Quindici giorni per comunicare a tutti i diretti interessati le violazioni dei dati personali che si verificarono il primo aprile scorso, cioè nel click day, quando il sito dell’Inps venne preso d’assalto dai beneficiari delle misure di sostegno previste dal Cura Italia. E’ questo il termine che il Garante della Privacy ha ingiunto all’istituto di previdenza, con un provvedimento pubblicato sul sito dell’authority. Il Garante, si legge nel testo, “ingiunge all’Inps di comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, le violazioni dei dati personali in esame a tutti gli interessati coinvolti”. E, inoltre, “”richiede all’Inps di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 20 giorni dalla data della ricezione del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria” prevista. “Diversamente da quanto sostenuto dall’istituto, ancorché con diversa probabilità e gravità, le violazioni dei dati personali in esame sono suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. E’ quanto sottolinea il Garante della privacy nel provvedimento con il quale si richiede all’istituto di comunicare agli interessati le violazioni dei dati personali occorse nei data breach dello scorso aprile. Per l’Autorità, “la comunicazione agli interessati coinvolti, allo stato individuati, non comporta sforzi sproporzionati da parte dell’istituto, attesa la diretta disponibilità dei contatti telematici degli stessi, cui è possibile, se del caso, fare riferimento anche per la comunicazione nei confronti di coloro (figli e coniugi) ai quali si riferiscono i dati personali presenti nelle domande oggetto di violazione”. In sostanza, “la comunicazione pubblica effettuata dall’istituto mediante la pubblicazione, sul proprio sito istituzionale, di una semplice ‘comunicazione in merito al data breach’ – anche se, in un primo momento, poteva rappresentare una misura sufficiente a informare gli interessati circa le iniziative intraprese nell’immediato e a fornire indicazioni ‘in ordine alla necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli’, offrendo un recapito dedicato al quale rivolgersi – non costituisce allo stato uno strumento idoneo all’assolvimento degli obblighi di cui all’articolo 34 del Regolamento, in quanto non consente di informare efficacemente gli interessati che l’istituto ha già individuato essere stati coinvolti in ciascuna violazione dei dati personali, anche al fine di permettere loro di prendere le precauzioni necessarie in considerazione delle diverse caratteristiche delle violazioni che li hanno riguardati”.
