NEWS

Accessi accidentali ai dati personali da parte di terzi: necessarie adeguate misure di sicurezza per assicurarne la riservatezza

Ha destato interesse il Provvedimento del 28 Aprile 2022 (doc. web 9771184) con il quale l’Autorità Garante ha sanzionato l’Istituto Nazionale Assicurazione Infortuni sul Lavoro (INAIL) per tre incidenti di sicurezza occorsi tra il 2019 e il 2020 consistiti nell’accesso illegittimo di terzi a pratiche di infortunio e malattia professionale di altri lavoratori. Dei tre incidenti, in un caso, la causa è risultata ascrivibile a un errore umano.

Il data breach dell'INAIL è stati causato da un errore umano

Nello specifico la prima e seconda violazione ha riguardato la visualizzazione illegittima di otto persone, mentre la terza violazione il download in formato Pdf di dati personali di due persone.

La prima e seconda violazione ha sostanzialmente consentito la visualizzazione di informazioni quali la natura della pratica (malattia professionale o infortunio); l’iban, le somme concernenti prestazioni erogate e lo stato di lavorazione della pratica.

La terza violazione consentiva lo scaricamento di documenti in Pdf contenenti informazioni e dati personali particolari (sensibili) di altri lavoratori.

L’Ente ha subito riconosciuto a tali eventi un livello di gravità alto, ed ha provveduto tempestivamente alla notifica delle predette violazioni dei dati personali all’Autorità informando prontamente gli interessati coinvolti nelle violazioni.

Ci soffermiamo brevemente, non tanto sulla gestione del data breach, ai sensi degli articoli 33 e 34 Reg. (UE) 2016/679, quanto sui dettagli degli incidenti. Sulle loro cause l’Ente ha osservato che in merito ai primi due incidenti queste sarebbero ignote in quanto ascrivibili a problemi di “configurazione delle infrastrutture software e middleware”, tali da non lasciare informazioni nel sistema di logging”.

L’ipotesi più accreditata è che l’incidente possa essere connesso alla gestione delle sessioni applicative sui web server che erogano il servizio. Sotto questo profilo viene ipotizzato che la causa possa risiedere in comportamenti non documentati delle piattaforme software acquistate dall’Ente (sistemi operativi, application server, ecc.), per le quali l’Istituto non può che limitarsi ad applicare regolarmente le patch correttive distribuite dai relativi fornitori” L’ultimo incidente si è verificato, invece, a seguito dell’esecuzione di una versione non aggiornata del software che eroga il servizio, a causa di un errore umano.

La vicenda ci consente di ricordare che in tema di sicurezza dei dati in virtù del principio di responsabilizzazione il titolare deve assicurare che i dati siano trattati in maniera da garantire un’adeguata sicurezza, mediante misure tecniche e organizzative adeguate, per ridurre il rischio di accessi non autorizzati o illeciti, perdita, distruzione o danno accidentali” (art. 5, par. 1, lett. f), del Regolamento).

Nel caso affrontato dall’Autorità Garante abbiamo accessi accidentali a dati personali di terzi anche di natura sensibile.

In conclusione, questo della sicurezza dei dati è un profilo centrale nella disciplina sulla protezione dei dati. Infatti, il titolare del trattamento è tenuto ad adottare adeguate misure tecniche e organizzative per assicurare su base permanente la riservatezza dei dati trattati, nonché l’integrità dei sistemi e dei servizi di trattamento e che, in ogni caso, deve adottare procedure “per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (cfr. art. 32, par. 1, lett. b) e d), del Regolamento).

Note Autore

Marco Soffientini Marco Soffientini

Avvocato esperto di protezione dei dati personali, Data Protection Officer di Federprivacy. Autore Ipsoa, docente Unitelma Sapienza, Privacy Officer certificato TÜV Italia, Fellow Istituto Italiano Privacy.  - Twitter: @msoffientini1

Prev Approvato in via definitiva il Digital Markets Act: gli impatti sui trattamenti di dati personali
Next La maledizione del Dpo

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy