Con Il decreto “Cura Italia” (D.L. n. 18/2020), agli artt. 27 e ss, il Governo ha stanziato delle indennità di sostentamento per determinate categorie di lavoratori al fine di fronteggiare lo stato emergenziale dovuto al Covid-19, in particolare un bonus di 600 euro cui farne richiesta all’INPS attraverso gli appositi canali predisposti dall’Ente.
Gli utenti che hanno effettuato la richiesta in via telematica hanno, però, riscontrato delle gravi anomalie al sistema che (per cause in corso di accertamento) ha reso pubblici I dati personali dei contribuenti/richiedenti sul sito dell’INPS quali: nome, cognome, indirizzo e codice fiscale generando, di fatto, una diffusione illecita di dati.
Tale accadimento, riconducibile o ad un errore del sistema incapace di gestire le eccessive richieste o ad un attacco Hacker (a detta del presidente INPS Pasquale Tridico), ha rappresentato una Grave Violazione della Privacy: un Data Breach decisamente preoccupante, come ha affermato il presidente dell’Autorità Garante Antonello Soro.
Ma cosa è una violazione di dati personali (data breach) e quali sono le conseguenze sul piano pratico?
Secondo quanto dispone il Regolameto UE 2016/679 “GDPR” un Data Breach rappresenta una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Alcuni esempi di violazione possono ravvisarsi nel furto o nella la perdita di dispositivi informatici contenenti dati personali, la deliberata alterazione di dati personali, l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità, e come nel caso INPS la divulgazione non autorizzata dei dati personali.
Il Titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Il Garante può prescrivere misure correttive (art. 58, paragrafo 2, del GDPR) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.
Nel caso di Specie l’Autorità Garante ha dichiarato che saranno presi provvedimenti utili ad accertare la natura esatta dei disguidi, verificando l’origine dei malfunzionamenti e la loro provenienza (errori di progettazione alla base del portale INPS o un attacco esterno).
Qualunque sia la causa della violazione in questione è chiaro che la mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è una questione che si ripropone costantemente, forse è segno di una ancora insufficiente cultura della protezione dati nel nostro Paese.