INPS zgłasza do organu ochrony danych w przypadku naruszenia danych
(autor: dr Giuseppe Gorga) 14 maja 2020 r. krajowy instytut zabezpieczenia społecznego (INPS) doznał kilku naruszeń protokołów cyberbezpieczeństwa na swoich serwerach. Zdarzenie zostało zgłoszone Gwarantowi w celu ochrony danych osobowych zgodnie z art. 33 RODO, który określa tematy i metody raportowania.
Naruszenie danych osobowych na szkodę INPS spowodowało nieuprawniony dostęp użytkowników do strony głównej (www.inps.it) z odpowiednim wyświetlaniem danych osobowych należących do osób trzecich.
Ten „huk” nastąpił z powodu dużego zapotrzebowania obywateli włoskich na świadczenie premii za zakup usług opieki nad dziećmi (tzw. „Premia za opiekę nad dzieckiem”) oraz na prośbę o usługi wspierające dochód, związane z sytuacją nadzwyczajną związaną z COVID19, przewidzianą w dekrecie ustawodawczym 18/2020.
W związku z tym instytut, aby zagwarantować odpowiedni poziom użyteczności usług i ochronę przed wszelkimi atakami DDOS, zdecydował się na użycie usługi CDN (Content Delivery Network), uznanej za „odpowiednią do zarządzania tym modelem świadczenia usług .
Firma Leonardo jest również zaangażowana i zapewnia wsparcie systemowe, tworząc „tabelę techniczną” pomiędzy INPS, Microsoft i tym ostatnim.
Ponadto instytut będzie korzystał z oferty technologicznej Microsoftu w zakresie dystrybucji treści w oparciu o technologię Akamai. Wszystkie te środki zaradcze okażą się jednak niewystarczające w przypadku przepływu wniosków.
W obliczu wybuchu sytuacji kryzysowej INSP zdecydował się drastycznie na tymczasowe zamknięcie swojej strony internetowej. Decyzja ta była konieczna do przeprowadzenia optymalizacji portalu www.inps.it i ograniczenia ruchu pochodzącego od pośredników i obywateli.
Kolejnym środkiem ochrony Instytutu, mającym na celu ograniczenie rozpowszechniania danych osobowych, było utworzenie specjalnej skrzynki naruszającej atiGDPR@inps.it, umożliwiającej przesyłanie zgłoszeń i dowodów naruszenia danych.
Z różnych raportów wynika, że dane wyświetlane przez osoby trzecie dotyczyły głównie danych osobowych, pobytu i kontaktów telematycznych, znalezionych przez liczbę podmiotów nieprzekraczającą 819 osób.
W związku z tym INPS oświadczył, że „biorąc pod uwagę rodzaj wyświetlanych danych i biorąc pod uwagę, że możliwość ich oglądania miała miejsce w sposób całkowicie losowy i ograniczony w czasie przez podmioty, które wydają się nie mieć związku i zainteresowania z osobami zaangażowanymi, [ …] Uważa, że naruszenie nie może stanowić dużego zagrożenia dla praw i wolności jednostki ”.
Nie bez znaczenia są dalsze anomalie, które wyłoniły się z tej analizy, nawet jeśli nie są bezpośrednio związane z portalem instytutu, takie jak np. Nieuprawniony dostęp do danych osobowych, który wystąpił już 31 marca 2020 r. procedura odszkodowania za COVID-19.
Podsumowując, Gwarant Prywatności na podstawie art. 58 ust. 2, niech. e) Regulaminu, nakazuje INPS niezwłoczne poinformowanie wszystkich zainteresowanych stron o naruszeniu danych osobowych. Ponadto INPS proszony jest o poinformowanie, jakie inicjatywy zostały podjęte w celu rozwiązania problemu oraz o przekazanie odpowiednio udokumentowanej informacji zwrotnej zgodnie z art. 157 Kodeksu, w terminie 20 dni od dnia otrzymania postanowienia.
Musi to skłonić nas do zastanowienia się, jak nasze dane są zawsze potencjalnie zagrożone, jeśli nie zwrócimy uwagi na wszystkie możliwe krytyczne problemy w przypadku niewykonania zobowiązania.