Garante per la protezione dei dati personali: Ordinanza ingiunzione n.147 del 28 aprile 2022.
1. I fatti
L’Istituto Nazionale Assicurazione Infortuni sul Lavoro (di seguito “INAIL”), aveva notificato al Garante tre diversi data breach che si erano verificati nel corso del 2019 e del 2020 ed avevano avuto ad oggetto il servizio on line Sportello Virtuale Lavoratori, a seguito dei quali dei soggetti terzi avevano potuto vedere delle pratiche di infortunio e malattia professionale di altri utenti.
Il suddetto sportello virtuale permette, ai cittadini che hanno subito un infortunio sul lavoro o che hanno una malattia professionale, di visualizzare lo stato delle proprie pratiche che sono aperte presso INAIL e di scaricare i relativi provvedimenti adottati da detto Ente.
In particolare, l’INAIL in una prima notifica al Garante aveva segnalato che, nel corso del 2019, un soggetto, accedendo allo Sportello Virtuale Lavoratori, aveva potuto visualizzare, in due differenti giornate, le pratiche di infortunio o malattia professionale relative ad altri due soggetti. Secondo la ricostruzione di INAIL, tale data breach si era verificato per un problema alla configurazione delle infrastrutture software e middleware e che tale situazione fosse contingente o comunque molto rara. Inoltre, l’INAIL aveva segnalato al Garante che, al fine di porre rimedio alla violazione dei dati personali, l’Ente aveva sospeso il servizio dello Sportello e aveva adottato delle misure tecniche e organizzative volte a prevenire in futuro simili data breach, oltre ad avere prontamente informato gli interessati i cui dati erano stati oggetto di violazione.
In un secondo momento, l’INAIL aveva notificato al Garante un secondo data breach avvenuto nell’ottobre del 2019.
In particolare, una signora aveva segnalato all’INAIL che dopo aver avuto accesso allo Sportello Virtuale usando le credenziali del figlio, aveva visualizzato delle pratiche appartenenti ad altre persone, senza però che fossero ivi presenti dei dati identificativi riconducibili agli interessati cui le pratiche si riferivano. All’esito del controllo effettuato da INAIL era emero che erano state erroneamente associate al nominativo del figlio della signora delle pratiche relative ad altri utenti, ma che non contenevano i dati identificativi di questi ultimi né essi erano identificabili. Inoltre, INAIL segnalava al Garante che si era trattato nuovamente di una situazione contingente o comunque molto rara e che la violazione aveva coinvolto soltanto 6 interessati e aveva avuto ad oggetto solo il tipo di pratica, l’iban e le somme erogata dell’istituto nonché lo stato della pratica.
Infine, nel 2020, l’INAIL notificava al Garante una terza violazione dei dati personali che aveva coinvolto sempre lo Sportello Virtuale Lavoratori. In particolare, un utente, nell’aprire la propria posizione, aveva visualizzato i vari provvedimenti con i relativi dati personali di altri utenti della sede di La Spezia e Palermo. Nella notifica l’INAIL precisava che detta ultima violazione aveva riguardato dati relativi ad infortuni e/o a malattia professionale (e precisamente nome e cognome dell’interessato, tipo di pratica e stato di avanzamento), aveva riguardato soltanto due interessati ed era stata determinata da un errore di processo che aveva comportato l’utilizzo di una versione errata del software. Infine, l’INAIL segnalava al Garante che era stato possibile per l’utente scarica la documentazione in formato .pdf contenente i dati di cui sopra e che aveva provveduto a comunicare la violazione ai due interessati.
In considerazione di ciò, il Garante ha avviato l’istruttoria nei confronti dell’Istituto per verificare le possibili violazioni alla normativa in materia di privacy.
2. Le misure adottate da INAIL
L’INAIL ha fatto presente al Garante che l’Istituto aveva adottato tutta una seria di misure tecniche e organizzative per porre rimedio alla violazione dei dati personali.
In particolare, l’Istituto aveva ripetuto i testi di sicurezza avvalendosi di criteri e strumenti di verifica aggiornati, aveva introdotto degli ulteriori meccanismi di logging, aveva attivato un sistema di monitoraggio dello Sportello Virtuale molto analitico per capire le cause del problema, aveva introdotto un sistema di verifica della congruenza fra le informazioni di sessione, i cookie di sessione e gli IP di provenienza delle richieste (in modo da poter aumentare il livello del tracking degli accessi).
Tuttavia, nonostante tali misure, si era comunque verificata la terza violazione dei dati personali, in quanto per un errore di processo era stata utilizzata una versione errata dell’applicativo.
Infine, segnalava l’INAIL che, dopo che era stata caricata la versione corretta del software, non erano più stati rilevate ulteriori problematiche.
Potrebbero interessarti anche:
- Il Garante privacy è intervenuto sui noti data breach del portale web INPS avvenuti durante la richiesta del bonus baby sitter
- Data Breach alla regione Lazio: la gravità dipende dalla reazione
- Data Breach: casi e questioni pratiche
3. Le difese di INAIL
Su richiesta del Garante, l’INAIL ha formulato le proprie difese evidenziando, in primo luogo, che il numero delle persone coinvolte e dei dati visualizzati sia stato limitato. Infatti, complessivamente i 3 data breach, hanno comportato la visualizzazione dei dati personali di n. 8 persone e la visualizzazione in formato .pdf di dati personali di n. 2 persone.
In secondo luogo, l’INAIL ha immediatamente adottato una serie di contromisure di sicurezza per ridurre l’impatto delle violazioni e per evitare che le stesse potessero verificarsi nuovamente in futuro, nonché ha prontamente notificato l’accaduto al Garante e agli interessati.
In terzo luogo, l’INAIL ha evidenziato che le visualizzazioni dei dati da parte dei soggetti terzi è avvenuta a seguito di un incidente che, come tale, era fuori dal controllo dell’INAIL ed esulava dalla sua volontà.
A tal proposito, l’Istituto ha altresì evidenziato che l’applicazione di contromisure di sicurezza non garantisce comunque che non si possano più verificare incidenti del genere, in quanto la sicurezza non è completamente controllabile dal titolare del trattamento ed è in continua evoluzione. Inoltre, nel caso di specie, non si poteva dimostrare che la progettazione delle misure di sicurezza da parte di INAIL non fosse adeguata rispetto allo stato dell’arte, né che vi erano contromisure che erano state identificate ma non adottate dal titolare del trattamento oppure sistemi di sicurezza non presi in considerazione da quest’ultimo.
Inoltre, l’INAIL sosteneva che lo Sportello Virtuale era sottoposto a collaudi periodici funzionali e di stress nonché a prove di accessibilità e verifiche di sicurezza prima di ogni rilascio in produzione.
Infine, l’INAIL si difendeva sostenendo che la causa tecnica delle violazioni fosse ancora allo stato ignota, non essendo stato possibile replicare i malfunzionamenti, ma che a seguito del rilascio dell’applicativo corretto non si erano più verificate ulteriori violazioni.
Ciò a riprova della correttezza del comportamento posto in essere dall’Istituto.
4. La decisione del Garante
Preliminarmente il Garante ha ricordato che la disciplina in materia di privacy prevede che il trattamento dei dati personali da parte di soggetti pubblici può essere effettuato soltanto in presenza di particolari condizioni e che i dati particolari (aventi ad oggetto la salute degli interessati) richiedono un regime di maggiore garanzia rispetto agli altri dati. Inoltre, Il titolare del trattamento è tenuto a rispettare i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione dei dati”, “esattezza”, “limitazione della conservazione” e “integrità e riservatezza”, nonché di “responsabilizzazione”.
Infine, il Garante ha precisato che il titolare deve adottare delle misure tecniche e organizzative che siano adeguate per assicurare in maniera permanente la riservatezza dei dati trattati nonché l’integrità dei sistemi e dei servizi con cui viene fatto il trattamento. In ogni caso, secondo il Garante, il titolare del trattamento deve adottare delle procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
All’esito dell’istruttoria svolta, è emerso che l’INAIL ha effettivamente adottato un sistema di gestione della sicurezza delle informazioni e che l’Istituto ha operato secondo procedure che prevedono una serie di verifiche prima di rilasciare ogni servizio.
Tuttavia, secondo il Garante, tali misure di sicurezza e organizzative adottate dall’INAIL non ha impedito il verificarsi degli incidenti di sicurezza che hanno determinato le violazioni contestate e nei primi due casi non ha neanche consentito di individuare le relative cause.
Invece, con riferimento al terzo data breach, la violazione è dipesa da un errore umano avvenuto al momento del rilascio dell’applicativo, che pertanto per il Garante è riconducibile alla sfera di responsabilità del titolare del trattamento.
In considerazione di quanto sopra, il Garante ha ritenuto che al momento in cui si sono verificati i 3 data breach l’INAIL non avesse adottato delle misure tecniche e organizzative idonee a garantire un livello di sicurezza dei dati adeguato rispetto ai rischi presentati dal trattamento.
Pertanto, stante la conseguente illeicità del trattamento e tenuto conto dell’intera vicenda e del comportamento dell’Istituto, il Garante ha sanzionato l’INAIL con l’ingiunzione di una sanzione pecuniaria dell’importo di €.50.000.
Volume consigliato
GDPR: ISPEZIONI E SANZIONI DEL GARANTE
L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.
Stefano Comellini | 2020 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento