(di Federica , avvocato e responsabile Aidr Regione Lombardia) Il 1 aprile scorso il sito dell’INPS ha subito un importante data breach.
L’elevatissimo numero di accessi per la richiesta del bonus di 600 € riconosciuti a seguito dell’emergenza da Covid19 ha letteralmente mandato in tilt il sito e i dati di un numero considerevole di contribuenti sono stati diffusi in maniera illecita e sono rimasti visibili per diverso tempo, esponendo gli interessati a gravi rischi per i propri diritti.
La situazione sarebbe stata già sufficientemente disastrosa in questo modo, ma ad aggravarla ulteriormente si è aggiunta la condivisione sui social network degli screenshoot dei profili “violati” che ha evidentemente contribuito alla ulteriore diffusione dei dati.
Il punto fondamentale riguarda proprio questa condivisione “selvaggia” degli screenshoot, sebbene sia stata effettuata al fine di documentare il data breach dell’INPS.
Ci sono due diversi aspetti da considerare: il funzionamento della Rete da un lato e la normativa sulla protezione dei dati personali dall’altro.
Partiamo dal funzionamento della Rete.
La pubblicazione di un contenuto online consente agli utenti di ri-condividere ciò che altri hanno pubblicato, di fatto amplificandone la diffusione, poiché si amplia il pubblico di destinazione.
Più è alto il numero di condivisioni, maggiore è la divulgazione del contenuto in esame.
Questo significa che il disvalore della notizia, come nel caso dei dati mostrati in chiaro per il malfunzionamento del sito dell’INPS, è direttamente proporzionale al numero di condivisioni, ossia al numero, anche solo potenziale, di soggetti che possono venirne a conoscenza.
Si intuisce facilmente, quindi, che il danno ha maggiore portata se si contribuisce, in vario modo, a diffondere la notizia.
E non c’è dubbio che fare uno screenshoot dei dati personali altrui e postarli online contribuisce ad aggravare il danno già creato dal data breach in sé.
Passando al dato normativo, il Regolamento Europeo 2016/679 in tema di protezione dei dati personali, definisce all’art. 4, violazione dei dati personali “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
L’episodio, o meglio gli episodi, che si sono verificati sul sito dell’INPS rientrano a tutti gli effetti in questa fattispecie.
La normativa europea prevede, inoltre, a carico del titolare del trattamento specifici obblighi di notifica al Garante, ma nulla dice in merito agli obblighi gravanti in capo a coloro i quali, a vario titolo, dovessero essere coinvolti in un data breach.
Questo non significa che gli utenti non debbano rispettare alcun vincolo, poiché sono in ogni caso soggetti ai principi generali del GDPR, con la conseguenza che non possono trattare, e quindi diffondere, i dati personali senza una valida base giuridica.
Tradotto in pratica questo comporta che la diffusione di screenshoot del profilo privato con la posizione previdenziale di un utente, anche al fine di dare notizia dell’anomalia e quindi del data breach, non può essere effettuata sic et simpliciter sui social network.
La diffusione, innescata dal meccanismo con il quale funziona la Rete e i singoli social network, ha l’effetto di amplificare la propagazione, a macchia d’olio e in maniera incontrollata, di quegli stessi dati di cui si denuncia la violazione.
In altre parole l’utente con le proprie condivisioni contribuisce ad aumentare l’effetto negativo e i potenziali danni derivanti dalla diffusione dei dati.
Si aggiunga poi che, mancando una valida base giuridica per il trattamento, la condivisione degli screenshoot diventa, allo stesso modo, essa stessa un trattamento illecito che, almeno in linea teorica, potrebbe esporre alle sanzioni previste dal GDPR e dal D.Lgs. 101/2018.
Diversa, invece, l’ipotesi in cui gli screenshoot in parola fossero stati condivisi previo oscuramento dei dati personali, al solo fine, quindi, di dare prova del malfunzionamento del sito dell’INPS.
La condivisione degli screenshoot e dei dati personali, nel caso specifico, ha assunto una portata tale da rendere necessario un intervento ufficiale del Garante.
Con il comunicato del 2 aprile 2020 l’Autorità, al fine di contenere la diffusione dei dati e il potenziale negativo della loro circolazione, ha specificato che “Al fine di non amplificare i rischi per le persone i cui dati personali sono stati coinvolti nel data breach e non incorrere in possibili illeciti, l’Autorità richiama l’attenzione sulla assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti”.
L’attenzione quindi per tutto quello che si condivide deve essere sempre mantenuta ai massimi livelli, soprattutto per quanto riguarda i dati personali, poiché il rischio di aumentare il disvalore e il pericolo concreto per i diritti dei soggetti coinvolti è molto più grande di quello che si può pensare.
Ogni valutazione, quindi, sulla liceità di una condivisione deve avvenire esattamente un attimo prima dell’invio, poiché una volta pubblicato il contenuto è irrimediabilmente uscito dalla nostra disponibilità, non è più possibile controllarlo e gestirlo con tutte le conseguenze, anche di carattere giuridico che ne derivano.