GLI ACCESSI AI DATI SENSIBILI VANNO ADEGUATAMENTE PROTETTI ANCHE SE EFFETTUATI DA SOGGETTI AUTORIZZATI – GARANTE PER LA PRIVACY ORDINANZA DEL 15.04.2021

GLI ACCESSI AI DATI SENSIBILI VANNO ADEGUATAMENTE PROTETTI ANCHE SE EFFETTUATI DA SOGGETTI AUTORIZZATI - GARANTE PER LA PRIVACY ORDINANZA DEL 15.04.2021

La condizione di fragilità economica va tutelata anche sul piano della riservatezza e il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati fin dalla progettazione dei sistemi e per impostazione predefinita.

E’ quanto ha ribadito il Garante per la privacy nel sanzionare il Comune di Palermo per 40.000 euro per non aver protetto adeguatamente i dati personali dei cittadini che richiedevano sussidi alimentari.

Nel reclamo presentato al Garante, un cittadino lamentava che un operatore di un’associazione aveva potuto accedere alla sua domanda di buoni spesa per l’emergenza Covid senza esserne autorizzato e visualizzare i suoi dati personali.

Per assistere gli utenti nella compilazione delle richieste di sussidi, il Comune si era avvalso del supporto di soggetti esterni (Enti del Terzo Settore, Sindacati e Parrocchie, c.d. OpT) che aveva accreditato ad usare la piattaforma informatica di gestione dei sussidi, accessibile dal sito comunale.

In base alla documentazione acquisita, l’Autorità ha accertato che era possibile, per un operatore di qualsiasi organizzazione accreditata, consultare tutte le pratiche inserite nella piattaforma del Comune e visualizzare i dati anagrafici e la fascia economica Isee dei richiedenti, senza registrare le operazioni di consultazione effettuate, con conseguente impossibilità di identificare gli utenti che avevano effettuato le predette consultazioni.

Il Comune aveva infatti rilasciato, di base, a ciascuna OpT un’unica utenza di accesso, che l’organizzazione faceva utilizzare a tutti i propri addetti. Qualunque operatore poteva così accedere ai dati di tutte le domande, anche presentate presso altri OpT e che avevano già completato l’iter previsto. La funzione di ricerca dei beneficiari, prevedeva l’inserimento dei soli primi tre caratteri del codice fiscale, rendendo così facilmente accessibili per un numero elevato di posizioni, le informazioni relative alla condizione di fragilità dei richiedenti i sussidi.

Nello stabilire l’entità della sanzione l’Autorità, pur considerando la necessità di fronteggiare con urgenza il disagio della pandemia, nonché gli sforzi fatti nel corso del tempo per adottare le necessarie misure per rendere la piattaforma conforme ai richiamati principi, ha tenuto conto del fatto che la violazione ha interessato un numero elevato di cittadini in stato di bisogno (circa 18.000) e si è protratta per circa due mesi.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9587053

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.