Garante Privacy, INAIL sanzionata per data breach

Violazione della privacy da parte dell’Istituto Nazionale per l’Assicurazione contro gli Infortuni sul Lavoro (INAIL). Tra maggio 2019 e aprile 2020, si sono verificati incidenti informatici che hanno permesso l’accesso non autorizzato ai dati di alcuni lavoratori.

Ora il Garante per la Protezione dei Dati Personali (GPDP) ha multato l’Istituto.

“Un ente con così significative competenze istituzionali, che comportano il trattamento di dati particolarmente delicati riferibili a interessati anche vulnerabili, è tenuto ad adottare, in linea con il principio di responsabilizzazione richiesto dal GDPR, misure tecniche e organizzative che assicurino su base permanente la riservatezza dei dati trattati, nonché l’integrità dei relativi sistemi e servizi”, si legge nell’istruttoria dell’Autorità.

Violazioni di dati personali (data breach) 

Secondo la ricostruzione dei fatti, i tre incidenti di sicurezza sarebbero stati tutti relativi allo Sportello virtuale lavoratori, il portale online dei servizi INAIL. Le violazioni hanno comportato la visualizzazione, da parte di soggetti terzi, di pratiche di infortunio e malattia professionale di altri utenti.

L’INAIL, a sua difesa, ha spiegato all’Autorità di aver sospeso il servizio dello sportello e di aver adottato alcune misure per prevenire il ripetersi dell’accaduto.

Le misure tecniche adottate da INAIL

L’Istituto ha provveduto a ripetere i test di sicurezza, implementando nuovi meccanismi di logging e attivando un controllo analitico per lo Sportello virtuale lavoratori.

Inoltre ha introdotto un modulo centralizzato per “svolgere verifiche di congruenza fra le informazioni di sessione, i cookie di sessione e l’IP di provenienza delle richieste. Consentendo, così, un innalzamento del livello di tracking”, si legge nell’ordinanza.

La sanzione

Il Garante privacy, al termine dell’istruttoria, ha rilevato “l’illiceità del trattamento di dati personali effettuato dall’Istituto, che ha comportato l’accesso non autorizzato da parte di soggetti diversi dagli interessati ai dati personali, anche relativi alla salute, di altri utenti, in maniera non conforme ai principi di liceità, correttezza e trasparenza e di integrità e riservatezza”.

Inoltre, l’Istituto sarebbe in mancanza di “misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio presentato dal trattamento”.

Infine, il GPDP, avendo tenuto conto della piena collaborazione offerta dalla pubblica amministrazione nel corso dell’istruttoria e del numero minimo di persone coinvolte nei data breach, ha commiato all’Ente una sanzione di 50.000 euro.

Articolo di I.M.