Il Garante della Privacy, con provvedimento del 14 maggio 2020[i], ha ingiunto all’Inps di comunicare, entro quindici giorni dalla data di ricezione del suddetto provvedimento, tutte le violazioni dei dati personali che si sono verificate il primo aprile scorso, cioè nel “click day”, allorquando il sito internet dell’Inps venne preso d’assalto dai beneficiari delle misure di sostegno previste dal decreto “Cura Italia”.

Il Garante ha infatti avviato, in pari data, un’istruttoria per comprendere la portata delle violazioni dei dati personali e acquisire elementi in ordine alle misure tecniche organizzative adottate dall’Istituto per porvi rimedio e per attenuare gli effetti negativi nei confronti degli interessati coinvolti.

Ferma restando, dunque, la necessità di proseguire l’istruttoria, il Garante ha ingiunto all’Inps, altresì, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel provvedimento in oggetto e di fornire comunque riscontro adeguatamente documentato.

Soro precisa che, “tale comunicazione, inviata anche con mezzi elettronici, dovrà essere differenziata in funzione dei rischi e delle specifiche caratteristiche che le violazioni dei dati personali in esame presentano per ciascun interessato coinvolto e dovrà essere effettuata, senza ingiustificato ritardo, anche nei confronti di altri interessati che verranno individuati all’esito di eventuali ulteriori attività di analisi condotte dall’Istituto“.

Invero la comunicazione del data breach da parte dell’Istituto, tramite pubblicazione sul proprio sito, non è di per sé sufficiente al rispetto dei precetti indicati dal Garante. Tale mera comunicazione per l’Autorità della Privacy, infatti, “non costituisce allo stato uno strumento idoneo all’assolvimento degli obblighi previsti ,in quanto non consente di informare efficacemente gli interessati – che l’Istituto ha già individuato essere stati coinvolti in ciascuna violazione dei dati personali,- anche al fine di permettere loro di prendere le precauzioni necessarie in considerazione delle diverse caratteristiche delle violazioni che li hanno riguardati”.

Orbene qualora l’Istituto previdenziale non adempia alle indicazioni del Garante e non ponga in essere tutto il necessario per arginare tale data breach, rischia di ricevere una sanzione amministrativa pecuniaria fino a 20 milioni di euro.

[i]  https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9344061