Cosa accade ora, secondo la normativa vigente in materia di privacy, dopo il possibile data breach sul sito dell’IN.P.S?

Con una nota pubblicata sul proprio sito lo scorso 02 aprile il Garante della Privacy, a seguito delle segnalazioni ricevute circa un possibile data breach da parte dell’IN.P.S., ha comunicato l’avvio, dell’attività istruttoria nei confronti dell’Ente per verificare se le misure dallo stesso adottate fossero adeguate alla vigente normativa in materia di privacy.

La vicenda

Il caso è ampiamente noto alle cronache: in data 01.04.2020 il sito dell’I.N.P.S., a causa di un sovrannumero di collegamenti simultanei per le richieste del bonus di € 600 promesso dal Governo ai titolari di P.IVA, ha subito un grave disservizio tecnico

In particolare, per ragioni che dovranno essere oggetto di accertamento, diversi utenti hanno avuto modo accedere a dati personali differenti dai propri. Il servizio è stato temporaneamente interrotto a metà giornata ed il Presidente dell’Istituto è intervenuto sostenendo addirittura che si fosse trattato di un attacco hacker. Ma la realtà, come poi appurato, è ben diversa.

Cosa è un data breach

Avevamo già spiegato cosa s’intenda per data breach nell’articolo Data breach: linee guida per una corretta informativa degli Interessati.

Trattasi di qualsiasi violazione – accidentale o fraudolenta – della sicurezza di un sistema informatico che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso da parte di terzi ai dati personali trasmessi, conservati o comunque trattati.

Cosa prevede il G.D.P.R

L’art. 33 del Regolamento UE 2016/679 prevede che, in caso di data breach (o anche solo nel pericolo che si sia effettivamente avvenuto) all’interno di un sistema informatico, il Titolare del Trattamento è tenuto a notificare tale violazione all’Autorità di controllo entro le successive 72 ore. La segnalazione dovrà contenere:

• una descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati;
• il nominativo del responsabile della protezione dei dati nominato, presso cui ottenere più informazioni laddove necessario;
• un’indicazione delle probabili conseguenze della violazione dei dati personali;
• le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali

Il Titolare del trattamento dovrà conservare la documentazione di tutte le violazioni all’interno di un apposito registro, da mettere a disposizione dell’Autorità di controllo per le successive verifiche sul rispetto della normativa.

Al contempo il Titolare, con un linguaggio semplice e chiaro, dovrà informare immediatamente i soggetti interessati dell’incidente verificatosi, delle violazioni dei diritti avvenute e delle misure già adottate e quelle da adottare (art. 34 G.D.P.R.).

Il ruolo del Garante

L’Autorità di controllo designata da ciascun Paese – nel caso dell’Italia, appunto, il Garante della Privacy – avrà quindi il compito di verificare la condotta tenuta dal Titolare del Trattamento durante l’episodio incriminato; all’esito delle indagini, laddove rilevi una violazione alle disposizioni del G.D.P.R., potrà prescrivere misure correttive anche sotto il profilo della sicurezza tecnica e organizzativa, ed applicare sanzioni pecuniarie.

Non resta dunque che attendere quali saranno le valutazioni della condotta tenuta dall’I.N.P.S. da parte del Garante.

Per il momento, nulla trapela da parte l’Ente previdenziale che, con una nota pubblicata sul proprio portale lo scorso 03 aprile, si è limitato a dichiarare di avere prontamente notificato il data breach al Garante, assicurando di aver assunto tutte le misure atte a porre rimedio alla situazione.

Avv. Davide Berardelli