INAIL: sanzione di 50.000,00 euro per tre data breach

Si è conclusa con l’accertamento di tre data breach e una sanzione di euro 50.000,00 l’istruttoria che aveva interessato l’INAIL a partire dal 2020, quando l’ente aveva segnalato al Garante tre incidenti informatici.

Nella fattispecie, tra il 2019 e il 2020 l’INAIL aveva registrato tre accessi non autorizzati di alcuni utenti a dati personali, anche particolari, di soggetti terzi, denunciandoli tempestivamente al Garante.

Questa volta, tuttavia, alla base degli incidenti nessun hacker o ransomware, bensì errore umano ed una presumibile falla del sistema.

Ebbene, nonostante l’istituto abbia documentato il proprio sistema di gestione, i propri processi e procedure, all’esame del Garante l’accadimento degli incidenti e l’incapacità dell’ente di individuarne le cause è bastato per decretare l’inefficacia e, con essa, l’inadeguatezza in concreto delle misure adottate e la comminazione della sanzione.

Ancora una volta, dunque, con la propria decisione il Garante ha riaffermato la necessità di un’applicazione del GDPR secondo il principio dell’accountability e nel rispetto del risk-based approach, sempre però in un’ottica “tailor made”, che tenga conto del dato reale e concreto dettato dal caso specifico.

Per informazioni:
Tel.: 0422 916417
E-mail: privacy@unisef.it