L’Information Commissioner’s Office (ICO), in qualità di Autorità garante per la protezione dei dati personali nel Regno Unito, ha sanzionato l’Ufficio di gabinetto del Governo (Cabinet Office) con una multa da 500.000 sterline per aver pubblicato online gli indirizzi e i codici postali dei vincitori dei 2020 New Year Honours, le prestigiose onorificenze conferite dalla Regina Elisabetta II per il nuovo anno.
L’Autorità ha rilevato che l’Ufficio di gabinetto non ha posto in essere delle misure tecniche e organizzative adeguate a prevenire la divulgazione non autorizzata di informazioni, configurando così una violazione della normativa in materia di data protection.
IL 27 dicembre 2019, infatti, l’Ufficio di gabinetto ha reso pubblico sul sito web del governo un file contenente i nomi e gli indirizzi in chiaro di oltre mille persone presenti nella lista dei New Year Honours per l’anno 2020. Si trattava di professionisti provenienti da tutto il Regno Unito, molti dei quali con un elevato profilo pubblico come personaggi dello spettacolo, politici e alti funzionari, tra cui anche agenti antiterrorismo.
Resosi conto del data breach, l’Ufficio di Gabinetto ha rimosso prontamente il weblink del file che però restava accessibile online a coloro che disponevano dell’indirizzo esatto della pagina web.
I dati personali sono rimasti disponibili online per circa due ore e sono stati visualizzati 3.872 volte.
A seguito di quanto accaduto, l’ICO ha ricevuto tre reclami da parte di soggetti direttamente interessati che hanno sollevato preoccupazioni relative alla propria sicurezza personale; anche l’Ufficio di gabinetto ha ricevuto diverse doglianze da parte di molti membri della lista pubblicata.
Come osservato dall’ICO, il verificarsi di un data breach, comporta inevitabili conseguenze sulla vita degli interessati: in questo caso oltre mille persone, in un momento in cui avrebbero dovuto celebrare un’onorificenza, si sono trovate a fronteggiare una situazione di ansia e preoccupazione a causa dell’esposizione delle loro informazioni personali, con rischi sul fronte della sicurezza e di possibili furti d’identità.
La multa di 500.000 sterline irrogata all’Ufficio di gabinetto – sempre secondo l’ICO – deve servire da promemoria affinché la gestione in sicurezza dei dati personali e la loro protezione con misure adeguate rimanga in cima alle priorità di tutte le organizzazioni.
Nel caso specifico, infatti, il data breach è stato causato da un errato set up del sistema IT dedicato alla pubblicazione delle nomination per i New Years Honours, il quale generava e pubblicava automaticamente un file CSV con inclusi gli indirizzi e i codici postali.
Da ultimo, si osserva che la sanzione riguarda fatti antecedenti la Brexit e trova quindi fondamento nei poteri attribuiti all’autorità di controllo ai sensi del GDPR, e in particolare agli artt. 58 e 83. A far data dal 1° gennaio 2021 è applicabile il cosiddetto “UK GDPR”, un regime sostanzialmente equivalente integrato con il Data Protection Act del 2018.