GPDP svedese: emessa sanzione amministrativa da 35 mln di corone contro la compagnia assicurativa Trygg-Hansa, per carenze in materia di sicurezza dati

Un caso di violazione della privacy dei dati in Svezia ha portato a una significativa sanzione nei confronti della compagnia assicurativa Trygg-Hansa. Questo scandalo ha suscitato preoccupazioni sulla gestione dei dati personali sensibili e ha portato all’intervento dell’Autorità per la Protezione dei Dati svedese, nota come SA o IMY (Integritetsskyddsmyndigheten).

L’origine di questo caso risale a una denuncia presentata presso l’IMY dalla persona che ha ricevuto un’email da Trygg-Hansa, all’epoca conosciuta come Moderna Försäkringar. L’email conteneva un collegamento a una pagina web che forniva preventivi assicurativi. Tuttavia, ciò che ha destato preoccupazione è stato il fatto che questa pagina consentiva l’accesso ai documenti relativi all’assicurazione di altri clienti senza richiedere alcuna autenticazione. Bastava sostituire alcuni numeri nell’URL per accedere ai dati di altre persone.

L’indagine condotta dall’IMY ha rivelato una situazione allarmante. Tra ottobre 2018 e febbraio 2021, è stato possibile accedere ai dati di ben 650.000 clienti. Questi documenti contenevano informazioni altamente sensibili, compresi dettagli sulla salute dei clienti, dati finanziari, dettagli di contatto, numeri di previdenza sociale e informazioni sulle loro polizze assicurative. La quantità di dati personali resi accessibili ha permesso di creare un quadro dettagliato della vita privata di ciascun individuo coinvolto.

Nella sua decisione, l’IMY ha sottolineato che le carenze nel sistema di sicurezza erano di tale gravità che la compagnia avrebbe dovuto individuarle e affrontarle prima ancora dell’implementazione del sistema informatico in questione. La mancanza di adeguate misure tecniche per proteggere i dati dei clienti è stata considerata una negligenza grave da parte della compagnia.

Di conseguenza, l’IMY ha inflitto a Trygg-Hansa una sanzione amministrativa di 35 milioni di corone svedesi, pari a circa 2,8 milioni di euro. Questa sanzione serve come avvertimento per tutte le aziende che gestiscono dati sensibili, sottolineando l’importanza di mettere in atto misure di sicurezza adeguate per proteggere la privacy dei clienti.

Questo caso mette in luce la crescente attenzione delle autorità di regolamentazione alla protezione dei dati personali e sottolinea l’obbligo delle aziende di garantire una gestione adeguata e sicura dei dati dei propri clienti. La decisione di 35 milioni di corone è un segnale forte che richiama all’attenzione di tutte le aziende che trattano dati personali sulla necessità di proteggere con efficacia queste informazioni preziose.