazione nei confronti di coloro (figli e coniugi) ai quali si riferiscono i dati personali presenti nelle domande oggetto di violazione".

In sostanza, "la comunicazione pubblica effettuata dall'istituto mediante la pubblicazione, sul proprio sito istituzionale, di una semplice 'comunicazione in merito al data breach' - anche se, in un primo momento, poteva rappresentare una misura sufficiente a informare gli interessati circa le iniziative intraprese nell'immediato e a fornire indicazioni 'in ordine alla necessita' che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli', offrendo un recapito dedicato al quale rivolgersi - non costituisce allo stato uno strumento idoneo all'assolvimento degli obblighi di cui all'articolo 34 del Regolamento, in quanto non consente di informare efficacemente gli interessati che l'istituto ha gia' individuato essere stati coinvolti in ciascuna violazione dei dati personali, anche al fine di permettere loro di prendere le precauzioni necessarie in considerazione delle diverse caratteristiche delle violazioni che li hanno riguardati".