Si è conclusa con l’accertamento di tre data breach e una sanzione di euro 50.000,00 l’istruttoria che aveva interessato l’INAIL a partire dal 2020, quando l’ente aveva segnalato al Garante tre incidenti informatici.
Nella fattispecie, tra il 2019 e il 2020 l’INAIL aveva registrato tre accessi non autorizzati di alcuni utenti a dati personali, anche particolari, di soggetti terzi, denunciandoli tempestivamente al Garante.
Questa volta, tuttavia, alla base degli incidenti nessun hacker o ransomware, bensì errore umano ed una presumibile falla del sistema.
Ebbene, nonostante l’istituto abbia documentato il proprio sistema di gestione, i propri processi e procedure, all’esame del Garante l’accadimento degli incidenti e l’incapacità dell’ente di individuarne le cause è bastato per decretare l’inefficacia e, con essa, l’inadeguatezza in concreto delle misure adottate e la comminazione della sanzione.
Ancora una volta, dunque, con la propria decisione il Garante ha riaffermato la necessità di un’applicazione del GDPR secondo il principio dell’accountability e nel rispetto del risk-based approach, sempre però in un’ottica “tailor made”, che tenga conto del dato reale e concreto dettato dal caso specifico.
Per informazioni:
Tel.: 0422 916417
E-mail: privacy@unisef.it
Resta sempre aggiornato sulle ultime novità
16 aprile 2024
28 marzo 2024
27 marzo 2024
20 marzo 2024
