Incidente informatico, il Garante sanziona l'INAIL per trattamento illecito dei dati

L'Autorità Garante per la protezione dei dati personali (il "Garante"), con ordinanza di ingiunzione del 28 aprile 2022 , ha comminato all'Istituto Nazionale per l'Assicurazione contro gli Infortuni sul Lavoro (l'"INAIL" o l'"Istituto"), una sanzione di 50.000 euro, per aver subito 3 incidenti informatici che hanno consentito ad alcuni utenti di accedere ai dati relativi ad altri utenti.

In particolare, l'INAIL, in qualità di Titolare di trattamento, aveva notificato al Garante, ai sensi dell'art. 33 del Regolamento (UE) in materia di protezione dei dati personali (il "Regolamento"), tre diverse violazioni di dati personali avvenute tra il 2019 e il 2020.

Violazioni queste che avevano riguardato il servizio online "Sportello Virtuale Lavoratori", che consente ai dipendenti incorsi in infortunio o vittime di malattie professionali di visualizzare lo stato di avanzamento delle proprie pratiche ed i provvedimenti emanati dall'Istituto.

Dall'istruttoria avviata dal Garante è emerso, infatti, che lo "Sportello Virtuale Lavoratori" aveva permesso ad alcuni lavoratori di consultare accidentalmente le pratiche di altri lavoratori e visualizzare così sia informazioni personali (quali ad es. nome, cognome) che dati relativi allo stato di salute (c.d. "dati particolari"). È stato, peraltro, verificato che una delle tre violazioni segnalate era stata determinata da un "errore umano" il quale, come si legge nel provvedimento, "è comunque riconducibile alla sfera di responsabilità del titolare".

Nel proprio provvedimento, l'Autorità ha evidenziato che un istituto con così rilevanti competenze, le quali comportano il trattamento di dati particolarmente delicati riferibili a interessati anche vulnerabili e richiedenti un "elevato grado di responsabilizzazione" («accountability»), è tenuto ad adottare misure tecniche ed organizzative che "assicurino su base permanente la riservatezza dei dati trattati nonché l'integrità dei relativi sistemi e servizi".

Secondo l'Autorità, gli incidenti informatici avvenuti hanno comportato da parte dell'INAIL un trattamento illecito di dati in aperta violazione dei principi di "liceità, correttezza e trasparenza" e di "integrità e riservatezza".

Nel determinare l'ammontare della sanzione inflitta all'Istituto, l'Autorità ha tenuto in considerazione alcuni fattori e comportamenti dallo stesso assunti tra cui
(i) il numero limitato di interessati coinvolti nei data breach individuati;
(ii) l'errore umano che ha determinato uno di essi;
(iii) la tempestività con cui l'INAIL ha provveduto a notificare quanto accorso all'Autorità stessa e ad informare i soggetti interessati nonché
(iv) il comportamento collaborativo, anche tramite l'ausilio del Responsabile della protezione dei dati (o, secondo l'acronimo inglese il "DPO") – assunto durante l'attività istruttoria.

Nell'emettere l'ordinanza in esame l'Autorità ha rimarcato che "tutti gli enti pubblici, in particolare quelli con rilevanti competenze istituzionali, devono adottare adeguate misure tecniche e organizzative per evitare violazioni dei dati personali".

Resta inteso che anche nel settore privato i titolari e i responsabili del trattamento sono tenuti a pianificare una strategia per minimizzare il rischio di violazioni dei dati personali trattati, adottando idonee misure. Ciò, oltre a rappresentare un requisito di conformità alla normativa vigente in materia di protezione dei dati personali, diventa un vero e proprio strumento di protezione per il business e la reputazione stessa dell'organizzazione interessata.

_____

*A cura di Vittorio De Luca e Elena Cannone, De Luca & Partners