La mancata adozione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento dei dati personali determina le premesse di un data breach ed è pertanto sanzionabile, in particolare, se riconducibile ad un ente pubblico con rilevanti competenze istituzionali.
È quanto ha confermato il Garante privacy con provvedimento n. 147 del 28 aprile 2022, pubblicato sulla newsletter dello scorso 30 maggio. A essere sanzionato è stato l'INAIL, l'ente che gestisce l’assicurazione obbligatoria contro gli infortuni sul lavoro e le malattie professionali, per violazioni dei dati personali riguardanti il servizio online denominato “Sportello Virtuale Lavoratori”.
Ai fini della determinazione dell' ammontare della sanzione pecuniaria il Garante ha tenuto conto di specifici elementi e condotte. Quali sono?
Il Data breach è una violazione di sicurezza che comporta, in via accidentale o per atti illeciti, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Il titolare del trattamento (che può essere un soggetto pubblico, una impresa, un professionista, ecc.) è tenuto a notificare senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, la violazione dei dati personali al Garante privacy, fatto salvo il caso che la violazione non comporti (i.e. sia improbabile che comporti) un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare, in modo che possa attivarsi.
La notifica di una violazione di dati personali deve essere inviata tramite un’apposita procedura telematica, resa disponibile nel portale del Garante privacy. Tale notifica, se la violazione comporta un rischio elevato per i diritti delle persone, va accompagnata da una comunicazione a tutti gli interessati.
L'accesso illecito oggetto del provvedimento n. 147 del 28 aprile 2022 ha riguardato il servizio online dell'INAIL denominato “Sportello Virtuale Lavoratori”.
Gli utenti registrati al servizio (circa 400.000) sono lavoratori vittime di infortunio del lavoro o di malattia professionale a cui è data la possibilità di visualizzare lo stato delle pratiche, associate al proprio codice fiscale, aperte presso l'INAIL nonché i provvedimenti emanati dall’Istituto.
L'INAIL ha notificato al Garante tre diverse violazioni dei dati personali per lo “Sportello Virtuale Lavoratori”, verificatesi tra il 2019 e il 2020. La violazione dei dati personali ha riguardato:
nel primo caso, la visualizzazione, da parte di un soggetto utente del servizio, in due giornate differenti, di pratiche di infortunio e/o malattia professionale relative ad altri due utenti;
nel secondo caso, la visualizzazione di informazioni personali relative a pratiche di altri utenti (non identificabili) da parte della madre di un lavoratore assistito, loggatasi con le credenziali di quest'ultimo;
Il Garante privacy ricorda che il trattamento di dati personali da parte di soggetti pubblici può essere effettuato solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).
Con riguardo alle categorie particolari di dati personali, il trattamento è consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento).
Le operazioni di trattamento, e tra queste la “comunicazione” e la “diffusione” di dati personali, sono ammesse solo quando previste da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).
Il titolare deve, in particolare, assicurare che i dati siano “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f), del Regolamento) e mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio.
Il Garante privacy, rilevata l’illiceità del trattamento di dati personali effettuato dall’INAIL, passa a determinare l'ammontare della sanzione amministrativa applicabile (art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice) in funzione delle circostanze specifiche del caso.
Al riguardo è particolarmente interessante citare gli elementi di fatto su cui si è basato il processo di determinazione dell'importo della sanzione da irrogare (pari a 50.000 euro).
Il Garante ha valutato che, pur essendo gli incidenti di sicurezza isolati e riguardanti un numero esiguo di interessati, gli stessi fossero attribuibili a responsabilità dell’INAIL le cui rilevanti competenze istituzionali richiedono un elevato grado di responsabilizzazione, necessario a garantire la sicurezza del trattamento dei dati personali di un elevato numero di interessati.
Sono invece stati considerati come elementi a favore dell'Istituto:
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".