Il Garante privacy, nella Newsletter n. 490 del 30 maggio 2022, ha precisato che viola le disposizioni sul trattamento dei dati personali l’accesso non autorizzato ai dati di alcuni lavoratori, in particolare quelli sulla salute e sugli infortuni subiti.

Nel caso sottoposto all’attenzione del Garante privacy è emerso che, almeno in tre diverse occasioni, lo “Sportello Virtuale Lavoratori” gestito da un Ente pubblico avrebbe consentito ad alcuni utenti di consultare accidentalmente le pratiche di infortunio e malattia professionale di altri lavoratori. In un caso, peraltro, l’incidente si è verificato a seguito dell’esecuzione di una versione non aggiornata dello “Sportello Virtuale Lavoratori”, a causa di un errore umano.

Nel provvedimento, l’Autorità ha rimarcato che un Ente con così significative competenze istituzionali, che comportano il trattamento di dati particolarmente delicati riferibili a interessati anche vulnerabili, è tenuto ad adottare, in linea con il principio di responsabilizzazione richiesto dal Gdpr, misure tecniche e organizzative che assicurino su base permanente la riservatezza dei dati trattati, nonché l’integrità dei relativi sistemi e servizi.

Il Garante per la privacy, tenuto conto della piena collaborazione offerta dalla pubblica amministrazione nel corso dell’istruttoria e del numero esiguo di persone coinvolte nei data breach individuati, ha comminato all’Ente una sanzione di 50.000 euro.