Data Breach Inps, per il Garante costituisce un rischio elevato per i diritti e le libertà dei soggetti coinvolti
Il Data Breach Inps: ancora criticità secondo il Garante?
Il caso di Data breach che ha colpito il portale dell’Inps nel mese di Aprile rappresenta una delle più recenti violazioni che hanno interessato le Pubbliche Amministrazioni. Come evidenziato nel precedente post, il Garante per la protezione dei dati personali ha dichiarato che l’assenza di adeguate misure di sicurezza per la tutela delle banche dati e dei siti delle amministrazioni pubbliche rappresenta una questione critica ricorrente.
Con note del 1° aprile e del 6 aprile 2020, l’Inps ha reso note le violazioni dei dati personali che si sono verificate in occasione dell’avvio delle procedure per la richiesta di erogazione di prestazioni a sostegno del reddito, notificando all’Autorità, ai sensi dell’art. 33 GDPR, due distinte violazioni dei dati personali. In particolare:
- L’accesso ai dati personali di utenti del portale “www.inps.it” da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato;
- L’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting di cui all’art. 25 del d.l. 17 marzo 2020, n. 18, con visualizzazione, modifica, cancellazione o invio all’INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati.
L’episodio ha fatto emergere di talune criticità nell’adozione delle più opportune misure di sicurezza, richieste dall’art. 32 GDPR. In ogni caso, l’Istituto ha ritenuto che la violazione non fosse tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche e, pertanto, difettassero i presupposti per la comunicazione della violazione dei dati personali agli interessati coinvolti.
Con provvedimento del 14 maggio 2020, il Garante per la protezione dei dati personali ha invece rilevato la sussistenza di rischi elevati per i diritti e le libertà degli interessati.
Di conseguenza, ha ravvisato la necessità e l’urgenza di ingiungere all’Inps, ai sensi dell’art. 58, par. 2, lett. e) GDPR. In particolare:
- Di comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse;
- Di fornire i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni;
- Di indicare agli interessati le specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni.
Come assicurare la collaborazione tra le varie figure professionali? Hedya propone un percorso formativo innovativo sulle “Nuove Professioni Digitali”
Le posizioni del Garante evidenziano la necessità, per le Pubbliche Amministrazioni, di percorsi formativi:
- integrati, che coinvolgano le varie figure professionali;
- mirati ad assicurare la sicurezza del trattamento;
- aggiornati su tutte le principali questioni connesse al GDPR.
Per tali ragioni, Hedya propone il percorso formativo innovativo “Le Nuove Professioni Digitali”. Se il Codice dell’Amministrazione Digitale (D.Lgs. 82/2005 o semplicemente CAD) e la normativa collegata (Linee Guida AgID) ci presentano il Responsabile Transizione al Digitale e Responsabile della Conservazione Documentale, il Regolamento Europeo 2016/679 (GDPR) schiera in campo il Responsabile per la protezione dei dati personali e l’Amministratore di sistema. Si tratta di nuove figure professionali, la cui formazione deve necessariamente essere di natura trasversale, che convivono della nuova P.A. Digitale e che ne guidano il cambiamento.
Hedya propone inoltre un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.
In particolare, si prevede:
- Corsi di formazione per Data Protection Officer
- Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
- Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;
- Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati
- Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.
- Formazione e consulenza in materia di Digitalizzazione
Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.
Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALE” per il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.
Il percorso è rivolto:
- a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
- a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.
Ulteriori dettagli sui percorsi formativi sono disponibili qui.