L’Istituto Nazionale Assicurazione Infortuni sul Lavoro (INAIL) è stato sanzionato dal Garante privacy per 50mila euro a seguito di tre data breach relativi ai dati sugli infortuni dei lavoratori.

“Tutti gli enti pubblici, in particolare quelli con rilevanti competenze istituzionali, devono adottare adeguate misure tecniche e organizzative per evitare violazioni dei dati personali”, lo ha ribadito il Garante per la privacy nel multare l’Inail, che ha registrato tre incidenti informatici che hanno comportato l’accesso non autorizzato ai dati di alcuni lavoratori, in particolare quelli sulla salute e sugli infortuni subiti.

Dall’istruttoria del Garante è emerso che, almeno in tre diverse occasioni, lo “Sportello Virtuale Lavoratori” gestito dall’Ente (che consente ai cittadini vittime di infortunio del lavoro o di malattia professionale, di visualizzare lo stato delle proprie pratiche aperte presso INAIL nonché i provvedimenti emanati dall’Istituto) avrebbe consentito ad alcuni utenti di consultare accidentalmente le pratiche di infortunio e malattia professionale di altri lavoratori. In un caso l’incidente si è verificato, peraltro, a seguito dell’esecuzione di una versione non aggiornata dello “Sportello Virtuale Lavoratori”, a causa di un errore umano.

Più nel dettaglio, sulla base delle dichiarazioni rese dall’Istituto, sia in sede di notifica delle violazioni dei dati personali, sia in risposta alle successive richieste di informazioni effettuate dall’Ufficio, è risultato che, tra maggio 2019 e aprile 2020, alcuni utenti hanno avuto la possibilità di visualizzare dati personali, anche relativi alla salute, di altri interessati (anch’essi utenti del servizio).

In particolare, l’Istituto ha notificato al Garante una violazione dei dati personali relativa alla visualizzazione, da parte di un soggetto, in due giornate differenti, tramite lo Sportello Virtuale, di pratiche di infortunio e/o malattia professionale relative ad altri due interessati. Al riguardo, l’Istituto ha dichiarato che tali eventi sarebbero probabilmente attribuibili a una non meglio specificata “configurazione delle infrastrutture software e middleware”, ipotizzando che si sia trattato “di una situazione contingente o quantomeno molto rara” e che “nonostante tutte le consultazioni di pratiche nel servizio di cui trattasi siano tracciate, l’anomalia sia tale da non lasciare informazioni nel sistema di logging”.

Al fine di porre rimedio alla violazione dei dati personali, l’Istituto ha proceduto a sospendere il servizio “SVL” e ad adottare, prima di ripristinarne l’operatività, misure tecniche e organizzative volte a prevenire simili violazioni future. Ha precisato, inoltre, di aver informato le due persone interessate dall’episodio di violazione, fornendo al Garante copia della comunicazione.

Successivamente, l’Istituto ha notificato al Garante una seconda violazione dei dati personali, avvenuta in data 22 ottobre 2019, che riguarderebbe la visualizzazione on-line di pratiche appartenenti ad altre persone: “il giorno XX una signora (madre di un lavoratore assistito) segnala via email che dopo l’accesso ai servizi on-line di INAIL usando le credenziali del figlio, ha visualizzato pratiche appartenenti ad altre persone (lei pensava omonimi del figlio)”. Le analisi preliminari hanno evidenziato che “le informazioni personali mostrate dall’applicativo in riferimento allo stesso nominativo non erano effettivamente afferenti a pratiche di un eventuale utente omonimo ma a pratiche di altri utenti non identificabili”; gli ulteriori dettagli ottenuti dall’utente, insieme alle evidenze delle analisi effettuate, hanno consentito all’INAIL di venire a conoscenza della violazione dei dati personali il giorno 27 novembre 2019.

La violazione dei dati personali ha coinvolto sei interessati “non identificabili” e ha riguardato, in particolare, il “tipo di pratica (malattia professionale o infortunio); iban e somme prestazioni erogate; stato di lavorazione della pratica”.

Infine, in data 24 aprile 2020, l’Istituto ha notificato al Garante una terza violazione dei dati personali – che ha coinvolto sempre lo Sportello Virtuale – a seguito di una segnalazione di un utente che nella sera di Mercoledì 22 Aprile 2020, aprendo la sua posizione INAIL, ha visualizzato i vari provvedimenti con i relativi dati personali di altri utenti. La violazione ha riguardato “dati relativi ad infortuni e/o malattia professionale: nome cognome, tipo di pratica (malattia professionale o infortunio); informazioni stato e avanzamento pratica” riferiti a due interessati e che la stessa è stata determinata da un “errore di processo che ha comportato la presenza in esercizio della versione errata dell’applicativo”.

Nel provvedimento, l’Autorità ha rimarcato che un Ente con così significative competenze istituzionali, che comportano il trattamento di dati particolarmente delicati riferibili a interessati anche vulnerabili, è tenuto ad adottare, in linea con il principio di responsabilizzazione richiesto dal Gdpr, misure tecniche e organizzative che assicurino su base permanente la riservatezza dei dati trattati, nonché l’integrità dei relativi sistemi e servizi.

Il Garante per la privacy, tenuto conto della piena collaborazione offerta dalla pubblica amministrazione nel corso dell’istruttoria e del numero esiguo di persone coinvolte nei data breach individuati, ha comminato all’Ente una sanzione di 50.000 euro.

 

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9774926

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9771184

 

Twitter
Visit Us
LinkedIn
Share
YOUTUBE