Mensa scolastica, dati sensibili delle famiglie morose inviati per errore: interviene il Garante privacy
Un grave episodio di violazione della privacy ha coinvolto il servizio di ristorazione scolastica di un Comune. Una società incaricata della gestione ha inviato erroneamente via email un documento contenente dati personali sensibili di numerose famiglie. Tra le informazioni divulgate figuravano nomi, codici fiscali, dettagli sui pagamenti e perfino i consumi alimentari dei figli.
La dinamica dell’incidente
Secondo quanto ricostruito, l’errore è stato causato da un’operatrice che, utilizzando una piattaforma gestionale, ha allegato e inviato per sbaglio un file di test. Il documento, destinato a verifiche interne, conteneva dati riferiti a circa 50 famiglie ed è stato inviato a oltre 100 destinatari. Il sistema informatico prevedeva diversi passaggi di controllo, ma questi sono stati ignorati o non correttamente utilizzati.
Nessun guasto tecnico, ma errore umano
Le verifiche hanno escluso malfunzionamenti tecnici della piattaforma utilizzata per la gestione delle comunicazioni. La responsabilità è stata attribuita esclusivamente a un errore umano, aggravato da una conoscenza limitata degli strumenti e da una mancata osservanza delle procedure di sicurezza previste.
Il ruolo delle aziende coinvolte
La società responsabile del servizio operava per conto del Comune ed era affiancata da un subfornitore che gestiva la piattaforma digitale. Quest’ultimo ha chiarito di non avere alcun controllo sui contenuti inviati e di aver predisposto sistemi di sicurezza adeguati. Tuttavia, secondo la normativa, la responsabilità finale ricade sulla società incaricata del trattamento dei dati.
Le violazioni accertate
Il Garante per la protezione dei dati personali ha rilevato diverse violazioni del Regolamento europeo sulla privacy (GDPR), tra cui la mancanza di una base giuridica per la comunicazione dei dati e il mancato rispetto dei principi di liceità, correttezza e minimizzazione. È stata inoltre evidenziata l’assenza iniziale di adeguate misure organizzative e formative per prevenire simili incidenti.
Le misure correttive adottate
Dopo l’accaduto, la società ha sospeso l’utilizzo della funzione di invio solleciti, avviato corsi di formazione per il personale e introdotto nuove procedure interne per la gestione delle comunicazioni. Questi interventi mirano a evitare il ripetersi di errori analoghi.
La decisione del Garante
L’Autorità ha dichiarato illecito il trattamento dei dati personali effettuato dalla società, confermando le criticità emerse durante l’istruttoria. Tuttavia, considerando che la violazione ha esaurito i suoi effetti, non sono state adottate ulteriori misure correttive.