Seleziona una pagina

Il data breach dell’INPS e la diffusione dei dati sui social network

di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia

Il 1 aprile scorso il sito dell’INPS ha subito un importante data breach. L’elevatissimo numero di accessi per la richiesta del bonus di 600 € riconosciuti a seguito dell’emergenza da Covid19 ha letteralmente mandato in tilt il sito e i dati di un numero considerevole di contribuenti sono stati diffusi in maniera illecita e sono rimasti visibili per diverso tempo, esponendo gli interessati a gravi rischi per i propri diritti.

La situazione sarebbe stata già sufficientemente disastrosa in questo modo, ma ad aggravarla ulteriormente si è aggiunta la condivisione sui social network degli screenshoot dei profili “violati” che ha evidentemente contribuito alla ulteriore diffusione dei dati. Il punto fondamentale riguarda proprio questa condivisione “selvaggia” degli screenshoot, sebbene sia stata effettuata al fine di documentare il data breach dell’INPS.

Ci sono due diversi aspetti da considerare: il funzionamento della Rete da un lato e la normativa sulla protezione dei dati personali dall’altro.Partiamo dal funzionamento della Rete.
La pubblicazione di un contenuto online consente agli utenti di ri-condividere ciò che altri hanno pubblicato, di fatto amplificandone la diffusione, poiché si amplia il pubblico di destinazione.

Più è alto il numero di condivisioni, maggiore è la divulgazione del contenuto in esame. Questo significa che il disvalore della notizia, come nel caso dei dati mostrati in chiaro per il malfunzionamento del sito dell’INPS, è direttamente proporzionale al numero di condivisioni, ossia al numero, anche solo potenziale, di soggetti che possono venirne a conoscenza.

Si intuisce facilmente, quindi, che il danno ha maggiore portata se si contribuisce, in vario modo, a diffondere la notizia. E non c’è dubbio che fare uno screenshoot dei dati personali altrui e postarli online contribuisce ad aggravare il danno già creato dal data breach in sé.

Passando al dato normativo, il Regolamento Europeo 2016/679 in tema di protezione dei dati personali, definisce all’art. 4, violazione dei dati personali “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

L’episodio, o meglio gli episodi, che si sono verificati sul sito dell’INPS rientrano a tutti gli effetti in questa fattispecie.La normativa europea prevede, inoltre, a carico del titolare del trattamento specifici obblighi di notifica al Garante, ma nulla dice in merito agli obblighi gravanti in capo a coloro i quali, a vario titolo, dovessero essere coinvolti in un data breach.

Questo non significa che gli utenti non debbano rispettare alcun vincolo, poiché sono in ogni caso soggetti ai principi generali del GDPR, con la conseguenza che non possono trattare, e quindi diffondere, i dati personali senza una valida base giuridica.

Tradotto in pratica questo comporta che la diffusione di screenshoot del profilo privato con la posizione previdenziale di un utente, anche al fine di dare notizia dell’anomalia e quindi del data breach, non può essere effettuata sic et simpliciter sui social network.

La diffusione, innescata dal meccanismo con il quale funziona la Rete e i singoli social network, ha l’effetto di amplificare la propagazione, a macchia d’olio e in maniera incontrollata, di quegli stessi dati di cui si denuncia la violazione. In altre parole l’utente con le proprie condivisioni contribuisce ad aumentare l’effetto negativo e i potenziali danni derivanti dalla diffusione dei dati.

Si aggiunga poi che, mancando una valida base giuridica per il trattamento, la condivisione degli screenshoot diventa, allo stesso modo, essa stessa un trattamento illecito che, almeno in linea teorica, potrebbe esporre alle sanzioni previste dal GDPR e dal D.Lgs. 101/2018.

Diversa, invece, l’ipotesi in cui gli screenshoot in parola fossero stati condivisi previo oscuramento dei dati personali, al solo fine, quindi, di dare prova del malfunzionamento del sito dell’INPS. La condivisione degli screenshoot e dei dati personali, nel caso specifico, ha assunto una portata tale da rendere necessario un intervento ufficiale del Garante.

Con il comunicato del 2 aprile 2020 l’Autorità, al fine di contenere la diffusione dei dati e il potenziale negativo della loro circolazione, ha specificato che “Al fine di non amplificare i rischi per le persone i cui dati personali sono stati coinvolti nel data breach e non incorrere in possibili illeciti, l’Autorità richiama l’attenzione sulla assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti”.

L’attenzione quindi per tutto quello che si condivide deve essere sempre mantenuta ai massimi livelli, soprattutto per quanto riguarda i dati personali, poiché il rischio di aumentare il disvalore e il pericolo concreto per i diritti dei soggetti coinvolti è molto più grande di quello che si può pensare.

Ogni valutazione, quindi, sulla liceità di una condivisione deve avvenire esattamente un attimo prima dell’invio, poiché una volta pubblicato il contenuto è irrimediabilmente uscito dalla nostra disponibilità, non è più possibile controllarlo e gestirlo con tutte le conseguenze, anche di carattere giuridico che ne derivano.

Archivio

“Blockchain per tutti”, arriva il primo e-book di Aidr

Da oggi disponibile su sito associazione e su principali store on-line Si inaugura la collana editoriale dedicata anche ai non addetti ai lavori, con l’obiettivo di far scoprire le tecnologie e il...

Al via la “Call for professor” d’intesa con le università

L’Associazione Italian Digital Revolution – AIDR, in collaborazione con alcune università italiane, si è candidata come “Digital Knowledge Provider” nell’ambito di seminari, corsi di formazione e master universitari.L’obiettivo della “Call For Professor”, in linea con la missione associativa, è quello di porre i riflettori sull’innovazione, attraverso la diffusione della cultura digitale mettendo a disposizione delle Università italiane contenuti e docenti da inserire all’interno dei propri percorsi formativi.

VIDEO E PHOTO GALLERY

AIDR WEB TV

ITALIAN DIGITAL REVOLUTION

EVENTI ED INIZIATIVE

ITALIAN DIGITAL REVOLUTION

COME ASSOCIARSI

Cerchi il lavoro giusto per te? Scoprilo su IO LAVORO

IO LAVORO è un sistema informativo che utilizza la professione e i dati raccolti dai siti web di numerose istituzioni (Istat, Isfol, Miur, etc) o forniti come open data, per dare un quadro informativo completo sul mercato del lavoro e per favorire l’incontro domanda offerta.

AIDR NEWSLETTER

AIDR
Iscriviti alla nostra newsletter per essere sempre aggiornato sulle iniziative testo di prova e prova di testo

AIDR NOTIZIE DAL WEB

TUTTE LE NOTIZIE

Notizie
06/08/2020
L’Associazione Italian Digital Revolution - AIDR - e la testata giornalistica online PRP Channel hanno dato il via ad un accordo di collaborazione per promuovere e diffondere la cultura digitale in Italia.  AIDR nasce con l’obiettivo di diffondere i contenuti presenti nel programma dell'Agenda Digitale Europea e dell’Agenda Digitale Italiana e qualsiasi altra iniziativa utile a promuovere e diffondere la cultura digitale in Italia. L’AIDR intende quindi promuovere iniziative e sensibilizzare i decisori politici e leIstituzioni sulla “digital revolution” e la conseguente ridefinizione della vita dei cittadini in un mondo sempre più interconnesso.
Notizie
05/08/2020
di Alessandro Capezzuoli, funzionario ISTAT e responsabile osservatorio dati professioni e competenze Aidr. Parafrasando Thomas Edison, si potrebbe dire che i discorsi sulla trasformazione digitale contengono il 99 per cento di fuffa e l’1 per cento di contenutiParafrasando Thomas Edison, si potrebbe dire che i discorsi sulla trasformazione digitale contengono il 99 per cento di fuffa e l’1 per cento di contenuti. La parola fuffa deriva probabilmente dal sostantivo maschile “fuffigno”, usato in Toscana per indicare l’ingarbugliamento dei fili di una matassa. Questa immagine è molto rappresentativa e sintetizza alla perfezione il contenuto di questo articolo, che ha la presunzione di fare chiarezza rispetto al racconto fuffigno della trasformazione digitale.
Notizie
04/08/2020
di Vittorio Zenardi Direttore Aidr Web TV, Sito e Social Media. Oggi è in atto nel mondo energia una transizione energetica che punta a privilegiare soluzioni sostenibili. Come la digitalizzazione può contribuire a ciò è l’argomento dell’Intervista al Dr. Gennaro Niglio Direttore Sviluppo e Innovazione GSE e al Prof. Vincenzo Loia Rettore dell’Università di Salerno. Modera Ing. Gianfranco Ossino Responsabile Osservatorio digitalizzazione dell’Ambiente e dell’Energia AIDR.

AIDR
AZIENDE E COLLABORAZIONI

AIDR SOCIAL

Seguici sui social per restare in contatto con noi,
ricevere aggiornamenti e inviarci suggerimenti, segnalazioni e commenti!