Sito INPS in tilt: una violazione della privacy senza precedenti, altro che pesce d’aprile!
Lo scorso primo aprile abbiamo assistito al “banco di prova” della digitalizzazione del nostro Paese con riferimento all’emergenza COVID-19.
Migliaia di lavoratori autonomi a partita IVA, tra cui neofiti dei servizi digitali, aspettavano con ansia il primo d’aprile per poter richiedere, tramite il portale dell’INPS, l’agognato bonus promesso dal Decreto Cura Italia.
L’attesa era alle stelle, ma invece di sperimentare l’efficienza di un servizio erogato on-line, parecchi utenti hanno avuto, per errore, accesso ai profili di altri soggetti contenenti, ovviamente, informazioni e documenti personali[1]. Immediatamente è scattato il panico e c’è chi, per dimostrare il proprio sdegno, ha condiviso i dati altrui sui canali social.
Il presidente dell’Autorità Garante per la protezione dei dati personali, Antonello Soro, ha subito preso posizione, invitando l’Istituto a mettere in sicurezza i dati, non senza lasciarsi sfuggire un amaro commento: “Quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.[2]
Un fattaccio che rischia di costare caro all’INPS. Vediamo quali sono le implicazioni giuridiche.
Un incidente di sicurezza che interessa i dati personali, quale quello del caso di specie (data breach) viene definito all’art. 4 n. 12 del GDPR (REG. UE 679/2016): «violazione dei dati personali»[3]: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.[4]
A bene vedere, le linee guida adottate dal “Gruppo di lavoro dell’articolo 29 per la tutela dei dati” (meglio noto nella versione anglosassone “Article 29 Working Party” o “WP29”)[5] hanno individuato tre tipologie di data breach: “confidentiality breach”, nel caso in cui ci sia una violazione non autorizzata o fortuita di dati personali o un accesso non autorizzato agli stessi; “availability breach”, nel caso in cui ci sia una perdita o la distruzione di dati personali; “integrity breach”, nel caso ci sia un’alterazione o una modifica non autorizzata o accidentale di dati personali. Ancora non sono noti i dettagli dell’accaduto, ma a prima vista sembrerebbe trattarsi di un “confidentiality breach” – o, almeno, così si auspica.
Il data breach è un evento che deve essere affrontato e gestito da subito per evitare che dall’incidente possano derivare all’interessato conseguenze di varia natura: danni fisici, materiali o immateriali alle persone fisiche, ad esempio attraverso la perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata ( v. Considerando 85 del GDPR).
Non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento deve notificare la violazione dei dati personali all’autorità di controllo competente (il Garante per la Protezione dei dati personali), senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione[6], è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche[7]. Oltre il termine di 72 ore, tale notifica deve essere corredata delle ragioni del ritardo (art. 33 GDPR).
L’INPS aveva quindi tempo sino al 4 aprile scorso (e così ha fatto il giorno seguente all’incidente) per inviare al Garante per la protezione dei dati personali una notifica contenente, come minimo, le seguenti informazioni (art. 33 GDPR):
- la natura della violazione. L’INPS ha dovuto dichiarare se si sia trattato di attacco hacker (come sembrerebbe dalle notizie date dall’Istituto ai media) o malfunzionamento del proprio sito dovuto a problemi tecnici (come ipotizzato dagli esperti di Cyber security);
- le indicazioni delle categorie degli interessati e del loro numero, nonché del numero approssimativo di registrazioni dei dati personali in questione;
- il nome e dati di contatto del responsabile della protezione dei dati (Data Protection Officer) o di altro punto di contatto presso cui ottenere più informazioni;
- la descrizione delle probabili conseguenze della violazione dei dati personali;
- la descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento (INPS nel caso di specie) per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Per il caso di attacco hacker, l’INPS ha dovuto pertanto informare il Garante delle misure immediatamente adottate per fronteggiare tale attacco e di quelle che adotterà urgentemente per rimediare alle violazioni e per attenuarne gli effetti negativi; per l’eventualità, invece, di malfunzionamento del sito per motivi tecnici, l’INPS ha dovuto comunicare al Garante le misure immediatamente adottate per rendere fruibile il sito in maniera rapida e sicura e quelle che adotterà nell’immediato per evitare il ripetersi di tali inconvenienti.
Peraltro, trattandosi di una violazione che potrebbe rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche, oltre ad avvisare il Garante, l’INPS è stata chiamata ad effettuare una notifica anche a tutti gli utenti interessati dalla violazione cioè a tutti quegli utenti che, loro malgrado, hanno subito la violazione dei loro dati personali che, in molti casi, sono stati condivisi con degli sconosciuti.
Come previsto dall’art. 34 GDPR, anche la comunicazione all’interessato deve avvenire senza ingiustificato ritardo e deve descrivere, con un linguaggio semplice e chiaro, la natura della violazione dei dati personali (attacco hacker o problemi tecnici) e almeno il nominativo e i dati di contatto del responsabile della protezione dei dati (Data Protection Officer) o di altro punto deputato a rendere informazioni, la descrizione delle probabili conseguenze della violazione dei dati personali, nonché il titolare del trattamento abbia provveduto/intenda provvedere (nel più breve tempo possibile) ad evitarle/limitarle.
Ricevuta la notifica di data breach, spetta al Garante per la protezione dei dati effettuare opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’INPS e gli interventi necessari a tutelare i diritti e le libertà degli interessati.
Per ora il Garante, con comunicato del 2 aprile scorso, ha reso noto di aver già avviato l’istruttoria sull’accaduto e ha colto l’occasione per richiamare l’attenzione sulla “assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti” e ciò “al fine di non amplificare i rischi per le persone i cui dati personali sono stati coinvolti nel data breach e non incorrere in possibili illeciti”.
Quali le conseguenze per l’INPS?
Il rischio per l’Istituto (come quello di qualsiasi altro soggetto che effettua trattamento di dati personali, in circostanze analoghe) è quello di subire da parte del Garante per la Privacy una sanzione amministrativa (il GDPR prevede sanzioni amministrative pecuniarie fino ad un massimo di 20 milioni di euro e fino al 4% del fatturato annuo dell’esercizio precedente per le imprese), qualora quest’ultimo ravvisasse una responsabilità dell’istituto per non aver adempiuto agli obblighi in materia di data protection e di sicurezza informatica, oltre che di essere destinatario di contenziosi da parte degli utenti danneggiati[8].
[1] Per il momento si sa che i dati visualizzati riguardavano, oltre al nome e cognome, anche il codice fiscale e l’indirizzo email. Ancora non è chiaro se si potesse addirittura modificare il profilo.
[2] Eppure negli ultimi tempi si è registrata una indubbia attenzione alla materia della cybersecurity a livello normativo. Dopo l’approvazione della direttiva (UE) n. 1148/2016 (meglio nota come Direttiva NIS) – trasposta in Italia dal D.Lgs. 65/2018 e intesa a definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi degli Operatori di Servizi Essenziali (“OSE”, sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali) e dei Fornitori di Servizi Digitali (“FSD”, sono le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale) – le istituzioni europee hanno continuato ad adottare misure intese a rafforzare la sicurezza cibernetica nell’Unione Europea. La principale di queste misure recentemente adottate consiste in un Regolamento volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali, e a rafforzare il ruolo dell’Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione (ENISA): il cosiddetto Cybersecurity Act, entrato in vigore il 27 giugno 2019.
[3] Trattasi della traduzione del termine inglese “data breach”.
[4] Nel caso, quindi, in cui l’incidente non riguardi questa tipologia di dati, non si applicherà quanto previsto dal GDPR, perché, se è vero che tutti gli incidenti informatici riguardano i dati, non tutti riguardano i dati personali.
[5] Era il gruppo di lavoro comune delle autorità nazionali di vigilanza e protezione dei dati. Era un organismo consultivo indipendente, composto da un rappresentante della varie autorità nazionali, dal Garante europeo della protezione dei dati e da un rappresentante della Commissione; con l’avvento del GDPR, divenuto applicabile il 25 maggio 2018, è stato sostituito dal Comitato europeo per la protezione dei dati (EDPB).
[6] Altrimenti detto accountability: il titolare ed il responsabile del trattamento devono adoperarsi in maniera tale da garantire la tutela dei dati personali da essi trattati. Nel GDPR non ci sono previsioni particolari che riguardano la modalità con cui attuare questo principio, viene lasciato ampio margine a questi soggetti affinché individuino in concreto le modalità che, nel singolo caso specifico, garantiscano la tutela dei dati.
[7] La notifica non è quindi richiesta quando il data breach non comporti un rischio elevato per l’interessato, per esempio, nell’ipotesi in cui i dati personali interessati siano già pubblici o quando i dati non possano essere letti perché crittografati.
[8] Articolo 82 GDPR – Diritto al risarcimento e responsabilità: “1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.”