Il Garante privacy sanziona un’università per violazione degli obblighi di sicurezza imposti dal GDPR

Il Garante per la privacy, con provvedimento del 23 gennaio 2020, ha sanzionato l’Università La Sapienza di Roma per violazione degli obblighi di sicurezza imposti dal GDPR.

Il caso prende le mosse dalla segnalazione di un Data Breach a opera dell’Università: i dati di due persone che avevano segnalato illeciti mediante la piattaforma web di whistleblowing adottata dall’Università erano stati diffusi in rete, risultando liberamente accessibili da chiunque.

In seguito ad accertamenti, il Garante riscontrava anzitutto la mancata adozione di idonee misure tecniche per il controllo degli accessi. L’Università, infatti, in seguito a un aggiornamento obbligatorio di sicurezza della piattaforma web, non aveva provveduto a testare l’efficacia delle nuove misure di sicurezza, rendendo così possibile la diffusione dei dati dei segnalanti sul web.

Il Garante riscontrava ulteriori violazioni di sicurezza relativamente alle misure adottate per il trasporto dei dati. L’Università, infatti, aveva adottato il protocollo di rete “http”, che non offre garanzie di riservatezza e integrità dei dati in quanto non cifrato, nonostante l’elevato rischio per la privacy degli interessati che effettuano segnalazioni di whistleblowing.

(Garante per la protezione dei dati personali, provvedimento del 23 gennaio 2020)