Un broker francese è stato pesantemente sanzionato dalla CNIL per non aver saputo tutelare a sufficienza i dati personali degli utilizzatori del proprio sito web.
Nel maggio 2018, con l’entrata in vigore in Francia del regolamento generale sulla protezione dei dati (RGPD), il responsabile del trattamento dei dati personali francese intendeva dare alle compagnie di assicurazione, e in particolare alle società di brokeraggio, il tempo di adeguarsi a questo nuovo standard. Ora, la fase di adattamento o clemenza sembra essere finita.
Infatti, il 18 luglio 2019, la Commissione Nazionale Francese per l’Informatica e le Libertà (CNIL) ha sanzionato una società di brokeraggio, Active Assurances, per “violazione della sicurezza dei dati dei clienti” per un totale di 180.000 euro.
Sotto accusa il suo sito web, attraverso il quale i clienti possono richiedere preventivi, firmare contratti, o accedere al proprio spazio personale.
Nel giugno 2018, la CNIL aveva ricevuto una segnalazione da un cliente della società, che indicava che, dal suo account, aveva potuto accedere ai dati personali di altri clienti, riferisce la CNIL, ente pubblico incaricato di garantire la protezione dei dati personali contenuti nei file informatici o cartacei e il trattamento, sia pubblico che privato. Un controllo online ha rivelato che gli account dei clienti dell’azienda erano accessibili tramite link ipertestuali a cui si fa riferimento in un motore di ricerca. I documenti e i dati dei clienti sono rimasti accessibili anche modificando i numeri alla fine degli indirizzi URL visualizzati nel browser. Tali documenti comprendevano copie delle patenti di guida, documenti di immatricolazione dei veicoli, estratti conto bancari e documenti per determinare se una persona fosse stata oggetto di ritiro della patente o di incidente stradale.
La CNIL ha avvertito l’azienda di questa violazione della sicurezza e della conseguente violazione dei dati e le ha chiesto di porvi rimedio.
Qualche giorno dopo, la società ha informato la CNIL di aver adottato appropriate misure. Successivamente è stato effettuato un controllo in loco presso la sede della società, che ha fatto emergere:
– che le misure adottate non erano sufficienti ad evitare il ricorso;
– le password di connessione agli spazi personali, il cui formato imposto dall’azienda corrispondeva alla data di nascita del cliente;
– dopo la creazione dell’account, l’ID di accesso e la password sono stati inviati ai clienti via e-mail e menzionati in chiaro nel corpo del messaggio.
Sulla base delle indagini effettuate, la CNIL ha ritenuto che “la società non ha rispettato l’obbligo di protezione dei dati personali previsto dall’articolo 32 del regolamento generale sulla protezione dei dati (RDT)”.
Di conseguenza, la commissione ha imposto una multa di 180.000 euro e ha deciso di rendere pubblica la sua sanzione. In particolare, ha tenuto conto “della gravità della violazione”, in ragione della natura dei dati e dei documenti in questione (documenti di identità, informazioni relative ai reati, dati bancari, ecc.).
Inoltre la violazione della sicurezza ha interessato i conti di diverse migliaia di clienti e di persone che hanno risolto il loro contratto con la società.
Specializzato nei mercati dell’assicurazione auto e dell’assicurazione sanitaria integrativa per i privati, il gruppo Active Assurances (17,4 milioni di euro di fatturato nel 2018, 260 dipendenti) possiede anche le società AFI Assurances, acquisita nel febbraio 2019, e Wazari Assurances, lanciata nel luglio 2018.