Lunedì 25 Novembre 2024

Click day, Garante Privacy all'Inps: 15 giorni per comunicare violazione dati personali

L’Inps è tenuto a comunicare entro 15 giorni «le violazioni dei dati personali in esame a tutti gli interessati coinvolti» dal data breach dello scorso primo aprile, quando in occasione dell’avvio delle procedure per la richiesta di erogazione di prestazioni a sostegno del reddito, legate all’emergenza coronavirus, molti dei richiedenti che avevano tentato di accedere contemporaneamente ai servizi online erogati tramite il portale dell’Istituto avevano visto esposti i propri dati sul sito. E’ quanto prevede un provvedimento emaanto dall’Autorità garante per la protezione dei dati personali, presieduta da Antonello Soro. Premesso che l’istruttoria è tuttora in corso, l’Autorità chiede all’Inps anche di «comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’articolo 157 del Codice, entro il termine di 20 giorni dalla data della ricezione». Nel testo si ricorda che ai sensi dell’articolo 83, paragrafo 6, del Regolamento della privacy, «l'inosservanza di un ordine da parte dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore L’Autorità, di fatto, ordina all’Inps di «comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonchè fornendo loro indicazioni specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni. Tale comunicazione - precisa il Garante - inviata anche con mezzi elettronici, dovrà essere differenziata in funzione dei rischi e delle specifiche caratteristiche che le violazioni dei dati personali in esame presentano per ciascun interessato coinvolto e dovrà essere effettuata, senza ingiustificato ritardo, anche nei confronti di altri interessati che verranno individuati all’esito di eventuali ulteriori attività di analisi condotte dall’istituto». Era stato lo stesso istituto a notificare, l’1 e il 6 aprile, due distinte violazioni dei dati personali «che - si legge nel provvedimento dell’Autorità - hanno comportato rispettivamente: 1. l’accesso ai dati personali di utenti del portale www.inps.it da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato; 2. l’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting (cosiddetto 'Bonus Baby Sitting'), con visualizzazione, modifica, cancellazione o invio all’Inps di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati». In ordine alla violazione dei dati personali determinata dal caching delle informazioni personali presenti nelle pagine del portale www.inps.it, sulla base di una prima analisi delle segnalazioni e dei reclami ricevuti dall’Autorità, nonchè di ulteriori elementi reperibili in rete «emerge che la violazione dei dati personali ha coinvolto almeno 42 soggetti, quindi in numero superiore sia agli 8 soggetti già individuati dallistituto, che ai 23 soggetti complessivamente indicati da quest’ultimo come numero massimo di interessati che sarebbero stati coinvolti». Sul fronte invece della violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura 'Bonus Baby Sitting,' dalle segnalazioni e dai reclami «è emersa la necessità di chiarire la circostanza per cui, accedendo alla sezione 'Consultazione Domande' della procedura, in data 2 aprile 2020 erano visualizzabili anche domande presentate in data 31 marzo, ossia il giorno precedente alla data a decorrere dalla quale, come rappresentato dall’istituto, sarebbe stato possibile presentare le domande». Alcune segnalazioni e reclami hanno, infine, portato alla luce «ulteriori anomalie», quali «accessi non autorizzati a dati personali occorsi già nella giornata del 31 marzo 2020» e «anomalie riscontrate nell’ambito della procedura Indennità Covid-19.  

leggi l'articolo completo