In data 28 aprile 2022, il Garante per la protezione dei dati personali ha emanato un’ordinanza di ingiunzione nei confronti dell’Istituto Nazionale Assicurazione Infortuni sul Lavoro (INAIL) per tre diverse violazioni dei dati personali, con conseguente sanzione pecuniaria di 50.000 euro.
Ma ricostruiamo con ordine la vicenda che ha comportato la comminazione della sanzione nei confronti dell’Istituto.
L’INAIL ha notificato, ai sensi dell’art. 33 del Regolamento 679/2016 (c.d. GDPR), tre diverse violazioni dei dati personali, verificatesi tra il 2019 e il 2020, che hanno riguardato il servizio online denominato “Sportello Virtuale Lavoratori” (SVL). Questo servizio consente ai cittadini vittime di infortunio del lavoro o di malattia professionale, di visualizzare lo stato delle proprie pratiche aperte presso l’INAIL e associate al proprio codice fiscale, nonché i provvedimenti emanati dall’Istituto.
Secondo quanto dichiarato dall’Istituto, le violazioni in oggetto hanno riguardato la visualizzazione sul SVL, da parte di alcuni utenti del servizio, di pratiche di infortunio e malattia professionale di altri soggetti interessati.
Andando più in dettaglio, la prima violazione ha comportato la visualizzazione da parte di un utente, in due giorni diversi, delle pratiche relative ad altri due interessati. L’INAIL ha dichiarato che tali eventi sarebbero stati attribuibili a una non meglio specificata “configurazione delle infrastrutture software e middleware”, ipotizzando che si sia trattato “di una situazione contingente o quantomeno molto rara” e che “nonostante tutte le consultazioni di pratiche nel servizio di cui trattasi siano tracciate, l’anomalia sia tale da non lasciare informazioni nel sistema di logging”. A seguito della violazione, l’INAIL ha sospeso il servizio SVL, ha adottato ulteriori misure tecniche e organizzative volte a prevenire nuovi casi similari e ha informato gli utenti interessati.
La seconda violazione ha riguardato la segnalazione da parte della madre di un utente iscritto al servizio SVL, la quale ha avuto accesso a pratiche di altri soggetti. In questo caso l’Istituto ha verificato che non si trattassero di soggetti omonimi al figlio della signora, ma ad altri utenti non identificabili.
Infine la terza violazione si è verificata mediante la visualizzazione da parte di un utente dei provvedimenti e dei dati personali di utenti di altre sedi, con possibilità di scaricare i relativi file pdf. In questo caso i dati riguardavano infortuni e/o malattia professionale e, secondo quanto dichiarato dall’INAIL, la violazione è stata dovuta da un “errore di processo che ha comportato la presenza in esercizio della versione errata dell’applicativo”. Anche in questo caso sono stati informati i soggetti interessati dalla violazione.
L’INAIL, a seguito del verificarsi dei tre data breach sopra citati, tutti correttamente segnalati al Garante, ha adottato una serie di misure tecniche e organizzative volte a prevenire il verificarsi di ulteriori violazioni connesse al servizio SVL. Inoltre, con l’avvio dell’attività istruttoria, l’Istituto ha presentato una propria memoria difensiva, sottolineando in particolare il possesso di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) certificato ISO 27001, a ulteriore garanzia della presenza di un ambiente protetto da intrusioni e costantemente monitorato.
All’esito dell’istruttoria è emerso che, nell’ambito delle violazioni dei dati personali notificate, alcuni utenti del servizio SVL hanno potuto visualizzare anche dati relativi alla salute, in quanto inerenti a infortuni o a malattie professionali di altri utenti (nome, cognome, tipologia e informazioni su stato e avanzamento della pratica), comportando una violazione di quanto previsto dal GDPR.
Il Garante ha sottolineato che il titolare del trattamento è tenuto ad adottare adeguate misure tecniche e organizzative per assicurare su base permanente la riservatezza dei dati trattati, nonché l’integrità dei sistemi e dei servizi di trattamento e che, in ogni caso, deve adottare procedure “per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
Pertanto, nonostante le dichiarazioni rese dall’INAIL (titolare del trattamento) nel corso dell’istruttoria, il Garante ha rilevato l’illiceità del trattamento di dati personali effettuato dall’Istituto, che ha comportato l’accesso non autorizzato da parte di soggetti diversi dagli interessati ai dati personali, anche relativi alla salute, di altri utenti, in maniera non conforme ai principi di liceità, correttezza e trasparenza e di integrità e riservatezza, in assenza di un idoneo presupposto normativo e in assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio presentato dal trattamento.
Sono state inoltre evidenziate le rilevanti competenze istituzionali dell’INAIL, che richiedono un elevato grado di responsabilizzazione (c.d. accountability), al fine di garantire la sicurezza del trattamento che ha ad oggetto anche informazioni riconducibili alla salute di un numero elevato di interessati, spesso vulnerabili.
Queste considerazioni hanno condotto il Garante ad irrogare una sanzione pecuniaria nei confronti dell’Istituto, del valore di 50.00 euro, e la sanzione accessoria della pubblicazione sul sito del Garante del provvedimento stesso.
Questo episodio, che ha visto coinvolto e sanzionato uno dei più importanti Istituti nazionali, fa emergere sempre di più l’importanza per il titolare del trattamento dell’adozione di adeguate ed efficaci misure tecniche e organizzative volte a prevenire la violazione dei dati personali. Oggi, infatti, è sempre più necessario adeguarsi alla normativa in materia di protezione dei dati personali e garantire un costante monitoraggio delle misure che si vanno ad adottare, anche al fine di evitare di incorrere in sanzioni da parte dell’Autorità Garante.
