La relation complexe des Inps avec les règles de protection de la vie privée

Le délégué à la protection des données est absent. Et maintenant, c’est aux utilisateurs de prouver la faille dans les systèmes. Mais le Gdpr en dit plus

Au trou de ses systèmes informatiques, leInps met un chiffon qui fait débat, en demandant aux utilisateurs dont des données personnelles ont été exposées illégalement notifier l’entité, « en joignant toute preuve documentaire ». L’avis a été publié le 3 avril sur le site de la principale institution italienne de sécurité socialequi, dans la nuit du 31 mars au 1er avril, a montré par erreur, à de nombreux jeux que la TVA entre pour réclamer le bonus de 600 euros, i les données d’autres personnes.

La dpo a disparu

Mais la communication ne satisfait pas les experts en matière de protection de la vie privéequi identifient leurs lacunes conformément au règlement général sur la protection des données (Gdpr) de l’Union européenne. Tout d’abord pour la manque du nom et du contact de la délégué à la protection des données (dpo)ou la personne chargée d’organiser et de superviser le bon traitement des données. Toutefois, il ne s’agit pas d’une erreur technique, mais plutôt d’une simple observation : au moment de l’incident informatique L’Inps n’avait pas de responsable de la protection des données. en fonction, comme confirmé à Câblé de sources qualifiées.

Le dernier à occuper ce poste, nommé le 21 mars 2018, a pris sa retraite le 30 mars 2020, à la à la veille de la débâcle numériqueCela a laissé la tranchée découverte et aussi le bureau, sur lequel quelqu’un devait remplir le rapport à l’autorité de protection des données.

Méfiez-vous de Gdpr

Ensuite, notent les experts, aucune mention n’est faite dans la communication à la conséquences possibles résultant de l’incident informatique et de la des mesures concrètes mis en place pour en atténuer les effets. Mais la partie la plus controversée est celle qui concerne la création de la boîte aux lettres [email protected] « utilisable, exclusivement par les personnes dont les données ont été affectées par la violation, pour le signalement à l’INPS, en joignant toute preuve documentaire »..

« Il semble presque que la création de la boîte aux lettres soit en soi la mesure prise pour résoudre le problème ».il a expliqué à Câblé Enrico Ferraris, avocat spécialisé en la protection de la vie privée et le premier à signaler des incohérences dans la communication de l’Inps à partir de son profil Twitter : « En fait tout le contenu du Gdpr est manquant, qui prescrit clairement l’identification de la Dpo et les solutions proposées pour la résolution de l’accident ».…dit Ferraris. Et il ajoute : « Mais plus encore, ici, c’est l’inverse qui se produit la charge de l’identification des personnes concernées impliqués dans l’infraction : ils seraient tenus de recevoir un avis les informant que leurs données à caractère personnel étaient visibles par un nombre indéterminé de personnes »..

L’ampleur des dommages n’est pas connue, et elle n’est pas mesurable sur la seule base captures d’écran partagées par ceux qui ont tenté d’accéder au site de l’Inps et se sont retrouvés devant le les informations personnelles des autres utilisateurs. Selon certains rapports de l République Les informations présentées incluraient également les demandes faites pour obtenir le bonus baby-sitterqui ne semblent toutefois pas adéquates car elles indiquent une date antérieure à la fenêtre temporelle dans laquelle il était effectivement possible de les présenter.

Le rôle du garant

Il reste la certitude de la violation contre de l’armée des matchs de tva qui, déjà exaspérée par une pandémie qui vous empêche de sortir et de travaillerest au centre de la notification envoyée par l’Inps à la Garant de protection personnelle.

Il incombe désormais à l’autorité dirigée par Antonello Soro (dont le mandat, comme dans le cas de l’Inps dpo, a expiré il y a quelque temps dans l’inaction du Parlement italien) de mesurer, prévoir et éventuellement sanctionner: « Pour un tel incident, la sanction pourrait aller jusqu’à vingt millions d’euros – Ferraris souligne – mais le garant a avant tout le pouvoir de prendre des mesures correctives pour atténuer les effets de la violation et en empêcher d’autres »..

Avec un commentaire de votre compte Twitter officiel, l’Inps a répondu que cette communication critique serait suivie d’une autre. Mais les seuls remerciements qu’il a reçus en réponse ont été adressés aux responsables des médias sociaux qui, pendant des jours, ont fait preuve d’un professionnalisme inébranlable en répondant à la crise de l’image de l’institution. Peut-être que quelqu’un apprendra d’eux.