Le autorità francesi multano Nexpublica per 1,7 milioni di euro per violazioni di dati sensibili.

L’autorità per la protezione dei dati della Francia (CNIL) ha imposto una multa di 1,7 milioni di euro a Nexpublica France per misure di sicurezza inadeguate nel suo software di servizi sociali, PCRM, dopo una violazione dei dati che ha esposto informazioni sensibili su persone con disabilità.

La violazione dei dati
La penalità segue un’indagine scaturita da segnalazioni di novembre 2022 da parte dei clienti di Nexpublica, tra cui diverse case dipartimentali per persone con disabilità (MDPH). I clienti hanno allertato la CNIL dopo che gli utenti del portale PCRM hanno segnalato di poter accedere a documenti riservati di terzi. L’ispezione della CNIL ha concluso che le violazioni derivavano da carenze di sicurezza sistemiche e di lunga data nella piattaforma software.

La risposta della CNIL
La CNIL ha rilevato che le vulnerabilità presenti in PCRM derivavano da una mancanza generale di misure tecniche e organizzative di protezione conformi agli standard del settore. Secondo il comitato restrittivo della CNIL, responsabile dell’emissione di penalità, queste lacune erano note alla società, ma non erano state corrette prima delle violazioni. La CNIL ha stabilito che Nexpublica aveva violato l’articolo 32 del Regolamento generale sulla protezione dei dati (GDPR), che obbliga i titolari e i responsabili del trattamento dei dati a garantire un livello di sicurezza adeguato rispetto ai rischi posti dal trattamento dei dati.