Visualizza articoli per tag: notifica
Attacchi ransomware, quando si applica l’obbligo di informare gli interessati
Ecco il paradosso dei tempi correnti in ambito cyber: ad un’aumentata frequenza di attacchi informatici, si assiste ad un calo d’attenzione sul tema della gestione dei data breach e delle comunicazioni verso gli interessati. Si assiste infatti fin troppo spesso a informazioni rese tardivamente, del tutto mancanti o altrimenti incomplete, soprattutto nelle ipotesi di ransomware sempre più oggetto di cronaca.
Consultazione pubblica per le Linee Guida EDPB 9/2022 sulla notifica delle violazioni dei dati personali
La consultazione pubblica delle linee guida EDPB 9/2022 sulla notifica delle violazioni dei dati personali riguarda un’unica modifica, relativa al paragrafo 73. Dalla versione originale WP250 rev.01 viene proposto un aggiornamento limitatamente all’esigenza di chiarire i requisiti per provvedere alla notifica nell’ambito di attività svolte da parte di titolari non stabiliti nel territorio dell’Unione le cui attività riguardano “l’offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato” oppure “il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione” (art. 3.2 GDPR).
Data Breach e notifica all’autorità, i dubbi nella gestione operativa
Negli ultimi mesi abbiamo assistito sulle pagine di cronaca a un susseguirsi di notizie su furti di dati, attacchi hacker e divulgazioni di database pieni di password. Di conseguenza è aumentata come mai prima la percezione e di conseguenza il timore che i propri dati personali possano essere persi, modificati o divulgati senza autorizzazione. In altre parole, che accada quello che il GDPR 16/679 definisce data breach o più semplicemente in italiano una violazione dei dati personali.
Data breach, linee standard per la notifica delle violazioni di dati personali
Al via il modello del Garante per la segnalazione degli incidenti, informatici e no, da cui sia derivata una violazione della privacy: dai virus più o meno sofisticati alle perdite di dispositivi, dalle sottrazioni di banche dati alle alterazioni di file, dai furti di password ai ricatti online e così via.
Data Breach: Garante Privacy, le comunicazioni agli utenti non devono essere generiche
Le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità. È quanto affermato dal Garante per la privacy nel provvedimento adottato nei confronti di uno tra i principali fornitori nazionali di servizi di posta elettronica. La società dovrà effettuare una nuova comunicazione sul data breach subito nei mesi scorsi, che aveva provocato l’accesso fraudolento alle caselle di posta elettronica di circa un milione e mezzo di propri utenti.
Data Breach: il Garante della Privacy lancia un nuovo servizio online per semplificare gli adempimenti
Quando si verifica un data breach, il titolare del trattamento deve notificare la violazione al Garante della privacy senza ingiustificato ritardo entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Data breach: l'adempimento della notifica al Garante non va preso sottogamba
Deve essere dettagliata e particolareggiata l'autosegnalazione al Garante della privacy dell'attacco informatico subito. L'adempimento obbligatorio in caso di data breach, previsto dall'articolo 33 del Gdpr, non va preso sottogamba, riempiendo con frasi generiche i campi del prescritto modulo on line. La superficialità nella notificazione è un illecito punito con sanzioni amministrative.
Per leggere questo articolo devi essere registrato ed effettuare il login!
Due terzi delle organizzazioni industriali non segnala i data breach alle autorità di controllo
I criminali informatici sfruttano sempre più frequentemente attacchi di tipo sofisticato per violare le realtà industriali; in un contesto di questo tipo, delle solide politiche di sicurezza informatica e il rispetto delle normative non sono mai state così importanti. Le aziende industriali oggi devono rispettare molti requisiti, dal Regolamento generale sulla protezione dei dati (GDPR) fino agli standard stabiliti dalla Commissione Elettrotecnica Internazionale (IEC).
Finlandia: clinica psichiatrica nel 2018 omette notifica di un data breach ma la sanzione arriva dopo che ha cessato l’attività
A partire da dicembre 2018, il Centro di Psicoterapia Vastaamo era rimasto vittima di alcuni attacchi informatici da parte di hacker che erano riusciti a trafugare i dati di almeno 22mila interessati, e qualche tempo dopo clienti e dipendenti della clinica avevano iniziato a ricevere messaggi di tentativi di estorsione da parte dei cybercriminali che chiedevano loro un riscatto per non divulgare le loro informazioni sensibili.
Garante Privacy, i tribunali non sono tenuti a conoscere lo stato di salute dei soggetti cui notificare atti giudiziari
Per assicurare il contenimento del contagio da Covid-19 e la protezione degli ufficiali giudiziari i Tribunali non sono tenuti a conoscere lo stato di salute dei soggetti cui notificare atti giudiziari, ma, come previsto dalle norme adottate dal Governo, devono predisporre adeguati dispositivi di protezione individuale.