NEWS

Francia: sanzione da 1,7 milioni di euro a una società informatica che gestisce prestazioni sanitarie per persone con disabilità

Il 22 dicembre 2025, la Commission Nationale de l’Informatique et des Libertés (CNIL) ha imposto una sanzione pecuniaria di 1,7 milioni di euro alla società Nexpublica France per gravi carenze nelle misure di sicurezza dei dati nel suo software gestionale.

Nexpublica France, (precedentemente nota come Inetum Software France), è un’azienda specializzata nello sviluppo di sistemi informatici e software, realizza un pacchetto software chiamato PCRM, utilizzato soprattutto come strumento di gestione delle relazioni con gli utenti nel campo dei servizi sociali. Tra gli utilizzatori figurano le Maisons Départementales des Personnes Handicapées (MDPH), e varie strutture pubbliche francesi che gestiscono diritti e prestazioni sanitarie per persone con disabilità.

Alla fine di novembre 2022, alcuni clienti del software PCRM avevano segnalato all’autorità francese della protezione dei dati personali violazioni dei dati personali con utenti del portale che avevano avuto accesso senza autorizzazione a documenti e informazioni relative a terze persone. Tali segnalazioni avevano quindi attivato un’indagine ufficiale della CNIL.

Durante l’indagine, il garante transalpino ha constatato che le misure tecniche e organizzative implementate da Nexpublica per proteggere i dati erano insufficienti e inadeguate rispetto ai rischi. In particolare, la commissione speciale della CNIL ha evidenziato:

- una debolezza sistemica del sistema informativo alla base del PCRM
- una mancanza di adozione delle buone pratiche e dei principi di sicurezza informatica per la protezione di dati sensibili
- vulnerabilità già note all’azienda tramite rapporti di audit precedenti, che tuttavia non avevano portato a interventi correttivi prima delle violazioni

La CNIL ha sottolineato inoltre che tali carenti misure di sicurezza sono particolarmente gravi se si considera il tipo di dati trattati, ossia informazioni sensibili legate all’handicap e alla situazione personale degli utenti.

Secondo l’articolo 32 del GDPR, titolari e responsabili del trattamento dei dati devono infatti adottare misure tecniche e organizzative adeguate al proprio contesto per garantire un livello di sicurezza proporzionato ai rischi, tenendo conto dello stato dell’arte tecnologico, dei costi e dell’impatto sui diritti e le libertà degli interessati.

La CNIL ha ritenuto che Nexpublica France non abbia ottemperato a tali obblighi, lasciando “problemi strutturali” nella sicurezza senza intervenire tempestivamente, nonostante i chiari segnali di rischio e le evidenze di audit.

Nel determinare l’ammontare della sanzione, la CNIL ha considerato diversi fattori, tra cui la capacità finanziaria dell’azienda, la mancanza dello stato dell’arte dei principi fondamentali di sicurezza da parte della società, nonostante la sua attività nel settore IT, nonché il numero di persone interessate e la sensibilità dei dati coinvolti.

È importante notare che, pur constatando gravi violazioni, la CNIL non ha poi emesso un ulteriore ordine con prescrizioni di conformità in aggiunta alla sanzione, poiché nel frattempo l’azienda aveva già adottato i correttivi necessari a seguito delle violazioni iniziali.

Fonte: Commission Nationale de l’Informatique et des Libertés

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Brasile: hacker falsificano ordini di rilascio e quattro detenuti tornano liberi
Next Giappone: dipendente dell'agenzia nucleare perde il cellulare contenente dati riservati durante un viaggio in Cina

Vademecum per prenotare online le vacanze senza brutte sorprese

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy