(autor: Federica, prawnik i menedżer Aidr Regione Lombardia) 1 kwietnia strona internetowa INPS uległa poważnemu naruszeniu danych.
Bardzo duża liczba wejść na prośbę o premię w wysokości 600 EUR, uznana po nagłym wypadku od Covid19, dosłownie rzuciła witrynę, a dane znacznej liczby podatników zostały rozpowszechnione nielegalnie i pozostawały widoczne przez pewien czas , narażając osoby, których dane dotyczą, na poważne ryzyko związane z ich prawami.
Sytuacja byłaby wystarczająco katastrofalna w ten sposób, ale dla dalszego pogorszenia sytuacji dodano udostępnianie w sieciach społecznościowych zrzutów ekranu „naruszonych” profili, które ewidentnie przyczyniły się do dalszego rozpowszechniania danych.
Podstawowa kwestia dotyczy właśnie tego „dzikiego” udostępniania zrzutów ekranu, chociaż zostało to przeprowadzone w celu udokumentowania naruszenia danych INPS.
Należy wziąć pod uwagę dwa różne aspekty: funkcjonowanie sieci z jednej strony i prawodawstwo dotyczące ochrony danych osobowych z drugiej strony.
Zacznijmy od funkcjonowania sieci.
Publikacja treści online pozwala użytkownikom na ponowne udostępnianie tego, co opublikowali inni, skutecznie zwiększając ich rozpowszechnianie wraz ze wzrostem liczby odbiorców docelowych.
Im wyższa liczba akcji, tym lepsze ujawnienie danych treści.
Oznacza to, że ujemna wartość wiadomości, tak jak w przypadku danych pokazanych w sposób wyraźny dla nieprawidłowego działania strony INPS, jest wprost proporcjonalna do liczby akcji, to znaczy do liczby, nawet jeśli tylko potencjalnej, podmiotów, które mogą się o tym dowiedzieć.
Łatwo zatem zrozumieć, że szkoda ma większy zasięg, jeśli na różne sposoby przyczynia się do rozpowszechniania wiadomości.
I nie ma wątpliwości, że robienie zrzutów ekranu danych osobowych innych osób i publikowanie ich w Internecie pomaga zintensyfikować szkody już spowodowane samym naruszeniem danych.
Wracając do danych regulacyjnych, Europejskie Rozporządzenie 2016/679 o ochronie danych osobowych, określa w art. 4, naruszenie danych osobowych „naruszenie bezpieczeństwa polegające na przypadkowym lub niezgodnym z prawem zniszczeniu, utracie, modyfikacji, nieuprawnionym ujawnieniu lub dostępie do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Odcinek, a raczej odcinki, które miały miejsce na stronie internetowej INPS, mieszczą się w tym działaniu pod każdym względem.
Prawodawstwo europejskie przewiduje również określone obowiązki powiadamiania gwaranta, ale nic nie mówi o obowiązkach nałożonych na tych, którzy z różnych powodów powinni być zaangażowani w naruszenie danych.
Nie oznacza to, że użytkownicy nie powinni przestrzegać żadnych ograniczeń, ponieważ w każdym przypadku podlegają ogólnym zasadom RODO, w związku z czym nie mogą przetwarzać, a zatem ujawniać danych osobowych bez ważnej podstawy prawnej.
W praktyce oznacza to, że rozpowszechnianie zrzutów ekranu prywatnego profilu ze stanowiskiem użytkownika zabezpieczenia społecznego, również w celu powiadomienia o anomalii, a tym samym o naruszeniu danych, nie może być uproszczone w sieciach społecznościowych.
Rozproszenie, wywołane przez mechanizm działania sieci i poszczególnych sieci społecznościowych, powoduje zwiększenie propagacji, w sposób dziki i niekontrolowany, tych samych danych, o których zgłoszono naruszenie.
Innymi słowy, użytkownik ze swoimi udziałami pomaga zwiększyć negatywny efekt i potencjalne szkody wynikające z rozpowszechniania danych.
Należy również dodać, że bez ważnej podstawy prawnej leczenia udostępnianie zrzutów ekranu staje się w ten sam sposób nielegalnym traktowaniem, które przynajmniej teoretycznie może podlegać sankcjom przewidzianym w RODO i dekrecie ustawodawczym 101 / 2018.
Inna jest jednak hipoteza, zgodnie z którą omawiane zrzuty ekranu zostały udostępnione po zaciemnieniu danych osobowych, wyłącznie w celu udowodnienia nieprawidłowego działania strony INPS.
Udostępnianie zrzutów ekranu i danych osobowych w konkretnym przypadku przybrało taką skalę, że wymaga oficjalnej interwencji Gwaranta.
W komunikacie prasowym z 2 kwietnia 2020 r. W celu ograniczenia rozpowszechniania danych i negatywnego potencjału ich przepływu Urząd stwierdził, że „Aby nie zwiększać ryzyka dla osób, których dane osobowe były zaangażowane w naruszając i nie popełniając ewentualnych przestępstw, Urząd zwraca uwagę na absolutną konieczność, aby każdy, kto poznał dane osobowe innych osób, nie mógł ich wykorzystywać i unikać przekazywania ich stronom trzecim lub rozpowszechniania ich, na przykład w kanałach społecznościowych, zwracając się raczej do tego samego Gwarant zgłosić wszelkie istotne aspekty ”.
Dlatego uwaga na wszystko, co jest udostępniane, musi być zawsze utrzymywana na najwyższym poziomie, szczególnie w odniesieniu do danych osobowych, ponieważ ryzyko wzrostu wartości i realne zagrożenie dla praw zaangażowanych podmiotów jest znacznie większe niż możesz myśleć.
Każda ocena zgodności z prawem udostępniania musi więc odbyć się dokładnie na chwilę przed wysłaniem, ponieważ po opublikowaniu treść nieodwracalnie opuściła naszą dostępność, nie można już jej kontrolować i zarządzać z wszystkimi konsekwencjami, w tym prawnymi, które czerpią z tego.