Il Garante per la protezione dei dati personali ha sanzionato una compagnia assicurativa per la mancata adozione di misure tecniche e organizzative adeguate a tutelare i dati dei clienti connesse ad un data breach.
Il caso riguarda la divulgazione non autorizzata a un soggetto terzo dei dati personali di una cliente della compagnia assicurativa.
Questi dati, relativi a tre polizze vita intestate alla cliente, erano stati poi utilizzati nell’ambito di un procedimento giudiziario.
Durante le verifiche, il Garante ha accertato che la violazione era dovuta a errori commessi dagli operatori della compagnia assicurativa, i quali avevano fornito informazioni sensibili senza controllare se le e-mail da cui provenivano le richieste coincidessero con i recapiti ufficiali forniti dalla cliente.
Le richieste erano state infatti inoltrate da due indirizzi e-mail che, pur riportando nome e cognome dell’interessata, non le appartenevano. La cliente, peraltro, non aveva mai fornito alcun indirizzo e-mail alla compagnia.
Inoltre alla compagnia assicurativa il Garante ha contestato la tardiva comunicazione del data breach, avvenuta in violazione del termine di 72 ore dalla presa di conoscenza dell’illecito previsto dal Regolamento generale sulla protezione dei dati (GDPR).