skip to Main Content

Data breach: GPDP sanziona l’INAIL per 50.000 euro per violazioni nella gestione dello “Sportello Virtuale”

Lo “Sportello Virtuale” gestito dall’INAIL ha consentito ad alcuni utenti di accedere alle cartelle di altri lavoratori relative ad infortuni e malattie professionali. In un caso l’incidente è avvenuto a seguito dell’esecuzione di una obsoleta release del “Virtual Desk” a causa di un errore umano. Dalle indagini è emerso che l’INAIL era responsabile per accessi non autorizzati a dati personali di terzi (ovvero altri utenti), compresi i dati sanitari (art. 4.10 GDPR), che costituivano la divulgazione non autorizzata di dati personali; e che non erano in atto misure tecniche e organizzative adeguate per garantire l’adeguato livello di sicurezza alla luce dei rischi derivanti dal trattamento in questione, che si è tradotto a sua volta nelle violazioni dei dati personali in questione.

Il Garante ha ritenuto che un ente pubblico incaricato di funzioni pubbliche chiave che comportano il trattamento di dati altamente sensibili – relativi a volte a soggetti altamente vulnerabili quale è l’INAIL- fosse tenuto, in base al principio di responsabilità, ad attuare misure tecniche e organizzative atte a garantire la riservatezza dei dati e integrità permanente dei relativi sistemi e servizi. Tenuto conto dell’approccio pienamente collaborativo mostrato dall’INAIL nel corso delle attività istruttorie nonché dell’esiguo numero di soggetti interessati dalle violazioni dei dati in questione, la SA italiana ha inflitto una sanzione amministrativa di 50.000 euro.

 

 

 

Back To Top