Seleziona una pagina

Il data breach dell’INPS e la diffusione dei dati sui social network

di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia

Il 1 aprile scorso il sito dell’INPS ha subito un importante data breach. L’elevatissimo numero di accessi per la richiesta del bonus di 600 € riconosciuti a seguito dell’emergenza da Covid19 ha letteralmente mandato in tilt il sito e i dati di un numero considerevole di contribuenti sono stati diffusi in maniera illecita e sono rimasti visibili per diverso tempo, esponendo gli interessati a gravi rischi per i propri diritti.

La situazione sarebbe stata già sufficientemente disastrosa in questo modo, ma ad aggravarla ulteriormente si è aggiunta la condivisione sui social network degli screenshoot dei profili “violati” che ha evidentemente contribuito alla ulteriore diffusione dei dati. Il punto fondamentale riguarda proprio questa condivisione “selvaggia” degli screenshoot, sebbene sia stata effettuata al fine di documentare il data breach dell’INPS.

Ci sono due diversi aspetti da considerare: il funzionamento della Rete da un lato e la normativa sulla protezione dei dati personali dall’altro.Partiamo dal funzionamento della Rete.
La pubblicazione di un contenuto online consente agli utenti di ri-condividere ciò che altri hanno pubblicato, di fatto amplificandone la diffusione, poiché si amplia il pubblico di destinazione.

Più è alto il numero di condivisioni, maggiore è la divulgazione del contenuto in esame. Questo significa che il disvalore della notizia, come nel caso dei dati mostrati in chiaro per il malfunzionamento del sito dell’INPS, è direttamente proporzionale al numero di condivisioni, ossia al numero, anche solo potenziale, di soggetti che possono venirne a conoscenza.

Si intuisce facilmente, quindi, che il danno ha maggiore portata se si contribuisce, in vario modo, a diffondere la notizia. E non c’è dubbio che fare uno screenshoot dei dati personali altrui e postarli online contribuisce ad aggravare il danno già creato dal data breach in sé.

Passando al dato normativo, il Regolamento Europeo 2016/679 in tema di protezione dei dati personali, definisce all’art. 4, violazione dei dati personali “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

L’episodio, o meglio gli episodi, che si sono verificati sul sito dell’INPS rientrano a tutti gli effetti in questa fattispecie.La normativa europea prevede, inoltre, a carico del titolare del trattamento specifici obblighi di notifica al Garante, ma nulla dice in merito agli obblighi gravanti in capo a coloro i quali, a vario titolo, dovessero essere coinvolti in un data breach.

Questo non significa che gli utenti non debbano rispettare alcun vincolo, poiché sono in ogni caso soggetti ai principi generali del GDPR, con la conseguenza che non possono trattare, e quindi diffondere, i dati personali senza una valida base giuridica.

Tradotto in pratica questo comporta che la diffusione di screenshoot del profilo privato con la posizione previdenziale di un utente, anche al fine di dare notizia dell’anomalia e quindi del data breach, non può essere effettuata sic et simpliciter sui social network.

La diffusione, innescata dal meccanismo con il quale funziona la Rete e i singoli social network, ha l’effetto di amplificare la propagazione, a macchia d’olio e in maniera incontrollata, di quegli stessi dati di cui si denuncia la violazione. In altre parole l’utente con le proprie condivisioni contribuisce ad aumentare l’effetto negativo e i potenziali danni derivanti dalla diffusione dei dati.

Si aggiunga poi che, mancando una valida base giuridica per il trattamento, la condivisione degli screenshoot diventa, allo stesso modo, essa stessa un trattamento illecito che, almeno in linea teorica, potrebbe esporre alle sanzioni previste dal GDPR e dal D.Lgs. 101/2018.

Diversa, invece, l’ipotesi in cui gli screenshoot in parola fossero stati condivisi previo oscuramento dei dati personali, al solo fine, quindi, di dare prova del malfunzionamento del sito dell’INPS. La condivisione degli screenshoot e dei dati personali, nel caso specifico, ha assunto una portata tale da rendere necessario un intervento ufficiale del Garante.

Con il comunicato del 2 aprile 2020 l’Autorità, al fine di contenere la diffusione dei dati e il potenziale negativo della loro circolazione, ha specificato che “Al fine di non amplificare i rischi per le persone i cui dati personali sono stati coinvolti nel data breach e non incorrere in possibili illeciti, l’Autorità richiama l’attenzione sulla assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti”.

L’attenzione quindi per tutto quello che si condivide deve essere sempre mantenuta ai massimi livelli, soprattutto per quanto riguarda i dati personali, poiché il rischio di aumentare il disvalore e il pericolo concreto per i diritti dei soggetti coinvolti è molto più grande di quello che si può pensare.

Ogni valutazione, quindi, sulla liceità di una condivisione deve avvenire esattamente un attimo prima dell’invio, poiché una volta pubblicato il contenuto è irrimediabilmente uscito dalla nostra disponibilità, non è più possibile controllarlo e gestirlo con tutte le conseguenze, anche di carattere giuridico che ne derivano.

Archivio

SUPERBONUS 110%: siglato accordo tra Aidr e il portale RILANCIO ITALIA 2020 per ottenere il credito d’imposta

Un accordo di collaborazione è stato siglato tra l’associazione Italian Digital Revolution – AIDR e la Rete d’Imprese RILANCIO ITALIA 2020. L’intesa intende promuovere la piattaforma digitale di RILANCIO ITALIA 2020 (http://www.rilancioitalia2020.it/), Rete d’Imprese che è impegnata, nell’ambito del superbonus 110%, nella promozione, vendita e veicolazione dei servizi connessi e realizzati allo scopo.

“Blockchain per tutti”, arriva il primo e-book di Aidr

Da oggi disponibile su sito associazione e su principali store on-line Si inaugura la collana editoriale dedicata anche ai non addetti ai lavori, con l’obiettivo di far scoprire le tecnologie e il...

VIDEO E PHOTO GALLERY

AIDR WEB TV

ITALIAN DIGITAL REVOLUTION

EVENTI ED INIZIATIVE

ITALIAN DIGITAL REVOLUTION

COME ASSOCIARSI

Cerchi il lavoro giusto per te? Scoprilo su IO LAVORO

IO LAVORO è un sistema informativo che utilizza la professione e i dati raccolti dai siti web di numerose istituzioni (Istat, Isfol, Miur, etc) o forniti come open data, per dare un quadro informativo completo sul mercato del lavoro e per favorire l’incontro domanda offerta.

AIDR NEWSLETTER

AIDR
Iscriviti alla nostra newsletter per essere sempre aggiornato sulle iniziative testo di prova e prova di testo

AIDR NOTIZIE DAL WEB

TUTTE LE NOTIZIE

Notizie
20/10/2020
Troppe parole sul Recovery Fund, o meglio Next generation EU, troppi sui media che ripetono all’infinito “ora che abbiamo questi 209 miliardi” ”ora che ci sono questi soldi”…”ora che è arrivato il recovery fund” etc etc. E’ necessario fare chiarezza innanzitutto sulla tempistica dei trasferimenti, (sulla concretezza dell’erogazione credo che, a prescindere dai mal di pancia dei cosiddetti Paesi “frugali”, essi verranno deliberati.), l’Italia dunque nel 2021 utilizzerà 25 miliardi del programma Next generation Eu nel 2021 (11 di prestiti dal Recovery fund, 10 di sovvenzioni più altri 4 di finanziamenti per la coesione (React Eu), nel 2022 le risorse che l’Italia richiederà all’Europa saliranno a 37,5 miliardi, nel 2023 ci sarà un picco fino a 41 miliardi, per poi ritornare a 39,4 miliardi nel 2024, 30,6 nel 2025 e 27,5 nel 2026.
Notizie
08/10/2020
di Michele Leone, Digital Media Specialist e socio Aidr. PTA ovvero "Poli territoriali avanzati". Sarà un concentrato di tecnologia racchiusa in strutture decentrate e Data driven, con area specifiche per concorsi pubblici, con spazi di co-working e con uffici per videoconferenze e lavoro agile per la “nuova” Pubblica Amministrazione.
Notizie
07/10/2020
AIDR ha deciso di dotarsi di un Osservatorio sull’applicazione del digitale e delle nuove tecnologie al mondo agroalimentare ed agroindustriale. Il suo scopo è quello di studiare, stimolare e promuovere l’applicazione delle tecnologie digitali alla filiera agroalimentare, mediante approfondimenti, articoli, rapporti, contributi ed il concorso di svariate competenze, tecniche, giuridiche ed economiche.

AIDR
AZIENDE E COLLABORAZIONI

AIDR SOCIAL

Seguici sui social per restare in contatto con noi,
ricevere aggiornamenti e inviarci suggerimenti, segnalazioni e commenti!