Ecco il paradosso dei tempi correnti in ambito cyber: ad un’aumentata frequenza di attacchi informatici, si assiste ad un calo d’attenzione sul tema della gestione dei data breach e delle comunicazioni verso gli interessati. Si assiste infatti fin troppo spesso a informazioni rese tardivamente, del tutto mancanti o altrimenti incomplete, soprattutto nelle ipotesi di ransomware sempre più oggetto di cronaca.
La consultazione pubblica delle linee guida EDPB 9/2022 sulla notifica delle violazioni dei dati personali riguarda un’unica modifica, relativa al paragrafo 73. Dalla versione originale WP250 rev.01 viene proposto un aggiornamento limitatamente all’esigenza di chiarire i requisiti per provvedere alla notifica nell’ambito di attività svolte da parte di titolari non stabiliti nel territorio dell’Unione le cui attività riguardano “l’offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato” oppure “il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione” (art. 3.2 GDPR).
Negli ultimi mesi abbiamo assistito sulle pagine di cronaca a un susseguirsi di notizie su furti di dati, attacchi hacker e divulgazioni di database pieni di password. Di conseguenza è aumentata come mai prima la percezione e di conseguenza il timore che i propri dati personali possano essere persi, modificati o divulgati senza autorizzazione. In altre parole, che accada quello che il GDPR 16/679 definisce data breach o più semplicemente in italiano una violazione dei dati personali.
Al via il modello del Garante per la segnalazione degli incidenti, informatici e no, da cui sia derivata una violazione della privacy: dai virus più o meno sofisticati alle perdite di dispositivi, dalle sottrazioni di banche dati alle alterazioni di file, dai furti di password ai ricatti online e così via.
Le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità. È quanto affermato dal Garante per la privacy nel provvedimento adottato nei confronti di uno tra i principali fornitori nazionali di servizi di posta elettronica. La società dovrà effettuare una nuova comunicazione sul data breach subito nei mesi scorsi, che aveva provocato l’accesso fraudolento alle caselle di posta elettronica di circa un milione e mezzo di propri utenti.
Quando si verifica un data breach, il titolare del trattamento deve notificare la violazione al Garante della privacy senza ingiustificato ritardo entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Deve essere dettagliata e particolareggiata l'autosegnalazione al Garante della privacy dell'attacco informatico subito. L'adempimento obbligatorio in caso di data breach, previsto dall'articolo 33 del Gdpr, non va preso sottogamba, riempiendo con frasi generiche i campi del prescritto modulo on line. La superficialità nella notificazione è un illecito punito con sanzioni amministrative.
Per leggere questo articolo devi essere registrato ed effettuare il login!
I criminali informatici sfruttano sempre più frequentemente attacchi di tipo sofisticato per violare le realtà industriali; in un contesto di questo tipo, delle solide politiche di sicurezza informatica e il rispetto delle normative non sono mai state così importanti. Le aziende industriali oggi devono rispettare molti requisiti, dal Regolamento generale sulla protezione dei dati (GDPR) fino agli standard stabiliti dalla Commissione Elettrotecnica Internazionale (IEC).
A partire da dicembre 2018, il Centro di Psicoterapia Vastaamo era rimasto vittima di alcuni attacchi informatici da parte di hacker che erano riusciti a trafugare i dati di almeno 22mila interessati, e qualche tempo dopo clienti e dipendenti della clinica avevano iniziato a ricevere messaggi di tentativi di estorsione da parte dei cybercriminali che chiedevano loro un riscatto per non divulgare le loro informazioni sensibili.
Per assicurare il contenimento del contagio da Covid-19 e la protezione degli ufficiali giudiziari i Tribunali non sono tenuti a conoscere lo stato di salute dei soggetti cui notificare atti giudiziari, ma, come previsto dalle norme adottate dal Governo, devono predisporre adeguati dispositivi di protezione individuale.
