Tutti gli enti pubblici, in particolare quelli con rilevanti competenze istituzionali, devono adottare adeguate misure tecniche e organizzative per evitare violazioni dei dati personali. Lo ha ribadito il Garante per la privacy nel sanzionare l’Inail, che ha registrato tre incidenti informatici che hanno comportato l’accesso non autorizzato ai dati di alcuni lavoratori, in particolare quelli sulla salute e sugli infortuni subiti.
Dall’istruttoria del Garante è emerso che, almeno in tre diverse occasioni, lo “Sportello Virtuale Lavoratori” gestito dall’Ente avrebbe consentito ad alcuni utenti di consultare accidentalmente le pratiche di infortunio e malattia professionale di altri lavoratori. In un caso, peraltro, l’incidente si è verificato a seguito dell’esecuzione di una versione non aggiornata dello “Sportello Virtuale Lavoratori”, a causa di un errore umano.
Nel provvedimento, l’Autorità ha rimarcato che un Ente con così significative competenze istituzionali, che comportano il trattamento di dati particolarmente delicati riferibili a interessati anche vulnerabili, è tenuto ad adottare, in linea con il principio di responsabilizzazione richiesto dal Gdpr, misure tecniche e organizzative che assicurino su base permanente la riservatezza dei dati trattati, nonché l’integrità dei relativi sistemi e servizi.
Il Garante per la privacy, tenuto conto della piena collaborazione offerta dalla pubblica amministrazione nel corso dell’istruttoria e del numero esiguo di persone coinvolte nei data breach individuati, ha comminato all’Ente una sanzione di 50.000 euro.