Garante per la protezione dei dati personali, Provvedimento del 14 maggio 2020
Il Garante ha premesso che l’INPS, con note del 1° aprile e del 6 aprile 2020, ha notificato all’Autorità, ai sensi dell’art. 33 del Regolamento, due distinte violazioni dei dati personali che hanno comportato, rispettivamente:
– l’accesso ai dati personali di utenti del portale “www.inps.it” da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato;
– l’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting (c.d. “Bonus Baby Sitting”), di cui all’art. 25 del d.l. 17 marzo 2020, n. 18, con visualizzazione, modifica, cancellazione o invio all’INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati.
In particolare l’INPS ha specificato che i dati oggetto di violazione del primo caso sono stati “codice fiscale, cognome, nome, data di nascita, luogo di nascita, indirizzo di residenza, telefono, cellulare, email e PEC”, presenti nella “pagina “Anagrafica” all’interno della sezione myINPS del portale informativo”.
In riferimento al numero di soggetti coinvolti, l’Istituto ha aggiunto che “dall’analisi degli access log della CDN, è emerso che le richieste della pagina anagrafica di myINPS, che hanno avuto una risposta positiva (HTTP 200), sono state 842. Considerato che tra queste ci sono anche le richieste effettuate dai potenziali interessati al data breach, come stimati […] in massimo 23 unità, ne consegue che il numero massimo di soggetti che avrebbero avuto la possibilità di consultare i dati anagrafici di terzi è non superiore a 819.
Sul secondo data-breach, inoltre, i dati esposti sono stati:
i) dati personali del richiedente: dichiarazione di essere o meno unico genitore; codice fiscale; cognome; nome; eventuale cognome acquisito; sesso; data di nascita; comune e/o Stato di nascita; cittadinanza; stato civile; indirizzo di residenza; cellulare; email; PEC; situazione lavorativa;
ii) dati personali del figlio: dichiarazione di essere il genitore/affidatario del figlio; dichiarazione di essere convivente con il figlio; codice fiscale; cognome; nome; sesso; data di nascita; cittadinanza; in caso di minore di affido, documentazione della sentenza di affido; in caso di figlio di età superiore ai 12 anni con disabilità, dichiarazioni sullo stato di disabilità quale portatore di handicap in situazione di gravità accertata ai sensi dell’art. 3, comma 3, della legge n. 104/1992, nonché sulla frequenza scolastica, di ordine e grado, o presso un centro diurno a carattere assistenziale, allegando la relativa documentazione attestante tali circostanze;
iii) dati personali dell’altro genitore: codice fiscale; cognome; nome; eventuale cognome acquisito; sesso; data di nascita; comune e/o Stato di nascita; cittadinanza; in caso di altro genitore convivente con il richiedente, dichiarazioni sulla fruizione di altre prestazioni e sulla situazione lavorativa.
L’Istituto ha dichiarato di aver rilevato l’esecuzione di diverse tipologie di operazioni su alcune delle predette domande, nei seguenti termini:
68 domande, trasmesse o salvate in bozza, sono state visualizzate da terzi;
17 domande, salvate in bozza, sono state modificate da terzi;
81 domande, salvate in bozza, sono state cancellate da terzi;
62 domande, salvate in bozza, sono state inviate da terzi (non operatori di patronato).
Il Garante ha quindi deciso di ingiungere all’INPS di comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del provvedimento, le violazioni dei dati personali in esame a tutti gli interessati coinvolti, e di richiedere all’INPS di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 20 giorni dalla data della ricezione del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;