Data Breach Inps, per il Garante è segno di un’insufficiente cultura della protezione dati nel nostro Paese
Il Data Breach Inps: ancora criticità per le PA?
Il caso di Data breach che ha colpito il portale dell’Inps rappresenta soltanto l’ultima delle molteplici violazioni che hanno interessato le Pubbliche Amministrazioni. Come dichiarato dal Garante per la protezione dei dati personali, infatti, l’assenza di adeguate misure di sicurezza per la tutela delle banche dati e dei siti delle amministrazioni pubbliche rappresenta una questione critica costante.
Le amministrazioni pubbliche, infatti, trattano quotidianamente ingenti moli di dati personali, per lo svolgimento delle proprie funzioni e l’erogazione di servizi pubblici online.
Le Pubbliche amministrazioni, in particolare, devono garantire:
- La sicurezza del trattamento, come previsto dall’art. 32 GDPR;
- L’implementazione di misure che garantiscano la privacy by default e by design;
- Il rispetto dei diritti dell’interessato;
- La nomina del Data protection Officer (DPO)
Il data breach dell’Istituto ha messo in luce una serie di criticità. Per consentire l’erogazione di sussidi economici, l’Inps aveva istituito sul proprio sito, dal 1 aprile 2020, una pagina dedicata a tale richiesta, previa registrazione del richiedente. Sin dai primi utilizzi del portale, tuttavia, è stato possibile accedere in modo incontrollato ai dati personali di un numero elevatissimo di contribuenti: in particolare, sono stati visibili in chiaro milioni di dati personali relativi ai dati inseriti nella registrazione, tra cui anche gli Iban personali e gli indirizzi di residenza. L’episodio ha dimostrato tutta la vulnerabilità delle misure di sicurezza precedentemente predisposte, violando l’art. 32 GDPR e richiedendo l’intervento del Garante che ha avviato un’istruttoria allo scopo di effettuare opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’Ente e gli interventi necessari a tutelare i diritti e le libertà degli interessati.
Nel complesso, la violazione ha permesso l’emergere di ulteriori criticità, che non incidono sulle misure di sicurezza. In particolare:
- L’assenza di un Responsabile della protezione dati al momento della verificazione della violazione;
- La possibile condizione di conflitto di interessi del Resposabile per la protezione dati, per tutto il periodo di esercizio della funzione.
Come assicurare la collaborazione tra le varie figure professionali? Hedya propone un percorso formativo innovativo sulle “Nuove Professioni Digitali”
Le posizioni del Garante evidenziano la necessità, per le Pubbliche Amministrazioni, di percorsi formativi:
- integrati, che coinvolgano le varie figure professionali;
- mirati ad assicurare la sicurezza del trattamento;
- aggiornati su tutte le principali questioni connesse al GDPR.
Per tali ragioni, Hedya propone il percorso formativo innovativo “Le Nuove Professioni Digitali”. Se il Codice dell’Amministrazione Digitale (D.Lgs. 82/2005 o semplicemente CAD) e la normativa collegata (Linee Guida AgID) ci presentano il Responsabile Transizione al Digitale e Responsabile della Conservazione Documentale, il Regolamento Europeo 2016/679 (GDPR) schiera in campo il Responsabile per la protezione dei dati personali e l’Amministratore di sistema. Si tratta di nuove figure professionali, la cui formazione deve necessariamente essere di natura trasversale, che convivono della nuova P.A. Digitale e che ne guidano il cambiamento.
Hedya propone inoltre un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.
In particolare, si prevede:
- Corsi di formazione per Data Protection Officer
- Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
- Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;
- Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati
- Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.
- Formazione e consulenza in materia di Digitalizzazione
Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.
Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALE” per il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.
Il percorso è rivolto:
- a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
- a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.
Ulteriori dettagli sui percorsi formativi sono disponibili qui.