(de Federica, avocat și șeful Aidr Regione Lombardia) La 1 aprilie, site-ul web INPS a suferit o încălcare importantă a datelor.
Numărul foarte mare de accesări pentru solicitarea bonusului de 600 EUR recunoscut în urma urgenței de la Covid19 a aruncat literalmente site-ul în ravagii și datele unui număr considerabil de contribuabili au fost diseminate ilegal și au rămas vizibile pentru o perioadă de timp, expunându-i pe cei în cauză riscuri pentru drepturile lor.
Situația ar fi fost suficient de dezastruoasă în acest fel, dar și mai agravantă a fost partajarea pe rețelele sociale a capturilor de ecran ale profilurilor „încălcate” care au contribuit evident la diseminarea ulterioară a datelor.
Punctul fundamental se referă tocmai la această partajare „sălbatică” a capturilor de ecran, deși a fost realizată pentru a documenta încălcarea datelor INPS.
Există două aspecte diferite de luat în considerare: funcționarea rețelei, pe de o parte, și legislația privind protecția datelor cu caracter personal, pe de altă parte.
Să începem cu funcționarea rețelei.
Publicarea conținutului online permite utilizatorilor să redistribuie ceea ce au postat alții, amplificând în mod eficient diseminarea acestuia pe măsură ce publicul țintă crește.
Cu cât este mai mare numărul de acțiuni, cu atât este mai mare divulgarea conținutului în cauză.
Aceasta înseamnă că valoarea negativă a știrilor, ca și în cazul datelor prezentate în text clar din cauza funcționării defectuoase a site-ului INPS, este direct proporțională cu numărul de acțiuni, adică numărul, chiar dacă este doar potențial, al subiecților cine poate afla despre asta.
Prin urmare, este ușor de înțeles că daunele sunt mai mari dacă contribuiți, în diferite moduri, la răspândirea știrilor.
Și nu există nicio îndoială că luarea unei capturi de ecran a datelor personale ale altora și postarea lor online contribuie la agravarea daunelor deja create de încălcarea datelor în sine.
În ceea ce privește datele de reglementare, Regulamentul european 2016/679 privind protecția datelor cu caracter personal, definește art. 4, încălcarea datelor cu caracter personal „încălcarea securității care implică accidental sau ilegal distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul la datele personale transmise, stocate sau prelucrate în alt mod”.
Episodul sau mai bine zis episoadele care au avut loc pe site-ul INPS intră în vigoare în acest caz.
Legislația europeană prevede, de asemenea, obligații de notificare specifice către Garant pentru operatorul de date, dar nu spune nimic despre obligațiile impuse celor care, din diverse motive, ar trebui să fie implicați într-o încălcare a datelor.
Acest lucru nu înseamnă că utilizatorii nu trebuie să respecte nicio constrângere, deoarece sunt, în orice caz, supuși principiilor generale ale GDPR, cu consecința că nu pot prelucra și, prin urmare, disemina date personale fără un temei legal valabil.
Tradus în practică, acest lucru înseamnă că diseminarea capturilor de ecran ale profilului privat cu poziția de securitate socială a unui utilizator, de asemenea, pentru a anunța anomalia și, prin urmare, încălcarea datelor, nu poate fi efectuată sic și simpliciter pe rețelele sociale.
Difuzarea, declanșată de mecanismul cu care funcționează internetul și rețelele sociale individuale, are ca efect amplificarea răspândirii, ca un incendiu și într-un mod necontrolat, a acelorași date a căror încălcare este raportată.
Cu alte cuvinte, utilizatorul cu acțiunile sale contribuie la creșterea efectului negativ și a daunelor potențiale care decurg din difuzarea datelor.
De asemenea, trebuie adăugat că, lipsind un temei juridic valid pentru prelucrare, partajarea capturilor de ecran devine, în același mod, un tratament ilegal care, cel puțin teoretic, ar putea expune sancțiunile prevăzute de GDPR și de Legislativ. Decretul 101/2018.
Pe de altă parte, ipoteza în care capturile de ecran în cauză au fost împărtășite după ascunderea datelor personale, cu scopul unic, prin urmare, de a demonstra funcționarea defectuoasă a site-ului INPS este diferită.
Partajarea capturilor de ecran și a datelor cu caracter personal, în acest caz specific, a luat o asemenea amploare încât să necesite o intervenție oficială a garantului.
Prin comunicatul de presă din 2 aprilie 2020, Autoritatea, pentru a conține diseminarea datelor și potențialul negativ al circulației acestora, a specificat că „Pentru a nu amplifica riscurile pentru persoanele ale căror date cu caracter personal au fost implicate în încălcare și pentru a nu atrage eventuale infracțiuni, Autoritatea atrage atenția asupra necesității absolute ca oricine a luat cunoștință de datele personale ale altora să nu le utilizeze și să evite comunicarea acestora către terți sau diseminarea lor, de exemplu pe canalele sociale, adresându-se mai degrabă Garant pentru a raporta orice aspecte relevante ".
Prin urmare, atenția la tot ceea ce este împărtășit trebuie păstrată întotdeauna la cele mai înalte niveluri, în special în ceea ce privește datele cu caracter personal, deoarece riscul de creștere a valorii și pericolul concret pentru drepturile subiecților implicați este mult mai mare decât ceea ce puteți crede .
Prin urmare, orice evaluare a legalității unei acțiuni trebuie să aibă loc exact cu un moment înainte de trimitere, întrucât, odată ce conținutul a fost publicat, este iremediabil din disponibilitatea noastră, nu mai este posibil să îl controlăm și să îl gestionăm cu toate consecințele, chiar de natură juridică care derivă din aceasta.