Même l’erreur humaine rentre dans le périmètre de responsabilité du responsable du traitement des données
Le Garant pour la protection des données personnelles, par une ordonnance d’injonction
du 28 avril 2022, a infligé à l’Institut National d’Assurance contre les Accidents du
Travail (« l’INAIL » ou « l’Institut ») une sanction de 50 000 euros, pour avoir subi 3 accidents informatiques
ayant permis à certains utilisateurs d’accéder aux données relatives à d’autres utilisateurs.
Notamment, l’INAIL, en sa qualité de responsable du traitement, avait notifié au Garant, conformément
à l’art. 33 du Règlement (UE) en matière de protection des données personnelles (« le Règlement »), trois
violations différentes de données personnelles survenues en 2019 et 2020.
Ces violations avaient porté sur le service en ligne appelé « Guichet virtuel des travailleurs », qui
permet aux salariés ayant subi un accident du travail ou victimes de maladies professionnelles de visualiser l’état
d’avancement de leur dossier et les décisions prises par l’Institut.
L’instruction effectuée par le Garant avait en effet fait apparaître que le Guichet virtuel des travailleurs avait
permis à certains travailleurs de consulter accidentellement les dossiers d’autres travailleurs et
de visualiser ainsi aussi bien des informations personnelles (comme par exemple les nom et prénom) que des données relatives à leur état de
santé (appelées « données particulières »). Il avait été par ailleurs constaté qu’une des trois violations signalées était
due à une « erreur humaine », laquelle, comme on peut le lire dans la décision, « rentre dans tous les cas
dans le périmètre de responsabilité du responsable du traitement ».
Continuez à lire la version intégrale publiée sur Norme & Tributi Plus Diritto de Il Sole 24 Ore.