Da Wired.it :
Manca il responsabile per la protezione dei dati personali. E ora tocca agli utenti dimostrare il buco nei sistemi. Ma il Gdpr dice altro
Al buco dei suoi sistemi informatici, l’Inps mette una pezza che fa discutere, chiedendo agli utenti i cui dati anagrafici sono stati esposti illecitamente di informare l’ente, “allegando eventuali evidenze documentali”. L’avviso è comparso il 3 aprile sul sito del principale istituto previdenziale italiano, che nella notte tra il 31 marzo e il 1 aprile ha mostrato per errore, a molte tra le partite Iva entrare per richiedere il bonus di 600 euro, i dati di altri.
Manca il dpo
Ma la comunicazione non soddisfa gli esperti di privacy, che ne individuano le mancanze ai sensi del Regolamento generale per la protezione dei dati (Gdpr) dell’Unione europea. Innanzitutto per la mancanza del nome e del contatto del data protection officer (dpo), ovvero della figura incaricata di organizzare e vigilare il corretto trattamento dei dati. Non si tratta però di un errore tecnico, quanto di una mera constatazione: al momento dell’incidente informatico l’Inps non aveva un responsabile per la protezione dei dati in carica, come confermato a Wired da fonti qualificate.
L’ultimo a ricoprire questo ruolo, nominato il 21 marzo del 2018, è andato in pensione il 30 marzo 2020, alla vigilia della debacle digitale, lasciando così scoperta la trincea e anche la scrivania, sulla quale qualcuno avrebbe dovuto compilare la segnalazione all’Autorità per la protezione dei dati personali.
Attenzione al Gdpr
Poi, notano gli esperti, nella comunicazione non viene fatta alcuna menzione alle possibili conseguenze derivanti dall’incidente informatico e alle misure concrete poste in essere per mitigarne l’effetto. Ma la parte che fa più discutere è quella relativa all’istituzione della casella di posta elettronica [email protected] “utilizzabile, esclusivamente dai soggetti i cui dati siano stati interessati dalla violazione, per le segnalazioni all’INPS, allegando eventuali evidenze documentali”.
“Sembra quasi che la creazione della casella di posta elettronica sia essa stessa la misura adottata per risolvere il problema”, ha spiegato a Wired Enrico Ferraris, avvocato specializzato in tutela della privacy e primo ad aver segnalato le incongruenze della comunicazione dell’Inps dal suo profilo Twitter: “Di fatto mancano tutti i contenuti previsti dal Gdpr, che prescrive chiaramente l’identificazione del Dpo e le soluzioni proposte per la risoluzione dell’incidente”, precisa Ferraris. E aggiunge: “Ma ancora di più qua si inverte l’onere dell’identificazione degli interessati coinvolti nella violazione: sarebbero infatti questi ultimi a dover ricevere un avviso nel quale si informa che i loro dati personali sono stati visibili a una quantità imprecisata di persone”.
Comunicato @INPS_it sul #databreach.
Curioso che chiedano agli interessati di segnalare (e provare con “evidenze documentali”) la violazione dei propri dati.
Letteralmente sembra che l’unica misura adottata per porre rimedio alla violazione sia l’istituzione della casella. 🤷♂️ pic.twitter.com/bILLT3YgjG— Enrico Ferraris (@ebobferraris) April 3, 2020
L’entità del danno non è nota, né è misurabile basandosi soltanto sugli screenshot condivisi da chi ha provato ad accedere al sito dell’Inps e si è trovato di fronte alle informazioni personali di altri utenti. Secondo alcune segnalazioni riportate da Repubblica tra le informazioni esposte vi sarebbero anche delle richieste effettuate per ottenere il bonus babysitter, che tuttavia non sembrano congrue in quanto riportano una data precedente a quella della finestra di tempo nella quale era effettivamente possibile presentarle.
Si è capito qualcosa di questa storia di cui parla anche @repubblica? Sono tornato a vedere il video che riporta date del 31/03 (bonus accessibile dal 01/04) e orari non convincenti. #INPSdown @INPS_it @g_bonfiglio @ebobferraris @rscano @disinformatico https://t.co/vDGT8RZ8Rr pic.twitter.com/ASpjuUhLFL
— Andrea Ganduglia (@andreaganduglia) April 3, 2020
Il ruolo del Garante
Rimane la certezza della violazione nei confronti dell’esercito delle partite Iva che, già esasperato da una pandemia che impedisce di uscire e lavorare, si ritrova al centro della notificazione inviata dall’Inps al Garante per la protezione personale.
Spetta ora all’authority guidata da Antonello Soro (il cui mandato, come nel caso del dpo dell’Inps, è scaduto da tempo nell’inazione del Parlamento italiano) la responsabilità di misurare, provvedere ed eventualmente sanzionare: “Per un’incidente come questo la sanzione potrebbe arrivare fino a venti milioni di euro – precisa Ferraris – ma il Garante ha soprattutto il potere di adottare dei provvedimenti correttivi per mitigare gli effetti della violazione e prevenirne altre”.
Con un commento dal proprio account ufficiale su Twitter, l’Inps ha risposto che alla comunicazione tanto critica ne sarebbe seguita un’altra. Ma l’unico ringraziamento che ha ricevuto in risposta è stato quello rivolto ai responsabili dei social, che da giorni dimostrano una ferrea professionalità nel rispondere alla crisi d’immagine dell’ente. Chissà che qualcuno non imparerà da loro.
Potrebbe interessarti anche