INPS informa a la Autoridad de Protección de Datos por una violación de datos
(por el Dr. Giuseppe Gorga) El 14 de mayo de 2020, el instituto nacional de seguridad social (INPS) sufrió varias violaciones de los protocolos de seguridad cibernética en sus servidores. El incidente fue denunciado al Garante para la protección de datos personales como lo exige el art. 33 del RGPD que establece los temas y métodos de presentación de informes.
Las violaciones de datos personales en detrimento de INPS dieron como resultado el acceso no autorizado de los usuarios al sitio principal (www.inps.it) con la visualización relativa de datos personales pertenecientes a terceros.
Este "bang" se produjo, debido a la gran demanda de los ciudadanos italianos, por la prestación del bono por la compra de servicios de canguro (el llamado "Bono de niñera") y por la solicitud de servicios de apoyo a los ingresos , vinculado a la situación de emergencia de COVID19, previsto por el decreto legislativo 18/2020.
Al respecto, el instituto, con el fin de garantizar niveles adecuados de usabilidad de los servicios y protección ante cualquier ataque DDOS, había decidido utilizar un servicio CDN (Content Delivery Network), considerado "adecuado para la gestión de este modelo de prestación de servicios.
La empresa Leonardo también está involucrada y proporciona soporte al sistema formando una "mesa técnica" entre INPS, Microsoft y este último.
Además de esto, el instituto hará uso de la oferta tecnológica de Microsoft, en términos de distribución de contenido, basada en la tecnología de Akamai. Sin embargo, todas estas contramedidas resultarán inadecuadas para hacer frente al flujo de solicitudes.
Ante el estallido de la emergencia, el INSP ha optado drásticamente por un cierre temporal de su sitio web. Esta decisión fue necesaria para optimizar el portal www.inps.it y limitar el tráfico procedente de intermediarios y ciudadanos.
Otra medida de protección para el Instituto, con el fin de limitar la difusión de datos personales, fue crear un buzón especial violazionedatiGDPR@inps.it, para permitir el envío de informes y pruebas sobre la violación de datos.
De los diversos informes, hemos llegado a entender que los datos mostrados por terceros se referían principalmente a datos personales, residencia y contactos electrónicos, encontrados por un número de sujetos no superior a 819 personas.
Al respecto, el INPS manifestó que "teniendo en cuenta el tipo de datos que se muestran y teniendo en cuenta que la posibilidad de visualización se produjo de forma completamente aleatoria y limitada en el tiempo por sujetos que parecen no tener conexión e interés involucrados, […] considera que la violación no representa un riesgo elevado para los derechos y libertades de las personas ”.
No son insignificantes, las anomalías adicionales que surgieron de este análisis, incluso si no están directamente relacionadas con el portal del instituto, como, por ejemplo, el acceso no autorizado a los datos personales que ocurrió ya el 31 de marzo de 2020 y las anomalías encontradas en el contexto del procedimiento Indemnización COVID-19.
En conclusión, el Garante de Privacidad de conformidad con el art. 58, párr. 2, lett. e) del Reglamento, ordena al INPS que comunique, sin demora, las violaciones de los datos personales en cuestión a todos los interesados involucrados. Además, se solicita al INPS que comunique qué iniciativas se han emprendido para resolver el problema y proporcionar una retroalimentación debidamente documentada de conformidad con el art. 157 del Código, dentro de los 20 días siguientes a la fecha de recepción de la disposición.
Esto debe hacernos reflexionar sobre cómo nuestros datos siempre están potencialmente en riesgo si no destacamos todas las posibles criticidades por defecto.