Il 23 febbraio 2021 la stampa ha rivelato una massiccia violazione dei dati che ha coinvolto quasi 500.000 persone che hanno coinvolto la società DEDALUS. Il nome, nome, codice fiscale, nome del medico curante, data della visita ma anche e soprattutto informazioni mediche (HIV, tumori, malattie genetiche, gravidanze, trattamenti farmacologici che il paziente sta seguendo, o anche dati genetici) di queste persone sono quindi distribuite su Internet.
A partire dal 24 febbraio 2021, la CNIL ha svolto diversi audit, in particolare presso la società DEDALUS BIOLOGIA, che commercializza soluzioni software per laboratori di analisi mediche.
Allo stesso tempo, la CNIL ha sequestrato il tribunale di Parigi che ha bloccato l’accesso al sito dove erano stati pubblicati i dati trapelati. Questa decisione del 4 marzo 2021 ha consentito di limitare le conseguenze per le persone.
Sulla base dei risultati emersi durante le ispezioni, il comitato ristretto – l’organismo della CNIL responsabile dell’irrogazione delle sanzioni – ha riscontrato che l’azienda aveva violato diversi obblighi del GDPR, in particolare l’obbligo di proteggere la sicurezza dei dati personali.
Il Comitato Ristretto si è così pronunciato multa di 1,5 milioni di euro e ha deciso di rendere pubblica la sua decisione. L’importo di tale sanzione è stato determinato in funzione della gravità delle infrazioni accertate, ma anche tenendo conto del fatturato della società DEDALUS BIOLOGIA.
Violazioni sanzionate
Una violazione dell’obbligo del responsabile del trattamento di seguire le istruzioni del responsabile del trattamento (articolo 29 del GDPR)
Nell’ambito della migrazione del software verso un altro strumento, richiesto da due laboratori che utilizzano i servizi di DEDALUS BIOLOGIA, quest’ultimo ha estratto una quantità di dati maggiore del necessario.
La società ha quindi trattato dati al di fuori delle istruzioni dei titolari del trattamento.
Una violazione dell’obbligo di garantire la sicurezza dei dati personali (articolo 32 del GDPR)
Molte carenze tecniche e organizzative in materia di sicurezza sono state addebitate alla società DEDALUS BIOLOGIA nell’ambito delle operazioni di migrazione del software ad un altro:
- la mancanza di una procedura specifica per le operazioni di migrazione dei dati;
- mancanza di crittografia dei dati personali archiviati sul server problematico;
- assenza di cancellazione automatica dei dati dopo la migrazione ad altro software;
- mancata autenticazione richiesta da Internet per accedere alla parte pubblica del server;
- utilizzo di account utente condivisi da più dipendenti nell’area privata del server;
- assenza di procedure di sorveglianza ed escalation degli avvisi di sicurezza sul server.
Questa mancanza di misure di sicurezza soddisfacenti è una delle cause della violazione dei dati che ha compromesso i dati medici e amministrativi di quasi 500.000 persone.
Una violazione dell’obbligo di disciplinare il trattamento per conto del titolare del trattamento attraverso un atto giuridico formalizzato (articolo 28 del GDPR)
Le condizioni generali di vendita offerte dalla società DEDALUS BIOLOGIA e i contratti di manutenzione trasmessi alla CNIL non contengono le informazioni previste dall’articolo 28-3 del RGPD.
GIPHY App Key not set. Please check settings