La metro francese deraglia sulla privacy: prima la maxi sanzione e ora anche il data breach
Il mese scorso era stata sanzionata dall’autorità francese per la privacy (CNIL) con una bacchettata da 400.000 euro, ma i guai sui dati personali sembrano non finire per la RAPT. Infatti, la società francese che gestisce gran parte dei trasporti a Parigi e un gran numero di linee nei quartieri e comuni periferici con autobus, metro, e tram, nei giorni scorsi è finita di nuovo sotto la lente per un data breach che ha visto mettere a repentaglio i dati di 57mila dipendenti.
(Nella foto: Nicola Bernardi, presidente di Federprivacy. Ha curato il libro "Privacy e gestione del personale")
Partendo dai fatti di novembre, a seguito di una denuncia sporta da un'organizzazione sindacale, RATP aveva ricevuto una sanzione dalla Commission Nationale de l'Informatique et des Libertés perché aveva utilizzato i dati dei dipendenti in modo discriminatorio, inserendo il numero di giorni di sciopero degli agenti nei fascicoli di valutazione che servivano per predisporre le scelte di promozione.
Dai conseguenti accertamenti dell’autorità di controllo, erano però emerse anche altre violazioni in materia di privacy, a partire dalle carenze riscontrate sul periodo di conservazione e alla sicurezza dei dati, nonchè alla loro raccolta giudicata sproporzionata rispetto alle finalità perseguite.
Secondo la CNIL, la società RATP era infatti venuta meno rispetto ai propri obblighi di trattare solo i dati strettamente necessari secondo il principio di “minimizzazione”, in quanto nei fascicoli degli agenti avrebbe dovuto indicare solo il numero di giorni di assenza, senza che fosse necessario specificare il motivo dell'assenza legato all'esercizio del diritto di sciopero.
Inoltre, tali dati del personale erano utilizzati tramite un'applicazione che consentiva di monitorare l'attività degli agenti, mediante funzionalità di visualizzazione ed estrazione di una grande quantità di informazioni principalmente dai sistemi informativi delle risorse umane di RATP, in violazione dell'obbligo di limitazione del periodo di conservazione dei dati richiesto dall’art. 5 del Gdpr, per cui la società avrebbe dovuto mantenere i dati solo 18 mesi dopo che si erano svolte le commissioni di valutazione delle promozioni, mentre in realtà è stato accertato che a distanza di 3 anni le informazioni permanevano ancora nell’applicazione usata dalle risorse umane.
Dal quadro rilevato a novembre era quindi scaturita la sanzione da 400.000 euro per la RATP, la quale però richiama ora di nuovo l’attenzione dell’autorità, stavolta per un data breach che ancora una volta riguarda i dati del personale.
A fare la scoperta è stato il team di esperti di sicurezza di vpnMentor, che nei giorni scorsi ha reso noto di aver trovato in rete un vecchio server “http” di 1 gigabyte contenente oltre 3 milioni di record con i dati personali di 57.000 dipendenti di RATP ed accessibile a chiunque abbia competenze di base di navigazione sul web. Secondo gli esperti, il server veniva utilizzato per archiviare dati altamente sensibili mettendo a repentaglio la sicurezza e l'incolumità di 10.000 persone in tutta la Francia, a quanto pare esponendole a enormi rischi.
C’è quindi di nuovo lavoro per il garante per la privacy francese, e resterà da vedere se negli accertamenti che ne seguiranno ne deriverà un'altra pesante sanzione, oppure la CNIL valuterà queste ultime violazioni come già ricomprese nel pacchetto di infrazioni già contestate nel precedente procedimento che si era concluso con la sanzione da 400.000 euro. In ogni caso, con il rispetto della privacy la RATP non ci sta facendo proprio una bella figura.