ROMA – L’Inps a guida 5 Stelle dovrà comunicare entro 15 giorni all’ Autorità Garante per la Protezione dei Dati Personali “le violazioni dei dati personali in esame a tutti gli interessati coinvolti” dal data breach dello scorso primo aprile, quando in occasione dell’avvio delle procedure per la richiesta di erogazione di prestazioni a sostegno del reddito, legate all’emergenza coronavirus, molti dei richiedenti che avevano tentato di accedere contemporaneamente ai servizi online erogati tramite il portale dell’Istituto avevano visto esposti i propri dati sul sito“. E’ quanto ha deciso un provvedimento emanato dall’Autorità presieduta da Antonello Soro.
L ’Autorità pur considerando che l’istruttoria è tuttora in corso, ha chiesto all’Inps anche di “comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’articolo 157 del Codice, entro il termine di 20 giorni dalla data della ricezione”. Nel testo del provvedimento si ricorda che ai sensi dell’articolo 83, paragrafo 6, del Regolamento della privacy, “l’inosservanza di un ordine da parte dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.
L’Autorità ha ordinato di fatto all’Inps di “comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonchè fornendo loro indicazioni specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni. Tale comunicazione – precisa il Garante – inviata anche con mezzi elettronici, dovrà essere differenziata in funzione dei rischi e delle specifiche caratteristiche che le violazioni dei dati personali in esame presentano per ciascun interessato coinvolto e dovrà essere effettuata, senza ingiustificato ritardo, anche nei confronti di altri interessati che verranno individuati all’esito di eventuali ulteriori attività di analisi condotte dall’istituto”.
Era stato lo stesso INPS a notificare, l′1 e il 6 aprile, due distinte avvenute violazioni dei dati personali “che – come si legge nel provvedimento dell’Autorità – hanno comportato rispettivamente: 1. l’accesso ai dati personali di utenti del portale www.inps.it da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato; 2. l’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting (cosiddetto ‘Bonus Baby Sitting’), con visualizzazione, modifica, cancellazione o invio all’Inps di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati”.
