Il garante privacy sanziona l’inail per data breach

di Antonio Musio -

 

Con ordinanza ingiunzione del 28 aprile 2022 il Garante ha sanzionato l’Inail per violazioni dei dati personali nell’ambito dello “Sportello virtuale lavoratori”, un portale che offre servizi in linea, tramite il quale, di norma, si possono consultare solo le pratiche dei soggetti titolari dei dati, associate a un codice fiscale. Tra maggio 2019 e aprile 2020, tuttavia, alcuni utenti hanno potuto accedere, senza autorizzazione, alle pratiche relative a infortuni e malattie professionali di altri cittadini. Di tali incidenti l’Istituto ha reso edotto il Garante. Secondo quanto disposto dal Regolamento generale sulla protezione dei dati, il titolare del trattamento deve assicurare che i dati siano trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, con misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. Ebbene, nel corso dell’istruttoria, l’Authority ha riscontrato, in violazione a quanto disposto dal GDPR, un trattamento dei dati personali effettuato dall’INAIL non conforme ai principi di “liceità, correttezza e trasparenza” e di “integrità e riservatezza”. In più, il Garante, ha rilevato l’assenza di un idoneo presupposto normativo e di misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato al rischio presentato dal trattamento.

nsmail-100