Prima denuncia di attacchi informatici entro 24 ore e, a seguire, notifica completa entro 72 ore: sono questi alcuni degli obblighi specifici, in caso di data breach, previsti dallo schema di decreto legislativo di recepimento della direttiva UE 2022/2555 (nota con l’acronimo NIS 2) licenziato, in via preliminare, del consiglio dei ministri del 10/6/2024.
Per leggere questo articolo devi essere registrato ed effettuare il login!
Se uno studio di Federprivacy su tremila siti dei comuni italiani ha evidenziato che il 47% di questi utilizza protocolli non sicuri e il 36% non rende noti i recapiti per contattare il Data Protection Officer, in Norvegia le inosservanze delle misure di sicurezza del Gdpr da parte dei comuni iniziano già ad essere sanzionate pesantemente, e questo costituisce un serio avvertimento per le p.a. di casa nostra, anche perché ormai siamo a poche settimane dalla scadenza del “periodo di grazia” di otto mesi previsto dal Dlgs 101/2018, in cui il Garante ha tenuto finora particolare considerazione nella fase di prima applicazione delle disposizioni sanzionatorie del Regolamento.
L'Haga Hospital a L'Aia in Olanda è stato multato per 460.000 euro per insufficiente sicurezza dei file dei pazienti, dopo che è emerso che le cartelle cliniche di una star di un reality televisivo erano state visitate da dozzine di membri dello staff che non erano autorizzati ad accedere a tali dati sensibili.
L’Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens) ha inflitto a Uber una maxi sanzione di 290 milioni di euro, dopo aver rilevato che la società ha “trasferito i dati personali degli autisti europei negli Stati Uniti, senza salvaguardarne la privacy”. Tale comportamento, secondo il garante olandese, costituisce una grave violazione del Gdpr.
Sono oltre 170mila le persone “spiate” e i cui dati, contenuti in database, sono stati venduti. Un business che aveva un vero e proprio tariffario, con corrispettivi variabili tra 0,10 centesimi e 10 euro per “visura”. Secondo i pm di Roma a comprare le informazioni erano società di investigazioni nel settore del recupero credito e anche usurai arrestati nel maggio del 2018 nell’ambito di un’altra indagine della Procura di Roma.
Dopo aver ricevuto un reclamo per l'illecita pubblicazione di dati sensibili di un paziente ricoverato in una clinica psichiatrica forense sul sito web della Regione di Örebro, il Garante per la privacy svedese ha avviato un'indagine, appurando che la segnalazione era fondata. Infatti, nel comunicato reso noto dalla stessa autorità per la protezione dei dati personali lo scorso 13 maggio, viene confermato che "le informazioni sensibili del paziente sono state erroneamente pubblicate e quindi rese accessibili al pubblico sul sito web della regione ".
Oltre 5,8 milioni di radiografie, salvate con una serie di dati personali molto sensibili, come nome e cognome del paziente e motivo dell’esame, su server non protetti. E accessibili via internet anche a curiosi non autorizzati. È questa la scoperta fatta in Italia da Greenbone Networks, società tedesca di sicurezza informatica, che tra luglio e settembre ha analizzato le misure di protezione di 2.300 database medici, scoprendo che quasi uno su quattro, 590 per la precisione, è accessibile online. Offrendo a occhi indiscreti, o peggio, a malintenzionati, 24 milioni di dati relativi a pazienti da 52 Paesi nel mondo.
Oracle, multinazionale del settore informatico con sede nel Texas e un fatturato annuo di 42,4 miliardi di dollari, è chiamata a difendersi nei tribunali statunitensi dalla pesante accusa di aver messo in piedi una vera e propria “macchina di sorveglianza mondiale” violando la privacy di 5 miliardi di persone, e ammassando dati personali praticamente dell’intera popolazione di internet del pianeta, dato che secondo le statistiche a gennaio 2022 gli utenti del web sulla Terra erano 5.152.254.587.
La Rewterz Threat Intelligence, una società di cybersecurity pakistana, ha scoperto sul Dark Web un annuncio pubblicato da un hacker ignoto riferito alla messa in vendita dei dati personali di 115 milioni utenti di telefonia mobile del Pakistan, nazione che conta in totale una popolazione di circa 210 milioni di abitanti.
L’autorità polacca per la protezione dei dati personali (Uodo) ha imposto la sua prima sanzione con il Gdpr per un importo di 943.000 zloty polacchi (circa 220.000 euro) per il mancato adempimento dell'obbligo di informazione. Lo rende noto l'European Data Protection Board sul proprio sito istituzionale.
