[doc. web n. 10057648]

Provvedimento del 17 luglio 2024

Registro dei provvedimenti
n. 475 del 17 luglio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, Regolamento generale sulla protezione dei dati (di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO il regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.garanteprivacy.it, doc. web n. 9107633 (di seguito “reg. del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del reg. del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n. 1098801);

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Premessa

Con note del 1° e 6 aprile 2020, l’INPS – Istituto nazionale previdenza sociale (di seguito, INPS o Istituto) ha notificato al Garante, ai sensi dell’art. 33 del Regolamento, due violazioni dei dati personali verificatesi nell’ambito dell’erogazione di prestazioni previste dal d.l. 17 marzo 2020, n. 18 (cfr. parr. 2 e 3 del presente provvedimento), oggetto anche di taluni reclami e segnalazioni.

Nell’ambito dell’istruttoria sono state esaminate, in particolare, le misure adottate dall’Istituto per attenuare i possibili effetti negativi nei confronti degli interessati e per prevenire simili violazioni in futuro, considerato che con provvedimento n. 86 del 14 maggio 2020 (disponibile sul sito www.garanteprivacy.it, doc. web n. 9344061), era stato ingiunto all’INPS di comunicare le predette violazioni dei dati personali agli interessati coinvolti (art. 58, par. 2, lett. e), del Regolamento).

2. La violazione dei dati personali determinata dal caching di informazioni personali in una rete di distribuzione di contenuti (CDN)

La prima violazione dei dati personali ha comportato l’accesso ai dati personali di alcuni utenti del proprio portale da parte di terzi non autorizzati, determinata da una non corretta configurazione delle funzionalità di caching del servizio di Content Delivery Network (di seguito, CDN) utilizzato.

2.1. Le circostanze in cui si è verificata la violazione

L’Istituto ha evidenziato che, prevedendo che l’avvio dei servizi per l’erogazione dei bonus e delle indennità stabiliti dal d.l. 18/2020 avrebbe determinato “un carico di accessi contemporanei non gestibile con l’attuale architettura del portale”, “ha proceduto all’allocazione di nuove risorse elaborative per scalare quelle esistenti sia sul front-end del portale internet che sugli application server del back-end con database dedicati”. Tuttavia, “lo stato dell’emergenza e le esigenze improrogabili connesse all’immediato avvio di tutti i provvedimenti a sostegno delle persone e delle imprese, anche per motivi di ordine pubblico derivante dal lockdown, non [… hanno] consentito di attuare interventi strutturali su un portale internet così complesso e ha costretto l’Istituto ad adottare soluzioni di emergenza per consentire la gestione dell’enorme flusso di richieste”. Inoltre, l’INPS ha evidenziato che “un ulteriore fattore di criticità, che ha influito sulle scelte operate dall’Istituto, sta nel fatto che, nei giorni precedenti al 1° aprile, il portale dell’Istituto è stato oggetto di attacchi DDOS” che sono iniziati il 21 marzo 2020 e continuati almeno fino al 4 aprile 2020. L’INPS ha rappresentato che, al fine di garantire “adeguati livelli di fruibilità dei servizi […] e contestualmente la protezione da attacchi DDOS” nei giorni in cui sarebbe stato possibile presentare le istanze per l’erogazione delle prestazioni previste dal d.l. n. 18/2020, aveva deciso di fare ricorso a un servizio CDN, “strumento più idoneo per la gestione di questo modello di erogazione di servizio (cosiddetto click day), tutto nuovo per l’Istituto”.

In particolare, l’Istituto ha dichiarato che “in vista del rilascio di nuovi servizi al cittadino, previsto per il giorno 01/04/2020, INPS richiede il coinvolgimento del supporto Microsoft, al fine di valutare soluzioni tecnologiche che possano aiutare a migliorare le prestazioni del servizio reso attraverso il sito web istituzionale dell’INPS, in previsione di possibili carichi eccezionali. Viene, altresì, coinvolta la società Leonardo la quale fornisce il supporto sistemistico nell’ambito dell’accordo quadro Consip di system management. Si forma un “tavolo tecnico” tra Inps, Microsoft e Leonardo e viene individuata, come unica soluzione possibile per fronteggiare l’emergenza, l’utilizzo di una Content Delivery Network (CDN)”.

Al riguardo, l’INPS ha rappresentato che, “attingendo ai contratti già in essere, […] ha optato per l’offerta tecnologica di Microsoft che, nell’ambito dei servizi Cloud Azure, propone un servizio di distribuzione dei contenuti basato su una propria tecnologia [(di seguito, CDN Microsoft)] ovvero su tecnologia Akamai [(di seguito, CDN Akamai)], leader del mercato di riferimento”.

Inizialmente, nella serata del 31 marzo 2020, l’Istituto ha dichiarato di aver provveduto ad attivare il servizio CDN Microsoft ma, emergendo “da subito criticità proprio nel caching [… con] risposte generiche del tipo “The Request cannot be served””, ha “ritenuto opportuno operare un rollback della situazione ripristinando l’accesso diretto al proprio sito”, precisando che “i disservizi osservati [... erano] relativi all’incapacità del servizio di fornire risposte all’utente e dunque di indisponibilità dello stesso”.

Successivamente, l’INPS ha rappresentato che “all’apertura del servizio si è subito presentato un elevatissimo traffico che ha fatto palesare alcuni limiti di performance del portale ulteriormente aggravati dal susseguirsi di attacchi DDOS che si sono osservati per tutta la prima parte della mattinata” del 1° aprile 2020. In particolare, “alle ore 9:00 erano pervenute oltre 300.000 domande, ma i sistemi erano in forte sofferenza e il servizio era fortemente degradato, per cui, in accordo con i tecnici Microsoft che nel frattempo avevano effettuato il troubleshooting con i loro laboratori sulle cause che hanno portato al rollback del giorno precedente, si è optato per riattivare il servizio CDN, questa volta su tecnologia Akamai”, servizio che è stato “attivato, attraverso la modifica del DNS, alle ore 10,13 del 1° Aprile”. Tuttavia, “si è da subito palesato l’anomalo funzionamento del meccanismo di caching che di fatto ha provocato la replica di alcune schede anagrafiche presenti nel portale www.inps.it, l’unico dominio sottoposto a caching da parte della CDN” e “non appena sono emersi i primi segnali di un potenziale data breach, alle ore 10,30 è stato avviato il rollback della soluzione modificando la risoluzione DNS per tornare all’erogazione dei servizi esclusivamente attraverso il portale dell’Istituto senza l’intermediazione della CDN”.

L’Istituto ha dichiarato che “dalla descrizione degli accadimenti, appare evidente che il data breach si è determinato in una finestra temporale di soli 30min, all’interno della quale i server della CDN AKAMAI hanno servito molteplici richieste attraverso la copia cache delle pagine visitate dalla prima richiesta gestita da ogni server”.

Da ultimo, l’INPS ha rappresentato che, con riferimento “alle segnalazioni di violazione della privacy inviate dagli utenti durante l’attivazione della CDN, sono stati condotti ulteriori e specifici approfondimenti che hanno portato ad accertare che, se l’utente cliccava sul tasto “Entra in myINPS” prima di ogni altra navigazione, aveva accesso diretto alla corrispondente pagina in cache sulla CDN senza autenticarsi preventivamente”.

2.2. Le categorie di dati personali e di interessati coinvolti nella violazione

Con riferimento alle tipologie di dati personali oggetto di violazione, è emerso, come rappresentato dall’INPS, che tale violazione “è stata limitata alla sola possibilità di visualizzazione di dati personali (anagrafici, residenza e contatti telematici), presenti nelle pagine cache, non essendo consentita alcuna modifica da parte di terzi”. In particolare, le tipologie di dati personali oggetto della violazione sono state “codice fiscale, cognome, nome, data di nascita, luogo di nascita, indirizzo di residenza, telefono, cellulare, email e PEC”, presenti nella “pagina “Anagrafica” all’interno della sezione myINPS del portale informativo”.

Successivamente, l’Istituto ha dichiarato che la violazione dei dati personali ha coinvolto anche i dati personali presenti nella pagina “INPS Risponde” (che “riporta gli ultimi 3 quesiti sottoposti dall’utente in testo libero e che potrebbero contenere riferimenti a dati personali”) e nelle pagine “Avvisi” e “Messaggi”, precisando che, “a differenza della pagina Anagrafica che fornisce informazioni per tutti gli utenti registrati, le pagine suddette presentano contenuti personali solo per una limitatissima percentuale di utenti”.

Con riferimento al numero di interessati coinvolti, l’INPS, anche a seguito di approfondimenti richiesti dall’Ufficio, ha effettuato ulteriori analisi che hanno portato all’individuazione di un totale di 47 interessati coinvolti nella violazione dei dati personali in esame (cfr. il successivo par. 2.4).

2.3. Le misure adottate a seguito della violazione

L’INPS ha dichiarato che “un attento monitoraggio dell’efficacia della CDN ha consentito di reagire tempestivamente all’anomalia che si è determinata procedendo al ripristino del servizio con la disattivazione della CDN. In particolare, la finestra di erogazione della CDN Akamai è stata attiva dalle ore 10:11:29, momento in cui è stato attivato l’indirizzamento del dominio www.inps.it verso il dominio inps-cdn-a.azureedge.net, alle ore 10:45:08 con il ripristino dell’indirizzamento diretto ai sistemi INPS”.

L’INPS ha altresì evidenziato che, “al fine di limitare la diffusione dei dati personali che si era innescata sui vari social, […] si è provveduto ad istituire una apposita casella violazionedatiGDPR@inps.it, resa pubblica con apposito avviso in home page del portale, per consentire di inviare segnalazioni ed evidenze in merito al data breach”. Inoltre, “l’Istituto ha richiesto la rimozione di tutti i contenuti che sono stati indebitamente diffusi da terzi su Twitter”.

2.4. La comunicazione della violazione agli interessati

Nel trasmettere il predetto provvedimento del 14 maggio 2020 all’INPS, l’Ufficio, al fine di agevolare l’assolvimento dell’obbligo di comunicazione anche nei confronti di quegli interessati che, seppur coinvolti in una violazione dei dati personali, non erano ancora stati individuati come tali dall’Istituto, ha fornito un elenco di 42 soggetti, emersi dall’esame delle segnalazioni e dei reclami pervenuti all’Autorità.

Al riguardo, l’Istituto ha rappresentato che, “in ottemperanza al predetto provvedimento, ha provveduto ad inviare tramite email le comunicazioni di cui all’art. 34 del Regolamento agli interessati che, all’esito delle verifiche effettuate, sono stati identificati”, precisando di aver informato “14 soggetti interessati dal data breach a seguito del caching determinato dall’attivazione della CDN”, in quanto solo per tali soggetti “risulta essere stata visualizzata la pagina con il dettaglio dei dati anagrafici (e quindi, non solo cognome e nome). In tutti gli altri casi, risulta essere stata visualizzata soltanto la landing page della sezione myINPS che riporta esclusivamente il nome e il cognome di un soggetto senza alcun altro dato anagrafico (ad es. luogo e data di nascita) che consenta di identificare univocamente di quale soggetto si tratti (sia sufficiente pensare ai casi di omonimia) e, quindi, a chi effettuare la comunicazione”.

Successivamente, l’INPS ha rappresentato che “gli ulteriori 28 casi non sono compiutamente individuabili in quanto risulta essere stata visualizzata soltanto la landing page della sezione myINPS che riporta esclusivamente il nome e il cognome senza alcun altro dato anagrafico che ne consenta l’identificazione (ad es. luogo e data di nascita)”, conducendo poi “ulteriori e gravose analisi per cercare di identificare gli stessi e, soprattutto, individuare per quali di questi sia stata possibile la visualizzazione degli ulteriori dati personali”, che hanno poi portato “ulteriori 3 soggetti che potrebbero essere stati interessati dal data breach”, mentre “per i restanti non identificati 25 soggetti, si esclude che sia stato possibile visualizzare ulteriori dati da parte di terzi, oltre il nome e cognome, la cui sola conoscenza non è sufficiente ad incidere in alcun modo sulla sfera personale degli stessi”.

A seguito di ulteriori approfondimenti, l’INPS ha rappresentato che “al fine di giungere all’identificazione di tutti i soggetti interessati dal databreach del 1° aprile u.s., l’Istituto ha compiuto ogni ulteriore utile sforzo incrociando diverse banche dati” che hanno portato “all’identificazione di [ulteriori] 30 potenziali interessati”.

Infine, l’INPS ha confermato l’avvenuto invio a tutti i predetti interessati delle comunicazioni ex art. 34, evidenziando che “il testo della comunicazione è stato personalizzato per ogni utente sulla base dei soli dati potenzialmente consultabili”.

3. La violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting

La seconda violazione dei dati personali ha comportato l’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby sitting (di seguito, Bonus Baby Sitting), con visualizzazione, modifica, cancellazione o invio all’INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati.

3.1. Le circostanze in cui si è verificata la violazione

In relazione a tale violazione dei dati personali, l’INPS ha rappresentato che, al fine di “consentire la presentazione delle domande esclusivamente per via telematica, nonostante i tempi molto ristretti concessi per la sua predisposizione (il decreto è del 17 marzo 2020 e la presentazione delle domande è stata avviata sempre dal 1° aprile, con messa in produzione il 31 marzo, nel contesto di tutte le criticità sopra descritte), si è dovuto realizzare una nuova procedura informatica” e che l’accesso a tale procedura doveva essere consentito “a tutti i cittadini e ai patronati quali intermediari autorizzati alla trasmissione”, tenendo anche conto del fatto che “molti potenziali beneficiari delle prestazioni avrebbero potuto non essere in possesso di credenziali di accesso (PIN, SPID, CIE, CNS)” al portale “www.inps.it”.

L’INPS ha rappresentato di aver “consentito, per le sole domande delle indennità 600€ e del Bonus Baby Sitting, la possibilità di presentare le domande con i soli primi 8 caratteri ricevuti via SMS dopo la richiesta del PIN” (c.d. accesso con modalità semplificata o, anche, con “PIN semplificato”). Tuttavia, “per effettuare in tempi strettissimi tutte le attività del ciclo di vita del software, le aree applicative hanno dovuto derogare parzialmente anche agli ordinari collaudi di sicurezza applicativa che l’Istituto effettua su tutte le sue applicazioni”.

In particolare, l’Istituto ha dichiarato che “la procedura ha dovuto prevedere la possibilità di trasmettere le domande anche attraverso i patronati. Dunque la procedura prevede un funzionamento duale: “cittadino in prima persona” che può inserire la domanda solo per proprio conto, “Patronato” che può inserire domande anche per terzi. Nel determinare il comportamento che doveva assumere sulla base delle informazioni del profilo dell’utente identificato dal sistema di accesso, l’implementazione della procedura non ha tenuto conto dell’esistenza di molteplici altre categorie di utenti, diverse dal cittadino (con PIN completo) e dal patronato, assimilandole a tutti gli effetti ai patronati invece che al cittadino”.

L’Istituto ha precisato che “non si è trattato di uno scambio di sessione e/o identità digitale ma solo dell’errata attribuzione di un profilo di intermediario […] e non più possibile dopo l’intervento correttivo”.

3.2. Le categorie di dati personali e di interessati coinvolti nella violazione

Con riferimento agli interessati coinvolti, l’INPS ha rappresentato che “il malfunzionamento si è verificato dal momento dell’apertura della procedura e ha interessato gli utenti cittadino che hanno acceduto con il PIN semplificato e tutte le altre categorie di utenti diverse dal semplice cittadino e dai patronati, indipendentemente dalla tipologia di credenziali [di autenticazione] utilizzate”.

Con riferimento alle tipologie di dati personali oggetto di violazione, l’Istituto ha dichiarato che la predetta “non corretta implementazione di [… un] controllo applicativo ha consentito a persone non autorizzate di consultare la lista delle domande presentate dalla stessa categoria di utenti” e che, a partire dall’elenco di tali domande, era possibile visualizzarne il contenuto e, nel caso di domande salvate in bozza (ossia non ancora trasmesse dal richiedente), modificarne il contenuto, cancellarle o trasmetterle all’Istituto.

In particolare, secondo quanto dichiarato dall’INPS, “ogni utente appartenente alle suddette categorie, ha potuto accedere alle domande trasmesse da altri utenti della stessa categoria” e “a partire dalla visualizzazione dell’elenco delle pratiche, in base allo stato della domanda, è possibile effettuare le seguenti azioni: visualizzazione della domanda (per tutti gli stati); cancellazione della domanda (possibile per le sole domande in stato di bozza); modifica della domanda (possibile per le sole domande in stato di bozza); l’azione di cancellazione di una domanda non consente la visualizzazione [del contenuto] della domanda stessa, ma viene visualizzata solo una finestra di conferma dell’operazione”.

L’INPS ha dichiarato che “il numero massimo di domande potenzialmente visualizzabili dalle [… diverse] categorie di utenti, durante il periodo in cui la procedura è risultata vulnerabile” è risultato pari a 773 (di cui 670 compilate da utenti con profilo “Cittadino PIN semplificato”, 71 compilate da utenti con profilo “Consulente”, 8 compilate da utenti con profilo “Azienda”, 24 compilate da utenti con profilo riconducibile a diversi Ordini professionali).

A seguito dello svolgimento di ulteriori analisi, l’INPS ha rappresentato di aver riscontrato l’esecuzione di diverse tipologie di operazioni su alcune delle predette domande, nei seguenti termini: 68 domande, trasmesse o salvate in bozza, sono state visualizzate da terzi (non operatori di patronato); 17 domande, salvate in bozza, sono state modificate da terzi (non operatori di patronato); 81 domande, salvate in bozza, sono state cancellate da terzi (non operatori di patronato); 62 domande, salvate in bozza, sono state trasmesse all’Istituto da terzi (non operatori di patronato).

Con riferimento alle domande modificate o cancellate da terzi (non operatori di patronato), l’Istituto ha ritenuto che “eventuali modifiche o cancellazione di domande in stato di bozza, da parte di terzi, non hanno potuto incidere sul diritto alla prestazione da parte degli interessati”.

Con riguardo invece alle domande trasmesse da terzi (non operatori di patronato), l’INPS ha rappresentato che “28 delle 62 domande sono state acquisite da un soggetto coincidente con il coniuge del richiedente […] e/o avente lo stesso cognome di uno dei coniugi o del minore” e ha ritenuto che “trattasi di domande trasmesse da componenti dello stesso nucleo familiare o da intermediari ignorando l’impossibilità della trasmissione da parte di questi”. L’Istituto ha inoltre evidenziato che “a seguito della comunicazione a tutti gli interessati di avvenuto annullamento della domanda, 41 delle 62 domande sono state ritrasmesse correttamente”.

3.3. Le misure adottate a seguito della violazione

Con riferimento alla suddetta violazione, l’INPS ha rappresentato che “non appena […] è venuto a conoscenza della vulnerabilità, alle 11:48 del 2 aprile, è stato chiuso immediatamente il servizio” e che “dopo avere individuata e corretta l’anomalia, il servizio è stato riaperto nella tarda serata”.

Inoltre, l’Istituto ha evidenziato che, “considerato che la sola fattispecie delle 17 domande in bozza modificate da terzi possono rappresentare un rischio per i diritti degli interessati, laddove questi ultimi non si siano accorti della modifica intercorsa, […] gli stessi [… sarebbero stati] tempestivamente contattati per accertare che i dati trasmessi siano conformi a quanto volevasi dichiarare”.

Da ultimo, l’INPS ha evidenziato che le 62 domande trasmesse da terzi “sono state bloccate [… ed è stato gestito] l’iter amministrativo delle stesse coinvolgendo gli interessati”.

3.4. La comunicazione della violazione agli interessati

Per quanto attiene alla comunicazione della violazione dei dati personali agli interessati coinvolti, l’INPS ha dichiarato che:

“i soggetti che hanno visualizzato [le 68] domande inserite da terzi sono, per la quasi totalità, residenti in altra regione, provincia o comune degli interessati” e, inoltre, “non era fornita la possibilità di ricercare domande attraverso elementi identificativi dei soggetti a meno che si fosse già a conoscenza del codice fiscale del minore e che detto codice fiscale fosse presente nella lista casualmente visualizzata”;

“in merito ai 17 interessati per i quali è stata rilevata una modifica, da parte di terzi, della relativa domanda in stato di bozza, non avendo l’interessato provveduto ancora alla sua trasmissione, si è proceduto […] alla loro cancellazione logica”;

gli 81 “soggetti che hanno visto cancellata la propria bozza di domanda, non hanno visto i propri dati visualizzati da terzi e l’unica conseguenza è stata quella di aver dovuto riacquisire i dati precedentemente immessi prima dell’invio”;

le 62 domande inviate all’Istituto da terzi “sono state bloccate”.

L’INPS ha, inoltre, rappresentato che “non sono state riscontrate evidenze di una diffusione di dati personali di specifiche domande di Baby Sitting” e che “dalle analisi condotte sulle domande visualizzate o modificate da terzi, è emerso che solo 2 domande contenevano l’indicazione che il minore è portatore di handicap in situazione di gravità accertata ai sensi dell’art. 3 comma 3 L. 104/92 senza l’allegazione di alcuna documentazione aggiuntiva. Nessuna delle domande era riferita a situazione di minori in affido o adottati; alla procedura erano estranei i dati relativi a condanne penali e reati”.

L’INPS ha informato gli interessati coinvolti nella violazione in esecuzione del  richiamato provvedimento del 14 maggio 2020.

Al riguardo, l’INPS ha precisato di aver informato “1.106 soggetti interessati dal data breach concernente la procedura Bonus Baby Sitting, sia richiedenti nonché coniugi contattabili telematicamente”. Inoltre, l’Istituto ha evidenziato che “anche i 62 soggetti, la cui domanda era stata trasmessa da intermediari non autorizzati, sono stati tutti informati delle circostanze e della necessità di ritrasmettere la domanda con il proprio PIN personale”.

4. La violazione dei dati personali determinata dal caching di informazioni personali nei web server dell’INPS

Con il provvedimento del 14 maggio 2020, il Garante ha portato all’attenzione dell’INPS alcune ulteriori anomalie, emerse dall’analisi delle segnalazioni e dei reclami ricevuti. In particolare, alcuni soggetti avevano evidenziato a questa Autorità che, già nella giornata del 31 marzo 2020, si erano verificati accessi non autorizzati ai dati personali degli utenti del portale dell’Istituto.

Al riguardo, l’INPS ha rappresentato che “le indagini svolte hanno evidenziato che la causa di tali accessi è stato dovuto al fatto che parallelamente alla predisposizione della CDN, si stava procedendo ad un fine tuning delle impostazioni dei web server, nella ricerca e sperimentazione di soluzioni che avrebbero potuto consentire di gestire l’afflusso di richieste con più speditezza. In particolare, nella revisione delle impostazioni dei 30 server gemelli predisposti per servire le richieste del portale, è stato attivato il caching dei contenuti lato server dalle ore 18:10 alle ore 18:25 [del 31 marzo 2020] e, in questo lasso di tempo si sarebbero potuti verificare accessi non autorizzati”.

4.1. Le categorie di dati personali e di interessati coinvolti nella violazione

L’INPS ha dichiarato che “la violazione può aver interessato qualsiasi categoria di utente che in quei minuti ha acceduto con le proprie credenziali al portale istituzionale. Il tempo trascorso tra l’evento e la conoscenza dello stesso non ha consentito di disporre dei debug log dettagliati dei sistemi impattati. Inoltre, i log di accesso del web server non riportano l’evidenza del codice utente a cui si riferiscono né l’indicazione se la singola richiesta è stata servita dalla cache o dall’esecuzione delle pagine dell’applicazione”.

In particolare, l’Istituto ha condotto una serie di analisi che hanno  “portato a identificare 235 utenti che potrebbero essere stati interessati dalla violazione, con particolare riferimento ai dati anagrafici e di contatto, e, per 9 di questi potrebbero aver interessato anche almeno una delle seguenti categorie di dati: Consultazione dello stato della domanda Domus; Duplicato Certificazione Unica; Visualizzazione Estratto Contributivo; Visualizzazione pratica di maternità; Visualizzazione dettaglio pagamenti prestazioni non pensionistiche”, dichiarando, tuttavia, che “le stime e le identificazioni sopra riportate potrebbero essere eccedenti il reale stato delle violazioni e dunque presentare in tutto o in parte dei falsi positivi. Non è dunque assolutamente riscontrabile che tutti i soggetti sopra riportati possano essere stati interessati dalla violazione”.

Inoltre, l’INPS ha evidenziato che occorre tener presente che “la dinamica con cui la violazione si è potuta determinare, così come ricostruita, ha consentito a terzi di visualizzare dati degli interessati in maniera del tutto casuale senza la possibilità di incidere volontariamente sulla sfera personale di specifici soggetti”.

4.2. Le misure adottate a seguito della violazione

L’INPS ha rappresentato che, “al fine di prevenire l’utilizzo o comunicazione a terzi degli eventuali dati impropriamente visualizzati, e dunque mitigare il rischio per gli interessati, il giorno 3 aprile 2020 l’INPS ha pubblicato un comunicato sulla home page semplificata del proprio sito istituzionale, evidenziando la necessità che chiunque fosse venuto casualmente a conoscenza di dati personali altrui non li dovesse utilizzare, evitando di comunicarli a terzi o diffonderli, ad esempio sui canali social, potendo incorrere anche in illeciti penali.”.

4.3. Le modalità con cui l’Istituto è venuto a conoscenza della violazione

L’INPS ha dichiarato di essere venuto a conoscenza della violazione dei dati personali in questione “a seguito della segnalazione della sig.ra […], inoltrata da codesta Autorità, e delle successive analisi resesi necessarie per identificare le cause che hanno portato alla violazione. Nel caso specifico è stato rilevato che la sig.ra […] ha acceduto al portale immediatamente dopo la sig.ra […] ottenendo il contenuto delle pagine che erano state memorizzate nella cache da quest’ultima”.

Successivamente, con riferimento a un’altra segnalazione di analogo tenore portata all’attenzione dell’Istituto dal Garante, l’INPS ha rappresentato, pur essendo pervenuta anche al proprio Customer Care Multicanale (CCM) “la segnalazione è rimasta fortuitamente in un limbo non trattabile da alcun operatore. Questo ha comportato che anche i successivi solleciti, poiché associati alla richiesta iniziale, non sono stati presi in carico”.

4.4. La comunicazione della violazione agli interessati

L’INPS, dopo aver appreso la violazione a seguito della notifica del provvedimento del Garante, l’8 luglio 2020, ha rappresentato che avrebbe proceduto “con ogni possibile urgenza, ad inviare idonea comunicazione ai sensi dell’art. 34 del Regolamento a tutti i soggetti sopra individuati anche se, con i limiti sopra rappresentati, potrebbero non essere stati effettivamente oggetto di violazione”.

Con la nota del 25 agosto 2020, l’Istituto ha confermato di aver provveduto a informare i 235 interessati coinvolti nella violazione dei dati personali in questione, fornendo all’Autorità il testo della comunicazione inviata ai sensi dell’art. 34 del Regolamento.

5. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, ai sensi dell’art. 166, comma 5, del Codice

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, con nota inviata il 17 maggio 2022 all’INPS ai sensi dell’art. 166, comma 5, del Codice, l’Ufficio ha notificato all’Istituto, nei termini di seguito descritti, che i trattamenti di dati personali in questione sono stati effettuati in violazione degli artt. 5, parr. 1, lett. a) ed f), e 2, 12, 25, 32 e 34 del Regolamento.

5.1. La tardiva comunicazione delle violazioni dei dati personali agli interessati

Nel corso dell’istruttoria, è stato accertato che l’Istituto, pur tenendo conto del menzionato provvedimento del 14 maggio 2020 di questa Autorità, ha informato con ritardo gli interessati coinvolti nelle predette violazioni dei dati personali. In particolare, è emerso che:

- le comunicazioni relative alla violazione dei dati personali determinata dal caching di informazioni personali nella CDN (cfr. par. 2 del presente provvedimento) sono state inviate tardivamente agli interessati coinvolti rispetto al momento in cui l’INPS ne è venuto a conoscenza nel periodo aprile-settembre 2020);

- le comunicazioni relative alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting (cfr. par. 3 del presente provvedimento) sono state inviate tardivamente agli interessati coinvolti rispetto al momento in cui l’INPS ne è venuto a conoscenza nel periodo aprile-giugno 2020);

- le comunicazioni relative alla violazione dei dati personali determinata dal caching di informazioni personali nei web server dell’Istituto – che era venuto a conoscenza della violazione nell’ambito degli approfondimenti svolti prima del 5 giugno 2020 (cfr. par. 4 del presente provvedimento) – sono state effettuate nel periodo luglio-agosto 2020.

Pertanto, alla luce di quanto sopra esposto, è stata accertata la violazione degli artt. 5, par. 1, lett. a), 12 e 34 del Regolamento da parte dell’INPS, per aver fornito tardivamente agli interessati coinvolti informazioni adeguate sulle violazioni dei dati personali occorse, ossia solo a seguito del citato provvedimento del Garante del 14 maggio 2020 e delle ulteriori richieste di approfondimento successivamente formulate dall’Ufficio.

5.2. L’inadeguatezza delle misure di sicurezza

5.2.1. Errata configurazione delle funzionalità di caching della CDN Akamai e dei web server dell’INPS

Nel corso dell’istruttoria (cfr. par. 2.1 del presente provvedimento) è emerso che, al fine di gestire l’elevato numero di connessioni concorrenti al proprio portale istituzionale da parte di soggetti beneficiari delle prestazioni previste dal d.l. 18/2020 e di mitigare gli attacchi informatici di tipo Distributed Denial of Service (DDoS), l’INPS, tenuto conto dell’impossibilità di disporre di “nuove risorse elaborative per scalare quelle esistenti sia sul front-end del portale internet che sugli application server del back-end con database dedicati”, ha ritenuto necessario, “come unica soluzione possibile per fronteggiare l’emergenza, l’utilizzo di una Content Delivery Network (CDN)”. L’adozione di tale soluzione, individuata dall’Istituto con il supporto tecnico di Leonardo S.p.A. e Microsoft S.r.l., avrebbe consentito di diminuire i carichi dei sistemi informatici dell’Istituto medesimo. In particolare, sfruttando la funzionalità di caching di una CDN, i contenuti del portale istituzionale dell’Istituto sarebbero stati forniti ai browser degli utenti mediante i nodi della CDN e, quindi, non più direttamente dai sistemi informatici dell’Istituto medesimo.

Tuttavia, è stato accertato che l’INPS, nel definire i parametri di funzionamento della CDN Akamai non ha adeguatamente individuato e configurato le pagine web del proprio portale istituzionale che, contenendo informazioni personali degli utenti (ad esempio, le sezioni “Anagrafica”, “INPS Risponde”, “Avvisi” e “Messaggi”), avrebbero, invece, dovuto essere escluse dai meccanismi di caching. Anche con riferimento alle attività di fine tuning dei web server del portale istituzionale effettuate dall’INPS nella giornata del 31 marzo 2020 (cfr. par. 4.1 del presente provvedimento) sono state rilevate le medesime problematiche di configurazione. In particolare, è stato accertato che l’Istituto ha attivato temporaneamente alcune funzionalità di caching dei web server in questione senza individuare le pagine web da escludere da tali meccanismi in quanto contenenti dati personali degli utenti.

In entrambi i casi, l’errata configurazione delle funzionalità di caching ha determinato la memorizzazione nella loro cache dei dati personali degli utenti che si sono collegati ad alcune pagine web nei minuti immediatamente successivi all’attivazione di tali funzionalità, con la conseguente messa a disposizione di tali dati ad altri utenti che in quel momento visualizzavano quelle pagine.

Pertanto, le modalità con le quali l’INPS ha configurato delle funzionalità di caching della CDN Akamai e dei web server non risultano conformi al principio di integrità e riservatezza di cui all’art. 5, par. 1, lett. f), e agli obblighi di cui all’art. 32 del Regolamento.

5.2.2. Inidoneità del sistema di autorizzazione della procedura Bonus Baby Sitting

Con riferimento alla violazione dei dati personali occorsa nell’ambito della procedura Bonus Baby Sitting, è emerso che la stessa è stata determinata dall’errata attribuzione di un profilo di autorizzazione di intermediario ad alcune categorie di utenti. In particolare, l’INPS ha rappresentato che “l’implementazione della procedura non ha tenuto conto dell’esistenza di molteplici altre categorie di utenti, diverse dal cittadino (con PIN completo) e dal patronato, assimilandole a tutti gli effetti ai patronati invece che al cittadino”.

Per tali ragioni, risulta accertato che, all’epoca della violazione dei dati personali, gli utenti appartenenti ad alcune categorie (tra le quali, “Cittadino PIN semplificato”, “Consulente”, “Azienda” e “Ordini professionali”), dopo aver superato la procedura di autenticazione informatica, a causa di un non idoneo sistema di autorizzazione della procedura Bonus Baby Sitting (che assimilava tali utenti ai patronati), potevano visualizzare l’elenco delle domande presentate da utenti della loro stessa categoria, visualizzarne il contenuto e, nel caso di domande salvate in bozza, modificarle, cancellarle o trasmetterle all’Istituto (cfr. parr. 3.1 e 3.2 del presente provvedimento). Ciò, quindi, in assenza di adeguate misure tecniche che avrebbero, invece, dovuto limitare l’accesso delle predette categorie di utenti esclusivamente alle proprie domande.
Pertanto, la mancata adozione di un adeguato sistema di autorizzazione nell’ambito della procedura Bonus Baby Sitting comporta una violazione del principio di integrità e riservatezza di cui all’art. 5, par. 1, lett. f), e degli obblighi di cui all’art. 32 del Regolamento.

5.2.3. Mancata adozione di misure adeguate a rilevare e gestire tempestivamente le violazioni dei dati personali

Nel corso dell’istruttoria (cfr. par. 4.4 del presente provvedimento) è stato accertato che l’INPS, già in data 31 marzo 2020, aveva ricevuto, senza prenderla in carico, una segnalazione relativa alla violazione dei dati personali determinata dall’errata configurazione delle funzionalità di caching dei web server dell’Istituto medesimo. L’inadeguata gestione della predetta segnalazione non ha consentito all’Istituto di venire tempestivamente a conoscenza della violazione dei dati personali occorsa e di individuare, così, gli interessati coinvolti, anche potenzialmente, dalla violazione.

Come sopra rilevato (cfr. par. 2 del presente provvedimento), anche le misure adottate per delineare la portata della violazione dei dati personali determinata dal caching di informazioni personali nella CDN sono state inadeguate, poiché non hanno consentito all’Istituto di individuare gli interessati coinvolti, anche potenzialmente, dalla violazione.

La mancata adozione di misure adeguate a rilevare e gestire tempestivamente le violazioni dei dati personali da parte dell’INPS comporta una violazione dei principi di integrità e riservatezza e di responsabilizzazione di cui all’art. 5, parr. 1, lett. f), e 2, e degli obblighi di cui all’art. 32 del Regolamento.

5.3. La non conformità ai principi di protezione dei dati fin dalla progettazione e per impostazione predefinita

Come rappresentato nei paragrafi precedenti, risulta accertato che l’INPS non ha adottato misure e garanzie adeguate per attuare efficacemente i principi di liceità, correttezza e trasparenza (cfr. par. 5.1 del presente provvedimento) e di integrità e riservatezza (cfr. par. 5.2 del presente provvedimento), in violazione dei principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita di cui all’art. 25 del Regolamento.

6. L’attività difensiva

Con nota del 15 giugno 2022, l’INPS ha fatto pervenire i propri scritti difensivi, rappresentando, in generale, che:

“in considerazione della situazione emergenziale in corso e della urgenza di erogare gli improcrastinabili sostegni economici previsti dalla decretazione straordinaria, si rendeva indispensabile […]  l’implementazione di una procedura informatica, entro il mese di marzo, che fosse fruibile da milioni di utenti, con la più ampia e semplificata possibilità di accesso a tutti i destinatari (si consideri che il lockdown totale non consentiva neanche di recarsi da consulenti, patronati, etc. o dotarsi facilmente di identità digitale). Implementazione informatica che, per far fronte ai procedimenti completamente nuovi e consentire l’accesso a tutti i potenziali beneficiari, non era realizzabile attraverso il solo ampliamento del sistema tecnologico in uso all’Ente ma necessitava di mettere a punto nuove procedure per inediti flussi di lavoro e infrastrutture predisposte per il carico di lavoro atteso che non rientrava negli ordinari processi gestiti dall’INPS”;

“di fronte a tale scenario del tutto eccezionale, anzi straordinario, imprevedibile e non certo procurato dall’Istituto, […] l’Ente si è visto costretto a trovare, a poche ore dall’avvio della presentazione delle domande, ulteriori soluzioni emergenziali per affrontare la situazione critica a cui sarebbe andato incontro. In questo concitato contesto, l’Istituto si è avvalso del supporto di Microsoft [… e di] Leonardo la quale fornisce il supporto sistemistico nell’ambito dell’accordo quadro Consip di system management. Formando così un “tavolo tecnico” tra INPS, Microsoft e Leonardo, individuando, come unica soluzione possibile per fronteggiare l’emergenza, l’utilizzo di una Content Delivery Network (CDN)”;

due delle tre violazione dei dati personali sono state “contenut[e…] in un arco di tempo non superiore a 30 minuti”.

Con riferimento, inoltre, agli specifici rilievi mossi dall’Ufficio, l’INPS ha osservato quanto segue:

a) sulla violazione degli artt. 5, par. 1, lett. a), 12 e 34 del Regolamento:

“l’Istituto in data 3 aprile 2020 ha pubblicato sulla home page del proprio sito istituzionale un avviso di data breach evidenziando la necessità che chiunque fosse venuto casualmente a conoscenza di dati personali altrui non li dovesse utilizzare, evitando di comunicarli a terzi o diffonderli […] potendo incorrere anche in illeciti penali […] Inoltre, la notizia del data breach e le potenziali informazioni oggetto dello stesso, sono rimbalzate su tutti i canali comunicazione, dalla stampa, ai social, ai TG, ai programmi di approfondimento anche con la diretta partecipazione dell’Istituto. […] Anche per questo l’Ente ha ritenuto che le violazioni riscontrate non fossero di gravità tale da richiedere l’invio di comunicazioni ex art. 34 del Regolamento UE n. 2016/679 a singoli interessati, la cui individuazione, soprattutto per quelli coinvolti nel caching del servizio CDN, è stata di particolare e comprovata complessità”;

“la circostanza che una serie di comunicazioni siano state inoltrate agli interessati a distanza di alcuni mesi dalla violazione non può essere considerata tardiva anche perché, per i motivi esposti in precedenza, tutti gli italiani erano già informati dell’accaduto nell’immediatezza stessa del fatto”;

“nel caso di specie, l’INPS […] ha considerato che non si presentasse quel rischio ELEVATO tale da dover risultare necessaria, oltre alla pubblica conoscenza, una ulteriore comunicazione a singoli interessati”;

“si verteva in un caso di incidente alla sicurezza dei dati destinato a intaccare tutt’al più sulla “riservatezza” (caso di divulgazione dei dati accidentale) restando invece esclusa la “violazione della disponibilità” (perdita, distruzione, accesso) dei dati personali”;

“per la natura, il carattere ed il volume dei dati personali che sarebbero stati esposti, risultava improbabile un grave rischio per i diritti e le libertà delle persone fisiche trattandosi per la quasi totalità dei casi di dati non sensibili, riferiti a elementi anagrafici inidonei a determinare in circostanze ordinarie un danno sostanziale. Infatti, erano tipi di dati personali (nome, cognome, indirizzo, email, etc.) relativamente “innocui” in quanto non particolarmente riservati o sensibili resi visibili ad altri individui non mossi da particolare interesse alla loro conoscenza ma consapevoli di averne preso visione solo accidentalmente.”;

b) sulla violazione degli artt. 5, parr. 1, lett. f), e 2, e 32 del Regolamento:

“è di tutta evidenza, che l’Istituto abbia ben tenuto conto dello “stato dell’arte” menzionato nell’art. 32 del Regolamento UE allorché nell’individuare le misure tecniche e organizzative adeguate per la realizzazione della procedura si è avvalso di partners (Microsoft, Akamai, Leonardo, Sistemi Informativi S.r.l.) […] Per questo lo «stato dell’arte», inteso come le «conoscenze e ricerche scientifiche esistenti» e le più consolidate «regole tecniche generalmente riconosciute», era ben noto sia all’Istituto che agli altri soggetti di supporto e consulenza Microsoft, Akamai, Leonardo, Sistemi Informativi S.r.l., essendo però necessario rapportarsi con il contesto nel quale si andava ad effettuare il trattamento”;

“non vi è stata, quindi alcuna trascuratezza in ordine ai progressi tecnologici ma, in considerazione della urgenza e ridotto arco temporale a disposizione, occorreva contemperare le priorità, l’esigenza di salvaguardia e tutela del trattamento con il complessivo sistema informatico in uso all’Istituto e l’adempimento della funzione istituzionale assegnata dal legislatore”;

“lo stesso art. 32 del Regolamento UE non si limita ad imporre la applicazione della più aggiornata ed efficiente misura che possa in assoluto garantire l’intangibilità dei dati trattati ma pone anche l’accento sui costi di attuazione nonché sulla natura, contesto e finalità del trattamento [...]. Per questo, come prevedono anche le Linee guida 4/2019 sull’articolo 25 “Protezione dei dati fin dalla progettazione e per impostazione predefinita” Versione 2.0, con considerazioni applicabili anche all’art. 32 “23. Il titolare può tenere conto del costo di attuazione allorché sceglie e applica misure tecniche e organizzative adeguate e garanzie necessarie che mettono efficacemente in atto i principi al fine di tutelare i diritti degli interessati. Il costo si riferisce alle risorse in generale, compresi il tempo e le risorse umane. 24. Il fattore costo implica che il titolare non impieghi una quantità sproporzionata di risorse nel caso in cui esistano misure alternative, meno dispendiose, ma efficaci.””;

“il nuovo ed eccezionale contributo previsto dagli artt. 27, 28, 29, 30 e 38 del Decreto Legge n. 18/2020 disponeva una forma generalizzata di sussidio destinato ad una platea estesissima di soggetti (sostanzialmente tutti i lavoratori non dipendenti) con la finalità di fornire loro un sostegno finanziario, a prescindere dalle condizioni economiche. Una platea di utenti (decine di milioni) che comprendeva anche soggetti che non avevano precedenti rapporti con l’Istituto e, proprio in ragione di ciò, è stato previsto il rilascio del PIN semplificato quale misura di sicurezza. Quindi per l’ampiezza dei destinatari, per le condizioni di erogabilità, per il tipo di soggetti interessati, per la finalità prevista si presentava un rischio ridotto per i diritti e le libertà delle persone fisiche […]. Difatti, i dati personali inseriti erano per la quasi totalità riferiti a elementi noti, pubblici delle persone (si consideri che si trattava di nome, cognome, indirizzo, telefono di soggetti che esercitavano attività autonome e che quindi notoriamente li pubblicizzavano nei vari canali social, albi pubblicati, siti internet, etc.) come pure, tenuto conto del tipo di beneficio previsto (una specie di “erogazione a pioggia”) non vi era neanche il rischio di discriminazioni, perdita di riservatezza dei dati protetti da segreto professionale o pregiudizio ai diritti. Per questo, in considerazione dello “stato dell’arte”, del “costo di attuazione” della natura del trattamento e dei dati, appare evidente che non possa ritenersi violato dall’INPS, essendosi avvalso della consulenza, collaborazione, cooperazione di partners di riferimento di tutto rilievo, tra i migliori e più aggiornati sul mercato, l’obbligo di attuare misure tecniche e organizzative adeguate e le necessarie garanzie nel trattamento effettuato, richiamato dall’art. 32 del Regolamento UE”;

“è innegabile che si siano verificati i data breach, ma va anche considerato che gli incidenti sono avvenuti con modalità tali (si aggiunga anche l’attacco informatico in corso) da escludere l'omessa adozione di cautele idonee ad evitarlo, essendo evidente che i fatti si sono svolti con modalità talmente atipiche ed abnormi da doversi ritenere del tutto imprevedibili ed inevitabili malgrado l'assunzione di misure di prevenzione adeguate, in relazione alle circostanze, tempi e mezzi disponibili. Si osserva sul punto come, lo stato emergenziale, il numero di soggetti che hanno inteso la procedura come un “click day”, gli attacchi hacker in corso e i tempi estremamente ridotti imposti dalla norma sono fattori esterni caratterizzati dalla imprevedibilità ed eccezionalità tali da potersi considerare forza maggiore (non riferibile solo al fatto naturale, ma anche a quello del terzo) in grado di determinare il verificarsi dell'evento dannoso, sì da interrompere il nesso eziologico tra il fatto e l'evento”;

“per questo, non appare sanzionabile la condotta dell’Istituto avendo ragionevolmente programmato e predisposto il sistema più adeguato, in relazione alle risorse e tempi disponibili, avvalendosi della migliore consulenza professionale possibile”;

c) sulla violazione dell’art. 25 del Regolamento: “L’INPS ha compiuto il massimo sforzo di diligenza e perizia possibile, in relazione alle situazioni esistenti e risorse disponibili, nel predisporre in tempi rapidissimi (quindici giorni) procedure informatiche completamente nuove, precostituire condizioni idonee a ridurre il rischio consentito nei limiti del possibile, avvalendosi della migliore consulenza professionale, qual è quella fornita dai massimi esperti del settore (Microsoft, Akamai, Leonardo, Sistemi Informativi S.r.l.). […] Come pure sugli obblighi di comunicazione e contenuto delle stesse appare innegabile che l’Istituto si sia conformato alle indicazioni dello stesso Dipartimento e che il tenore delle note riportava esaustivamente e chiaramente tutte le informazioni necessarie […]. Va ricordato, infatti, che l’Istituto non si è limitato ad inoltrare una comunicazione standard agli interessati, ma ha modulato il contenuto delle note, interloquendo con codesta Autorità, in ragione delle varie tipologie di dati visualizzati. È altrettanto innegabile che le violazioni dei dati siano state accidentali ed abbiano riguardato dati personali non sensibili che non erano tali da comportare discriminazione, perdite finanziarie, pregiudizio alla reputazione, né usurpazione d’identità, tanto che – come già evidenziato – a distanza di due anni non risulta intentata contro l’INPS alcuna azione risarcitoria in tal senso”.

Infine, nel corso dell’audizione tenutasi, mediante videoconferenza, in data 14 novembre 2022, l’INPS, oltre a ribadire quanto già dichiarato in atti, ha aggiunto, in particolare, che “la circostanza che codesta Autorità, con l’ordinanza n. 86 del 14 maggio 2020 abbia ritenuto necessaria la comunicazione ai singoli interessati dalla violazione ingiungendo all’Istituto di procedere entro un determinato temine non può invece essere considerata tout court una violazione del citato art. 34, trattandosi solo di un diverso apprezzamento del rischio da parte dell’Autorità”.

7. Esito dell’attività istruttoria

In termini generali, le argomentazioni addotte negli scritti difensivi, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del reg. del Garante n. 1/2019.

In particolare, quanto evidenziato con riferimento al contesto in cui l’INPS si è trovato a operare nel periodo considerato diviene oggetto di valutazione in termini di circostanze nelle quali si sono realizzate le violazioni al Regolamento, senza tuttavia elidere le responsabilità dell’Istituto nella mancata adozione delle misure volte a tutelare adeguatamente i diritti e le libertà fondamentali degli interessati.

Medesimo discorso vale anche con specifico riferimento alle procedure informatiche, di nuova realizzazione, volte a consentire l’erogazione, in breve tempo, di benefici economici a un elevato numero di cittadini colpiti dagli effetti della pandemia, sulla base di quanto stabilito dalla decretazione d’urgenza (d.l. n. 18/2020).

Inoltre, si ritiene che le violazioni contestate con la nota del 17 maggio 2022, oggetto di esame nel presente provvedimento, siano da imputare all’INPS, in qualità di titolare del trattamento, non essendo stati forniti, nel corso dell’istruttoria, elementi volti a comprovare eventuali specifiche responsabilità in capo ai soggetti di cui l’Istituto medesimo si è avvalso ai sensi dell’art. 28 del Regolamento per l’effettuazione dei trattamenti in esame (cfr. cons. 74 del medesimo Regolamento).

Con riferimento agli specifici rilievi mossi nell’atto di avvio del procedimento volto all’adozione di provvedimenti correttivi e sanzionatori, in relazione a quanto argomentato dall’INPS si osserva quanto segue.

7.1. Sulla violazione degli artt. 5, par. 1, lett. a), 12 e 34 del Regolamento, in relazione alla tardiva comunicazione delle violazioni dei dati personali agli interessati

Con riferimento alle violazioni dei dati personali determinate dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it” (cfr. par. 2 del presente provvedimento) e dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting (cfr. par. 3 del presente provvedimento), l’INPS, ritenendo che le stesse non fossero suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, non ha inizialmente informato gli interessati coinvolti in tali violazioni.

Il Garante, invece, con il menzionato provvedimento del 14 maggio 2020 – cui si rinvia per l’esame delle considerazioni di merito – ha qualificato le predette violazioni dei dati personali come suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, ingiungendo all’INPS di comunicarle agli interessati coinvolti.

Con lo stesso provvedimento, il Garante ha ritenuto che la comunicazione pubblica effettuata dall’Istituto mediante la pubblicazione, sul proprio sito istituzionale, non costituisse uno strumento idoneo all’assolvimento degli obblighi di cui all’art. 34 del Regolamento. Anche se, in un primo momento, tale generica comunicazione poteva, infatti, rappresentare una misura sufficiente, offrendo un recapito dedicato al quale rivolgersi, la stessa non ha consentito, tuttavia, di informare efficacemente gli interessati coinvolti in ciascuna violazione dei dati personali, in parte individuati dall’Istituto, né di rendere consapevoli di tale circostanza le persone fisiche direttamente coinvolte, anche al fine di permettere loro di prendere le precauzioni necessarie in considerazione delle diverse caratteristiche delle violazioni che li hanno riguardati (cfr. al riguardo le Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679 vigenti all’epoca dei fatti, adottate dal Gruppo di lavoro Articolo 29 il 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati, secondo cui il titolare del trattamento "dovrebbe anche fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione”).

L’esigenza di una comunicazione puntuale è stata accresciuta dalla varietà di situazioni verificatesi (descritte nei parr. 2, 3 e 4 del presente provvedimento). A fronte di ciò, una comunicazione standard e non poteva costituire un mezzo sufficiente a informare ciascuna categoria di interessati circa le implicazioni delle violazioni realizzate e delle misure poste in essere dall’Istituto.

Inoltre, le misure adottate dall’Istituto a seguito delle predette violazioni non sono risultate idonee a scongiurare del tutto il sopraggiungere di un rischio elevato (non potendo, quindi, essere ricondotte all’esimente di cui all’art. 34, par. 3, lett. b), del Regolamento, richiamata dall’Istituto nei propri scritti difensivi).

Le errate valutazioni circa la ricorrenza dei presupposti per la comunicazione agli interessati hanno, quindi, determinato la tardività di tale adempimento da parte dell’Istituto che ha provveduto solamente a seguito del provvedimento del Garante del 14 maggio 2020.

Pertanto, si conferma quanto già accertato dall’Autorità circa il fatto che l’INPS ha posto in essere la violazione degli artt. 5, par. 1, lett. a), 12 e 34 del Regolamento con riferimento alla tardiva comunicazione delle violazioni dei dati personali rilevate agli interessati coinvolti in ciascuna di esse.

7.2. Sulla violazione degli artt. 5, parr. 1, lett. f), e 2, e 32 del Regolamento, in relazione alle criticità concernenti la sicurezza del trattamento

Come riportato in precedenza (cfr. par. 5.2 del presente provvedimento), è stato accertato che l’INPS non ha adottato misure adeguate per garantire un livello di sicurezza adeguato al rischio, con riferimento all’errata configurazione delle funzionalità di caching della CDN Akamai e dei web server dell’INPS, all’inidoneità del sistema di autorizzazione della procedura Bonus Baby Sitting e alla mancata adozione di misure adeguate a rilevare e gestire tempestivamente le violazioni dei dati personali.

Al riguardo, premesso che l’Istituto non ha addotto elementi tali da mettere in dubbio quanto accertato dall’Autorità rispetto alle criticità poste in essere in tema di progettazione e configurazione delle funzionalità coinvolte (cfr. quanto riportato nei parr. 5.2.1 e 5.2.2 del presente provvedimento), con riferimento alle argomentazioni addotte in sede difensiva, si osserva quanto segue.

Anzitutto l’Istituto ritiene che, ai fini della valutazione dell’adeguatezza delle misure adottate, debba essere valorizzato il ricorso a “partners (Microsoft, Akamai, Leonardo, Sistemi Informativi S.r.l.) massimi esperti in materia ed a conoscenza dei più aggiornati progressi compiuti dalla tecnologia disponibile sul mercato” quale elemento relativo allo “stato dell’arte”.

Si rileva che oggetto di contestazione all’Istituto non è l’utilizzo di sistemi (quali quelli indicati) non allo stato dell’arte, bensì la loro errata configurazione per gli scopi specifici prefissati – come, ad esempio, quello di garantire la disponibilità e la resilienza dei sistemi a fronte del previsto ed elevato incremento delle connessioni al portale istituzionale e degli attacchi informatici in corso negli stessi giorni.

Inoltre, con riferimento ai “costi di attuazione” – elemento che l’INPS intende riferito “alle risorse disponibili, al tempo necessario, alla spesa da sostenere ed ai mezzi utilizzabili” – si ricorda quanto indicato dalle Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita (adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020), secondo cui “il costo di attuazione rappresenta un fattore di cui tenere conto nel realizzare la protezione dei dati fin dalla progettazione, e non già un motivo per astenersi dal realizzarla. Le misure individuate devono pertanto garantire che l’attività di trattamento prevista dal titolare non comporti trattamenti di dati personali in violazione dei principi, indipendentemente dal costo di tali misure” (punti 24 e 25). Ciò significa che i costi di attuazione non possono essere considerati un elemento che autorizzi il titolare del trattamento ad abbassare il livello di protezione che le misure devono assicurare in maniera adeguata; semmai, essi possono costituire un fattore da tenere in conto nella scelta tra più soluzioni.

Con riferimento al presunto “rischio ridotto per i diritti e le libertà delle persone fisiche” “per l’ampiezza dei destinatari, per le condizioni di erogabilità, per il tipo di soggetti interessati, per la finalità prevista”, non può essere accolta la tesi, prospettata dall’INPS, secondo cui “i dati personali inseriti erano per la quasi totalità riferiti a elementi noti, pubblici delle persone (si consideri che si trattava di nome, cognome, indirizzo, telefono di soggetti che esercitavano attività autonome e che quindi notoriamente li pubblicizzavano nei vari canali social, albi pubblicati, siti internet, etc.) come pure, tenuto conto del tipo di beneficio previsto (una specie di “erogazione a pioggia”) non vi era neanche il rischio di discriminazioni, perdita di riservatezza dei dati protetti da segreto professionale o pregiudizio ai diritti”. Ciò in quanto i dati personali oggetto di violazione non possono essere considerati pubblici in ragione di una asserita propensione degli interessati stessi a diffonderli in rete.

Pertanto, si conferma quanto già accertato dall’Autorità circa il fatto che l’INPS ha posto in essere la violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento con riferimento all’errata configurazione delle funzionalità di caching della CDN Akamai e dei web server dell’Istituto e all’inidoneità del sistema di autorizzazione della procedura Bonus Baby Sitting (cfr. parr. 5.2.1 e 5.2.2 del presente provvedimento).

* * * * *

Infine, con specifico riferimento alla mancata adozione di misure adeguate a rilevare e gestire tempestivamente le violazioni dei dati personali, si richiama quanto indicato dalle Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679, le quali chiariscono che “la capacità di individuare, trattare e segnalare tempestivamente una violazione deve essere considerata un aspetto essenziale” delle misure tecniche e organizzative che il titolare e il responsabile del trattamento devono mettere in atto, ai sensi dell’art. 32 del Regolamento. A ciò si aggiunga che definire in anticipo le azioni da intraprendere per mitigare i rischi e adempiere agli obblighi senza indebito ritardo, assicura, e rende il titolare in grado di dimostrare, che, se del caso, un incidente possa essere gestito più velocemente, soprattutto in relazione a titolari che effettuano trattamenti di dati personali caratterizzati da rischi elevati per i diritti e le libertà degli interessati nell’ambito di organizzazioni complesse (cfr. le Linee-guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali, adottate dal Comitato europeo per la protezione dei dati il 14 dicembre 2021, punto 13).

Peraltro, l’esecuzione di attività di analisi volte a individuare gli interessati coinvolti risulta necessaria per assicurare un corretto adempimento degli obblighi di cui agli artt. 33 e 34 del Regolamento e, non potrebbe non essere richiesta a un titolare del trattamento quale l’INPS, che – in ossequio al principio di accountability – deve poter disporre di mezzi e risorse adeguate a gestire tali attività, anche in una fase successiva al contenimento della violazione.

Pertanto, si conferma quanto già accertato dall’Autorità circa il fatto che l’INPS ha posto in essere la violazione degli artt. 5, parr. 1, lett. f), e 2, e 32 del Regolamento con riferimento alla mancata adozione di misure adeguate a rilevare e gestire tempestivamente le violazioni dei dati personali (cfr. par. 5.2.3 del presente provvedimento).

7.3. Sulla violazione dell’art. 25 del Regolamento, in relazione alla non conformità ai principi di protezione dei dati fin dalla progettazione e per impostazione predefinita

In base all’art. 25 del Regolamento, il titolare del trattamento è tenuto, pertanto, ad attuare i principi di protezione dei dati (art. 5 del Regolamento) adottando misure tecniche e organizzative adeguate e integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati.

A questo riguardo, in relazione al principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento), si rappresenta che il titolare deve essere trasparente con gli interessati anche in occasione di comunicazioni delle violazioni di dati personali, fornendo tempestivamente informazioni pertinenti e applicabili all’interessato specifico, in un linguaggio chiaro e semplice, conciso e comprensibile (cfr. artt. 12 e 34 del Regolamento e le Linee guida 4/2019 sull’articolo 25, spec. punti 65 e 66).

Inoltre, con riferimento al principio di integrità e riservatezza (art. 5, par. 1, lett. f), del Regolamento), occorre che il titolare valuti costantemente se stia utilizzando, in qualunque momento, i mezzi appropriati di trattamento e se le misure adottate contrastino effettivamente le vulnerabilità esistenti (cfr. le Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita, spec. punti 84 e 85), valutando, in particolare, i rischi per la sicurezza dei dati personali, in considerazione dell’impatto sui diritti e le libertà degli interessati, e contrastando efficacemente quelli identificati, nonché disponendo di adeguate procedure per gestire le violazioni dei dati personali, comprese quelle per la loro documentazione e la comunicazione agli interessati coinvolti.

Pertanto, si ritiene che, in relazione a quanto accertato nei paragrafi 7.1 e 7.2 del presente provvedimento, l’INPS non abbia attuato in maniera efficace i principi di liceità, correttezza e trasparenza e di integrità e riservatezza, e, quindi si conferma che l’Istituto ha posto in essere la violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione di cui all’art. 25 del Regolamento.

8. Conclusioni

Alla luce del complesso delle valutazioni sopra richiamate, le dichiarazioni rese dall’INPS negli scritti difensivi e nell’audizione, seppure meritevoli di considerazione ai fini della valutazione della condotta, non consentono di superare i principali rilievi notificati dall’Ufficio con l’atto di avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del reg. del Garante n. 1/2019.

In tale quadro, confermando i rilievi notificati dall’Ufficio con la nota del 17 maggio 2022, si rileva che, nella vicenda in esame, l’INPS ha posto in essere la violazione dell’art. 5, parr. 1, lett. a) e f), e 2, e degli artt. 12, 25, 32 e 34 del Regolamento, con riferimento a ciascuna delle tre violazioni di dati personali occorse, ossia:

a) la violazione dei dati personali determinata dal caching di informazioni personali in una rete di distribuzione di contenuti (CDN) (descritta nel par. 2 del presente provvedimento);

b) la violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting (descritta nel par. 3 del presente provvedimento);

c) la violazione dei dati personali determinata dal caching di informazioni personali nei web server dell’INPS (descritta nel par. 4 del presente provvedimento).
Considerato che sono state adottate misure volte a superare le criticità sopra descritte, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

9. Ammonimento (artt. 58, par. 2, lett. b), e 83 del Regolamento; art. 154-bis, comma 3, del Codice)

Il Garante, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ha il potere di “rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento” (cfr. altresì cons. 148 del Regolamento).

Nel caso di specie emerge che gli elementi di contesto, dovuti al periodo emergenziale, del tutto eccezionale, e il carico di incombenze affidate all’INPS per assicurare a milioni di cittadini prestazioni necessarie per soddisfare i fabbisogni essenziali nel predetto contesto mediante la tempestiva erogazione di contributi economici, risultano indispensabili ai fini della valutazione in concreto dell’entità delle infrazioni riscontrate.

Infatti, come rappresentato dall’INPS, “È stato un evento eccezionale e straordinario nel contesto dell’emergenza dovuta alla pandemia, non previsto né prevedibile, tale da potersi considerare come forza maggiore”, in quanto “si era in una situazione di emergenza di salute e sicurezza nazionale per il Covid, anche in ordine ai sostegni economici da erogare alla popolazione. In questa situazione eccezionale e straordinaria dovuta alla pandemia, l’Inps è stato costretto a passare da una attività resa quasi esclusivamente in presenza ad una totalità di lavoro in smart working per gli oltre 26.000 dipendenti e tutti i consulenti esterni che ha comportato uno sforzo enorme di trasformazione, il ridisegno dei paradigmi di accesso alle risorse IT aziendali, la predisposizione di nuove infrastrutture, l’apprendimento di nuove modalità di lavoro garantendo gli stessi livelli di efficienza e sicurezza nel trattamento delle informazioni e tutti i servizi. In particolare, oltre a gestire tutte le nuove procedure imposte dal legislatore con la decretazione d’urgenza, l’Istituto ha dovuto continuare a garantire livelli di servizi, consulenza e operatività in tutte le ordinarie attività istituzionali intervenendo sui sistemi informativi per adeguarli alla dislocazione satellitare delle diverse e variegate postazioni di lavoro del personale, esterne agli uffici”, considerato anche che “nei tempi ristrettissimi imposti dal legislatore con la decretazione d’urgenza, l’Inps ha predisposto in meno di quindici giorni procedure informatiche completamente nuove, che non rientravano negli ordinari processi gestiti dall’Istituto, raddoppiando la capacità elaborativa dell’infrastruttura […] ed affrontato l’emergenza secondo il criterio della ragionevole praticabilità delle misure in relazione al contesto straordinario ed eccezionale dovuto alla pandemia”.

Inoltre, occorre considerare che l’Istituto – in capo al quale non sono state rilevate precedenti violazioni pertinenti – si è prontamente attivato al fine di porre rimedio alle violazioni dei dati personali e attenuarne il danno subìto dagli interessati – anche a seguito dell’effettuazione di complesse attività di individuazione dei medesimi – adottando misure quali la sospensione immediata dei servizi, interventi mirati per la cancellazione dei dati da alcune bozze di domanda visionate e/o modificate (nel caso della violazione determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting), nonché la pubblicazione di avvisi sul sito web e l’istituzione di un’apposita casella di posta elettronica per consentire di inviare segnalazioni ed evidenze.

Tutto ciò considerato, alla luce delle rappresentate circostanze del caso concreto, si ritiene di dover ammonire l’INPS per le violazioni riscontrate. .

Il presente provvedimento sarà pubblicato sul sito web del Garante in applicazione delle disposizioni di cui all’art. 154-bis, comma 3, del Codice e all’art. 37 del reg. del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del reg. del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità della condotta descritta nei termini di cui in motivazione, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento ammonisce l’INPS – Istituto nazionale previdenza sociale per la violazione dell’art. 5, parr. 1, lett. a) e f), e 2, e degli artt. 12, 25, 32 e 34 del medesimo Regolamento;

DISPONE

ai sensi dell’art. 154-bis, comma 3, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 luglio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei