Trasparenza siti, il Garante privacy sanziona un Comune

Tratto da www.garanteprivacy.it – News del 25/09/2025

Il Garante privacy ha inflitto una sanzione di 12mila euro a un Comune per aver pubblicato online, i dati personali di centinaia di cittadini, in modo illecito. Le informazioni erano contenute nei registri delle richieste di accesso civico e documentale, caricati nella sezione Amministrazione trasparente del sito istituzionale e rimasti consultabili almeno fino ad aprile 2024.

Nei documenti – relativi a 1.455 istanze presentate tra il 2017 e settembre 2023 – comparivano nomi e cognomi dei mittenti e dei destinatari, numeri di protocollo, oggetto e descrizione delle istanze. In alcuni casi erano riportati i nominativi di proprietari di immobili o di intestatari di pratiche edilizie; in uno addirittura si potevano dedurre informazioni sullo stato di salute di un cittadino.

Il Comune ha giustificato la pubblicazione parlando di una “interpretazione ampia del principio di trasparenza”. Una tesi respinta dall’Autorità, che nel corso dell’istruttoria ha affermato che per tutelare la riservatezza delle persone coinvolte il Comune avrebbe dovuto oscurare i dati personali.

La diffusione di tali informazioni, sottolinea il Garante nel provvedimento, è inoltre in contrasto con le Linee guida dell’Anac e con la circolare del Ministro per la Pubblica Amministrazione, che richiedono espressamente l’oscuramento dei dati personali presenti nel Registro degli accessi pubblicati online, inclusi i nomi dei richiedenti e delle persone fisiche citate nei documenti.

Nel definire l’ammontare della sanzione, il Garante ha tenuto in considerazione la pronta collaborazione del Comune e la rimozione dei dati dal sito istituzionale.

Data breach: sanzione del Garante all’Ordine degli psicologi della Lombardia

Tratto da www.garanteprivacy.it – News del 30/05/2025

Il Garante privacy ha sanzionato per 30mila euro l’Ordine degli Psicologi della Regione Lombardia per non aver adottato misure tecniche e organizzative adeguate a garantire la sicurezza dei dati.

Il Garante è intervenuto a seguito di alcuni reclami e della notifica di data breach effettuata dall’Ordine, che ha dichiarato di essere stato colpito da un sofisticato attacco ransomware messo in atto da un gruppo di cybercriminali. La violazione ha comportato l’accesso abusivo alla rete informatica dell’Ordine, la cifratura e l’esfiltrazione di numerosi documenti contenenti, in particolare, dati personali degli iscritti all’Albo sottoposti a procedimenti disciplinari e di diversi pazienti, tra cui minori, e altre persone a vario titolo coinvolte.

L’attacco ha riguardato anche dati appartenenti a categorie particolari, come quelli che rivelano l’origine razziale o etnica, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la vita o l’orientamento sessuale, lo stato di salute, nonché dati relativi a condanne penali e reati. Pertanto, gli interessati sono stati esposti a rischi di discriminazione, furto d’identità, frodi, rischi reputazionali e altri pregiudizi nella sfera economica e sociale. A seguito del mancato pagamento del riscatto, i cybercriminali hanno pubblicato sul dark web i dati esfiltrati. Non sono state invece compromesse la disponibilità e l’integrità dei dati personali, che sono stati recuperati grazie alle procedure e ai sistemi di backup.

Dall’istruttoria del Garante è emerso che l’Ordine non aveva adottato misure adeguate a rilevare tempestivamente le violazioni dei dati personali e a garantire la sicurezza dei sistemi di trattamento. La sanzione è stata comminata tenuto conto della gravità e della natura particolarmente delicata dei dati coinvolti.

È stata tuttavia riconosciuta la collaborazione dell’Ordine, che ha comunicato di aver adottato ulteriori misure di sicurezza per prevenire futuri attacchi e migliorare la protezione dei dati personali trattati.

Data breach, FSE Molise: le sanzioni del Garante privacy

Tratto da www.gpdp.it – News del 31/01/2025

Con tre sanzioni di 10mila euro ciascuna, irrogate rispettivamente alla Regione Molise, alla Società Molise dati, e a Engineering ingegneria informatica S.p.A., il Garante privacy ha definito i procedimenti aperti dopo l’intrusione nel Portale regionale FSE verificatasi tra novembre e dicembre 2022.

Il data breach, causato da una vulnerabilità̀ del sistema informatico, aveva consentito a un cittadino autenticato con il ruolo di “assistito”, attraverso una manipolazione della URL, di effettuare una ricerca di informazioni relative a sette individui presenti nell’Anagrafe regionale del Molise. L’accesso non autorizzato aveva riguardato i dati anagrafici; di residenza e domicilio; e quelli contenuti in documenti e referti sanitari degli utenti coinvolti.

Nel corso dell’attività istruttoria, il Garante ha accertato che la violazione era stata provocata da un bug di sicurezza nel sistema di autenticazione con cui si accedeva al Fascicolo Sanitario Elettronico della Regione Molise.

Nel caso specifico, l’Autorità ha sanzionato la Regione Molise in quanto titolare del Portale e la Società Molise dati, in qualità di responsabile dell’attività di implementazione tecnica del FSE, per non aver effettuato verifiche finalizzate a valutare l’eventuale presenza di simili errori nel software sviluppato da Engineering, la società di cui quest’ultima si era avvalsa per lo sviluppo delle componenti tecniche del Portale.

Nel progettare i sistemi informatici utilizzati nell’ambito del FSE, inclusi i sistemi di autenticazione e autorizzazione, Engineering S.p.A., non aveva infatti adottato le misure adeguate a limitare l’accesso da parte degli utenti alle sole informazioni che li riguardavano. Ciò aveva quindi permesso l’illecito da parte di un soggetto terzo, che superata la procedura di autenticazione, aveva potuto utilizzare funzionalità a cui non era autorizzato, mediante la modifica della URL.

Data breach, Garante Privacy sanziona Postel per 900mila euro – Una vulnerabilità, nota da tempo, ha reso inadeguate le misure di sicurezza e agevolato l’attacco

Tratto da www.garanteprivacy.it – News del 22/10/2024

Il Garante Privacy ha applicato una sanzione di 900mila euro a Postel Spa che per quasi un anno non è intervenuta su una già nota e segnalata vulnerabilità dei propri sistemi, attraverso la quale ha poi subito una violazione dei dati personali.

Nell’agosto del 2023, la società è stata oggetto di un attacco informatico di tipo ransomware che ha causato il blocco dei server e di alcune postazioni di lavoro.

In particolare l’attacco ha comportato l’esfiltrazione – e in alcuni casi la perdita di disponibilità – dei file contenenti i dati personali di circa 25mila interessati, fra dipendenti, ex dipendenti, congiunti, titolari di cariche societarie, candidati a posizioni lavorative e rappresentanti di imprese che intrattenevano rapporti commerciali con Postel.

Le informazioni, successivamente pubblicate nel dark web, riguardavano dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, nonché dati relativi a condanne penali e reati e, tra quelli appartenenti a categorie particolari, dati che rivelano l’appartenenza sindacale e relativi alla salute.

Nonostante la vulnerabilità fosse stata segnalata, prima dal produttore del software (settembre 2022, con la messa a disposizione degli aggiornamenti necessari a novembre 2022) e poi dall’Agenzia per la cybersicurezza nazionale (novembre 2022), Postel non aveva aggiornato, come raccomandato, i propri sistemi.

La società è venuta così meno agli obblighi previsti dalla normativa di protezione dei dati personali che richiedono l’adozione di misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato al rischio.

Dal provvedimento è emerso anche come, nella notifica di data breach al Garante e nelle successive integrazioni, l’azienda non abbia fornito informazioni esaustive sulla violazione e sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate, comportando un allungamento dei tempi per le verifiche dell’Autorità.

Nel provvedimento adottato, il Garante ha ingiunto a Postel, oltre al pagamento della sanzione di 900mila euro, di effettuare un’azione straordinaria di analisi delle vulnerabilità dei propri sistemi, di predisporre un piano per rilevare e gestire tali vulnerabilità e di individuare tempistiche di rilevamento e di risposta adeguate al rischio.

Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati

Tratto da www.garanteprivacy.it – News del 17/06/2024

Il Garante Privacy ha pubblicato sul suo sito Internet il Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati.

ll provvedimento è consultabile al seguente link.

Categorie