La falla dei sistemi che ha colpito l’INPS durante il click day del primo aprile ha messo in luce le molteplici criticità del portale utilizzato dall’Istituto, mentre il conseguente data breach ha acceso la discussione sui mezzi di tutela a disposizione degli interessati dalla violazione di dati.
Quanto accaduto ha inoltre scoperchiato il vaso di Pandora, evidenziando come anche la pubblica amministrazione risulta essere ancora molto indietro nel settore della cyber security e della tutela della protezione dei dati personali.
Indice degli argomenti
Errata gestione del data breach e mancata designazione del DPO
L’accesso degli utenti al portale INPS, in aree riservate appartenenti ad altri è da considerarsi, secondo la normativa privacy, come un data breach, ossia una violazione di sicurezza che comporta, accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (articolo 4, par. 1, n.12 GDPR).
Immediato è stato l’intervento dell’Autorità Garante la quale, anche in ragione delle molteplici segnalazioni da parte degli utenti, ha richiesto all’INPS di procedere, con assoluta urgenza, alla chiusura della falla e alla messa in sicurezza dei dati; il Presidente dell’Autorità Garante, Antonello Soro, ha altresì dichiarato di aver avviato i dovuti accertamenti al fine di verificare l’origine della problematica riscontrata.
Ma ciò che desta sicuramente più perplessità sono i correttivi successivamente adottati dall’Istituto: lo stesso, infatti, sembrerebbe essersi limitato all’apertura di una casella di posta elettronica (violazioneGDPR@inps.it), creata esclusivamente per i soggetti che sono stati interessati dalla violazione e chiedendo loro di segnalare le violazioni dei propri dati e di fornire le relative “evidenze documentali”.
Tale modo di agire dimostra l’assoluta incapacità dell’INPS di gestire la criticità riscontrata. Difatti, sarebbe stato obbligo dell’Istituto, quale titolare del trattamento, inviare a tutti gli interessati la comunicazione di violazione dei dati personali ex art. 34 GDPR, indicando con un linguaggio semplice e chiaro:
- i dati di contatto del DPO o di un altro punto di contatto;
- le probabili conseguenze delle violazioni dei dati personali;
- le misure adottate, o di cui si propone l’adozione, da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Giova ricordare che la comunicazione agli interessati deve essere effettuata senza ingiustificato ritardo (art. 34 par. 1) e, in merito, il considerando 86 del GDPR precisa che deve essere resa non appena ragionevolmente possibile.
Ciò posto, malgrado ad oggi non sembra sia stata inoltrata, dall’INPS, alcuna comunicazione agli utenti, non è da escludersi un successivo intervento da parte del Garante Privacy che obblighi l’Istituto a rendere edotti tutti gli utenti coinvolti circa l’avvenuta violazione.
Tra le ulteriori criticità emerse successivamente al crash del sito dell’INPS verificatosi in occasione del click day, vi è anche quella della mancata designazione del DPO (responsabile della protezione dati). Difatti, sembrerebbe che tale ruolo fosse precedentemente ricoperto da un dirigente andato in pensione il 30 marzo 2020. Si ricorda che l’INPS, quale organismo pubblico, rientra tra i casi di designazione obbligatoria del DPO ex art.37, par.1, lett. a).
Il DPO, durante un data breach, rappresenta il punto di contatto per l’authority e per gli interessati (artt. 33-34 Reg. UE 2016/679); egli è a conoscenza delle coordinate tecno giuridiche, dei rischi e delle conseguenze sanzionatorie di un’errata gestione di un data breach.
Pertanto, appare lapalissiano come, qualora l’INPS si fosse dotata, per tempo, di una tale figura, avrebbe potuto tempestivamente informarla e coinvolgerla nella gestione della violazione, sia nella fase di notifica al Garante Privacy che nella comunicazione agli interessati.
A destare critiche è anche la precedente designazione; sembrerebbe, infatti, che il ruolo di DPO fosse ricoperto dal dirigente della Direzione centrale organizzazione e sistemi informativi. Ebbene, risulta noto che il responsabile protezione dati, scelto in funzione delle qualità professionali e per la conoscenza specialistica della normativa nonché delle prassi in materia data protection, non deve operare in presenza di conflitto di interessi (art. 38, par. 6 GDPR). Quanto detto è stato anche ribadito dal Working Party 29, che ha precisato come la figura del DPO non può essere ricoperta da coloro che rivestono ruoli apicali o comunque di vertice (es. amministratore delegato, responsabile IT, responsabile HR).
Data breach INPS e mezzi di tutela: class action privacy
Non vi è certezza sul numero di accessi illegittimi nelle aree personali degli utenti durante il click day del primo aprile, ma è certo che sono molteplici i mezzi che il legislatore mette a disposizione degli interessati per tutelare il proprio diritto alla riservatezza.
Fra questi vi è la possibilità, riconosciuta a ciascun interessato, di presentare, ai sensi dell’articolo 77 GDPR e dell’art. 140 bis D.lgs. n. 101/2018, un reclamo al Garante. Inoltre, ai sensi dell’art. 79, ogni interessato potrà anche proporre un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento, in questo caso INPS, dinanzi al giudice ordinario quando ritenga che i diritti di cui gode ai sensi del GDPR siano stati violati nell’ambito di un trattamento, nonché richiedere il risarcimento del danno materiale o immateriale ex art. 82.
Ulteriore mezzo di tutela viene previsto dall’art.80 del Reg. UE 2016/679 che permette di poter esercitare i rimedi uno di natura amministrativa (art. 77) e due di natura giurisdizionale (artt. 78-79) anche per tramite di un organismo, un’organizzazione o un’associazione senza scopo di lucro.
L’art. 80 GDPR, infatti, prevede al par. 1 che “L’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all’articolo 82”.
Il rimedio introdotto dall’art. 80 risulta essere certamente una delle le novità più importanti in tema di mezzi esperibili da parte del singolo in caso di violazione dei dati personali, non essendo precedentemente previsto, né nel vecchio Codice Privacy, né nella direttiva 95/46/ CE, la possibilità di farsi rappresentare da un organismo o da un’associazione senza scopo di lucro.
Nel nostro ordinamento la normativa specialistica di settore viene disciplinata dell’art. 10, comma 5, del D.lgs. n. 150/2011 il quale recita “l’interessato può dare mandato a un ente del terzo settore soggetto alla disciplina del D.lgs. n. 117/2017, che sia attivo nel settore della tutela dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di esercitare per suo conto l’azione ferma idee disposizioni in materia di procedure previste dal codice procedura civile”.
Inoltre, il legislatore europeo all’art. 80, par. 2, del GDPR, riconosce la facoltà degli Stati membri di poter prevedere che gli organismi descritti al precedente comma possano, indipendentemente dal mandato conferito dall’interessato, proporre un reclamo ex art. 77, nonché esercitare i diritti di cui agli artt. 78 e 79 del GDPR.
Tuttavia, il legislatore italiano non ha previsto una tale facoltà come quella riconosciuta dall’art. 80, par. 2 del GDPR agli organismi del terzo settore che necessiteranno, pertanto, di apposito mandato conferito dall’interessato.
Ci si è chiesto se l’istituto previsto dall’ articolo 80 del Reg. UE 2016/679 possa avere introdotto, all’interno del nostro ordinamento, una sorta di “class action privacy”.
Innanzitutto, occorre ribadire che il diritto alla protezione dei dati personali deve essere valutato come un diritto di natura personalissima e non come un interesse collettivo. Difatti, lo stesso viene riconosciuto come un diritto fondamentale sia nella Carta dei diritti fondamentali dell’Unione europea all’art. 8, par. 1 che nell’articolo 16, par. 1 del TFUE, i quali stabiliscono che “ogni persona ha diritto alla protezione dei dati di carattere personale che lo riguardano”.
Merita, altresì, ricordare che l’istituto giuridico della class action così come disciplinato dal Codice del Consumo prevede all’articolo 139 che “le associazioni dei consumatori e degli utenti inserite nell’elenco di cui all’articolo 137 sono legittimate ad agire, ai sensi dell’articolo 140, a tutela degli interessi collettivi dei consumatori e degli utenti”.
Basandosi esclusivamente su un’interpretazione meramente letterale della normativa di riferimento, è fuor di dubbio che debba escludersi la possibilità di far ricorso all’istituto della class action anche nel settore della protezione dei dati personali; detta impostazione muove dall’assunto che la disposizione in commento (art. 80 GDPR) è stata introdotta dal legislatore europeo per tutelare il diritto individuale dell’interessato alla protezione dei dati personali.
In ogni caso la normativa sulla class action, con le varie modifiche intervenute, per ultimo con le leggi nn. 31 e 37 del 2019, ha ampliato la sua portata applicativa riconoscendo la possibilità di poter esercitare la tutela risarcitoria e restitutoria anche per i portatori di diritti individuali omogenei.
Dunque, a giudizio di chi scrive gli organismi e le associazioni del terzo settore non potranno esercitare, pur in presenza di un mandato scritto da parte dell’interessato ex art. 80, par.1, GDPR, i poteri di cui agli artt. 77 – 78 – 79, sotto forma di class action privacy fondata sulla tutela di un interesse collettivo alla protezione dei dati personali, ma potranno sicuramente promuovere molteplici ricorsi a carattere “plurisoggettivo” a tutela dei dati personali dei data subject.
Conclusioni
Solo al termine dell’attività istruttoria avviata dal Garante per la protezione dei dati personali (che si ricorda ancora in regime di prorogatio) potremmo realmente capire quale sia stata la causa del data breach che ha colpito il sito istituzionale dell’Inps, nonché le conseguenze per i vari utenti coinvolti.
Al di là dei provvedimenti che verranno assunti dall’authority, ciò che desta preoccupazione è la mancanza, in capo alla pubblica amministrazione, di una sensibilità in merito alla protezione dati personali.
Ci si augura, pertanto, che quanto accaduto sia da monito anche nel settore pubblico per cambiare rotta e proteggere finalmente i diritti e le libertà fondamentali delle persone fisiche alla tutela della protezione dei dati personali.
