Anche l’errore umano è riconducibile alla sfera di responsabilità del titolare del trattamento dei dati
L’Autorità Garante per la protezione dei dati personali (il “Garante”), con ordinanza di ingiunzione
del 28 aprile 2022 , ha comminato all’Istituto Nazionale per l’Assicurazione contro gli Infortuni sul
Lavoro (l'”INAIL” o l'”Istituto”), una sanzione di 50.000 euro, per aver subito 3 incidenti informatici
che hanno consentito ad alcuni utenti di accedere ai dati relativi ad altri utenti.
In particolare, l’INAIL, in qualità di Titolare di trattamento, aveva notificato al Garante, ai sensi
dell’art. 33 del Regolamento (UE) in materia di protezione dei dati personali (il “Regolamento”), tre
diverse violazioni di dati personali avvenute tra il 2019 e il 2020.
Violazioni queste che avevano riguardato il servizio online “Sportello Virtuale Lavoratori”, che
consente ai dipendenti incorsi in infortunio o vittime di malattie professionali di visualizzare lo stato
di avanzamento delle proprie pratiche ed i provvedimenti emanati dall’Istituto.
Dall’istruttoria avviata dal Garante è emerso, infatti, che lo “Sportello Virtuale Lavoratori” aveva
permesso ad alcuni lavoratori di consultare accidentalmente le pratiche di altri lavoratori e
visualizzare così sia informazioni personali (quali ad es. nome, cognome) che dati relativi allo stato di
salute (c.d. “dati particolari”). È stato, peraltro, verificato che una delle tre violazioni segnalate era
stata determinata da un “errore umano” il quale, come si legge nel provvedimento, “è comunque
riconducibile alla sfera di responsabilità del titolare”.
Continua a leggere la versione integrale pubblicata su Norme & Tributi Plus Diritto de Il Sole 24 Ore.