Data breach: sanzioni dal Garante privacy

Pubblicato il



Data breach: sanzioni dal Garante privacy

La mancata adozione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento dei dati personali determina le premesse di un data breach ed è pertanto sanzionabile, in particolare, se riconducibile ad un ente pubblico con rilevanti competenze istituzionali.

È quanto ha confermato il Garante privacy con provvedimento n. 147 del 28 aprile 2022, pubblicato sulla newsletter dello scorso 30 maggio. A essere sanzionato è stato l'INAIL, l'ente che gestisce l’assicurazione obbligatoria contro gli infortuni sul lavoro e le malattie professionali, per violazioni dei dati personali riguardanti il servizio online denominato “Sportello Virtuale Lavoratori”.

Ai fini della determinazione dell' ammontare della sanzione pecuniaria il Garante ha tenuto conto di specifici elementi e condotte. Quali sono?

Data breach: di cosa si tratta

Il Data breach è una violazione di sicurezza che comporta, in via accidentale o per atti illeciti, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Il titolare del trattamento (che può essere un soggetto pubblico, una impresa, un professionista, ecc.) è tenuto a notificare senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, la violazione dei dati personali al Garante privacy, fatto salvo il caso che la violazione non comporti (i.e. sia improbabile che comporti) un rischio per i diritti e le libertà delle persone fisiche.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare, in modo che possa attivarsi.

La notifica di una violazione di dati personali deve essere inviata tramite un’apposita procedura telematica, resa disponibile nel portale del Garante privacy. Tale notifica, se la violazione comporta un rischio elevato per i diritti delle persone, va accompagnata da una comunicazione a tutti gli interessati.

Data breach e Sportello Virtuale Lavoratori

L'accesso illecito oggetto del provvedimento n. 147 del 28 aprile 2022 ha riguardato il servizio online dell'INAIL denominato “Sportello Virtuale Lavoratori”.

Gli utenti registrati al servizio (circa 400.000) sono lavoratori vittime di infortunio del lavoro o di malattia professionale a cui è data la possibilità di visualizzare lo stato delle pratiche, associate al proprio codice fiscale, aperte presso l'INAIL nonché i provvedimenti emanati dall’Istituto.

L'INAIL ha notificato al Garante tre diverse violazioni dei dati personali per lo “Sportello Virtuale Lavoratori”, verificatesi tra il 2019 e il 2020. La violazione dei dati personali ha riguardato:

  • nel primo caso, la visualizzazione, da parte di un soggetto utente del servizio, in due giornate differenti, di pratiche di infortunio e/o malattia professionale relative ad altri due utenti;

  • nel secondo caso, la visualizzazione di informazioni personali relative a pratiche di altri utenti (non identificabili) da parte della madre di un lavoratore assistito, loggatasi con le credenziali di quest'ultimo;

  • nel terzo caso, la visualizzazione, causata da un “errore di processo”, di vari provvedimenti, con dati personali, relativi ad infortuni e/o malattia professionale (nome cognome, tipo di pratica, se malattia professionale o infortunio; informazioni stato e avanzamento pratica), di utenti di due specifiche sedi.

Trattamento di dati personali: regole per i soggetti pubblici

Il Garante privacy ricorda che il trattamento di dati personali da parte di soggetti pubblici può essere effettuato solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).

Con riguardo alle categorie particolari di dati personali, il trattamento è consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento).

Le operazioni di trattamento, e tra queste la “comunicazione” e la “diffusione” di dati personali, sono ammesse solo quando previste da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).

Il titolare deve, in particolare, assicurare che i dati siano “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f), del Regolamento) e mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio.

Data breach: sanzione del Garante privacy

Il Garante privacy, rilevata l’illiceità del trattamento di dati personali effettuato dall’INAIL, passa a determinare l'ammontare della sanzione amministrativa applicabile (art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice) in funzione delle circostanze specifiche del caso.

Al riguardo è particolarmente interessante citare gli elementi di fatto su cui si è basato il processo di determinazione dell'importo della sanzione da irrogare (pari a 50.000 euro).

Il Garante ha valutato che, pur essendo gli incidenti di sicurezza isolati e riguardanti un numero esiguo di interessati, gli stessi fossero attribuibili a responsabilità dell’INAIL le cui rilevanti competenze istituzionali richiedono un elevato grado di responsabilizzazione, necessario a  garantire la sicurezza del trattamento dei dati personali di un elevato numero di interessati.

Sono invece stati considerati come elementi a favore dell'Istituto:

  • il numero limitato di interessati dalle violazioni dei dati personali (inferiore a 10);
  • il fatto che, almeno in un caso, l’incidente fosse stato determinato da un “errore umano”;
  • la circostanza che l’Istituto avesse notificato tempestivamente le violazioni, prontamente informato gli interessati coinvolti nelle violazioni e adottato misure ritenute adeguate per porre rimedio alle violazioni e per attenuarne i possibili effetti negativi nei confronti degli interessati;
  • l'attività di collaborazione garantita nel corso dell’istruttoria dall'INAIL anche con l’ausilio del proprio Responsabile della protezione dei dati;
  • l'assenza di precedenti violazioni.
Allegati