Il “pesce d’Aprile” dell’Inps rischia di costare caro all’istituto di previdenza, per una serie di inadempienze e comunicazioni contraddittorie nonché lacunose in seguito al data breach, che hanno portato dapprima all’ineluttabile avvio di istruttoria del Garante per la privacy e oggi a una possibile multa. Adesso l’istituto guidato da Pasquale Tridico ha quindici giorni di tempo, a partire dal provvedimento numero 86 del 14 maggio, per informare tutti gli interessati, con comunicazione stavolta idonea, della violazione dei loro dati e dei rischi relativi. Non è infatti ritenuto sufficiente l’avviso apparso sul sito a due giorni dallo “scherzetto” giocato agli utenti dell’istituto, e nel caso l’Inps non adempia alla richiesta del Garante rischia fino a 20 milioni di euro di sanzioni amministrative.
Nella home page del portale istituzionale campeggia ancora oggi, dal 3 aprile, l’avviso di “Comunicazione di data breach”. Se questa è una comunicazione per gli interessati ai sensi dell’art. 34 GDPR, la mente va a considerare che tale articolo prescrive che all’interno, con un linguaggio semplice e chiaro, siano descritte senza ingiustificato ritardo:
- la natura della violazione;
- il nome e i dati di contatto del DPO o di altro punto di contatto presso cui ottenere informazioni aggiuntive;
- le probabili conseguenze della violazione dei dati personali;
- le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e per attenuarne i possibili effetti negativi.
Tali elementi di contenuto però non sono riscontrabili all’interno della comunicazione, la quale si limita ad “assicurare” che l’istituto ha assunto “tutte le misure atte a porre rimedio alla situazione di rischio” (si, ma quale?), nonché “attenuare i possibili effetti negativi” (si, ma quali?). Ulteriormente, assicura di “tutelare i diritti e le libertà delle persone fisiche” e di “verificare tutte le segnalazioni ricevute” e “adottare ogni ulteriore misura tecnica e organizzativa adeguata di protezione dei dati personali che dovesse rendersi necessaria”.
Forse l’evento è implicitamente stato ricondotto alla categoria giuridica dei “fatti notori”, vista l’eco mediatica? Sembrerebbe essere andati anche oltre, un’elevazione verso il piano filosofico dell’ineffabile.
La casella di posta elettronica, il punto di contatto offerto per ottenere informazioni, è invece predisposto con una logica inversa: leggo infatti che è “utilizzabile, esclusivamente dai soggetti i cui dati siano stati interessati dalla violazione, per le segnalazioni all’INPS, allegando eventuali evidenze documentali”. Tento allora di applicare la logica: se io sono stato interessato dalla violazione, devo allegare io evidenze documentali per partecipare all’istruttoria o perché l’istituto si attivi a tutelarmi?
Insomma: si fissano così molte ombre della caverna platonica delle forme e dei principi, senza dire altro né sul cosa è accaduto né sul come si intende porre rimedio. Nella ricerca di logica, mi sfugge ogni contatto con il contesto e la realtà si allontana.
Restando in tema, mi sento comfortably numb (riporto la versione, a mia opinione, più intensa del brano, con Gilmour accanto all’immortale Bowie: https://www.youtube.com/watch?v=HGXu1lNmL-A ) e mi viene in mente il passaggio: “I’ll need some information first. Just the basic facts”. Quelle informazioni di base, essenziali, non sono ad oggi pervenute alla platea degli interessati nonostante la notifica sia stata prontamente eseguita.
La trasparenza informativa nei confronti degli interessati è la premessa essenziale perché possa essere garantita un’effettiva tutela delle attività svolte sui dati personali e percorre inevitabilmente tutte le fasi del trattamento: dall’instaurazione del contatto con l’interessato alla variazione delle finalità, all’eventuale acquisizione del consenso, al riscontro della richiesta di accesso, fino alla fase patologica del trattamento nell’ipotesi di violazione di sicurezza riscontrata.
