Non basta subire un furto e perdere i dati personali contenuti nel proprio dispositivo elettronico. Il rischio è anche quello di essere sanzionati dall'autorità dopo aver fatto regolare denuncia. Lo ha chiarito il garante per la protezione dei dati personali con il provvedimento n. 5/2021. L'Arpa Campania ha denunciato sia ai carabinieri che al garante l'avvenuta sottrazione di un hard disk: usato da tutti gli operatori dell'agenzia, anche per motivi personali, conteneva numerosi dati personali.
Un’efficace strategia di gestione degli incidenti relativi alla sicurezza delle informazioni, e dei data breach in particolare, si gioca sull’equilibrio tra la riduzione dell'impatto degli incidenti e la loro elaborazione nel modo più efficiente possibile; un valido approccio si basa sullo sviluppo di un piano.
La EasyJet è stata oggetto di un sofisticato attacco hacker che ha violato i dati personali di circa 9 milioni di clienti. A renderlo noto, è stata la stessa compagnia aerea britannica low cost in un comunicato stampa. Trai dati a cui hanno avuto accesso i criminali informatici, vi sono gli indirizzi e-mail, i dettagli dei viaggi, ed i dati della carta di credito di 2.208 passeggeri.
Il tema del data breach ha assunto un’importanza crescente negli ultimi anni ed è ampiamente dibattuto. In questo articolo si esplora la problematica della differenza del concetto di data breach, come inteso dal Regolamento UE 2016/679 (GDPR), dalla ISO 27701:2019 e dalla ISO 27001:2013. Sono visioni non coincidenti, anche se in gran parte sovrapponibili, e da esse emergono spunti che ci permettono di migliorare la procedura di gestione di tali eventi.
L'adozione di un sistema di “alert” che avvisi l’utente che si sta inviando una mail a persone esterne all’organizzazione, in modo da intercettare eventuali usi impropri del campo “c.c.” è una funzione che potrebbe prevenire ed evitare molti dei data breach causati dall’errore umano in cui informazioni delicate vengono comunicate a una moltitudine di soggetti non autorizzate a conoscerle.
Il mese scorso era stata sanzionata dall’autorità francese per la privacy (CNIL) con una bacchettata da 400.000 euro, ma i guai sui dati personali sembrano non finire per la RAPT. Infatti, la società francese che gestisce gran parte dei trasporti a Parigi e un gran numero di linee nei quartieri e comuni periferici con autobus, metro, e tram, nei giorni scorsi è finita di nuovo sotto la lente per un data breach che ha visto mettere a repentaglio i dati di 57mila dipendenti.
A quattro anni dall’entrata in vigore del GDPR, può risultare interessante effettuare una analisi degli interventi delle Autorità Garanti per trarne delle indicazioni, delle lesson learned utili per i diversi attori per operare in maniera consapevole il trattamento dei dati personali. In questa sede si pone l’attenzione sul contesto della Pubblica Amministrazione, che svolge un ruolo primario nell’ecosistema privacy, sia per il rispetto dei diritti dei cittadini, sia per il ruolo propulsivo che può avere nei confronti della sfera privatistica delle nostre società.
La responsabilità sui dati personali illecitamente diffusi a causa del cattivo funzionamento del software ricade sulla Provincia autonoma e non sulla Asl. La Cassazione ha precisato, infatti, che le attività di trattamento con riferimento alle quali si è verificata la violazione dei dati personali, rientrano nella sfera di titolarità della Provincia autonoma di Bolzano e non anche della Azienda sanitaria.
Per leggere l'articolo integrale devi effettuare il login!
I sistemi informatici del San Raffaele di Milano sono stati depredati a seguito di un “databreach” verificatosi nel marzo scorso. La notizia dell’intrusione fraudolenta arriva dal gruppo italiano LulzSec, noto alle cronache per scorribande di vario genere e in tempi recenti protagonista di una plateale campagna di smascheramento di pedofili che scambiavano materiale di pornografia infantile tramite canali Telegram.
I tredici archivi di dati personali apparsi sulla piattaforma di condivisione telematica Pastebin e attribuiti al circuito di carte di credito non si sa da dove saltino fuori. La loro genericità (non ci sono dati specifici che ne autentichino la provenienza) può lasciar presupporre che il presunto “data breach” non sia mai avvenuto, ma le dinamiche di diffida alla permanenza online dei file in questione e la soddisfazione nella pronta rimozione garantiscono una boccata d’aria agli immancabili complottisti.
