giovedì 25 novembre 2010

Regno Unito: prime sanzioni per violazioni del Data Protection Act

Ambito: amministrazione pubblica
Tipologia: fuga di informazioni personali

L'Information Commissioner Officer ha comminato ieri le prime sanzioni pecuniarie a causa di gravi violazioni del Data Protection Act che hanno avuto luogo nel giugno del 2010

La prima delle due, dell'ammontare di 100.000 sterline, è stata comminata allo Hertfordshire County Council a causa di due gravi incidenti che hanno visti protagonisti dipendenti che hanno inviato informazioni personali a destinatari errati. Gli incidenti riguardavano entrambi un caso di abusi sessuali su minori: nel primo caso, è stato trasmesso un fax a un numero errato anzichè all'avvocato di una delle parti coinvolte, mentre nel secondo caso, il fax conteneva informazioni relative sia alle vittime, sia a due sospettati, sia ai pareri dei medici. Il destinatario doveva essere la corte della contea di Watford, mentre il documento è stato inviato a uno studio di avvocati non coinvolti nel caso.
L'ICO ha motivato la sanzione affermando che non è stata posta una cura adeguata nell'impedire che le violazioni avessero avuto luogo, con l'aggravante che dopo il primo caso, l'Hertfordshire County Councilnon ha intrapreso azioni corrette per impedire che un simile incidente avesse ancora luogo.


La seconda multa, del controvalore di 60.000 sterline, è stata comminata alla società A4e per la perdita di un pc portatile non crittografato che conteneva informazioni personali di 24.000 persone che avevano utilizzato i servizi dei centri legali della contea di Hull e Leicester.Il laptop conteneva informazioni sensibili personali di 24.000 persone ed è stato trafugato dall'abitazione di un dipendente.
La sanzione è stata motivata dalla poca cura che l'azienda ha posto nel proteggere le informazioni sul pc del dipendente, nonostante fosse a consocenza della quantità e del tipo di dati in esso conservati.

Fonte: Office of Inadequate Security

Nessun commento:

Posta un commento