L'avvocato Luigi Todaro, esperto in GDRP e nuove tecnologie risponde

Caos Inps, l’avv. Todaro: “72 ore di tempo per comunicare la violazione al Garante ed evitare problemi”

273
La sede centrale dell'Inps all'Eur (Roma)

Caos Inps, l’avv. Todaro: “72 ore di tempo per comunicare la violazione al Garante ed evitare problemi”

Sito Inps irraggiungibile e migliaia di dati personali visualizzati da altri utenti: il primo aprile non è mai stato così complicato per l’Istituto italiano che deve ora correre ai ripari per mitigare il possibile danno causato alla privacy di molti italiani. Moltissime sono le proteste che si levano nei confronti dell’istituzione e dei suoi vertici, con pesanti accuse da parte della politica.

Una situazione che personaggi di rilievo, come anche la leader di Fratelli d’Italia Giorgia Meloni, giudicano “preoccupante in termini di sicurezza dei dati e privacy degli utenti”.

Per comprendere un poco meglio la situazione e quali saranno i possibili risvolti, abbiamo interpellato l’avvocato Luigi Todaro del foro di Roma, esperto di GDPR e nuove tecnologie.

Avvocato, può dirci cosa è successo?
In parole povere, l’architettura informatica non ha retto e si è aperta una crepa enorme con la conseguenza che chi è riuscito ad accedere al portale si è trovato di fronte (sulla propria schermata) i dati personali appartenenti ad altri utenti. Oggi sul portale dell’Istituto di previdenza sociale si è configurato l’accesso e l’acquisizione dei dati da parte di terzi non autorizzati. È bastato cliccare sulla prima schermata di accesso, e senza inserire alcun dato, per essere indirizzati all’interno del profilo di altri utenti con la possibilità di visualizzare dati personali come nome e cognome, codice fiscale, provincia di residenza, comune di residenza, CAP, indirizzo, indirizzo mail personale e indirizzo PEC personale. Assurdo.

E’ avvenuta quindi una violazione?
Si è trattato di un vero e proprio data breach che si manifesta, stando al regolamento della privacy Regolamento UE 2016/679), ogni qual volta ci troviamo di fronte – per l’appunto – ad una violazione di sicurezza. Questo comporta, accidentalmente o in modo illecito, la perdita, la modifica, distruzione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Cosa può fare ora l’Inps, secondo la legge, per tutelarsi?
Secondo il GDPR (il regolamento comunitario a tutela della privacy) in caso di data breach il titolare del trattamento, qualsiasi soggetto pubblico, impresa, associazione, partito o professionista, deve notificare la violazione al Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne è venuto a conoscenza. Di fronte a questa violazione Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) e adeguate misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Inoltre, sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro.

1 commento

  1. Direi che in un periodo di totale confusione come questo basta veramente poco per ingiungere in danni a/o cose e persone rischiando veramente molto in termini di credibilità e sanzioni.
    Molto chiaro ed esplico sull’argomento l’avvocato Dott. Todaro.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui