Il pesce d’aprile dell’INPS

La privacy all’epoca del “coronavirus”

Fine delle trasmissioni; se qualcuno pensava che, dopo la pandemia del coronavirus, la privacy fosse ancora un diritto, a ricordarci che non è così, questa mattina ci ha pensato l’INPS.

E’ davvero singolare come in tutti questi giorni si sia discusso, anche senza cognizione di causa, della possibilità di utilizzare la geolocalizzazione degli smartphone per agevolare la sorveglianza attiva sui cittadini italiani e che con un colpo solo l’Istituto Nazionale per la Previdenza sociale si sia resa protagonista di uno dei più grandiosi “data leak” degli ultimi anni.
Pagine di dati comuni e sensibili, per errore, sono stare rese conoscibili a coloro che si loggavano, non certo per farsi gli affari degli altri, ma per esercitare un diritto, cioè per inoltrare la famigerata richiesta del bonus da 600 euro.

Diciamolo subito, per quanto è accaduto non ci sono giustificazioni sotto il profilo giuridico e dare la colpa agli hacker, come ha fatto il Presidente dell’Istituto, più che una giustificazione, conferma semmai l’estrema vulnerabilità della piattaforma.

Il principio di accountability (responsabilizzazione)

Il principio di “accountability” (responsabilizzazione) previsto dal GDPR prevede infatti che il titolare del trattamento dei dati, l’inps, in questo caso, conduca preventivamene una valutazione di impatto sui trattamenti più sensibili e adotti tutte le misure tecniche ed organizzative che sono necessarie.

Da quanto è accaduto, sorge pertanto il ragionevole dubbio che tale valutazione o non sia stata condotta oppure sia stata fatta in modo a dir poco approssimativo.

Gli obblighi dell’INPS a seguito del “data breach”

Ora l’Inps avrà 72 ore per “reddere rationem” al Garante per la protezione dei dati e dovrà farlo secondo quanto prevede l’art. 33 del Regolamento Europeo sulla privacy, in modo molto accurato, indicando quali categorie di dati siano state oggetto di perdita di riservatezza, la causa dell’incidente e quali misure siano state intraprese per rimuovere le conseguenze dannose per i diritti degli interessati.

Nello stesso termine, lo stesso Istituto dovrà altresì valutare se la “disclosure” possa cagionare, come pare inevitabile, gravi rischi per i diritti degli interessati e, nel caso ciò si appalesasse come probabile, dovrà comunicare l’incidente ai singoli iscritti INPS i cui dati siano stati oggetto di diffusione.

Le possibili sanzioni

La parte più paradossale di quanto accaduto è che le sanzioni per l’Istituto potrebbero alleggerirne ulteriormente le casse; in tali ipotesi, infatti, sono previste sanzioni fino a venti milioni di euro, oltre ai costi per eventuali risarcimenti.

Poco male se il denaro alla fine verrà come al solito prelevato dal portafoglio degli Italiani, chissà, magari riducendo la platea degli aventi diritto al bonus.