Il Garante Privacy ha pubblicato un provvedimento del 14 maggio 2020 con cui intimato all’INPS di “comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, le violazioni dei dati personali in esame a tutti gli interessati coinvolti”. La comunicazione deve, come previsto dall’art. 34 del GDPR:
- descrivere la natura delle violazioni e le possibili conseguenze delle stesse;
- fornire specifiche sulle misure che gli interessati possono adottare per proteggersi da eventuali conseguenze negative delle violazioni;
- fornire i dati di contatto del DPO dell’Istituto o di altro referente contattabile dall’interessato per ottenere maggiori informazioni.
L’1 aprile 2020 il sito INPS era andato in tilt tempestato da migliaia di richieste di accesso di utenti che intendevano ottenere i bonus deliberati dal Governo come contributi economici nel contesto della gestione dell’emergenza Coronavirus. Oltre che a smettere di funzionare correttamente, il portale evidenziava una disfunzione per la quale diversi richiedenti si sono ritrovati a visualizzare i dati di altri utenti anziché i propri. Si verificava così una divulgazione indebita di dati personali in violazione della normativa di privacy, motivo per cui l’INPS effettuava notifica ai sensi dell’art. 33 GDPR e il Garante avviava immediatamente un’istruttoria.
L’INPS rispondeva alle richieste di maggiori informazioni del Garante con:
- nota del 10 aprile riguardante l’accesso indebito ai dati personali di utenti del portale, determinato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato;
- del 20 aprile riguardante l’accesso indebito ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting con visualizzazione, modifica, cancellazione o invio all’Inps di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati.
L’INPS ha ritenuto che le violazioni dei dati personali non integrassero le condizioni del par.1 dell’art. 34 del GDPR che impongono la comunicazione diretta agli interessati, ossia che non fossero “suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. Nel provvedimento del 14 maggio, il Garante smentisce l’assunto dell’INPS ritenendo, anche in base ai reclami nel frattempo ricevuti, che l’evento rientri certamente tra quelli che comportano un alto rischio di privacy: questo, per il numero di soggetti coinvolti (almeno 42 individui e 773 famiglie) alcuni dei quali appartengono a categorie cui deve garantirsi maggior tutela (minori e disabili), per la facilità di identificazione degli interessati, per la gravità delle possibili conseguenze per gli interessati, per le caratteristiche del titolare del trattamento (l’INPS è tratta dati personali, anche sensibili, di un’intera popolazione e dovrebbe conseguentemente garantirne la massima protezione possibile).
Il Garante ha per questo ingiunto all’INPS di procedere a comunicazione one to one agli interessati coinvolti entro un massimo di 15 giorni dal provvedimento e di dare antro 20 giorni riscontro all’Autorità sulle modalità intraprese per assolvere la prescrizione che, se inosservata, può condurre ad una sanzione fino a 20 milioni di euro. Nel frattempo, il Garante porterà avanti l’istruttoria per prescrivere ulteriori azioni correttive e, soprattutto, per accertare le responsabilità dell’INPS che, anche in questo caso, potrebbe dover rispondere fino a 20 milioni di euro per mancata adozione delle misure di sicurezza prescritte dal GDPR.