Il data breach dell’INPS e la diffusione dei dati sui social network

di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia

Il 1 aprile scorso il sito dell’INPS ha subito un importante data breach. L’elevatissimo numero di accessi per la richiesta del bonus di 600 € riconosciuti a seguito dell’emergenza da Covid19 ha letteralmente mandato in tilt il sito e i dati di un numero considerevole di contribuenti sono stati diffusi in maniera illecita e sono rimasti visibili per diverso tempo, esponendo gli interessati a gravi rischi per i propri diritti.

La situazione sarebbe stata già sufficientemente disastrosa in questo modo, ma ad aggravarla ulteriormente si è aggiunta la condivisione sui social network degli screenshoot dei profili “violati” che ha evidentemente contribuito alla ulteriore diffusione dei dati. Il punto fondamentale riguarda proprio questa condivisione “selvaggia” degli screenshoot, sebbene sia stata effettuata al fine di documentare il data breach dell’INPS.

Ci sono due diversi aspetti da considerare: il funzionamento della Rete da un lato e la normativa sulla protezione dei dati personali dall’altro.Partiamo dal funzionamento della Rete.
La pubblicazione di un contenuto online consente agli utenti di ri-condividere ciò che altri hanno pubblicato, di fatto amplificandone la diffusione, poiché si amplia il pubblico di destinazione.

Più è alto il numero di condivisioni, maggiore è la divulgazione del contenuto in esame. Questo significa che il disvalore della notizia, come nel caso dei dati mostrati in chiaro per il malfunzionamento del sito dell’INPS, è direttamente proporzionale al numero di condivisioni, ossia al numero, anche solo potenziale, di soggetti che possono venirne a conoscenza.

Si intuisce facilmente, quindi, che il danno ha maggiore portata se si contribuisce, in vario modo, a diffondere la notizia. E non c’è dubbio che fare uno screenshoot dei dati personali altrui e postarli online contribuisce ad aggravare il danno già creato dal data breach in sé.

Passando al dato normativo, il Regolamento Europeo 2016/679 in tema di protezione dei dati personali, definisce all’art. 4, violazione dei dati personali “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

L’episodio, o meglio gli episodi, che si sono verificati sul sito dell’INPS rientrano a tutti gli effetti in questa fattispecie.La normativa europea prevede, inoltre, a carico del titolare del trattamento specifici obblighi di notifica al Garante, ma nulla dice in merito agli obblighi gravanti in capo a coloro i quali, a vario titolo, dovessero essere coinvolti in un data breach.

Questo non significa che gli utenti non debbano rispettare alcun vincolo, poiché sono in ogni caso soggetti ai principi generali del GDPR, con la conseguenza che non possono trattare, e quindi diffondere, i dati personali senza una valida base giuridica.

Tradotto in pratica questo comporta che la diffusione di screenshoot del profilo privato con la posizione previdenziale di un utente, anche al fine di dare notizia dell’anomalia e quindi del data breach, non può essere effettuata sic et simpliciter sui social network.

La diffusione, innescata dal meccanismo con il quale funziona la Rete e i singoli social network, ha l’effetto di amplificare la propagazione, a macchia d’olio e in maniera incontrollata, di quegli stessi dati di cui si denuncia la violazione. In altre parole l’utente con le proprie condivisioni contribuisce ad aumentare l’effetto negativo e i potenziali danni derivanti dalla diffusione dei dati.

Si aggiunga poi che, mancando una valida base giuridica per il trattamento, la condivisione degli screenshoot diventa, allo stesso modo, essa stessa un trattamento illecito che, almeno in linea teorica, potrebbe esporre alle sanzioni previste dal GDPR e dal D.Lgs. 101/2018.

Diversa, invece, l’ipotesi in cui gli screenshoot in parola fossero stati condivisi previo oscuramento dei dati personali, al solo fine, quindi, di dare prova del malfunzionamento del sito dell’INPS. La condivisione degli screenshoot e dei dati personali, nel caso specifico, ha assunto una portata tale da rendere necessario un intervento ufficiale del Garante.

Con il comunicato del 2 aprile 2020 l’Autorità, al fine di contenere la diffusione dei dati e il potenziale negativo della loro circolazione, ha specificato che “Al fine di non amplificare i rischi per le persone i cui dati personali sono stati coinvolti nel data breach e non incorrere in possibili illeciti, l’Autorità richiama l’attenzione sulla assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti”.

L’attenzione quindi per tutto quello che si condivide deve essere sempre mantenuta ai massimi livelli, soprattutto per quanto riguarda i dati personali, poiché il rischio di aumentare il disvalore e il pericolo concreto per i diritti dei soggetti coinvolti è molto più grande di quello che si può pensare.

Ogni valutazione, quindi, sulla liceità di una condivisione deve avvenire esattamente un attimo prima dell’invio, poiché una volta pubblicato il contenuto è irrimediabilmente uscito dalla nostra disponibilità, non è più possibile controllarlo e gestirlo con tutte le conseguenze, anche di carattere giuridico che ne derivano.

Archivio

“Blockchain per tutti”, arriva il primo e-book di Aidr

Da oggi disponibile su sito associazione e su principali store on-line Si inaugura la collana editoriale dedicata anche ai non addetti ai lavori, con l’obiettivo di far scoprire le tecnologie e il...

Al via la “Call for professor” d’intesa con le università

L’Associazione Italian Digital Revolution – AIDR, in collaborazione con alcune università italiane, si è candidata come “Digital Knowledge Provider” nell’ambito di seminari, corsi di formazione e master universitari.L’obiettivo della “Call For Professor”, in linea con la missione associativa, è quello di porre i riflettori sull’innovazione, attraverso la diffusione della cultura digitale mettendo a disposizione delle Università italiane contenuti e docenti da inserire all’interno dei propri percorsi formativi.

VIDEO E PHOTO GALLERY

AIDR WEB TV

ITALIAN DIGITAL REVOLUTION

EVENTI ED INIZIATIVE

ITALIAN DIGITAL REVOLUTION

COME ASSOCIARSI

Cerchi il lavoro giusto per te? Scoprilo su IO LAVORO

IO LAVORO è un sistema informativo che utilizza la professione e i dati raccolti dai siti web di numerose istituzioni (Istat, Isfol, Miur, etc) o forniti come open data, per dare un quadro informativo completo sul mercato del lavoro e per favorire l’incontro domanda offerta.

AIDR NEWSLETTER

AIDR
Iscriviti alla nostra newsletter per essere sempre aggiornato sulle iniziative testo di prova e prova di testo

AIDR NOTIZIE DAL WEB

TUTTE LE NOTIZIE

Notizie
27/05/2020
Nel 2020, complice lo shock sistemico della pandemia del COVID-19 che ha colpito i sistemi sanitari ed economici di tutto il mondo, si profila un’espansione vertiginosa delle nuove tecnologie esponenziali che avranno come scopo oggettivo il miglioramento della qualità della vita delle persone.
Notizie
26/05/2020
L'Intelligenza Artificiale modificherà  il nostro agire quotidiano, incidendo sulle nostre scelte, sui nostri comportamenti, arrivando persino a prevederli ed a distinguere le nostre emozioni, con realtà artificiale sempre più invasiva, sia negli ambiti personali che professionali, come quando la I.A. viene chiamata in causa per decidere quali persone assumere, tirando  in ballo la possibile e progressiva erosione della facoltà di giudizio e di azione e delle stesse caratteristiche che ci rendono pienamente uomini.
Notizie
25/05/2020
Il nostro Paese sta attraversando uno dei momenti più drammatici, complessi e sconosciuti  della sua storia recente e meno recente. Siamo tutti Lombardi, Bergamaschi, Bresciani, Milanesi, Lodigiani, Cremonesi, Piacentini solo per citare la regione e alcune delle provincie più colpite, ma ahimè potremmo andare avanti molto a lungo … E’ una battaglia, un impegno, una sofferenza, una tristezza che ci deve accomunare tutti, nessuno escluso. 

AIDR
AZIENDE E COLLABORAZIONI

AIDR SOCIAL

Seguici sui social per restare in contatto con noi,
ricevere aggiornamenti e inviarci suggerimenti, segnalazioni e commenti!