Seleziona una pagina

Il data breach dell’INPS e la diffusione dei dati sui social network

di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia

Il 1 aprile scorso il sito dell’INPS ha subito un importante data breach. L’elevatissimo numero di accessi per la richiesta del bonus di 600 € riconosciuti a seguito dell’emergenza da Covid19 ha letteralmente mandato in tilt il sito e i dati di un numero considerevole di contribuenti sono stati diffusi in maniera illecita e sono rimasti visibili per diverso tempo, esponendo gli interessati a gravi rischi per i propri diritti.

La situazione sarebbe stata già sufficientemente disastrosa in questo modo, ma ad aggravarla ulteriormente si è aggiunta la condivisione sui social network degli screenshoot dei profili “violati” che ha evidentemente contribuito alla ulteriore diffusione dei dati. Il punto fondamentale riguarda proprio questa condivisione “selvaggia” degli screenshoot, sebbene sia stata effettuata al fine di documentare il data breach dell’INPS.

Ci sono due diversi aspetti da considerare: il funzionamento della Rete da un lato e la normativa sulla protezione dei dati personali dall’altro.Partiamo dal funzionamento della Rete.
La pubblicazione di un contenuto online consente agli utenti di ri-condividere ciò che altri hanno pubblicato, di fatto amplificandone la diffusione, poiché si amplia il pubblico di destinazione.

Più è alto il numero di condivisioni, maggiore è la divulgazione del contenuto in esame. Questo significa che il disvalore della notizia, come nel caso dei dati mostrati in chiaro per il malfunzionamento del sito dell’INPS, è direttamente proporzionale al numero di condivisioni, ossia al numero, anche solo potenziale, di soggetti che possono venirne a conoscenza.

Si intuisce facilmente, quindi, che il danno ha maggiore portata se si contribuisce, in vario modo, a diffondere la notizia. E non c’è dubbio che fare uno screenshoot dei dati personali altrui e postarli online contribuisce ad aggravare il danno già creato dal data breach in sé.

Passando al dato normativo, il Regolamento Europeo 2016/679 in tema di protezione dei dati personali, definisce all’art. 4, violazione dei dati personali “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

L’episodio, o meglio gli episodi, che si sono verificati sul sito dell’INPS rientrano a tutti gli effetti in questa fattispecie.La normativa europea prevede, inoltre, a carico del titolare del trattamento specifici obblighi di notifica al Garante, ma nulla dice in merito agli obblighi gravanti in capo a coloro i quali, a vario titolo, dovessero essere coinvolti in un data breach.

Questo non significa che gli utenti non debbano rispettare alcun vincolo, poiché sono in ogni caso soggetti ai principi generali del GDPR, con la conseguenza che non possono trattare, e quindi diffondere, i dati personali senza una valida base giuridica.

Tradotto in pratica questo comporta che la diffusione di screenshoot del profilo privato con la posizione previdenziale di un utente, anche al fine di dare notizia dell’anomalia e quindi del data breach, non può essere effettuata sic et simpliciter sui social network.

La diffusione, innescata dal meccanismo con il quale funziona la Rete e i singoli social network, ha l’effetto di amplificare la propagazione, a macchia d’olio e in maniera incontrollata, di quegli stessi dati di cui si denuncia la violazione. In altre parole l’utente con le proprie condivisioni contribuisce ad aumentare l’effetto negativo e i potenziali danni derivanti dalla diffusione dei dati.

Si aggiunga poi che, mancando una valida base giuridica per il trattamento, la condivisione degli screenshoot diventa, allo stesso modo, essa stessa un trattamento illecito che, almeno in linea teorica, potrebbe esporre alle sanzioni previste dal GDPR e dal D.Lgs. 101/2018.

Diversa, invece, l’ipotesi in cui gli screenshoot in parola fossero stati condivisi previo oscuramento dei dati personali, al solo fine, quindi, di dare prova del malfunzionamento del sito dell’INPS. La condivisione degli screenshoot e dei dati personali, nel caso specifico, ha assunto una portata tale da rendere necessario un intervento ufficiale del Garante.

Con il comunicato del 2 aprile 2020 l’Autorità, al fine di contenere la diffusione dei dati e il potenziale negativo della loro circolazione, ha specificato che “Al fine di non amplificare i rischi per le persone i cui dati personali sono stati coinvolti nel data breach e non incorrere in possibili illeciti, l’Autorità richiama l’attenzione sulla assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti”.

L’attenzione quindi per tutto quello che si condivide deve essere sempre mantenuta ai massimi livelli, soprattutto per quanto riguarda i dati personali, poiché il rischio di aumentare il disvalore e il pericolo concreto per i diritti dei soggetti coinvolti è molto più grande di quello che si può pensare.

Ogni valutazione, quindi, sulla liceità di una condivisione deve avvenire esattamente un attimo prima dell’invio, poiché una volta pubblicato il contenuto è irrimediabilmente uscito dalla nostra disponibilità, non è più possibile controllarlo e gestirlo con tutte le conseguenze, anche di carattere giuridico che ne derivano.

Archivio

VIDEO E PHOTO GALLERY

AIDR WEB TV

ITALIAN DIGITAL REVOLUTION

EVENTI ED INIZIATIVE

ITALIAN DIGITAL REVOLUTION

COME ASSOCIARSI

Cerchi il lavoro giusto per te? Scoprilo su IO LAVORO

IO LAVORO è un sistema informativo che utilizza la professione e i dati raccolti dai siti web di numerose istituzioni (Istat, Isfol, Miur, etc) o forniti come open data, per dare un quadro informativo completo sul mercato del lavoro e per favorire l’incontro domanda offerta.

AIDR NEWSLETTER

AIDR
Iscriviti alla nostra newsletter per essere sempre aggiornato sulle iniziative testo di prova e prova di testo

AIDR NOTIZIE DAL WEB

TUTTE LE NOTIZIE

Notizie
19/05/2022
Una tutela maggiore, affinché ogni bambino sia protetto, autorizzato e rispettato online. Questo il principio con il quale la Commissione ha adottato una nuova strategia europea per un Internet migliore per i bambini (BIK+). “Si tratta sottolinea in una nota l’associazione Aidr – di una visione importante nel quadro delle azioni della Commissione Europea a supporto dei diritti dell’infanzia, che amplia il quadro delle tutele già tracciato nella prima strategia europea per un Internet migliore per i bambini (BIK)”. “I dispositivi moderni – spiega la Commissione Europea - offrono opportunità e vantaggi, consentendo ai minori di interagire fra loro, apprendere online e divertirsi
Notizie
13/05/2022
I servizi digitali a beneficio di tutti. Il progetto Polis di Poste Italiane entra nel vivo e coinvolgerà quasi 7 mila uffici postali in altrettanti comuni con popolazione inferiore a 15.000 abitanti. L’annuncio dell’Ad Matteo Del Fante è stato dato in occasione dell’evento per i 160 anni dalla fondazione di Poste, che si è tenuto a Roma, presso il Centro Congressi “La Nuvola”. 
Notizie
09/05/2022
Efficienza, produttività e personalizzazione. Sono le tre parole chiave del nuovo progetto presentato da Canon Italia in occasione di PRINT4ALL, il grande evento fieristico dedicato al settore della stampa, del converting e del packaging, in corso in questi giorni a Milano. “Il piano – sottolinea Aidr in una nota- ha l’obiettivo di sostenere tutti gli operatori del settore della stampa di produzione, della comunicazione cross-mediale e integrata e della comunicazione visiva, fornendo consulenza e best practice per scoprire le nuove opportunità e applicazioni offerte dalla tecnologia di stampa digitale di produzione firmata Canon.

AIDR
AZIENDE E COLLABORAZIONI

AIDR SOCIAL

Seguici sui social per restare in contatto con noi,
ricevere aggiornamenti e inviarci suggerimenti, segnalazioni e commenti!