Con provvedimento del 29 aprile 2025 il Garante Privacy ha sanzionato l’Ordine degli Psicologi della Regione Lombardia per non aver adottato le misure necessarie a protezione dei dati personali, in violazione degli artt. 5, par. 1, lett. f), e 32, par. 1., del Regolamento UE 2016/679 (GDPR).
La ISO/IEC 27001:2013 “Sistemi di gestione della sicurezza dell'informazione - Requisiti”, tratta anche del tema dello smaltimento dei supporti che contengono dati, nello specifico il controllo A.8.3.2 - dismissione dei supporti (nella ISO/IEC 27002:2022 controllo 7.10) , ove si specifica che la dismissione deve avvenire in modo sicuro attraverso l’utilizzo di procedure formali. Ovviamente, la dismissione dei supporti si riferisce non solo a quelli elettronici, ma anche a quelli cartacei e più in generale a ogni forma di supporto contenente dati. L’articolo si concentra sulla dismissione dei supporti elettronici e cartacei dove di norma sono conservati dati personali, a riprova del fatto che la ISO/IEC 27001:2013 è da considerare come una validissima misura di accountability in relazione alla protezione dei dati personali.
Il tema del controllo degli accessi fisici è spesso trascurato nell’ambito della protezione dei dati personali; eppure tale tema è oggetto anche di una famiglia di controlli della ISO IEC 27001. La necessità di tali controlli pone in evidenza come una cattiva gestione dei dispositivi fisici (chiavi, badge) per accedere ai locali dell’organizzazione, e/o dei dispositivi per accedere alle informazioni necessarie per l’accesso (codici di allarmi o altri codici ad esempio per serratura che si apre con PIN e/o applicazione su smartphone) può rendere vulnerabili i dati.
Nomi e cognomi, patologie, diagnosi e terapie riguardanti gli ignari pazienti, tutti documenti perfettamente leggibili in mezzo a tonnellate di rifiuti, in totale spregio della normativa in materia di tutela della privacy.
L'adozione di un sistema di “alert” che avvisi l’utente che si sta inviando una mail a persone esterne all’organizzazione, in modo da intercettare eventuali usi impropri del campo “c.c.” è una funzione che potrebbe prevenire ed evitare molti dei data breach causati dall’errore umano in cui informazioni delicate vengono comunicate a una moltitudine di soggetti non autorizzate a conoscerle.
L’80% delle aziende non ha ancora impostato criteri per l’uso delle password, lasciando quindi liberi i propri dipendenti di sceglierne una a propria discrezione senza problemi di sintassi, lunghezza o altri parametri sui caratteri da utilizzare. A rivelarlo è il report ”Acronis Cyberthreats Report 2020”. La ricerca evidenzia che tra il 15 e il 20% delle password utilizzate negli ambienti di business include il nome dell’azienda, un banale espediente che ne semplifica l’individuazione da parte di pirati informatici e altri soggetti non autorizzati.
L' Agenzia spagnola per la protezione dei dati ha inflitto una multa di 200.000 euro agli ospedali HM per aver violato le norme sulla protezione dei dati personali sulle cartelle cliniche elettroniche dei pazienti, dopo che un ex dipendente aveva denunciato carenze nel sistema informativo ospedaliero utilizzato da tutti i centri del gruppo.
La barriera è un elemento immateriale e/o fisico che riduce uno o più rischi; ha la funzione di resistere alle sollecitazioni a cui viene sottoposta; barriere diverse hanno differente capacità di resistere alle minacce innescate dalle vulnerabilità. Le barriere prevedono misure tecniche ed organizzative; esistono molti tipi di barriere, la casistica è comune a tutti i contesti (salute e sicurezza sul lavoro, ambiente); in questo articolo verranno illustrati i tipi principali, in relazione al tema della protezione dei dati, che prevede prevalentemente il ricorso a barriere di tipo immateriale.
Per leggere l'articolo integrale devi effettuare il login!
Qualche giorno orsono Microsoft ha fornito una spiegazione di come un gruppo di cyber criminali vicini al governo di Pechino sarebbe riuscito a violare svariati account di posta elettronica del governo degli Stati Uniti.
L'autorità di controllo olandese (Autoriteit Persoonsgegevens) ha imposto una sanzione amministrativa di 440.000 euro all'ospedale di Amsterdam OLVG per insufficienti misure di sicurezza per proteggere le cartelle cliniche da accessi da parte di personale non autorizzato. A seguito di vari reclami, il garante olandese aveva condotto un'indagine, effettuato un audit del sistema informativo dell'ospedale, analizzando vari aspetti di sicurezza.
