Sanzioni per data breach: il Garante multa l’INAIL

Sanzioni per data breach: il Garante colpisce anche gli Enti Pubblici

l’INAIL segnala tre data breach

Tra il 2019 e il 2020 L'INAIL ha segnalato Al Garante ben tre Data Breach. Le violazioni in questione riguardano lo sportello on - line dell'Ente Previdenziale tramite il quale gli utenti possono avere accesso ai dati relativi alle loro pratiche in essere. Nel provvedimento del Garante si legge che gli utenti registrati al portale sono circa 400.000 e che il servizio dovrebbe consentire agli utenti di visualizzare soltanto le pratiche collegate al proprio codice fiscale.

I tre breach hanno comportato l’esposizione dei dati a soggeti terzi che hanno potuto visualizzare i dati altrui.

I tre eventi segnalati al Garante

In tre occasioni in questo lasso di tempo alcuni utenti hanno avuto accesso a dati personali di altri utenti. Tra questi dati esposti anche dati sensibili perché relativi allo stato di salute degli interessati.

L’Istituto sul primo dei tre breach, ha dichiarato, che gli eventi si sarebbero verificati a causa delle

configurazione delle infrastrutture software e middleware.

E che si sia trattato

di una situazione contingente o quantomeno molto rara.

Altro problema è che, nonostante tutte le consultazioni sul servizio siano tracciate, l’anomalia non ha lasciato traccia nei sistemi di logging. Per questo l’INAIL ha sospeso il servizio, adottato misure tecniche e organizzative volte a impedire simili esposizioni di dati, ed ha proceduto poi a riportare il servizio all’operatività.

Stop operativo che non ha risolto le problematiche visto che ancora, nel 2020, sono stati visualizzati dati che avrebbero dovuto essere riservati.

Il provvedimento del Garante: sanzione per i data breach

L’istruttoria del Garante ha permesso di ricostruire i tre data breach occorsi al servizio “Sportello Virtuale Lavoratori”. In uno dei tre casi, il breach si è verificato a causa di errore umano. Il Garante ha poi sentito anche gli autori della presunta violazione.

Ciò nonostante, si legge nel provvedimento:

le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria […], seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento.

La sanzione di 50.000 euro viene quindi calcolata tenendo di conto

• del numero esiguo di persone coinvolte dai data breach;
• della piena collaborazione dell’Ente.

Nel provvedimento, l’Autorità ha rimarcato che un Ente con così significative competenze istituzionali, che comportano il trattamento di dati particolarmente delicati riferibili a interessati anche vulnerabili, è tenuto ad adottare, in linea con il principio di responsabilizzazione richiesto dal GDPR, misure tecniche e organizzative che assicurino su base permanente la riservatezza dei dati trattati, nonché l’integrità dei relativi sistemi e servizi.

Qui è disponibile il provvedimento completo: Ordinanza ingiunzione nei confronti di Istituto Nazionale Assicurazione Infortuni sul Lavoro – 28 aprile 2022