Il primo aprile 2020, data di inizio fissata dal Governo per poter accedere al portale dell’INPS per richiedere ed ottenere il bonus di 600 euro, l’Istituto di Previdenza ha denunciato un attacco hacker, accompagnato da una serie di malfunzionamenti, che avrebbe comportato il blocco del sito e la dispersione di migliaia di dati personali particolari degli utenti. In sostanza ci troviamo di fronte al primo imponente data breach post coronavirus.
A distanza di poche ore dall’accertata violazione, quali sono gli obblighi dell’INPS e quale rilevanza giuridica riveste un tale accadimento?
Indice degli argomenti
Data breach INPS: la notifica all’Autorità di controllo
In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 del GDPR senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
L’INPS, come noto, è venuta a conoscenza della violazione dei dati personali degli utenti nella mattina del 1° aprile 2020; aveva quindi tempo sino al 4 aprile 2020 per notificare tale violazione al Garante per la Privacy.
Apprendiamo in queste ore che l’Istituto ha proceduto a “denunciare” l’attacco hacker e che il Garante ha aperto un’istruttoria così come comunicato in una nota ufficiale nella quale, tra l’altro, viene chiesto a chiunque sia venuto a conoscenza dei dati di non utilizzarli e non diffonderli per non amplificare i rischi per le persone i cui dati personali sono stati coinvolti nel data breach, oltre che per non incorrere in possibili illeciti.
Il contenuto della notifica
La notifica che l’INPS è chiamata ad effettuare al Garante deve, come minimo, prevedere le seguenti informazioni:
- natura della violazione. In sostanza l’INPS dovrà dichiarare se trattasi di attacco hacker (come sembrerebbe dalle notizie che trapelano attraverso i media) o malfunzionamento del proprio sito dovuto a problemi tecnici;
- indicazione delle categorie degli interessati e del loro numero, nonché del numero approssimativo di registrazioni dei dati personali in questione;
- nome e dati di contatto del DPO o di altro punto di contatto presso cui ottenere più informazioni;
- descrizione delle probabili conseguenze della violazione dei dati personali;
- descrizione delle misure adottate o di cui si propone l’adozione da parte dell’INPS per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negative.
Nel caso si fosse trattato di attacco hacker, l’INPS dovrà pertanto informare il Garante delle misure immediatamente adottate per fronteggiare tale attacco e di quelle che urgentemente adotterà per rimediare alle violazioni e per attenuarne gli effetti negativi.
Nella eventualità, invece, di malfunzionamento del sito per motivi tecnici, l’Istituto dovrà notiziare il Garante sulle misure immediatamente adottate per rendere fruibile il sito in maniera rapida e sicura e quelle che adotterà nell’immediato per evitare il ripetersi di tali inconvenienti.
In entrambi i casi si dovranno adottare urgenti e adeguate misure per attenuare gli effetti negativi delle violazioni.
Il Garante non avrà particolari problemi a porre in essere le opportune verifiche del caso dal momento che l’INPS, come ogni titolare del trattamento che si trovi in presenza di un data breach, deve documentare qualsiasi violazione dei dati personali comprese le circostanze ad essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio in modo da consentire all’Autorità di effettuare i controlli necessari.
Data breach INPS: la comunicazione all’interessato
L’INPS si trova nella condizione di dover rispondere dell’accaduto anche nei confronti degli interessati, cioè di tutti quegli utenti che, loro malgrado, hanno subito la violazione dei loro dati personali che, in molti casi, sono stati condivisi con degli sconosciuti.
La prima valutazione che l’INPS è tenuta a fare riguarda il rischio che tale violazione presenta per i diritti e le libertà degli utenti: se è elevato l’Istituto di previdenza dovrà comunicare la violazione ad ogni interessato senza giustificato ritardo.
La comunicazione dovrà avvenire con un linguaggio semplice e chiaro e conterrà la descrizione della natura della violazione dei dati personali (attacco hacker o problemi tecnici) e almeno il nominativo e i dati di contatto del DPO o di altro punto deputato a rendere informazioni, la descrizione delle probabili conseguenze della violazione dei dati personali, nonché la descrizione delle misure adottate e di quelle da adottare nel più breve tempo possibile.
Nella eventualità in cui tale comunicazione richiedesse sforzi sproporzionati, visto l’elevato numero di interessati, l’INPS potrà procedere con una comunicazione pubblica tramite la quale gli utenti saranno informati con analoga efficacia.
Questo lo scenario operativo che si pone di fronte all’INPS.
Seguiranno poi le verifiche e le prescrizioni del Garante a cui tutti, operatori del settore, professionisti, aziende pubbliche e private, guarderanno con particolare interesse dal momento che il data breach subito dall’INPS costituirà un importante precedente a cui fare riferimento, per il futuro, in tema di violazione dei dati personali.
