Sanzioni per data breach: il Garante non risparmia neppure gli enti pubblici e “stacca” una sanzione da 50.000 euro all’INAIL
L’Antefatto: l’INAIL segnala tre data breach
L’INAIL comunicava al Garante tre diversi data breach subiti, tra il 2019 e il 2020. I breach hanno riguardato lo “Sportello virtuale Lavoratori”. E’ questo un servizio online di INAIL che consente ai lavoratori vittime di infortunio o di malattia professionale, di verificare lo stato delle pratiche aperte e i provvedimenti emanati dall’INAIL. Nel provvedimento del Garante si legge che gli utenti registrati al portale sono circa 400.000 e che il servizio dovrebbe consentire agli utenti di visualizzare soltanto le pratiche collegate al proprio codice fiscale.
I tre breach hanno comportato l’esposizione dei dati qui contenuti. In dettaglio soggetti terzi hanno avuto accesso, in tre diverse occasioni, alle pratiche di infortunio e malattia professionale di altri utenti e non ai propri.
I tre eventi segnalati al Garante
Le esposizioni di dati personali sono avvenuti, tra Maggio 2019 e Aprile 2020. In tre occasioni in questo lasso di tempo alcuni utenti hanno avuto accesso a dati personali di altri utenti. Tra questi dati esposti anche dati sensibili perché relativi allo stato di salute degli interessati.
L’Istituto sul primo dei tre breach, ha dichiarato, che gli eventi si sarebbero verificati a causa delle
configurazione delle infrastrutture software e middleware.
E che si sia trattato
di una situazione contingente o quantomeno molto rara.
Altra problema è che, nonostante tutte le consultazioni sul servizio siano tracciate, l’anomalia non ha lasciato traccia nei sistemi di logging. Per questo l’INAIL ha sospeso il servizio, adottato misure tecniche e organizzative volte a impedire simili esposizioni di dati, ed ha proceduto poi a riportare il servizio all’operatività.
Pochi mesi dopo però il Garante riceve seconda segnalazione dall’Inail: una cittadina madre di un interessato, accedendo ai servizi online con le credenziali del figlio, ha visualizzato le pratiche di altre persone. In questo caso, spiega INAIL, le persone coinvolte sarebbero state 6, non identificabili. I dati esposti sarebbero stati iban, somme erogate, stato di lavorazione delle pratiche.
Non c’è due senza tre: l’ultimo data breach segnalato risale all’Aprile 2020. L’INAIL segnala una terza violazione di dati personali avvenuta sempre nel contesto dello Sportello Virtuale. Un utente segnalava, con tanto di screenshot, l’accesso ai dati di utenti terzi. Questi dati erano personali e riferiti ad utenti delle sedi INAIL di La Spezia e Palermo.
Il provvedimento del Garante: sanzione per i data breach
L’istruttoria del Garante ha permesso di ricostruire i tre data breach occorsi al servizio “Sportello Virtuale Lavoratori”. In uno dei tre casi, il breach si è verificato a causa di errore umano. E’ stata cioè eseguita una versione non aggiornata dello Sportello Virtuale. La causa tecnica dei primi due episodi resta comunque, a tutt’oggi, ignota.
E’ stato però verificato che l’INAIL ha proceduto di aver contattato gli utenti che hanno avuto accesso ai dati di terzi per richiedere informazioni e ricostruire ed affrontare la problematica.
Ciò nonostante, si legge nel provvedimento:
le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria […], seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento.
La sanzione di 50.000 euro viene quindi calcolata tenendo di conto
- del numero esiguo di persone coinvolte dai data breach;
- della piena collaborazione dell’Ente.
Nel provvedimento, l’Autorità ha rimarcato che un Ente con così significative competenze istituzionali, che comportano il trattamento di dati particolarmente delicati riferibili a interessati anche vulnerabili, è tenuto ad adottare, in linea con il principio di responsabilizzazione richiesto dal GDPR, misure tecniche e organizzative che assicurino su base permanente la riservatezza dei dati trattati, nonché l’integrità dei relativi sistemi e servizi.
Qui è disponibile il provvedimento completo > Ordinanza ingiunzione nei confronti di Istituto Nazionale Assicurazione Infortuni sul Lavoro – 28 aprile 2022
Cerchi piattaforme per adempiere a 360° al GDPR ed evitare sanzioni? Vedi qui!
Oppure ti serve formazione? O un consulente privacy? Abbiamo quel che cerchi!
