Il caso
Il reclamante aveva ricevuto un’e-mail dall’azienda con un collegamento a una pagina Web con i preventivi da parte della compagnia assicurativa Trygg-Hansa (allora Moderna Försäkringar) a seguito di una denuncia. L’interessato ha però notato che era possibile accedere ai documenti di altri assicurati, senza alcun tipo di login, semplicemente sostituendo alcuni numeri nel collegamento web.
A seguito del reclamo l’Autorità Svedese (IMY) ha verificato che è stato possibile accedere ai dati dei clienti di 650.000 clienti nel periodo compreso tra ottobre 2018 e febbraio 2021. I documenti accessibili a persone non autorizzate contenevano in alcuni casi dati personali sensibili, compresi dati sanitari dettagliati e dettagli su una condizione di salute. I dati disponibili includevano anche informazioni quali informazioni finanziarie, dettagli di contatto, numeri di previdenza sociale e partecipazioni assicurative.
Nel complesso, la grande quantità di dati personali disponibili ha permesso di creare un quadro chiaro della situazione privata di una persona.
La decisione
Nella sua decisione, IMY afferma che le carenze erano talmente gravi che la compagnia assicurativa avrebbe dovuto avere la possibilità di scoprirle e porvi rimedio anche prima dell’introduzione del relativo sistema informatico e comunque durante il lungo periodo in cui il sistema era in funzione usato.
IMY conclude che la società non ha adottato misure tecniche adeguate per garantire un livello di sicurezza adeguato in relazione al rischio. L’autorità commina quindi alla società una sanzione amministrativa di 35 milioni di corone svedesi (circa 2,8 milioni di euro).