Il data breach all’Inps, avviata l’indagine del Garante privacy

Il Garante della privacy si è ufficialmente messo in moto. L’Inps ha, infatti, comunicato all’Autorità il data breach, ovvero la violazione di dati personali. Il Gdpr (il regolamento europeo sulla privacy) stabilisce che la comunicazione debba essere effettuata entro le 72 ore dal momento in cui si viene a conoscenza dell’incidente.

Questo ha permesso ieri al Garante di avviare l’istruttoria per capire realmente cosa sia accaduto e prendere gli eventuali provvedimenti, che possono andare dalla richiesta di adeguamento delle misure di sicurezza al, nel caso di particolari responsabilità da parte dell’Istituto, sanzioni amministrative piuttosto salate.

Intanto, l’Authority ha chiesto a chiunque sia venuto a conoscenza, a causa del crac dell’altro ieri del sito Inps, di dati personali di altre persone, di non utilizzarli ed evitare « di comunicarli a terzi o diffonderli, ad esempio, sui canali social». E questo per non amplificare i rischi per le persone coinvolte nel data breach e per «non incorrere in possibili illeciti». La raccomandazione è, semmai, di rivolgersi allo stesso Garante per segnalare eventuali aspetti rilevanti.

Uno degli elementi da chiarire è, infatti, l’esatta portata dell’incidente e il numero delle informazioni personali coinvolte. Ci potrebbe, infatti, essere anche la necessità per l’Istituto - nel caso la violazione abbia comportato un rischio elevato per i diritti delle persone - di dover comunicare l’accaduto a tutti gli interessati,

È sempre il Gdpr a prevederlo, insieme agli elementi da segnalare al Garante, che sono riassunti in un modello che l’Autorità ha predisposto per questo tipo di violazioni: si va dal momento in cui è accaduto il fatto (o se ne è venuti a conoscenza) alla sua natura, le cause, la tipologia di dati personali e dei soggetti interessati, il numero (anche approssimativo) di informazioni e di persone coinvolte, i potenziali rischi che ne derivano. Una procedura che deve essere seguita non solo se la violazione è conseguenza di un attacco di hacker, ma ogni volta che un sistema “perde” i dati personali che custodisce.

Una volta ricevuta la notifica del data breach, al Garante spetta il compito di verificare l’entità dell’incidente e capirne le ragioni. Sulla base di quanto viene accertato nel corso dell’istruttoria si decidono i successivi interventi. Se viene riscontrato che il data breach è dovuto a un mancato rispetto del Gdpr, l’Authority può imporre l’adeguamento delle misure di sicurezza sia organizzative sia tecniche. Se però la responsabilità e il danno risultano più gravi, si passa alle sanzioni pecuniarie, che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.