>>>Leggi Ordinanza ingiunzione n. 244 del 7 luglio 2022<<<
Indice
1. I fatti
Un reclamante rappresentava al Garante per la protezione dei dati personali che una compagnia assicurativa aveva realizzato una illecita comunicazione dei suoi dati personali a soggetti terzi rispetto ai quali egli non aveva fornito alcuna autorizzazione. In particolare, il reclamante sosteneva di aver sottoscritto una polizza assicurativa con la Compagnia e che a fronte di una istanza di accesso ai propri dati personali, rivolta alla Compagnia, quest’ultima aveva comunicato di aver commesso un errore nella liquidazione di un’ altra pratica assicurativa, a causa del quale aveva comunicato a soggetti estranei il nome, cognome, numero di polizza e importo liquidato del reclamante (con riferimento alla sua pratica che era stata liquidata).
A seguito del reclamo presentato, il Garante riteneva che vi erano gli estremi, prima, per invitare la Compagnia a fornire delucidazioni in ordine ai fatti oggetto del reclamo stesso e, a seguito della risposta resa dalla Compagnia medesima, per avviare il procedimento sanzionatorio nei suoi confronti, con invito alla stessa a presentare le proprie memorie difensive.
2. La difesa della Compagnia assicurativa
A fronte delle richieste di chiarimento formulate dal Garante, la Compagnia, in primo luogo, precisava che la comunicazione dei dati del reclamante a soggetti terzi era avvenuta a seguito di un errore operativo compiuto dall’operatore umano che si era occupato della liquidazione di un’ altra polizza, il quale non aveva colposamente rispettato i protocolli interni che regolavano il processo di gestione delle liquidazioni (contenute in una guida operativa). In particolare, l’errore era consistito nell’errata digitazione dell’ultima cifra del numero di polizza da parte del suddetto operatore, il quale, nel procedere alla liquidazione dell’importo dovuto a favore dei beneficiari della polizza contratta dal loro dante causa, anziché inserire il numero di polizza corretto (che finiva con 78), inseriva per errore il numero della polizza contratta dal reclamante (che era differente soltanto relativamente all’ultima cifra, cioè terminando con 79). Successivamente a detto errato inserimento numerico nel sistema, erano partite in maniera automatica due comunicazioni di avvenuto pagamento ai soggetti beneficiari della prima polizza, all’interno delle quali – quindi – erano contenuti i dati personali del reclamante: cioè il nome, il cognome, il numero di polizza e l’importo liquidato.
In secondo luogo, la Compagnia faceva presente che, immediatamente dopo la segnalazione del reclamante che lamentava la errata liquidazione della propria polizza, la stessa aveva acquisito conoscenza dell’errore e si era attivata per sanare l’errore medesimo, liquidando correttamente la posizione assicurativa degli interessati e comunicando ai terzi il data breach che si era verificato, con richiesta di eliminazione dei dati di cui avevano avuto conoscenza.
Potrebbero interessarti anche
- Perdita di cartelle cliniche in struttura sanitaria: il Garante interviene
- Il Garante privacy favorevole alla riforma del processo penale
- Elezioni italiane: il Garante Privacy chiede chiarimenti a Facebook
Inoltre, la Compagnia provvedeva ad analizzare l’evento di data breach e lo valutava come a basso rischio e pertanto lo riteneva non una violazione di rilievo, in quanto era improbabile che i destinatari della comunicazione potessero identificare in modo univoco l’interessato. In particolare, secondo la Compagnia, poiché la comunicazione aveva avuto ad oggetto soltanto il nome e il cognome del reclamante, nonché il numero della polizza, in assenza di ulteriori informazioni quali il codice fiscale la data di nascita e l’indirizzo, i terzi non avrebbero potuto risalire alla effettiva identità del reclamante a identificarlo in maniera univoca. Ciò anche in considerazione del fatto che:
- la Compagnia aveva rinvenuto diversi casi di omonimia con il reclamante;
- il numero della polizza è una codifica numerica interna alla stessa Compagnia e pertanto i terzi non sono in grado di associare a detto codice alcun dato personale del contraente della polizza;
- i destinatari della comunicazione contenente i dati personali del reclamante erano geograficamente enormemente distanti dall’interessato e pertanto non vi sarebbe potuta essere neanche una conoscenza personale tra i medesimi che permettesse ai terzi di risalire all’identità del reclamante;
- le comunicazioni errate erano state inviate soltanto a due soggetti, i quali erano stati informati dell’ invio errato e quindi della necessità di eliminare le comunicazioni.
In considerazione di ciò, quindi, per la Compagnia assicurativa non vi erano stati rischi per le libertà e i diritti dell’interessato e conseguentemente la Compagnia legittimamente non aveva proceduto alla notifica del data breach al Garante.
Infine, la Compagnia faceva presente che all’ epoca dei fatti era dotata di misure di sicurezza e organizzative con cui controllare la gestione delle pratiche di liquidazione delle polizze, che servivano proprio ad evitare il verificarsi di errori, e che proprio grazie a tali misure si era verificato quel solo errore a fronte della liquidazione di 73.000 polizze annue. Ad ogni modo, la Compagnia, successivamente all’evento, aveva rafforzato ulteriormente le misure di controllo per gestire correttamente le polizze.
3. La decisione del Garante
Il Garante ha valutato che le difese della Compagnia non fossero sufficienti a superare le violazioni della normativa privacy compiute a seguito dell’errato invio delle comunicazioni da parte dell’operatore addetto alla liquidazione della pratica.
Secondo il Garante, infatti, il trattamento dati compiuto dalla Compagnia, così come sopra descritto (costituito dall’invio a soggetti terzi di due comunicazioni contenenti il nome, il cognome del reclamante e l’importo al medesimo liquidato), sostanzia una violazione dei principi di liceità, correttezza e trasparenza dei dati nonché di quelli di integrità e riservatezza dei medesimi.
In considerazione di ciò, il Garante ha comminato nei confronti della Compagnia una sanzione amministrativa pecuniaria per le violazioni di cui sopra.
Per quanto riguarda la sua quantificazione, il Garante ha valutato diversi aspetti al fine di poter determinare un ammontare proporzionale rispetto al fatto accaduto ma anche che fosse una effettiva sanzione con effetti dissuasivi nei confronti dell’ autore dell’ illecito tenendo conto della sua capacità economica. In particolare, il Garante ha valutato il fatto che la Autorità ha avuto conoscenza degli illeciti solo attraverso il reclamo e che la violazione ha riguardato principi fondamentali della privacy; dall’altro lato, il Garante ha valutato che la violazione è dovuta a colpa di un operatore della compagnia che non ha rispettato le istruzioni impartite dal titolare del trattamento e che quest’ultimo è immediatamente intervenuto per eliminare la violazione. In considerazione di tutti i suddetti elementi, il Garante ha determinato l’ammontare della sanzione amministrativa pecuniaria nell’importo di €.20.000.
Volume consigliato
GDPR: ISPEZIONI E SANZIONI DEL GARANTE
L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.
Stefano Comellini | 2020 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento