skip to Main Content
DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI ISLANDA: Violazione Della Sicurezza Per InfoMentor Ehf.

DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI ISLANDA: violazione della sicurezza per InfoMentor ehf.

This post is also available in: English Español Français

L’autorità per la protezione dei dati ha imposto una multa governativa per un importo di ISK 3.500.000, a InfoMentor ehf. a causa di una violazione della sicurezza avvenuta nel sistema web Mentor nel febbraio 2019. A causa delle debolezze del sistema, due parti, una in Islanda e l’altra in Svezia, sono state in grado di accedere a numeri di identificazione e immagini (avatar) di un totale di 424 bambini senza permesso. 

Il punto debole era che i numeri di sistema a sei cifre degli studenti erano visibili nell’URL di una pagina specifica nel sistema Mentor e che si sarebbe potuto accedere alle informazioni personali in esso contenute semplicemente modificando i numeri nell’URL pertinente.

InfoMentor ehf. ha ammesso che l’errore umano aveva significato che la correzione della debolezza non era stata completamente completata, nonostante fossero state date istruzioni in tal senso. Pertanto, una soluzione era già stata sviluppata, ma non implementata nel sistema fino a quando l’azienda non è venuta a conoscenza del difetto di sicurezza. 

Il Garante ha ritenuto che la violazione della sicurezza avrebbe potuto essere prevenuta attraverso un adeguato follow-up e test delle misure di sicurezza. 

La conclusione del Garante è stata che InfoMentor ehf. non aveva garantito la sicurezza delle informazioni personali all’interno del sistema Mentor secondo le modalità richieste dai paragrafi b ed del paragrafo 1. Articolo 32 del Regolamento (UE) 2016/679, cfr. Paragrafo 1 Articolo 27 Atto n. 90/2018, in materia di protezione personale e trattamento dei dati personali, cfr. anche punto 6. Paragrafo 1 Articolo 8 della legge e punto f del primo paragrafo. Articolo 5 del Regolamento.

La InfoMentor ehf. non ha garantito l’adeguata sicurezza delle informazioni personali delle persone registrate che sono state interessate dalla violazione della sicurezza quando la società ha inviato i numeri ID delle persone interessate in diversi casi alla scuola e al responsabile della privacy sbagliati. Il trattamento di InfoMentors ehf. sulle informazioni personali delle persone in questione a tal riguardo, quindi non al punto 6. Paragrafo 1 Articolo 8 Atto n. 90/2018, Coll. paragrafo 1, lettera f) Articolo 5 del Regolamento.

La decisione sulla sanzione amministrativa ha tenuto conto in particolare del numero di persone registrate che erano state colpite dalla violazione della sicurezza e che avrebbero potuto essere colpite dal numero di utenti del sistema Mentor. Era anche di grande importanza che si trattasse di informazioni personali di bambini che godono di una protezione speciale ai sensi della legge n. 90/2018 e dal Regolamento.

 Anche il Garante per la protezione dei dati personali ha sentito la necessità di rivolgere richieste ancora maggiori a InfoMentors ehf. in considerazione del fatto che l’attività principale dell’azienda è lo sviluppo e il funzionamento di un sistema web specificamente destinato al trattamento delle informazioni personali sui minori. 

D’altra parte, non vi erano indicazioni che le persone registrate avessero subito danni a causa della violazione della sicurezza, oltre a ciò InfoMentor ehf. ha fornito dati che dimostrano le varie misure adottate dall’azienda con l’obiettivo di garantire la sicurezza delle informazioni personali nel sistema Mentor. 

La sanzione amministrativa è stata quindi ritenuta adeguatamente fissata a ISK 3.500.000.

In considerazione del fatto che la violazione della sicurezza ha colpito una persona registrata in Svezia, l’autorità per la protezione dei dati ha avvertito le autorità per la protezione dei dati all’interno dello Spazio economico europeo della questione. 

L’Autorità per la protezione dei dati è considerata l’autorità di controllo principale ai sensi del preambolo del regolamento (UE) 2016/679 e l’Autorità di controllo svedese, Integritetsskyddsmyndigheten (ex Datainspektionen) è l’autorità di controllo pertinente. Ai sensi del par. Articolo 60 del regolamento, l’autorità per la protezione dei dati ha inviato all’autorità svedese un progetto di decisione. 

Non sono pervenuti commenti e la decisione è quindi considerata vincolante anche per il Garante per la Tutela dell’Integrità, cfr. Paragrafo 6 Articolo 60 del Regolamento. Si segnala che si tratta della prima decisione del Garante per la protezione dei dati personali dopo l’entrata in vigore del Regolamento e della Legge n. 90/2018 sul trattamento dei dati personali transfrontalieri.

 

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI ISLANDA

Back To Top