Il 26 settembre 2024, l’Information Commissioner’s Office (ICO), Garante della protezione dei dati personali del Regno Unito, ha comminato una sanzione pecuniaria di £750.000 al Police Service of Northern Ireland (PSNI) in seguito a una significativa violazione dei dati personali avvenuta l’8 agosto 2023. Il data breach, descritto come la violazione di dati più significativa nella storia della polizia britannica in termini di compromissione di dati personali, ha comportato la divulgazione non autorizzata delle informazioni personali di ben 9.483 ufficiali e membri dello staff della Polizia nordirlandese.
Le circostanze della violazione
L’incidente è scaturito dalla pubblicazione di un file Excel contenente dati personali del personale della PSNI su WhatDoTheyKnow (WDTK), il sito web ufficiale gestito dall’organizzazione non profit mySociety per le richieste di accesso alle informazioni governative, finalizzate alla trasparenza, in conformità con il Freedom of Information Act 2000. Tale pubblicazione è stata generata a seguito di due richieste FOI inviate alla Corporate Information Branch (CIB), l’unità della PSNI responsabile della gestione delle richieste di accesso. Sebbene le richieste originarie si concentrassero su dati numerici relativi al numero di ufficiali e alla loro tipologia contrattuale, il file divulgato conteneva informazioni non pertinenti e non autorizzate, tra cui nomi, ruolo, grado, reparto, sede di servizio e genere del personale.
Tali dati erano stati erroneamente inclusi in una scheda nascosta del file Excel denominata “SAP DOWNLOAD”, presente all’interno del file generato direttamente dal sistema gestionale del dipartimento HR della Polizia nordirlandese, creato ad hoc per evadere la richiesta di WDTK. Tuttavia, questo errore non è stato rilevato né dal personale della PSNI responsabile della preparazione del file, né da chi ha condotto i controlli di qualità, né dai membri del Strategic Communications and Engagement Department (SCED) incaricati di approvare il documento prima della sua pubblicazione. Il file, così come ricevuto, è stato poi pubblicato direttamente sul sito di WDTK in data 8 agosto, rendendo i dati personali liberamente scaricabili e consultabili da chiunque per 3 ore.
La PSNI ha tempestivamente richiesto la rimozione del documento da WDTK non appena scoperto l’errore, e gli amministratori del sito ne hanno disposto la cancellazione. Tuttavia, ciò non ha impedito che le informazioni venissero acquisite da gruppi di dissidenti terroristi nordirlandesi, come i Repubblicani, come confermato dal report pubblico della stessa Polizia. Questo data breach ha infatti aumentato l’esposizione degli interessati, poiché alcuni di essi appartengono a comunità cattoliche e temono ripercussioni su di loro e sulle loro famiglie.
A seguito della violazione, la PSNI infatti ha messo in atto una serie di misure volte a tutelare la sicurezza del suo personale. In particolare, è stato attivato un gruppo di gestione delle minacce (Emergency Threat Management Group, ETMG), il quale ha fornito supporto immediato ai dipendenti coinvolti, offrendo misure di sicurezza, inclusi cambiamenti delle targhette identificative e il potenziamento della sicurezza nelle abitazioni.
Le violazioni rilevate dall’ICO
A seguito del data breach, l’ICO ha avviato un’indagine approfondita, riscontrando che la PSNI, in qualità di Titolare del trattamento, non aveva adottato le misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali, in violazione degli articoli 5(1)(f) – principio di integrità e riservatezza – e 32(1) e (2) – misure di sicurezza e valutazione del rischio – del UK GDPR. Questi articoli stabiliscono l’obbligo per i Titolari del trattamento di adottare misure idonee durante il trattamento dei dati personali, ad esempio contro accessi non autorizzati e divulgazioni indebite.
Nel caso specifico, il Titolare del trattamento è stato ritenuto responsabile di non aver predisposto controlli interni adeguati né di aver fornito una formazione sufficiente al personale incaricato del trattamento dei dati in risposta alle richieste FOI. L’assenza di una procedura standardizzata per l’eliminazione dei dati non pertinenti dai file destinati alla pubblicazione, combinata con la mancanza di verifiche tecniche appropriate sugli strumenti utilizzati, ha rivelato significative carenze organizzative.
A conclusione dell’istruttoria, l’ICO aveva inizialmente proposto una sanzione di £5,6 milioni, successivamente ridotta a £750.000, tenendo conto delle risorse pubbliche e dell’impatto economico sulle finanze della PSNI. Tuttavia, la sanzione rimane significativa, a riflettere la gravità dell’incidente e la negligenza dimostrata dalla PSNI nel trattamento dei dati, che in alcuni casi ha reso necessaria l’adozione di misure di sicurezza straordinarie, come il trasferimento di alcuni ufficiali per tutelarne l’incolumità.
Conclusioni
La violazione subita dalla PSNI rappresenta un esempio chiaro di come la mancanza di controlli adeguati e di formazione del personale possa avere gravi ripercussioni sulla sicurezza dei dati personali dei soggetti interessati. È essenziale che le organizzazioni pubbliche adottino misure organizzative e tecniche rigorose per prevenire il verificarsi di simili incidenti in futuro e offrano ai propri dipendenti una formazione continua, affiancata da linee guida interne, per sensibilizzarli sui rischi legati al trattamento dei dati personali.
