La violazione dei dati personali subita il 1° aprile 2020 dovrà essere comunicata ai diretti interessati; il Garante della privacy mette l’INPS nei guai.
L’INPS potrebbe essere nei guai per quanto riguarda la vicenda dei dati personali violati.
Quanto successo lo scorso 1° aprile sul sito dell’INPS potrebbe avere conseguenze molto gravi per l’istituto. Ci riferiamo al primo giorno in cui è stato possibile accedere al sito dell’INPS per presentare la domanda per le indennità una tantum riconosciute dal Decreto Cura Italia; un flusso tale di persone da aver mandato il sito dell’INPS in tilt, con l’esposizione dei dati personali di alcuni cittadini.
L’INPS ha dato la colpa ad un attacco hacker, ma quanto successo realmente è ancora oggetto di discussioni. Non sappiamo con certezza quali sono i cittadini interessati dalla violazione dei dati personali; ma lo sapremo presto visto che in queste ore è arrivata un’ingiunzione del Garante della privacy che obbliga l’INPS a comunicare - entro il termine di 15 giorni - agli interessati le violazioni dei dati personali del 1° aprile.
In questo modo i soggetti interessati potranno anche decidere se fare causa all’INPS (le istruzioni su come fare le trovate nel nostro articolo dedicato).
INPS obbligato a comunicare ai cittadini la violazione dei dati personali
Ricordiamo brevemente cosa successe il 1° aprile scorso. Il sito INPS andò talmente in tilt - non sappiamo se per un sovraccarico dei server o per un attacco hacker - che alcuni utenti vennero erroneamente reindirizzati sulle pagine personali di altri cittadini, con la possibilità di consultare i loro dati privati.
Tolti i nomi di alcune persone (pubblicati sui social network come dimostrazione dei malfunzionamenti del sito INPS) non sappiamo ancora quanti sono effettivamente i cittadini interessati dalla violazione dei dati personali. Neppure i diretti interessati sanno effettivamente se ci sono stati altri utenti che in quella giornata hanno avuto accesso alla loro area personale.
Ebbene, ogni dubbio dovrà essere chiarito presto dall’INPS come disposto chiaramente dall’ingiunzione pubblicata in queste ore dal Garante della privacy.
Nel dettaglio, questo impone all’INPS di comunicare - “senza ritardo e comunque entro 15 giorni dalla data di ricezione del presente provvedimento” - qualsiasi violazione dei dati personali. La comunicazione dovrà essere inviata ai diretti interessati, con la descrizione della natura delle violazioni e con la spiegazione delle possibili conseguenze della stessa.
In questa comunicazione, poi, dovranno esserci i contatti del responsabile della protezione dei dati - o di qualsiasi altro punto di contatto appositamente istituito presso l’INPS - in modo che i cittadini interessati possano contattarlo per chiedere maggiori delucidazioni sull’accaduto e ricevere indicazioni precise sulle contromisure necessarie per difendersi dalle possibili conseguenze della violazione.
E non è da escludere che i cittadini interessati decidano persino di fare causa all’INPS ai fini di ricevere un risarcimento.
Il sito INPS è sicuro?
Il Garante della Privacy, inoltre, ha chiesto all’INPS di comunicare - questa volta entro un termine di 20 giorni - cosa si sta facendo affinché il sito dell’Istituto venga messo in sicurezza così da evitare che quanto successo lo scorso 1° aprile si ripeta.
Nel dettaglio, questo ha richiesto all’INPS di “comunicare quali iniziative sono state intraprese al fine di dare attuazione a quanto prescritto dal presente provvedimento”. L’eventuale mancato riscontro potrà comportare una sanzione amministrativa fino a 20 milioni di euro.
© RIPRODUZIONE RISERVATA