Con una comunicazione rilasciata il 2 aprile 2020, l’Autorità garante per la protezione dei dati personali ha precisato di aver avviato un’istruttoria relativa al controverso incidente sui dati personali occorso sul sito dell’INPS lo scorso mercoledì 1° aprile 2020 (prima data disponibile per le richieste di assegnazione del bonus disposto in virtù dell’emergenza pandemica).
Tale attività del Garante, riversandosi nell’ottica delle opportune verifiche e della valutazione di adeguatezza delle contromisure adottate dal predetto Ente, discende dalla notifica di data breach che lo stesso istituto nazionale della previdenza sociale – a fronte di quanto riportato sul suo sito istituzionale – ha reso in conseguenza dell’accadimento suesposto.
Più in particolare, l’effettuazione della menzionata notifica corrisponde ad un adempimento prescritto dall’art. 33 del Regolamento (UE) 2016/679 (rubricato come “Notifica di una violazione dei dati personali all’autorità di controllo”), che, in linea di massima, dispone che in caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione all’autorità di controllo competente (nella specie, il Garante per la protezione dei dati personali) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
In aggiunta a ciò, la norma in parola evidenzia quelli che sono i contenuti che, inderogabilmente, devono corredare detta notifica, ovvero:
- una descrizione della natura della violazione dei dati personali (includendo, laddove possibile, le categorie e il numero approssimativo dei soggetti interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione);
- l’indicazione del nome e dei dati di contatto del responsabile della protezione dei dati (noto anche come “Data Protection Officer”) o di un altro punto di contatto presso cui ottenere più informazioni;
- l’esposizione delle probabili conseguenze della violazione dei dati personali;
- una segnalazione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
L’Authority, inoltre, nel contesto della comunicazione del 2 aprile, ha esortato tutti i soggetti che, in virtù del suddetto incidente, sono venuti a conoscenza di dati personali altrui, ad informarne tempestivamente l’Autorità garante stessa e a non farne alcun ulteriore utilizzo.