Il caso

Data breach, Inail nei guai per tre violazioni: multa dal Garante privacy per 50mila euro

Inail ha comunicato al Garante privacy di aver rilevato tre violazioni dei dati personali successe tra maggio 2019 e aprile 2020, in diverse occasioni e con modalità differenti: tutte riguardano le pratiche di infortunio o malattia professionale nel contesto dei servizi dello Sportello virtuale lavoratore

30 Mag 2022
Nicoletta Pisanu

Redattrice Cybersecurity360

Guai privacy per Inail: in tre diverse occasioni tra maggio 2019 e aprile 2020 si sono verificate violazioni dei dati personali nell’ambito del servizio dello Sportello virtuale lavoratori. In particolare, alcuni utenti hanno potuto accedere senza autorizzazione alle pratiche relative a infortuni e malattie professionali di altri cittadini.

Ora il Garante privacy ha multato l’istituto per 50.000 euro, sottolineando, come si legge in una nota ufficiale, che “un ente con così significative competenze istituzionali, che comportano il trattamento di dati particolarmente delicati riferibili a interessati anche vulnerabili, è tenuto ad adottare, in linea con il principio di responsabilizzazione richiesto dal GDPR, misure tecniche e organizzative che assicurino su base permanente la riservatezza dei dati trattati, nonché l’integrità dei relativi sistemi e servizi”.

Gestione della mailbox durante e dopo la cessazione del rapporto di lavoro: regole privacy

Data breach Inail, cos’è successo

Secondo la ricostruzione dei fatti contestati dal Garante privacy, gli incidenti di sicurezza sarebbero stati tre, tutti relativi allo Sportello virtuale lavoratori, un portale che offre servizi in linea con le competenze di Inail, come per esempio monitorare lo stato di avanzamento delle proprie pratiche per gli infortuni o le malattie professionali, con provvedimenti che si possono scaricare e che contengono anche informazioni sulle condizioni di salute dell’utente. Sono in tutto circa 400.000 i cittadini registrati al portale e con possibilità di accedervi tramite identità digitale.

WHITEPAPER
Efficienza, sostenibilità e sicurezza con la gestione e tenuta dei libri sociali digitali
Dematerializzazione
Digital Transformation

Normalmente, accedendo allo sportello online si possono consultare solo le proprie pratiche, che sono associate al codice fiscale. Tuttavia, in tre occasioni non è stato così. Infatti, come segnalato proprio da Inail al Garante privacy, in diverse giornate tra 2019 e 2020 alcuni utenti avrebbero potuto accedere liberamente alle pratiche di altri lavoratori. Hanno quindi avuto la possibilità di prendere visione dei dati di tali soggetti, anche riguardo allo stato di salute.

Il primo caso

In questo contesto in particolare, Inail ha rilevato che un utente ha visualizzato in due giorni diversi le pratiche di altri due lavoratori. Come spiegato testualmente nell’ordinanza del Garante privacy, Inail “ha dichiarato che tali eventi sarebbero probabilmente attribuibili a una non meglio specificata configurazione delle infrastrutture software e middleware, ipotizzando che si sia trattato di una situazione contingente o quantomeno molto rara e che nonostante tutte le consultazioni di pratiche nel servizio di cui trattasi siano tracciate, l’anomalia sia tale da non lasciare informazioni nel sistema di logging”.

Inail ha spiegato all’autorità di aver sospeso il servizio dello sportello e di aver adottato alcune misure per prevenire il ripetersi dell’accaduto, oltre ad aver informato i due titolari delle pratiche visionate illecitamente.

Il secondo caso

Nell’autunno 2019, la mamma di un lavoratore iscritto al servizio ha contattato Inail via email segnalando che avvedendo ai servizi online del figlio ha visualizzato le pratiche relative ad altre sei persone. In questo caso, i dati identificativi non erano presenti, quindi non era possibile ricondurre le pratiche agli effettivi proprietari. Inail ha verificato che non si trattava di omonimi del figlio della donna: le prestazioni erano state associate per sbaglio al figlio della signora.

Il terzo caso

Nella primavera 2020 invece l’Inail ha notificato al Garante che un utente tra le 21:00 e le 21:50 del 22 aprile aprendo la propria posizione sul sito ha avuto la possibilità di vedere i provvedimenti delle sedi di La Spezia e Palermo, si poteva anche scaricarli in PDF. Un caso che Inail ha ricondotto a “un errore di processo”: l’ente ha provveduto a informare i coinvolti, due persone.

Le misure tecniche adottate da Inail

Dopo l’accaduto, Inail ha spiegato al Garante privacy di aver provveduto a:

  • ripetere i test di sicurezza;
  • implementare altri meccanismi di logging;
  • attivare un controllo analitico sullo Sportello virtuale lavoratore;
  • introdurre un modulo centralizzato per svolgere “verifiche di congruenza fra le informazioni di sessione, i cookie di sessione e l’IP di provenienza delle richieste, consentendo anche un innalzamento del livello di tracking”, si legge nell’ordinanza del Garante.

Come misure di prevenzione, Inail ha comunicato all’autorità di aver svolto audit per ottimizzare il processo di deploy.

La sanzione del Garante privacy

Il Garante privacy al termine dell’istruttoria ha rilevato “l’illiceità del trattamento di dati personali effettuato dall’Istituto, che ha comportato l’accesso non autorizzato da parte di soggetti diversi dagli interessati ai dati personali, anche relativi alla salute, di altri utenti, in maniera non conforme ai principi di liceità, correttezza e trasparenza e di integrità e riservatezza”, oltre che, prosegue l’ordinanza dell’autorità, “in assenza di un idoneo presupposto normativo e in assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio presentato dal trattamento”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5