Il 14 maggio, il Garante per la Protezione dei Dati Personali ha pubblicato il Provvedimento in merito ai casi di Data Breach ai danni dell’INPS, verificatisi nei primi giorni di aprile in occasione dell’avvio delle procedure per il sostegno del reddito legate all’emergenza CoViD-19.
Come noto, al momento dell’accesso al sito dell’Istituto, molti utenti hanno avuto accesso a informazioni e documentazione appartenenti ad altre persone. Diversamente da quanto appreso nelle prime ore dall’accaduto, nessun fantomatico attacco da parte di criminali informatici è tra le cause di queste violazioni. Cause da ricercarsi, piuttosto, in alcuni problemi tecnici legati alle nuove tecnologie informatiche necessarie per gestire i numerosi e differenziati accessi ai servizi della piattaforma.
A prescindere dalle cause delle violazioni, l’istruttoria dell’Autorità ha voluto approfondire la loro natura e portata, nonché le misure adottate dall’Istituto per rimediare e attenuarne gli effetti.
Anticipiamo subito che il Provvedimento si è concluso con la prescrizione a INPS di comunicare (entro quindici giorni) le violazioni dei dati personali a tutti gli interessati coinvolti, nonché di informare (entro 20 giorni) l’Autorità garante sulle modalità di attuazione di tali comunicazioni, ricordando altresì che un mancato riscontro documentato potrà determinare una sanzione amministrativa pecuniaria.
Da parte nostra, cogliamo oggi l’occasione per analizzare alcuni aspetti del caso, prendere spunto dagli elementi positivi e negativi nella gestione delle violazioni, e ribadire così su alcuni importanti principi di tutela dei dati personali.
Indice
Arrivare preparati ai cambiamenti
L’importanza di arrivare preparati ai cambiamenti ci viene ricordata soprattutto dalle modalità di implementazione del nuovo sistema di autenticazione al portale dell’INPS con PIN semplificato (relativo all’erogazione dei bonus da 600€ e del Bonus Baby-sitting). Si ribadisce, ancora una volta, la centralità del principio di privacy-by-design, a cui occorre dare valore, attraverso adeguate procedure e controlli, soprattutto in occasione di modifiche nella gestione dei dati personali (ad es. alla sostituzione di software o di loro fornitori, innovazioni delle infrastrutture hardware, riorganizzazione dei processi interni, avvio di particolari iniziative, ecc). Nel caso dell’INPS, infatti, la necessità di realizzare una nuova procedura informatica in tempi stretti sembra aver determinato alcune deroghe agli ordinari collaudi di sicurezza applicativi, l’incapacità di rilevare e correggere alcuni errori nella categorizzazione degli utenti, e i conseguenti problemi di accesso ai loro dati personali da parte di terzi.
Occorre poi prendere atto che nemmeno una buona pianificazione, da sola, è sufficiente. Notiamo ad esempio che, precedentemente all’avvio delle procedure di sostegno, l’INPS aveva giustamente previsto di dover gestire un elevato numero di accessi al portale, e stabilito, con il supporto dei suoi fornitori informatici, di attivare una Content Delivery Network (CDN). Tale soluzione tecnica, effettivamente idonea a gestire un potenziale “click-day” nazionale, si è però scontrata con alcune disfunzionalità durante la fase di implementazione vera e propria, in cui la gestione da parte dell’Istituto sembra aver preso una piega più “disordinata”.
Saper reagire prontamente a una possibile violazione di dati
Il caso in questione ci offre ancora una volta l’opportunità di sottolineare che, nei casi di violazione di dati personali, il fattore tempo occupa un ruolo primario: si conferma nuovamente l’importanza per qualsiasi organizzazione di applicare adeguate procedure di gestione delle violazioni, che permettano di coordinare tutte le risorse (DPO, Referenti o consulenti privacy, Responsabili IT e Amministratori di sistema, supporti informatici esterni, ecc.) il cui coinvolgimento risulti necessario.
Nota positiva, quindi, per le azioni di contenimento messe in atto dall’INPS, che ai primi segnali di Data Breach ha deciso di chiudere completamente il portale, limitando le possibili conseguenze dei malfunzionamenti, e prendendo tempo per effettuare alcune ottimizzazioni nonché riorganizzare le modalità di accesso al servizio. Utili anche le azioni correttive atte a far fronte alla già avvenuta diffusione di dati oltre il perimetro di azione dell’Istituto, correlata soprattutto alla loro condivisione sui social network da parte degli utenti stessi. L’INPS ha infatti richiesto la rimozione di tutti i contenuti diffusi da terzi su Twitter, e ha istituito e reso pubblica la casella violazionedatiGDPR@inps.it per raccogliere le segnalazioni e fornire assistenza. Non meno importante la prima immediata notifica di Data Breach al Garante, inviata nella stessa mattinata del 1° aprile.
Contestualizzare e analizzare la violazione per stabilirne l’entità
I metodi per valutare i rischi di una violazione devono seguire dei parametri quanto più possibile oggettivi, ma è sempre importante che i fatti analizzati siano contestualizzati. Risulta pertanto evidente il motivo per cui, a un organismo come l’INPS, avente ruolo centrale nel sistema delle grandi banche dati pubbliche, si debba richiedere un elevato grado di accountability.
Le valutazioni svolte dall’INPS sull’entità delle violazioni hanno raggiunto la conclusione che non si rappresentasse un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte, e che pertanto non fosse necessario contattare direttamente gli interessati. L’Istituto ha optato invece per una comunicazione pubblica sul proprio sito, la quale tuttavia, secondo quanto riportato nel provvedimento del Garante, è risultata non idonea a informare efficacemente gli interessati coinvolti.
Particolarmente interessanti, secondo il nostro parere, alcune delle differenze interpretative sull’entità della violazione:
● laddove l’INPS ha sottolineato la casualità degli accessi ai dati da parte di terzi (assumendo uno scarso interesse di questi a consultarli), le Autorità hanno invece evidenziato l’impossibilità di conoscere le reali intenzioni dei numerosi utenti che avevano avuto accesso a dati altrui;
● analogamente, mentre l’INPS ha descritto le tipologie di dati personali violati come soggette a basso rischio, le Autorità hanno dato rilievo alla gravità e alla persistenza delle possibili conseguenze, tra le quali spicca il possibile utilizzo dei dati di contatto a scopo di phishing o per altri fini illeciti.
Da ciò, l’obbligo di rimediare, contattando tutti i soggetti coinvolti, comunicando quanto avvenuto e fornendo supporto e informazioni affinché possano mettere nuovamente in sicurezza le proprie informazioni.