(av Federica, advokat och chef för Aidr Regione Lombardia) Den 1 april förra genomgick INPS webbplats ett viktigt dataöverträdelse.
Det mycket höga antalet tillträde för begäran av bonusen på € 600 som erkänts efter nödsituationen från Covid19 kastade bokstavligen platsen och uppgifterna från ett betydande antal skattebetalare sprids olagligt och förblev synliga under en tid , utsatta registrerade för allvarliga risker för sina rättigheter.
Situationen skulle ha varit tillräckligt katastrofal på detta sätt, men för att ytterligare förvärra det tillkom delningen på sociala nätverk av skärmdumparna av de "kränkta" profilerna som uppenbarligen bidrog till ytterligare spridning av uppgifterna.
Den grundläggande punkten gäller just detta "vilda" delning av skärmdumparna, även om det genomfördes för att dokumentera INPS-dataöverträdelsen.
Det finns två olika aspekter att tänka på: nätverkets funktion å ena sidan och lagstiftningen om skydd av personuppgifter å andra sidan.
Låt oss börja med nätverkets funktion.
Publiceringen av onlineinnehåll gör det möjligt för användare att dela om vad andra har publicerat och effektivt förstärka dess spridning när målgruppen expanderar.
Ju högre antal aktier, desto större avslöjande av innehållet i fråga.
Detta innebär att det negativa värdet på nyheterna, som i fallet med de uppgifter som visas tydligt för INPS-webbplatsens funktionsfel, är direkt proportionella mot antalet aktier, det vill säga antalet, även om det är möjligt, av ämnen som kan lära sig om det.
Det är därför lätt att förstå att skadan har större räckvidd om man på olika sätt bidrar till att sprida nyheterna.
Och det är ingen tvekan om att att ta skärmdumpar av andras personuppgifter och publicera dem online hjälper till att förvärra skadan som redan skapats av datainbrottet.
När det gäller regleringsuppgifterna definieras den europeiska förordningen 2016/679 om skydd av personuppgifter i art. 4, brott mot personuppgifter ”brott mot säkerheten som av misstag eller olagligt innebär destruktion, förlust, ändring, obehörig utlämnande eller tillgång till personuppgifter som överförs, lagras eller på annat sätt behandlas”.
Avsnittet, eller snarare avsnitten, som inträffade på INPS-webbplatsen faller i alla avseenden inom denna effekt.
I europeisk lagstiftning föreskrivs också specifika anmälningsskyldigheter till borgensmannen, men ingenting säger om de skyldigheter som åläggs dem som av olika skäl borde vara inblandade i ett dataintrång.
Detta betyder inte att användare inte ska respektera några begränsningar, eftersom de i alla fall är föremål för de allmänna principerna för GDPR, med den konsekvensen att de inte kan behandla och därför avslöja personuppgifter utan giltig rättslig grund.
I praktiken innebär detta att spridningen av skärmdumpar av den privata profilen med en användares sociala säkerhetsposition, även för att meddela anomalin och därmed om datainbrottet, inte kan göras sic et simpliciter på sociala nätverk.
Diffusionen, utlöst av mekanismen genom vilken nätverket och enskilda sociala nätverk fungerar, har effekten att förstärka spridningen, på ett vildt och okontrollerat sätt, av samma data som överträdelsen rapporteras om.
Med andra ord, användaren med sina aktier hjälper till att öka den negativa effekten och potentiella skador till följd av spridningen av uppgifterna.
Det bör tilläggas att, saknad en giltig rättslig grund för behandlingen, delningen av skärmdumparna blir på samma sätt en olaglig behandling som, åtminstone i teorin, skulle kunna utsätta sig för de sanktioner som planeras av GDPR och genom lagstiftningsdekretet 101 / 2018.
Olikt emellertid hypotesen i vilken de aktuella skärmbilderna hade delats efter att personuppgifter har förmörkats, för det enda syftet att bevisa att INPS-webbplatsen fungerar.
Deltagandet av skärmdumpar och personuppgifter, i det specifika fallet, har tagit en sådan omfattning att det krävs officiellt ingripande av borgensmannen.
Med pressmeddelandet den 2 april 2020, för att begränsa spridningen av uppgifter och den negativa potentialen i deras cirkulation, angav myndigheten att "För att inte förstärka riskerna för personer vars personuppgifter var inblandade i överträdelse och för att inte bli föremål för brott, uppmärksammar myndigheten på det absolut nödvändiga att alla som har lärt känna andras personuppgifter inte ska använda dem och undvika att meddela dem till tredje part eller sprida dem, till exempel på sociala kanaler, adressera snarare till samma Garantör att rapportera alla relevanta aspekter ".
Därför måste uppmärksamheten för allt som delas alltid hållas på högsta nivåer, särskilt när det gäller personuppgifter, eftersom risken för att öka värdet och den verkliga faran för de berörda ämnets rättigheter är mycket större än vad du kan tänka.
Varje bedömning av lagligheten av en delning måste därför ske exakt ett ögonblick innan det skickas, eftersom innehållet en gång har publicerats oåterkalleligt har lämnat vår tillgänglighet, det är inte längre möjligt att kontrollera och hantera det med alla konsekvenser, inklusive lagliga som de härrör från det.