«Dimenticata» per due anni la multa all’Inps

Soltanto dopo l’intervento della Corte dei conti, il Garante per la privacy ha notificato la sanzione all’Istituto di previdenza per la fuga di dati dell’aprile 2020 sui bonus Covid. Eppure, l’allora presidente Antonello Soro aveva promesso: «agiremo con urgenza».Primo aprile 2020: milioni di italiani si affollano davanti al pc per richiedere l’indennità Covid da 600 euro voluta dall’ex premier Giuseppe Conte. Il portale dell’Inps, però, va subito in crash e centinaia di utenti che entrano con il proprio codice pin, compresi operatori di patronati e associazioni di categoria, si trovano schermate piene di dati personali di persone che non conoscono. Gli screenshot diventano subito virali sui social. E in oltre 200 casi le domande ancora in bozza per il bonus babysitter furono modificate e inviate da estranei o, addirittura, cancellate. Gli accessi che presentarono anomalie, invece, si attestarono sui 773. L’Autorità del garante per i dati personali si affannò subito a intimare che «chiunque» fosse «venuto a conoscenza di dati personali altrui» avrebbe dovuto evitare di «comunicarli a terzi o diffonderli, ad esempio sui canali social». Troppo tardi. La frittata ormai era fatta. Codici fiscali, numeri di cellulare, indirizzi, mail private e certificate, nomi di figli minorenni (due domande contenevano anche l’indicazione della presenza di una disabilità grave) e stati di disoccupazione erano già in giro. Così come i dati di personale del comparto sicurezza, difesa e soccorso pubblico.Ma il garante per la privacy Antonello Soro pontificò con le agenzie di stampa: «Siamo molto preoccupati per questo gravissimo data breach. Abbiamo immediatamente preso contatto con l’Inps e avvieremo i primi accertamenti». Solo dopo oltre due anni, però, e su sollecitazione del magistrato della Corte dei conti delegato al controllo, l’Autorità garante della privacy ha aperto il procedimento sanzionatorio. Per la verità, il 14 maggio 2020 arrivò una «comunicazione agli interessati coinvolti», nella quale, stando ai contenuti, sembrava che l’istruttoria fosse già in una fase avanzata. Alla riunione presero parte Soro, la vicepresidente Augusta Iannini, le componenti Giovanna Bianchi Clerici e Licia Califano e il segretario generale Giuseppe Busia. I presenti, nelle conclusioni, valutavano «le violazioni dei dati personali in esame» come «suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche». Nella lunga filippica che è ancora presente sul sito web del Garante per la privacy viene anche usata la parola «urgenza» per le comunicazioni da inviare agli interessati coinvolti. E alla fine è stato intimato all’Inps «di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato entro il termine di 20 giorni dalla data della ricezione». Pena una sanzione amministrativa pecuniaria.La questione è stata riesumata quando, il 15 marzo scorso, il magistrato della Corte dei conti ha protocollato una nota con la quale «sono state richieste al Garante per la protezione dei dati personali notizie in ordine alle iniziative eventualmente assunte con riguardo alle vicende legate al blocco del sito istituzionale Inps verificatosi l’1 aprile 2020 in occasione dell’erogazione delle indennità Covid». E il Garante si è svegliato. Rispondendo che «all’esito degli accertamenti, questa Autorità ha notificato all’Inps le presunte violazioni riscontrate». Data: 17 maggio 2022. Esattamente due anni e 17 giorni dopo il crash e due anni e tre giorni dopo l’avvio del procedimento. All’Inps La Verità ieri ha chiesto lumi sul fascicolo, senza ottenere risposta. Dall’ufficio stampa del Garante invece si sono attivati per le verifiche con il «responsabile del procedimento» che, però, alla fine, non è stato possibile contattare in giornata.Stando a quanto riportò Repubblica subito dopo la riunione del 14 maggio 2020, l’Istituto guidato da Pasquale Tridico si difese sostenendo che «la violazione non era tale da rappresentare un rischio elevato per i diritti e le libertà delle persone»: perché i 68 che aprirono le domande per il bonus babysitter per dare un’occhiata erano «per la quasi totalità residenti in altre regioni», la visualizzazione di quei dati era legata alla «casualità» ed era «impossibile fare ricerche mirate». L’Authority, invece, riteneva «il rischio elevato», segnalando che le anomalie sarebbero state «più ampie» di quelle segnalate dall’Inps e che si riferissero a un lasso di tempo anche di molto successivo all’1 aprile. Ma anche in data antecedente. Come dimostra una delle segnalazioni arrivate al Garante, con la quale fu rappresentato che alle ore 18,22 del 31 marzo 2020 una delle vittime fu contattata da un altro utente che, «dopo aver avuto accesso al portale con le proprie credenziali di autenticazione, in quel momento stava visualizzando i dati personali dell’interessata, inclusi il numero di cellulare, i dati dei pagamenti ricevuti dall’Inps in seguito a richieste connesse allo stato di disoccupazione (incluso l’Iban), le attestazioni Isee richieste, il fascicolo previdenziale con i dati relativi all’attività lavorativa (datori di lavoro, contributi versati, durata dei rapporti di lavoro), nonché i certificati di malattia». L’aspetto che più lascia perplessi, però, è che dal Garante, stando alla comunicazione inviata al magistrato contabile, hanno fatto sapere che finalmente si potrà dare «avvio al procedimento per l’adozione dei provvedimenti sanzionatori e correttivi». Passi per quelli sanzionatori, che pure sembrano arrivare con una certa calma. Ma i correttivi, a oltre due anni dal crash, hanno il sapore della beffa. Con «l’urgenza» che nel frattempo è andata a farsi benedire.