NEWS

Quando una distrazione con Excel può causare una violazione della privacy di migliaia di persone e costare una sanzione da quasi 1 milione di euro

Chi usa programmi come Excel per redigere statistiche e report sa bene quanto siano utili le applicazioni per la gestione di fogli elettronici. Tuttavia, come in tutti i casi in cui si trattano dati personali, una distrazione può causare una violazione della privacy con conseguenze disastrose.

Una distrazione con Excel può causare una violazione della privacy a migliaia di persone e costare una sanzione da quasi 1 milione di euro

Spesso, accade infatti che partendo da un database estrapolato da un gestionale e scaricato in Excel, si faccia poi una copia del foglio di lavoro principale per non perdere i dati originari, per poi lavorare sul nuovo foglio aggiungendo e togliendo dati in base a ciò che serve per realizzare l’elaborato di cui abbiamo bisogno.

Il problema che non permette di concedersi distrazioni sorge però se dobbiamo condividere quel file con qualcun altro.

Infatti, che si tratti di un collega di un altro ufficio o di un cliente esterno alla nostra azienda, o peggio se il file è destinato ad essere pubblicato online, se ci si dimentica di eliminare il foglio di lavoro con i dati originari, chi lo riceve potrà venire a conoscenza di molte più informazioni di quelle che avremmo dovuto trasmetterle, compresi dati personali che magari nel nuovo foglio avevamo accuratamente cancellato o anonimizzato, ma che per errore umano sono rimasti presenti in forma integrale nel foglio di lavoro originario rimasto nello stesso file, e neanche “nascosti” più di tanto, perchè basta dare un'occhiata tra le schede del file.

È quanto accaduto a un funzionario del servizio di Polizia dell’Irlanda del Nord (Police Service of Northern Ireland), che il 3 agosto dello scorso anno aveva ricevuto due richieste dalla stessa persona tramite “WhatDoTheyKnow”, un servizio che permette ai cittadini del Regno Unito di ottenere informazioni e statistiche anonimizzate da enti governativi e pubbliche amministrazioni.

Le richieste riguardavano esclusivamente dati generali sul “numero di ufficiali per grado e il numero di personale per grado” con distinzione tra quelli che erano assunti a tempo indeterminato o temporanei, informazioni quindi anonime e puramente statistiche.

E per fare i calcoli il funzionario di polizia le aveva scaricate come file Excel con un singolo foglio di lavoro dal sistema di gestione delle risorse umane (SAP) del Police Service of Northern Ireland, e nel creare il report per la divulgazione aveva poi creato altri fogli di lavoro all'interno dello stesso file Excel scaricato, ma al termine dell’elaborazione, la scheda con il foglio di lavoro originario, contenente i dati personali degli ufficiali di polizia, era rimasto inosservato e il file finiva per essere caricato sul sito WhatDoTheyKnow, accessibile al pubblico.

Il cittadino che aveva richiesto le statistiche vedeva quindi pubblicato, ed accessibile online da tutti i fruitori del servizio, un file molto più dettagliato di quanto avrebbe mai potuto immaginare, completo di nomi e cognomi, grado e ruolo ricoperto di tutti i 9.483 ufficiali e personale della polizia dell’Irlanda del Nord.

Anche se la polizia irlandese veniva subito avvisata della violazione dai suoi stessi ufficiali lo stesso giorno, e il file veniva reso inaccessibile agli utenti nel pomeriggio, ormai la frittata era però fatta, e l’autorità per la protezione dei dati inglese (ICO) non poteva fare altro che prendere atto della clamorosa violazione della privacy degli ufficiali di polizia.

Tuttavia, “consapevole dell'attuale situazione finanziaria del Police Service of Northern Ireland e non volendo distogliere denaro pubblico da dove è necessario”, il garante inglese ha ritenuto di usare la sua discrezione per applicare in questo caso l'approccio del settore pubblico, e una multa che per un’azienda privata sarebbe stata di 5,6 milioni di sterline (circa 6,72 milioni di euro), è stata invece quantificata in 750.000 sterline, pari a circa 900.000 euro.

Note sull'Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev L’ex dipendente fa la spia sulle vulnerabilità delle misure di sicurezza delle cartelle cliniche dei pazienti e l’ospedale prende 200.000 euro di multa
Next Linkedin, maxi multa da 310 milioni di euro per violazione del Gdpr

Vademecum per prenotare online le vacanze senza brutte sorprese

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy