Il Garante «ingiunge all'Inps di comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, le violazioni dei dati personali in esame a tutti gli interessati coinvolti». E, inoltre, «richiede all'Inps di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell'art. 157 del Codice, entro il termine di 20 giorni dalla data della ricezione del presente provvedimento; l'eventuale mancato riscontro può comportare l'applicazione della sanzione amministrativa pecuniaria» prevista.

Quindici giorni, quindi, per comunicare a tutti i diretti interessati le violazioni dei dati personali che si verificarono il primo aprile scorso, cioè nel click day, quando il sito dell'Inps venne preso d'assalto dai beneficiari delle misure di sostegno previste dal Cura Italia. È questo il termine che il Garante della Privacy ha ingiunto all'istituto di previdenza, con un provvedimento pubblicato sul sito dell'authority. «Alla luce del complessivo esame delle circostanze portate all'attenzione dell'Autorità e delle considerazioni svolte, ferma restando la necessità di proseguire l'istruttoria in corso», il Garante ha ravvisato «la necessità e l'urgenza di ingiungere» all'Inps «di comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonché fornendo loro indicazioni specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni».

E, precisa il Garante, «tale comunicazione, inviata anche con mezzi elettronici, dovrà essere differenziata in funzione dei rischi e delle specifiche caratteristiche che le violazioni dei dati personali in esame presentano per ciascun interessato coinvolto e dovrà essere effettuata, senza ingiustificato ritardo, anche nei confronti di altri interessati che verranno individuati all'esito di eventuali ulteriori attività di analisi condotte dall'Istituto». Inoltre, con specifico riferimento alla violazione dei dati personali determinata dall'errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting, la comunicazione dovrà riguardare gli interessati i cui dati personali erano presenti non solo nelle domande che sono risultate oggetto di visualizzazione (68 domande), modifica (17 domande), cancellazione (81 domande) o invio all'Inps (62 domande), ma anche nell'elenco delle 773 domande mostrato nella sezione «Consultazione domande» della procedura Bonus Baby Sitting. Il Garante ricorda che l'inosservanza di un ordine da parte dell'autorità è soggetta a sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore».

L'Inps con note del 1° aprile e del 6 aprile 2020, aveva notificato al Garante della Privacy due distinte violazioni dei dati personali che hanno comportato, rispettivamente l'accesso ai dati personali di utenti del portale «www.inps.it» da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio Cdn (Content Delivery Network) utilizzato; l'accesso ai dati personali di utenti che hanno richiesto l'erogazione del bonus per l'acquisto di servizi di baby-sitting con visualizzazione, modifica, cancellazione o invio all'INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati. Contestualmente, l'Autorità ha ricevuto più di un centinaio di segnalazioni e reclami da parte di soggetti che, oltre a manifestare i timori per le conseguenze sui diritti e le libertà fondamentali delle persone fisiche coinvolte, in molti casi hanno rappresentato di aver visualizzato dati personali riferiti a terzi, fornendone spesso prova documentale.

In particolare, si evidenzia come, tra i predetti soggetti, siano presenti: numerosi utenti che stavano tentando di accedere a servizi online presenti sul portale dell'INPS, compresi quelli per compilare e inviare individualmente la propria domanda per l'erogazione delle prestazioni previste dal d.l. n. 18/2020; soggetti direttamente coinvolti nelle violazioni dei dati personali, in quanto i propri dati personali sono stati oggetto di accesso da parte di terzi; professionisti delegati dai propri clienti a effettuare operazioni per conto degli stessi; enti e associazioni, in rappresentanza di categorie professionali e utenti. È muovendo da tali elementi, che il Garante ha avviato un'istruttoria sulle queste violazioni dei dati personali, mediante richieste di informazioni rivolte all'Istituto (note del 1° aprile e del 20 aprile 2020), volte ad acquisire ulteriori elementi in ordine alla natura e alla portata delle violazioni rappresentate dall'Inps e lamentate dagli utenti, nonché alle misure tecniche e organizzative adottate dall'Istituto per porvi rimedio e per attenuarne gli effetti negativi nei confronti degli interessati coinvolti. A tali richieste l'Istituto ha prodotto riscontro con note del 10 aprile e del 30 aprile 2020.

