INPS, violati dati personali utenti: le misure dell’Autorità

di Patrizia Del Pidio

item-thumbnail

I provvedimenti del Garante della Privacy per le violazioni dovute al malfunzionamento del sito INPS nei giorni 1 e 6 aprile.

Già con note del 1 e del 6 aprile, l’INPS aveva notificato all’Autorità preposta due violazioni dei dati personali che hanno comportato:

  • l’accesso ai dati personali di utenti del portale “www.inps.it” da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato;
  • l’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting (c.d. “Bonus Baby Sitting”), di cui all’art. 25 del d.l. 17 marzo 2020, n. 18, con visualizzazione, modifica, cancellazione o invio all’INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati.

Le violazioni in questione si sono verificate con il grandissimo afflusso di utenti che hanno cercato di collegarsi al sito d’ll’INPS in occasione della presentazione della domanda per i sostegni al reddito per emergenza coronavirus.

Nel provvedimento preposto dal Garante della Privacy si legge che l’Autorità ha ricevuto centinaia di reclami e segnalazione da:

  • numerosi utenti che stavano tentando di accedere a servizi online presenti sul portale dell’INPS, compresi quelli per compilare e inviare individualmente la propria domanda per l’erogazione delle prestazioni previste dal d.l. n. 18/2020;
  • soggetti direttamente coinvolti nelle violazioni dei dati personali, in quanto i propri dati personali sono stati oggetto di accesso da parte di terzi;
  • professionisti delegati dai propri clienti a effettuare operazioni per conto degli stessi;
  • enti e associazioni, in rappresentanza di categorie professionali e utenti.

Quali misure per porre rimedio alle violazioni?

L’INPS in relazione alle violazioni ha chiuso per 3 ore l’accesso al portale per avviare ottimizzazioni e il contingentamento del traffico. Nel giorni successivi, però ha continuato a ricevere  “svariate segnalazioni di utenti che hanno rilevato la persistenza di dati anagrafici di soggetti terzi […] all’accesso delle procedure dell’Istituto ma si è accertato che tali segnalazioni non erano ascrivibili alla persistenza del problema ma semplicemente al fatto che il browser dell’utente continuava a ripresentare la pagina memorizzata nella sua cache locale. Infatti, è stato sufficiente far fare un refresh della pagina o svuotare la cache che il problema non si è più ripresentato”. L’INPS ha altresì evidenziato che “il malfunzionamento si è verificato dal momento dell’apertura della procedura e ha interessato gli utenti cittadino che hanno acceduto con il PIN semplificato e tutte le altre categorie di utenti diverse dal semplice cittadino e dai patronati, indipendentemente dalla tipologia di credenziali [di autenticazione] utilizzate” e che lo stesso si è protratto fino alle ore 11:48 del 2 aprile 2020, momento in cui l’Istituto, dopo essere venuto a conoscenza della violazione, ha provveduto a chiudere “immediatamente il servizio per effettuare gli approfondimenti dovuti e correggere l’anomalia”.

I provvedimenti del Garante della Privacy

Il garante della Privacy, in tal senso ha provveduto a:

1) ai sensi dell’art. 58, par. 2, lett. e) del Regolamento, ingiunge all’INPS di comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, le violazioni dei dati personali in esame a tutti gli interessati coinvolti, nei termini di cui in premessa;

2) richiede all’INPS di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 20 giorni dalla data della ricezione del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

3) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Versione stampabile
Argomenti:

soloformazione