Il Garante Privacy Bulgaro sanziona l’Agenzia delle Entrate per la violazione di dati di milioni di cittadini

Posted on 10 settembre 2019 by Paola Generali in 2019, News

Nonostante i fondi stanziati e i solleciti dei “white hat hackers”,  le infrastrutture tecnologiche delle istituzioni bulgare vacillano e si rendono vulnerabili a violazioni di dati di considerevole portata, come quella accaduta il 15 Luglio 2019.

Le indagini dirette dal Garante Privacy Bulgaro, Ventsislav Karadjov, conducono ad un risultato particolamente negativo non solo per la violazione di dati personali in sè, ma anche per il riscontro della mancata implementazione delle misure tecniche ed organizzative appropriate e tese a garantire la riservatezza, integrità e disponibilità dei dati medesimi:

  • 11 GB di dati in 57 cartelle in formato .csv corrispondenti al 3% dell’intero database dell’Agenzia delle Entrate;
  • 6.074.140 persone fisiche coinvolte, di cui più di 4 milioni corrispondono a cittadini bulgari e stranieri mentre 1.959.598 sono soggetti deceduti;
  • dati relativi a persone fisiche e società tra cui nomi, numero di indentificazione personale, indirizzi, numeri di telefono, indirizzi e-mail, altri dati di contatto, dichiarazioni dei redditi, dati relativi alle buste paga, alla previdenza sociale e ai contributi per l’assicurazione sanitaria;
  • da fonti non ufficiali si elencano dati relativi alla salute e ad una lista dei giocatori d’azzardo online.

Tutti questi dati sono stati poi trasmetti – mediante e-mail anonime – ai principali media nazionali con obiettivo di schernire sia il governo definendolo “retarded” che il sistema di sicurezza  beffeggiato come “parodico”.

Ciò ha inevitabilmente condotto all’irrogazione di severe sanzioni:

  • Con decisione del 23.08.2019, la Commissione per la Protezione Dati Personali ha ordinato all’Agenzia Nazionale delle Entrate, sulla base dell’art. 58, § 2, lettera “d” in relazione all’art. 57, § 1, lettera “a” e art. 83, § 2, lettere “a”, “c”, “d”, “f” e “g” del GDPR, di adottare adeguate misure tecniche e organizzative per la protezione dei dati personali come:
    • Misure per migliorare la protezione del trattamento dei dati personali nelle applicazioni di servizi elettronici ai cittadini;
    • Esecuzione dell’analisi dei rischi dei sistemi e delle operazioni di trattamento, comprese norme e gli obblighi funzionali stabiliti per il funzionamento di ciascun sistema informativo;
    • Effettuare valutazioni d’impatto ad “alto rischio” identificato per ciascun sistema e le misure adottate;
    • Esecuzione di una valutazione d’impatto al momento del lancio iniziale di nuovi sistemi informativi e applicazioni.
  • In data 28.08.2019, in base all’art. 87, par. 3 della Legge sulla protezione dei dati personali, disciplina bulgara, il Garante ha emesso in danno all’Agenzia un Ordine Penale per violazione dell’Art. 32, § 1, lettera b) GDPR, in vista dell’accesso non autorizzato, della divulgazione non autorizzata e della diffusione di dati personali provenienti dalle banche dati gestite dall’Agenzia. L’importo della sanzione inflitta è di 5  1 00 000 BGN (2,6 milioni di euro).

 

 

Tagged as ,

Posted by Paola Generali

Managing Director Getsolution

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *