Come procedere in caso di attacchi ransomware, di esfiltrazione di dati, di perdita o furto di dispositivi e documenti cartacei? A questa e ad altre domande rispondono le linee guida, adottate dall’Edpb (Comitato europeo per la protezione dei dati), per aiutare imprese e pubblica amministrazione ad affrontare correttamente le violazioni dei dati e definire i processi di gestione del rischio.
Nel provvedimento 141 del 9 luglio 2020 (doc. web n. 9440117) il Garante evidenzia come la tempestività del titolare del trattamento nell’effettuare la notificazione di un data breach e l’immediata adozione di misure correttive non esonerano lo stesso da responsabilità per il trattamento illecito di dati personali.
In molti casi l’attivazione della procedura di data breach da parte del titolare del trattamento con relativa notifica all’Autorità Garante ai sensi dell’art. 33 del GDPR può comportare come conseguenza l’applicazione di determinate sanzioni amministrative, anche pecuniarie, da parte dell’Autorità. Non è assolutamente una regola, ma la probabilità è alta. Si pensi, ad esempio, ai recenti provvedimenti richiamati nella newsletter del 19 febbraio 2021 dove il Garante, con riferimento alle strutture sanitarie, nell’irrogare la sanzione ha ricordato che i titolari del trattamento devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati degli interessanti siano comunicati per errore ad altre persone.
Il GDPR introduce per il Titolare del trattamento l’obbligo di notificare all’Autorità di controllo la violazione dei dati personali (Data Breach) che comporti rischi non trascurabili per i diritti e le libertà dell’individuo. Quando la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento comunica la violazione all'interessato.
Nel corso delle passate settimane un hacker è riuscito ad accedere ai sistemi informativi di Reddit, trafugando indirizzi email e un backup di un database risalente al 2007, a sua volta contenente password di account. Reddit ha rassicurato il pubblico affermando che l'hacker non ha ottenuto gli accessi in scrittura per alcun sistema, scongiurando così il pericolo di alterazione delle informazioni. Reddit ha quindi intrapreso una serie di misure per rafforzare la sicurezza e migliorare il sistema di log e di monitoraggio.
Viene venduto a prezzo di saldo nel Dark Web un database contenente le informazioni personali di 20 milioni utenti di Mixcloud, una piattaforma di streaming audio con sede nel Regno Unito. Il prezzo stracciato che è richiesto dal mercante di dati personali nella parte più oscura del web è infatti di 4.000 dollari, o circa 0,5 bitcoin, ovvero appena 0,0002 euro per ciascun utente.
I dati personali di centinaia di migliaia di proprietari di autoveicoli nel Regno Unito di marca Bmw, Mercedes, Honda, Hyundai e Seat, sono stati trafugati da un gruppo di hacker e messi in vendita nel Dark Web. La massiccia violazione dei dati personali degli automobilisti inglesi è stata scoperta dalla società di intelligence israeliana Kela, la quale ha osservato che su mezzo milione di intestatari di auto su cui hanno messo mano i cybercriminali, ben 384.319 erano proprietari di Bmw, mentre il resto erano possessori di Honda, Hyundai, Mercedes e automobili Seat.
Un'enorme vulnerabilità nell'app per incontri "3fun" ha permesso a chiunque di ottenere dati personali,comprese le informazioni delle chat, le foto private, ed anche i dati relativi alla posizione gps in tempo reale degli 1,5 milioni di utenti iscritti al servizio.
I dati di 57 milioni di clienti di Uber sono stati piratati, ma la multinazionale per il trasporto privato lo ha tenuto nascosto per un anno preferendo pagari un riscatto, ben 100 mila dollari, agli hacker che avevano piratato nomi, email, numeri di telefono di 50 milioni di clienti e 7 milioni di autisti. Il furto, riferisce l'agenzia Bloomberg, è stato compiuto ai danni di clienti in tutto il mondo a ottobre del 2016. Oltre ai dati sensibili dei clienti, sono stati piratati anche i numeri di patente di 600.000 americani.
Il Garante per la protezione dei dati personali ha avviato un’istruttoria nei confronti di Linkedin a seguito della violazione dei sistemi del social network che ha determinato la diffusione di dati deglI utenti, compresi ID, nominativi completi, indirizzi email, numeri di telefono, collegamenti ad altri profili LinkedIn e a quelli di altri social media, titoli professionali e le altre informazioni lavorative inserite nei propri profili dagli utenti.
