Registro dei provvedimenti n. 86 del 14 maggio 2020
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;
Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);
VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE”, così come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito “Codice”);
Viste le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (di seguito “Linee guida”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Antonello Soro;
PREMESSO
L’Istituto nazionale previdenza sociale (di seguito “INPS” o “Istituto”), con note del 1° aprile e del 6 aprile 2020, ha notificato all’Autorità, ai sensi dell’art. 33 del Regolamento, due distinte violazioni dei dati personali che hanno comportato, rispettivamente:
1. l’accesso ai dati personali di utenti del portale “www.inps.it” da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato;
2. l’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l'acquisto di servizi di baby-sitting (c.d. “Bonus Baby Sitting”), di cui all’art. 25 del d.l. 17 marzo 2020, n. 18, con visualizzazione, modifica, cancellazione o invio all’INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati.
Tali violazioni dei dati personali si sono verificate in occasione dell’avvio delle procedure per la richiesta di erogazione di prestazioni a sostegno del reddito, legate alla situazione emergenziale in corso previste dal d.l. 18/2020, nei confronti di una prevista ampia platea di beneficiari che hanno tentato di accedere contemporaneamente ai servizi online erogati tramite il portale dell’INPS.
Contestualmente, l’Autorità ha ricevuto più di un centinaio di segnalazioni e reclami da parte di soggetti che, oltre a manifestare i timori per le conseguenze sui diritti e le libertà fondamentali delle persone fisiche coinvolte, in molti casi hanno rappresentato di aver visualizzato dati personali riferiti a terzi, fornendone spesso prova documentale. In particolare, si evidenzia come, tra i predetti soggetti, siano presenti:
numerosi utenti che stavano tentando di accedere a servizi online presenti sul portale dell’INPS, compresi quelli per compilare e inviare individualmente la propria domanda per l’erogazione delle prestazioni previste dal d.l. n. 18/2020;
soggetti direttamente coinvolti nelle violazioni dei dati personali, in quanto i propri dati personali sono stati oggetto di accesso da parte di terzi;
professionisti delegati dai propri clienti a effettuare operazioni per conto degli stessi;
enti e associazioni, in rappresentanza di categorie professionali e utenti.
Muovendo da tali elementi, l’Ufficio ha avviato un’istruttoria sulle predette violazioni dei dati personali, mediante richieste di informazioni rivolte all’Istituto (note del 1° aprile e del 20 aprile 2020), volte ad acquisire ulteriori elementi in ordine alla natura e alla portata delle violazioni rappresentate dall’INPS e lamentate dagli utenti, nonché alle misure tecniche e organizzative adottate dall’Istituto per porvi rimedio e per attenuarne gli effetti negativi nei confronti degli interessati coinvolti. A tali richieste l’Istituto ha prodotto riscontro con note del 10 aprile e del 30 aprile 2020, fornendo le informazioni e gli elementi di seguito rappresentati.
1. Gli elementi forniti dall’Istituto
1.1. La violazione dei dati personali determinata dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it”
In relazione alla prima violazione dei dati personali oggetto di notifica, l’Istituto ha rappresentato che, al fine di garantire “adeguati livelli di fruibilità dei servizi […] e contestualmente la protezione da attacchi DDOS” nei giorni in cui sarebbe stato possibile presentare le istanze per l’erogazione di prestazioni previste dal d.l. n. 18/2020, aveva deciso di fare ricorso a un servizio CDN (Content Delivery Network), ritenuto “idoneo per la gestione di questo modello di erogazione di servizio (cosiddetto click day)”.
In particolare, l’Istituto ha rappresentato che “in vista del rilascio di nuovi servizi al cittadino, previsto per il giorno 01/04/2020, INPS richiede il coinvolgimento del supporto Microsoft, al fine di valutare soluzioni tecnologiche che possano aiutare a migliorare le prestazioni del servizio reso attraverso il sito web istituzionale dell’INPS, in previsione di possibili carichi eccezionali. Viene, altresì, coinvolta la società Leonardo la quale fornisce il supporto sistemistico nell’ambito dell’accordo quadro Consip di system management. Si forma un “tavolo tecnico” tra Inps, Microsoft e Leonardo e viene individuata, come unica soluzione possibile per fronteggiare l’emergenza, l’utilizzo di una Content Delivery Network (CDN)”, optando per “l’offerta tecnologica di Microsoft che, nell’ambito dei servizi Cloud Azure, propone un servizio di distribuzione dei contenuti basato su una propria tecnologia [(di seguito “CDN Microsoft”)] ovvero su tecnologia Akamai [(di seguito “CDN Akamai”)], leader del mercato di riferimento”.
L’Istituto ha dichiarato che, inizialmente, nella serata del 31 marzo 2020, aveva provveduto ad attivare il servizio CDN Microsoft ma, emergendo “da subito criticità proprio nel caching [… con] risposte generiche del tipo “The Request cannot be served””, aveva “ritenuto opportuno operare un rollback della situazione ripristinando l’accesso diretto al proprio sito”. L’Istituto ha precisato che “i disservizi osservati [... erano] dunque relativi all’incapacità del servizio di fornire risposte all’utente e dunque di indisponibilità dello stesso”.
Successivamente, nella mattina del 1° aprile 2020, l’Istituto aveva rilevato che “i sistemi erano in forte sofferenza e il servizio era fortemente degradato” e aveva, pertanto, “optato per riattivare il servizio CDN, questa volta su tecnologia Akamai” che è stato “attivato, attraverso la modifica del DNS, alle ore 10,13 del 1° Aprile”. Tuttavia, “si è subito palesato l’anomalo funzionamento del meccanismo di caching che di fatto ha provocato la replica di alcune schede anagrafiche presenti nel portale www.inps.it, l’unico dominio sottoposto a caching da parte della CDN” e “non appena sono emersi i primi segnali di un potenziale data breach, alle ore 10,30 è stato avviato il rollback della soluzione modificando la risoluzione DNS per tornare all’erogazione dei servizi esclusivamente attraverso il portale dell’Istituto senza l’intermediazione della CDN”.
A. Le misure adottate per porre rimedio alla violazione dei dati personali
In seguito, l’Istituto ha deciso di “chiudere completamente il portale internet” e di riattivare il servizio, dopo circa 3 ore, solo a seguito dell’effettuazione di “alcune ottimizzazioni già avviate ma non ancora ultimate al momento dell’apertura dello stesso” e del “contingentamento del traffico proveniente dagli intermediari e dai cittadini stabilendo che questi ultimi potessero accedere solo al di fuori della fascia orario dalle ore 8 alle 16 riservata agli intermediari”. Inoltre, “l’Istituto ha richiesto la rimozione di tutti i contenuti che sono stati indebitamente diffusi da terzi su Twitter”.
L’Istituto ha rappresentato che, nei giorni successivi alla violazione dei dati personali, ha continuato a ricevere “svariate segnalazioni di utenti che hanno rilevato la persistenza di dati anagrafici di soggetti terzi […] all’accesso delle procedure dell’Istituto ma si è accertato che tali segnalazioni non erano ascrivibili alla persistenza del problema ma semplicemente al fatto che il browser dell’utente continuava a ripresentare la pagina memorizzata nella sua cache locale. Infatti, è stato sufficiente far fare un refresh della pagina o svuotare la cache che il problema non si è più ripresentato”.
L’Istituto ha altresì evidenziato che, “al fine di limitare la diffusione dei dati personali che si era innescata sui vari social, […] si è provveduto ad istituire una apposita casella violazionedatiGDPR@inps.it, resa pubblica con apposito avviso in home page del portale, per consentire di inviare segnalazioni ed evidenze in merito al data breach”.
B. Le tipologie di dati personali oggetto di violazione
L’Istituto ha rappresentato che “sulla base delle evidenze riscontrate e delle successive analisi tecniche, la violazione dei dati di tali soggetti è stata limitata alla sola possibilità di visualizzazione di dati personali (anagrafici, residenza e contatti telematici), presenti nelle pagine cache, non essendo consentita alcuna modifica da parte di terzi”. In particolare, le tipologie di dati personali oggetto della violazione sono “codice fiscale, cognome, nome, data di nascita, luogo di nascita, indirizzo di residenza, telefono, cellulare, email e PEC”, presenti nella “pagina “Anagrafica” all’interno della sezione myINPS del portale informativo”.
C. Gli interessati coinvolti nella violazione dei dati personali
L’Istituto ha dichiarato che, sulla base delle impostazioni di caching del servizio CDN Akamai e dell’analisi dei relativi log, “gli interessati non dovrebbero essere oltre 23 persone”, evidenziando che “non è possibile identificare analiticamente dai sistemi i soggetti coinvolti nella violazione poiché la CDN Akamai non ha la persistenza dei contenuti in cache. Si è dunque proceduto ad una loro identificazione sulla base delle segnalazioni raccolte attraverso la specifica casella violazionedatiGDPR@inps.it” e fornendo un elenco di 8 interessati coinvolti nella violazione dei dati personali.
In particolare, l’Istituto ha aggiunto che “dall’analisi degli access log della CDN, è emerso che le richieste della pagina anagrafica di myINPS, che hanno avuto una risposta positiva (HTTP 200), sono state 842. Considerato che tra queste ci sono anche le richieste effettuate dai potenziali interessati al data breach, come stimati […] in massimo 23 unità, ne consegue che il numero massimo di soggetti che avrebbero avuto la possibilità di consultare i dati anagrafici di terzi è non superiore a 819. Tuttavia, considerato che ogni utente, di fronte all’esigenza di accedere ai propri dati, potrebbe aver richiesto un nuovo caricamento della pagina, ne consegue che il numero effettivo di soggetti distinti potrebbe essere stato sensibilmente inferiore”.
D. Le valutazioni dell’Istituto in merito alla comunicazione della violazione dei dati personali agli interessati coinvolti
A questo proposito, l’Istituto ha dichiarato che “tenuto conto della tipologia dei dati visualizzati e nella considerazione che la possibilità di visualizzazione è avvenuta in modo del tutto casuale e limitata nel tempo da parte di soggetti che appaiono privi di qualunque legame e interesse con quelli coinvolti, […] ritiene che la violazione non sia tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
1.2. La violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting
In relazione alla seconda violazione dei dati personali oggetto di notifica, l’Istituto ha rappresentato che, al fine di “consentire la presentazione delle domande esclusivamente per via telematica, nonostante i tempi molto ristretti concessi per la sua predisposizione (il decreto è del 17 marzo 2020 e la presentazione delle domande è stata avviata sempre dal 1° aprile, con messa in produzione il 31 marzo, nel contesto di tutte le criticità sopra descritte), si è dovuto realizzare una nuova procedura informatica poiché i requisiti formulati per questo tipo di prestazione non hanno consentito il riuso di altre procedure” e che l’accesso a tale procedura doveva essere consentito “a tutti i cittadini e ai patronati quali intermediari autorizzati alla trasmissione”, tenendo anche conto del fatto che “molti potenziali beneficiari delle prestazioni avrebbero potuto non essere in possesso di credenziali di accesso (PIN, SPID, CIE, CNS)” al portale “www.inps.it”.
L’Istituto ha rappresentato che ha quindi “consentito, per le sole domande delle indennità 600€ e del Bonus Baby Sitting, la possibilità di presentare le domande con i soli primi 8 caratteri ricevuti via SMS dopo la richiesta del PIN” (c.d. accesso con modalità semplificata o, anche, con “PIN semplificato”) e che “tale previsione ha comportato la necessità di gestire il profilo autorizzativo attraverso controlli applicativi in deroga agli standard di controllo autorizzativo adottati per tutte le altre applicazioni, delegando alle applicazioni il controllo autorizzativo”. Tuttavia, “per effettuare in tempo strettissimi tutte le attività del ciclo di vita del software, le aree applicative hanno dovuto derogare parzialmente anche agli ordinari collaudi di sicurezza applicativa che l’Istituto effettua su tutte le sue applicazioni e che non è stato possibile effettuare alla luce dei tempi imposti e non negoziabili”.
L’Istituto ha rappresentato di essersi avvalso, per la realizzazione della procedura Bonus Baby Sitting, dei servizi di “application development and maintenance” forniti dalla società Sistemi Informativi S.r.l., designata responsabile ai sensi dell’art. 28 del Regolamento, a cui “sono state fornite le indicazioni di carattere amministrativo e tecnico derivanti dall’applicazione del D.L. 18/2020 per la progettazione e lo sviluppo del software, come normalmente avviene in occasione di nuove procedure”.
In particolare, l’Istituto ha dichiarato di aver dato “la possibilità di accesso alla procedura con qualsiasi identità digitale, anche il PIN semplificato, a prescindere dal profilo autorizzativo e sulla base del principio che: ogni soggetto identificato con una identità digitale può svolgere atti relativi alla sua persona. Tuttavia, la procedura ha dovuto prevedere la possibilità di trasmettere le domande anche attraverso i patronati. Dunque la procedura prevede un funzionamento duale: “cittadino in prima persona” che può inserire la domanda solo per proprio conto, “Patronato” che può inserire domande anche per terzi. Nel determinare il comportamento che doveva assumere sulla base delle informazioni del profilo dell’utente identificato dal sistema di accesso, l’implementazione della procedura non ha tenuto conto dell’esistenza di molteplici altre categorie di utenti, diverse dal cittadino (con PIN completo) e dal patronato, assimilandole a tutti gli effetti ai patronati invece che al cittadino”.
A. Le misure adottate per porre rimedio alla violazione dei dati personali
L’Istituto ha rappresentato che “il malfunzionamento si è verificato dal momento dell’apertura della procedura e ha interessato gli utenti cittadino che hanno acceduto con il PIN semplificato e tutte le altre categorie di utenti diverse dal semplice cittadino e dai patronati, indipendentemente dalla tipologia di credenziali [di autenticazione] utilizzate” e che lo stesso si è protratto fino alle ore 11:48 del 2 aprile 2020, momento in cui l’Istituto, dopo essere venuto a conoscenza della violazione, ha provveduto a chiudere “immediatamente il servizio per effettuare gli approfondimenti dovuti e correggere l’anomalia”.
B. Le tipologie di dati personali oggetto di violazione
L’Istituto ha dichiarato che la predetta “non corretta implementazione di [… un] controllo applicativo ha consentito a persone non autorizzate di consultare la lista delle domande presentate dalla stessa categoria di utenti” e che, a partire dall’elenco di tali domande, era possibile visualizzarne il contenuto e, nel caso di domande salvate in bozza (ossia non ancora trasmesse dal richiedente), modificarne il contenuto, cancellarle o inviarle all’Istituto. In particolare, l’INPS ha rappresentato che “ogni utente appartenente alle suddette categorie, ha potuto accedere alle domande trasmesse da altri utenti della stessa categoria. Ad es. chi ha acceduto con PIN semplificato ha potuto accedere alle domande inserite da altri con PIN semplificato, il consulente del lavoro ha potuto accedere alle domande inserite da altri consulenti del lavoro”, evidenziando che:
“la visualizzazione della lista di domande presenta i seguenti dati: n. domanda, data inserimento, codice fiscale del minore, data di presentazione della domanda, stato della domanda”;
“l’azione di cancellazione di una domanda [(salvata in bozza)] non consente di visualizzarne il contenuto”;
le operazioni di visualizzazione di una domanda (trasmessa o salvata in bozza) o di modifica di una domanda (salvata in bozza) consentivano l’accesso alle seguenti tipologie di dati personali:
i) dati personali del richiedente: dichiarazione di essere o meno unico genitore; codice fiscale; cognome; nome; eventuale cognome acquisito; sesso; data di nascita; comune e/o Stato di nascita; cittadinanza; stato civile; indirizzo di residenza; cellulare; email; PEC; situazione lavorativa (appartenenza a una delle seguenti categorie di lavoratori: lavoratori dipendenti del settore privato; iscritti alla gestione separata; lavoratori autonomi; lavoratori dipendenti del settore sanitario pubblico e privato accreditato; personale del comparto sicurezza, difesa e soccorso pubblico);
ii) dati personali del figlio: dichiarazione di essere il genitore/affidatario del figlio; dichiarazione di essere convivente con il figlio; codice fiscale; cognome; nome; sesso; data di nascita; cittadinanza; in caso di minore di affido, documentazione della sentenza di affido; in caso di figlio di età superiore ai 12 anni con disabilità, dichiarazioni sullo stato di disabilità quale portatore di handicap in situazione di gravità accertata ai sensi dell’art. 3, comma 3, della legge n. 104/1992, nonché sulla frequenza scolastica, di ordine e grado, o presso un centro diurno a carattere assistenziale, allegando la relativa documentazione attestante tali circostanze;
iii) dati personali dell’altro genitore: codice fiscale; cognome; nome; eventuale cognome acquisito; sesso; data di nascita; comune e/o Stato di nascita; cittadinanza; in caso di altro genitore convivente con il richiedente, dichiarazioni sulla fruizione di altre prestazioni e sulla situazione lavorativa (“l’altro genitore non ha usufruito di alcuna delle misure di cui agli artt. 23 e 25 del d.l. n. 18/2020”; “l’altro genitore non è beneficiario di strumenti di sostegno al reddito in caso di sospensione o cessazione dell’attività lavorativa”; “l’altro genitore non è disoccupato ed è un lavoratore”).
C. Gli interessati coinvolti nella violazione dei dati personali
Sulla base della documentazione in atti, durante il periodo di malfunzionamento della procedura Bonus Baby Sitting, il numero massimo di domande – mostrate nella lista presente nella sezione “Consultazione domande” – che sono state potenzialmente accessibili da terzi, appartenenti alle predette categorie di utenti, risulta pari a 773, così suddivise:
670 domande compilate da utenti con profilo “Cittadino PIN semplificato”;
71 domande compilate da utenti con profilo “Consulente”;
8 domande compilate da utenti con profilo “Azienda”;
24 domande compilate da utenti con profilo riconducibile a diversi Ordini professionali (ciascuna domanda con visibilità limitata agli utenti con lo stesso profilo).
L’Istituto ha dichiarato di aver rilevato l’esecuzione di diverse tipologie di operazioni su alcune delle predette domande, nei seguenti termini:
68 domande, trasmesse o salvate in bozza, sono state visualizzate da terzi;
17 domande, salvate in bozza, sono state modificate da terzi;
81 domande, salvate in bozza, sono state cancellate da terzi;
62 domande, salvate in bozza, sono state inviate da terzi (non operatori di patronato).
D. Le valutazioni dell’Istituto in merito alla comunicazione della violazione dei dati personali agli interessati coinvolti
Per quanto attiene alle considerazioni svolte dall’INPS in ordine alla sussistenza dei presupposti per la comunicazione della violazione dei dati personali agli interessati coinvolti, l’Istituto ha dichiarato che:
“i soggetti che hanno visualizzato [le 68] domande inserite da terzi sono, per la quali totalità, residenti in altra regione, provincia o comune degli interessati” e, inoltre, “non era fornita la possibilità di ricercare domande attraverso elementi identificativi dei soggetti a meno che si fosse già a conoscenza del codice fiscale del minore e che detto codice fiscale fosse presente nella lista casualmente visualizzata”;
“in merito ai 17 interessati per i quali è stata rilevata una modifica, da parte di terzi, della relativa domanda in stato di bozza, non avendo l’interessato provveduto ancora alla sua trasmissione, si è proceduto, come misura di maggior tutela, alla loro cancellazione logica. L’interessato avrebbe dunque potuto reinserire i dati della domanda senza il rischio di alterazione da parte di terzi”;
gli 81 “soggetti che hanno visto cancellata la propria bozza di domanda, non hanno visto i propri dati visualizzati da terzi e l’unica conseguenza è stata quella di aver dovuto riacquisire i dati precedentemente immessi prima dell’invio”;
le 62 domande inviate all’Istituto da terzi “sono state bloccate e si sta gestendo l’iter amministrativo delle stesse coinvolgendo gli interessati”.
L’Istituto ha, inoltre, rappresentato che “non sono state riscontrate evidenze di una diffusione di dati personali di specifiche domande di Baby Sitting” e che “dalle analisi condotte sulle domande visualizzate o modificate da terzi, è emerso che solo 2 domande contenevano l’indicazione che il minore è portatore di handicap in situazione di gravità accertata ai sensi dell’art. 3 comma 3 L. 104/92 senza l’allegazione di alcuna documentazione aggiuntiva. Nessuna delle domande era riferita a situazione di minori in affido o adottati”.
L’Istituto ha quindi dichiarato che “i suddetti aspetti denotano come, chi ha consultato, avrebbe avuto uno scarso interesse a conoscere i dati visualizzati e dunque uno scarso impatto sulla sfera personale degli interessati. Allo stesso tempo, l’impossibilità di fare ricerche mirate, la casualità e l’evidenza che chi ha acceduto ha una residenza distante dagli interessati, denotano una scarsa probabilità che i dati siano stati visualizzati da soggetti che potevano avere interesse ad incidere sulla sfera personale dei soggetti coinvolti. Sulla base di tali valutazioni di rischio, l’Istituto ritiene che la violazione non sia tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
OSSERVA
2. Il quadro emerso dalle segnalazioni e dai reclami
In aggiunta a quanto rappresentato dall’INPS nelle note inviate all’Autorità e sopra sintetizzate, occorre precisare che alcune segnalazioni e reclami hanno portato alla luce ulteriori e diversi elementi che richiedono specifici approfondimenti al fine di meglio delineare l’ambito e la portata delle violazioni dei dati personali notificate all’Autorità ovvero di rilevare criticità non ancora oggetto di valutazione da parte dell’Istituto, di seguito riassunte, che potrebbero richiedere l’adozione di ulteriori misure, anche in relazione all’individuazione di nuovi interessati coinvolti.
2.1. Elementi relativi alla violazione dei dati personali determinata dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it”
Sulla base di una prima analisi delle segnalazioni e dei reclami ricevuti dall’Autorità, nonché di ulteriori elementi reperibili in rete, emerge che tale violazione dei dati personali ha coinvolto almeno 42 soggetti, quindi in numero superiore sia agli 8 soggetti già individuati dall’Istituto, che ai 23 soggetti complessivamente indicati da quest’ultimo come numero massimo di interessati che sarebbero stati coinvolti nella violazione determinata dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it”.
Inoltre, dalla predetta documentazione, sono state rilevate le seguenti ulteriori criticità, che non state oggetto di approfondimento da parte dell’Istituto:
ulteriori dati oggetto di violazione: alcuni utenti hanno rappresentato che, accendendo al portale dell’INPS, nella mattina del 1° aprile 2020, era possibile visualizzare, oltre ai dati anagrafici e di contatto, anche informazioni relative alle richieste inoltrate all’Istituto da altri interessati tramite il servizio “INPS Risponde”, nonché la loro posizione fiscale e altre informazioni disponibili nell’area riservata del portale;
assenza di una procedura di autenticazione informatica: alcuni utenti hanno segnalato che, nella mattina del 1° aprile 2020, collegandosi al portale dell’INPS, hanno avuto accesso ai dati personali di altri interessati, senza aver superato alcuna procedura di autenticazione informatica.
2.2. Elementi relativi alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting
Anche con riferimento alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting, dalle segnalazioni e dai reclami è emersa la necessità di chiarire la circostanza per cui, accedendo alla sezione “Consultazione Domande” della procedura Bonus Baby Sitting, in data 2 aprile 2020, erano visualizzabili anche domande presentate in data 31 marzo 2020, ossia il giorno precedente alla data a decorrere dalla quale, come rappresentato dall’Istituto, sarebbe stato possibile presentare le domande (1° aprile 2020).
2.3. Ulteriori anomalie rilevate
Alcune segnalazioni e reclami hanno, infine, portato alla luce ulteriori anomalie, che non risultano direttamente correlate a quanto rappresentato dall’INPS in relazione alle violazioni dei dati personali oggetto di notifica, di seguito sintetizzate:
a) accessi non autorizzati a dati personali occorsi già nella giornata del 31 marzo 2020:
un’interessata ha rappresentato di essere stata contattata telefonicamente alle ore 18,22 del 31 marzo 2020 da un altro utente che, dopo aver avuto accesso al portale dell’INPS con le proprie credenziali di autenticazione, in quel momento stava visualizzando i dati personali dell’interessata, inclusi il numero di cellulare, i dati dei pagamenti ricevuti dall’INPS in seguito a richieste connesse allo stato di disoccupazione (incluso l’IBAN), le attestazioni ISEE richieste (contenenti dati personali anche di terzi), il fascicolo previdenziale con i dati relativi all’attività lavorativa (datori di lavoro, contributi versati, durata dei rapporti di lavoro, ecc.), nonché i certificati di malattia;
un utente ha segnalato che collegandosi alle ore 18,36 del 31 marzo 2020 al portale dell’INPS per inserire la propria domanda di congedo parentale ha avuto accesso ai dati personali di un’altra interessata, senza aver superato alcuna procedura di autenticazione informatica;
b) anomalie riscontrate nell’ambito della procedura Indennità COVID-19:
un’interessata ha evidenziato di aver presentato, il 1° aprile 2020, la domanda per l’erogazione dell’indennità COVID-19 nella sua qualità di “lavoratore con rapporto di collaborazione coordinata e continuativa iscritto alla Gestione separata”; successivamente, in data 19 aprile 2020, accedendo al portale dell’INPS, l’interessata constatava che la domanda inoltrata conteneva una qualifica differente da quella da lei inserita; l’interessata, in data 20 aprile 2020, provvedeva a contattare in proposito il call center dell’Istituto che, riscontrata la predetta anomalia, si attivava per inserire una nuova richiesta per conto dell’interessata, che tuttavia non riceveva alcuna comunicazione a mezzo email di presa in carico della nuova richiesta; la sera dello stesso giorno l’interessata veniva contattata telefonicamente da un utente che le riferiva di aver visualizzato i suoi dati personali nella propria “lista esiti” sul portale dell’INPS;
alcuni utenti hanno rappresentato che, accedendo al portale dell’INPS in data 1° aprile 2020, all’atto dell’invio della propria domanda per l’indennità COVID-19 la relativa procedura dell’Istituto li informava che non era possibile procedere con l’invio della domanda in quanto la stessa risultava già presentata.
3. La valutazione dei rischi per i diritti e le libertà degli interessati derivanti dalle violazioni
Nelle more dello svolgimento dell’istruttoria ancora in corso, necessaria all’approfondimento di quanto sopra illustrato, anche al fine di adottare eventuali provvedimenti correttivi e di definire le responsabilità in merito all’accaduto, risulta necessario valutare la conformità delle iniziative fin qui intraprese dall’Istituto a tutela degli interessati in ordine all’assolvimento degli obblighi di comunicazione di cui all’art. 34 del Regolamento, con riserva di ogni altra determinazione, anche sanzionatoria, all’esito della definizione dell’istruttoria medesima.
In proposito, occorre tener presente che il Regolamento (spec. cons. nn. 75 e 76) suggerisce che, di norma, nella valutazione del rischio si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbero essere determinati in base a una valutazione oggettiva.
In particolare, le Linee guida individuano i seguenti fattori da considerare – a fronte di una violazione dei dati personali – nella valutazione del rischio per i diritti e le libertà degli interessati: il tipo di violazione; la natura, il carattere sensibile e il volume dei dati personali; la facilità di identificazione degli interessati; la gravità delle conseguenze per gli interessati; le caratteristiche particolari dell’interessato; le caratteristiche particolari del titolare del trattamento dei dati; nonché il numero di interessati coinvolti.
La comunicazione agli interessati rappresenta, peraltro, una delle misure che il titolare del trattamento può adottare per attenuare i possibili effetti negativi della violazione dei dati personali per gli interessati e ha come obiettivo principale quello di fornire informazioni specifiche sulle misure che gli stessi interessati possono adottare per proteggersi dalle possibili conseguenze negative di una violazione.
L’INPS ha ritenuto che entrambe le violazioni dei dati personali oggetto di notifica non fossero suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche e non ha pertanto provveduto a informare gli interessati coinvolti nelle violazioni.
Il contesto in cui l’Istituto si è trovato a dover intervenire – che potrà essere tenuto in considerazione nel corso dell’istruttoria per valutare l’adeguatezza e la proporzionalità delle misure tecniche e organizzative – non può rilevare ai fini della valutazione del rischio per la comunicazione della violazione agli interessati ai sensi dell’art. 34 del Regolamento. Tale valutazione, infatti, va effettuata a posteriori, sulla base degli scenari di rischio che in concreto possono verificarsi in danno dei diritti e delle libertà degli interessati, tenendo conto, nel caso in esame, dei seguenti fattori:
1) aspetti di carattere generale relativi a entrambe le violazioni notificate:
il ruolo centrale rivestito dall’INPS nel sistema previdenziale e assistenziale nazionale e nel panorama delle grandi banche dati pubbliche, che richiede un elevato grado di accountability al fine di garantire la fiducia nei confronti dell’Istituto da parte degli utenti, soddisfacendo, in particolare, le legittime aspettative di trasparenza e sicurezza del trattamento;
l’impatto che le decisioni adottate dall’INPS in relazione al trattamento di dati personali hanno avuto sulla collettività, considerata anche la condizione di difficoltà in cui versano coloro che chiedono di accedere a misure di sostengo del reddito;
la natura delle violazioni dei dati personali, che hanno comportato l’accesso alle informazioni personali, direttamente identificative degli interessati, da parte di un elevato numero di utenti le cui intenzioni sono sconosciute;
2) con specifico riferimento alla violazione dei dati personali determinata dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it”:
le categorie di dati personali oggetto di violazione, che comprendono anche recapiti di telefonia mobile;
la gravità e la persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione dei dati personali, che hanno provocato la perdita di controllo da parte degli interessati sui dati personali che li riguardano, invasioni della sfera privata, disagio psicologico, nonché il possibile utilizzo dei dati degli interessati a scopo di phishing o, in ogni caso, per fini non autorizzati o illeciti;
3) con specifico riferimento alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting:
le tipologie di interessati i cui dati personali sono stati oggetti di violazione, appartenenti anche a categorie vulnerabili (minori, soggetti con disabilità);
le categorie di dati personali oggetto di violazione (dati anagrafici, cittadinanza, residenza, dati di contatto, dati relativi alla salute, dati relativi alla situazione lavorativa), anche riferiti a terzi;
le tipologie di operazioni, anche dispositive, che sono state effettuate sui dati personali degli interessati da parte di soggetti non autorizzati;
la gravità e la persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione dei dati personali, che hanno provocato la perdita di controllo da parte degli interessati sui dati personali che li riguardano, la limitazione dei loro diritti, invasioni della sfera privata, disagio psicologico, discriminazione, nonché il possibile utilizzo dei dati degli interessati a scopo di phishing o, in ogni caso, per fini non autorizzati o illeciti.
Pertanto, diversamente da quanto sostenuto dall’Istituto, ancorché con diversa probabilità e gravità, le violazioni dei dati personali in esame sono suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati ai sensi dell’art. 34, par. 1, del Regolamento. Ciò, anche in considerazione del fatto che non risulta soddisfatta alcuna delle condizioni di cui all’art. 34, par. 3, del Regolamento, per le quali non è richiesta la comunicazione agli interessati.
Peraltro, la comunicazione agli interessati coinvolti, allo stato individuati, non comporta sforzi sproporzionati da parte dell’Istituto, attesa la diretta disponibilità dei contatti telematici degli stessi, cui è possibile, se del caso, fare riferimento anche per la comunicazione nei confronti di coloro (figli e coniugi) ai quali si riferiscono i dati personali presenti nelle domande oggetto di violazione.
La comunicazione pubblica effettuata dall’Istituto mediante la pubblicazione, sul proprio sito istituzionale, di una semplice “comunicazione in merito al data breach” – anche se, in un primo momento, poteva rappresentare una misura sufficiente a informare gli interessati circa le iniziative intraprese nell’immediato e a fornire indicazioni “in ordine alla necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli”, offrendo un recapito dedicato al quale rivolgersi – non costituisce allo stato uno strumento idoneo all’assolvimento degli obblighi di cui all’art. 34 del Regolamento, in quanto non consente di informare efficacemente gli interessati che l’Istituto ha già individuato essere stati coinvolti in ciascuna violazione dei dati personali, anche al fine di permettere loro di prendere le precauzioni necessarie in considerazione delle diverse caratteristiche delle violazioni che li hanno riguardati (cons. n. 86 del Regolamento).
RITENUTO
Alla luce del complessivo esame delle circostanze portate all’attenzione dell’Autorità e delle considerazioni svolte, ferma restando la necessità di proseguire l’istruttoria in corso, si ravvisano la necessità e l’urgenza di ingiungere all’Istituto, ai sensi dell’art. 58, par. 2, lett. e), del Regolamento, di comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonché fornendo loro indicazioni specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni.
Tale comunicazione, inviata anche con mezzi elettronici, dovrà essere differenziata in funzione dei rischi e delle specifiche caratteristiche che le violazioni dei dati personali in esame presentano per ciascun interessato coinvolto e dovrà essere effettuata, senza ingiustificato ritardo, anche nei confronti di altri interessati che verranno individuati all’esito di eventuali ulteriori attività di analisi condotte dall’Istituto.
Con specifico riferimento alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting, si evidenzia che la predetta comunicazione dovrà riguardare gli interessati i cui dati personali erano presenti non solo nelle domande che sono risultate oggetto di visualizzazione (68 domande), modifica (17 domande), cancellazione (81 domande) o invio all’INPS (62 domande), ma anche nell’elenco delle 773 domande mostrato nella sezione “Consultazione domande” della procedura Bonus Baby Sitting. In particolare, tale comunicazione dovrà essere inviata al genitore richiedente, fornendo anche elementi relativi agli altri interessati eventualmente coinvolti (figli e altri genitori); la predetta comunicazione dovrà essere inviata anche all’altro genitore laddove l’INPS disponga dei relativi contatti telematici.
Si ritiene, pertanto, considerate le circostanze, necessario disporre – essendo la notifica di cui all’art. 166, comma 5, del Codice, incompatibile con la natura e finalità del presente provvedimento – che la predetta comunicazione sia effettuata senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, con riserva di ogni altra determinazione, anche sanzionatoria, all’esito della definizione dell’istruttoria avviata sul caso.
Al fine di agevolare l’assolvimento di tale obbligo anche nei confronti di interessati coinvolti nelle violazioni dei dati personali ma non ancora individuati dall’INPS, l’Ufficio provvederà, contestualmente alla notifica del presente provvedimento, a mettere a disposizione dell’Istituto gli elementi utili allo stato agli atti dell’Autorità.
Si ricorda che, ai sensi dell’art. 83, par. 6, del Regolamento, “l'inosservanza di un ordine da parte dell’autorità di controllo ai sensi dell'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”.
Si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO, IL GARANTE
1) ai sensi dell’art. 58, par. 2, lett. e) del Regolamento, ingiunge all’INPS di comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, le violazioni dei dati personali in esame a tutti gli interessati coinvolti, nei termini di cui in premessa;
2) richiede all’INPS di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 20 giorni dalla data della ricezione del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;
3) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.
Roma, 14 maggio 2020
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia