L'Inps ha 15 giorni per comunicare ai diretti interessati le violazioni dei dati personali che si verificarono nel giorno del click day, il primo aprile scorso, quando il sito dellEnte fu preso dassalto dai beneficiari delle misure di sostegno previste dal Cura Italia. L'ultimatum arriva dal Garante della Privacy Antonello Soro, che ha ingiunto allInps, con un provvedimento pubblicato sul sito dellauthority. Il Garante, si legge nel testo, «ingiunge allInps di comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, le violazioni dei dati personali in esame a tutti gli interessati coinvolti». E, inoltre, «richiede allInps di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dellarticolo 157 del Codice, entro il termine di 20 giorni dalla data della ricezione del presente provvedimento; leventuale mancato riscontro può comportare lapplicazione della sanzione amministrativa pecuniaria» prevista. «Alla luce del complessivo esame delle circostanze portate allattenzione dellAutorità e delle considerazioni svolte, ferma restando la necessità di proseguire listruttoria in corso», il Garante ha ravvisato «la necessità e lurgenza di ingiungere» allInps «di comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonché fornendo loro indicazioni specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni». Tale comunicazione, inviata anche con mezzi elettronici,  si legge ancora nel provvedimento, «dovrà essere differenziata in funzione dei rischi e delle specifiche caratteristiche che le violazioni dei dati personali in esame presentano per ciascun interessato coinvolto e dovrà essere effettuata, senza ingiustificato ritardo, anche nei confronti di altri interessati che verranno individuati allesito di eventuali ulteriori attività di analisi condotte dallIstituto». Inoltre, con specifico riferimento alla violazione dei dati personali determinata dallerrata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting, la comunicazione dovrà riguardare gli interessati i cui dati personali erano presenti non solo nelle domande che sono risultate oggetto di visualizzazione (68 domande), modifica (17 domande), cancellazione (81 domande) o invio allInps (62 domande), ma anche nellelenco delle 773 domande mostrato nella sezione «Consultazione domande» della procedura Bonus Baby Sitting. Il Garante ricorda che «linosservanza di un ordine da parte dellautorità è soggetta a sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dellesercizio precedente, se superiore». LInps, con due distinte note datate 1 e 6 aprile, aveva notificato al Garante della Privacy due distinte violazioni dei dati personali che hanno comportato, rispettivamente laccesso ai dati personali di utenti del portale «www.inps.it» da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio Cdn (Content Delivery Network) utilizzato; laccesso ai dati personali di utenti che hanno richiesto lerogazione del bonus per lacquisto di servizi di baby-sitting con visualizzazione, modifica, cancellazione o invio allINPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati. Contestualmente, lAutorità ha ricevuto più di un centinaio di segnalazioni e reclami da parte di soggetti che, oltre a manifestare i timori per le conseguenze sui diritti e le libertà fondamentali delle persone fisiche coinvolte, in molti casi hanno rappresentato di aver visualizzato dati personali riferiti a terzi, fornendone spesso prova documentale. In particolare, si evidenzia come, tra i predetti soggetti, siano presenti numerosi utenti che stavano tentando di accedere a servizi online presenti sul portale dellInps, compresi quelli per compilare e inviare individualmente la propria domanda per lerogazione delle prestazioni previste dal Cura Italia; soggetti direttamente coinvolti nelle violazioni dei dati personali, in quanto i propri dati personali sono stati oggetto di accesso da parte di terzi; professionisti delegati dai propri clienti a effettuare operazioni per conto degli stessi; enti e associazioni, in rappresentanza di categorie professionali e utenti. A partire da tali elementi, che il Garante ha avviato unistruttoria sulle violazioni dei dati personali, mediante richieste di informazioni rivolte allIstituto (note del 1° aprile e del 20 aprile 2020), volte ad acquisire ulteriori elementi in ordine alla natura e alla portata delle violazioni rappresentate dallInps e lamentate dagli utenti, nonché alle misure tecniche e organizzative adottate dallIstituto per porvi rimedio e per attenuarne gli effetti negativi nei confronti degli interessati coinvolti. A tali richieste lIstituto ha prodotto riscontro con note del 10 aprile e del 30 aprile 2020. «Pertanto - afferma il Garante -, diversamente da quanto sostenuto dallIstituto, ancorché con diversa probabilità e gravità, le violazioni dei dati personali in esame sono suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati». Peraltro, la comunicazione agli interessati coinvolti, allo stato individuati, «non comporta sforzi sproporzionati da parte dellIstituto, attesa la diretta disponibilità dei contatti telematici degli stessi, cui è possibile, se del caso, fare riferimento anche per la comunicazione nei confronti di coloro (figli e coniugi) ai quali si riferiscono i dati personali presenti nelle domande oggetto di violazione. La comunicazione pubblica effettuata dallIstituto mediante la pubblicazione, sul proprio sito istituzionale, di una semplice comunicazione in merito al data breach anche se, in un primo momento, poteva rappresentare una misura sufficiente a informare gli interessati circa le iniziative intraprese nellimmediato e a fornire indicazioni in ordine alla necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, offrendo un recapito dedicato al quale rivolgersi non costituisce allo stato uno strumento idoneo allassolvimento degli obblighi di cui allart. 34 del Regolamento, in quanto non consente di informare efficacemente gli interessati che lIstituto ha già individuato essere stati coinvolti in ciascuna violazione dei dati personali, anche al fine di permettere loro di prendere le precauzioni necessarie in considerazione delle diverse caratteristiche delle violazioni che li hanno riguardati».