venerdì 3 aprile 2020

Violazione dei dati da parte dell’INPS: il Garante della privacy avvia l’istruttoria

Negli scorsi giorni l’INPS si è reso protagonista di una spiacevole violazione dei dati (data breach) la cui entità e portata sono ancora in corso di accertamento, che ha comportato l’esposizione dei dati di numerosi utenti sul sito istituzionale dell’Istituto previdenziale.

A quanto pare tra il 30 marzo e il 1° aprile, entrando al sito dell’INPS, era possibile avere accesso ad una serie di informazioni personali di un numero imprecisato di altri soggetti. Non è ancora chiaro se si sia trattato di un attacco hacker o di una falla del sistema informatico; molti ipotizzano che il sistema sia andato in crash a causa dei numerosissimi accessi dei richiedenti il bonus da 600 euro stanziato per i lavoratori autonomi nell’ambito dell’emergenza sanitaria in corso.

La violazione è stata subito attenzionata dal Garante della protezione dei dati che ha invitato l’INPS a chiudere immediatamente la falla e a mettere in sicurezza i dati.

In ottemperanza a quanto previsto dal GDPR che in questi casi obbliga il soggetto che ha subito la violazione a segnalarla entro le 72 ore dall’accaduto, l’INPS ha provveduto alle comunicazioni di rito consentendo al Garante di avviare l’istruttoria tesa a verificare l’adeguatezza delle contromisure adottate dall’Ente e gli interventi necessari a tutelare i diritti e le libertà degli interessati.

Un ulteriore elemento da tenere in considerazione in sede d’istruttoria sarà la portata della violazione dei dati: nel caso in cui il data breach dovesse aver causato un rischio elevato per i diritti e le libertà degli interessati, l’INPS potrebbe dover notificare a tutti gli interessati la violazione subita.

Se all’esito dell’istruttoria il Garante dovesse riscontrare delle gravi lacune o l’inadeguatezza del sistema informatico e delle misure di sicurezza in essere a tutela dei dati, l’INPS potrebbe vedersi comminare delle sanzioni pecuniarie piuttosto pesanti.

Al fine di non amplificare i rischi per le persone i cui dati personali sono stati coinvolti nel data breach e non incorrere in possibili illeciti, l’Autorità ha richiamato l’attenzione sulla assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti.

Il Garante della privacy ha colto inoltre l’occasione per ribadire che la mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche sia una questione che si ripropone costantemente e che rappresenta il segno tangibile di una ancora insufficiente cultura della protezione dei dati nel nostro Paese.