Data breach: Garante, le comunicazioni agli utenti non devono essere generiche

Le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità. È quanto affermato dal Garante per la privacy nel provvedimento adottato nei confronti di uno tra i principali fornitori nazionali di servizi di posta elettronica.

La società dovrà effettuare una nuova comunicazione sul data breach subito nei mesi scorsi, che aveva provocato l’accesso fraudolento alle caselle di posta elettronica di circa un milione e mezzo di propri utenti. La nuova comunicazione dovrà contenere una descrizione della natura della violazione e delle sue possibili conseguenze e dovrà fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi. Nel caso specifico, ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata.

La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda. Nella notificazione dell’incidente di sicurezza, la società ha dichiarato che il 20 febbraio scorso le analisi tecniche avevano evidenziato un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail.

Per contenere le possibili conseguenze del data breach la società aveva “forzato” gli utenti a reimpostare la password e predisposto una pagina apposita sul proprio sito per informare della violazione, in attesa di inviare una mail a tutti agli interessati colpiti dall’incidente. Mail effettivamente inviata, ma che, dagli atti acquisiti dal Garante nel corso di un’ispezione, è risultata carente e non in linea con quanto previsto dalla normativa sulla tutela dei dati personali. La società, infatti, aveva inviato due diverse comunicazioni a seconda che l’utente avesse provveduto o meno a effettuare il cambio della password entro le 48 ore successive all’avviso dell’avvenuto data breach.

In entrambi i casi la violazione era descritta come “attività anomala sui sistemi” e a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, affermando che il cambio di password aveva reso inutilizzabili le credenziali precedenti; a chi, invece, non aveva provveduto alla modifica si suggeriva solamente di cambiare la password per “eliminare il rischio di accesso indesiderato alla casella mail”. Informazioni ritenute dall’Autorità insufficienti, a fronte dei possibili e gravi rischi ai quali sono stati esposti gli utenti.

 

Dall’Agenzia dell’Unione europea per i diritti fondamentali un “Manuale sul diritto europeo in materia di protezione dei dati”

L’Agenzia dell’Unione europea per i diritti fondamentali (FRA) ha pubblicato la seconda edizione del “Manuale sul diritto europeo in materia di protezione dei dati”, che fornisce una panoramica dei quadri giuridici applicabili dell’Unione europea e del Consiglio d’Europa, aggiornata agli ultimi sviluppi normativi (rispettivamente, il Regolamento (UE) 2016/679 e la Convenzione 108+ modernizzata).

Il volume si occupa anche della giurisprudenza, illustrando le principali sentenze sia della Corte di giustizia dell’Unione europea che della Corte europea dei diritti dell’uomo, ed affronta scenari ipotetici che servono come esempi pratici per descrivere le diverse problematiche incontrate in questo campo in continua evoluzione.

Il Manuale è disponibile in tre versioni linguistiche al seguente indirizzo web: https://fra.europa.eu/en/publication/2018/handbook-european-data-protection-law.

Il Garante per la protezione dei dati personali ha collaborato alla realizzazione della versione italiana, qui disponibile:https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_it.pdf.

Avviso pubblico per la costituzione di un elenco di avvocati dal quale eventualmente attingere ai fini del conferimento di incarichi di patrocinio legale nell’interesse del Garante per la protezione dei dati personali

Avviso pubblico per la costituzione di un elenco di avvocati dal quale eventualmente attingere ai fini del conferimento di incarichi di patrocinio legale nell’interesse del Garante per la protezione dei dati personali
(7 maggio 2017)

 

 

Avviso pubblico elenco avvocati – formato pdf 

 

 

Modulo d’iscrizione – formato word

Dal 20 maggio sanzioni privacy a pieno regime

Il 19 maggio 2019 scade il periodo di «prima applicazione», in cui il Garante deve, per legge, mostrare la sua comprensione e, nei limiti del (giuridicamente) possibile, andarci piano con le sanzioni per violazioni del Regolamento Ue 2016/679 (Gdpr) e del nuovo Codice della privacy (figlio del dlgs 101/2018). Ora, però, alla porta ci sono 7.219 reclami e segnalazioni e 946 notificazioni di violazioni della privacy.

Fonte: Federprivacy

Nuova versione di www.alertprivacy.it

http://www.alertprivacy.it si rinnova con nuovi contenuti, nuove modalità di accesso.

Il servizio di aggiornamento privacy http://www.alertprivacy.it viene ora erogato tramite il nuovo sito dove gli abbonati possono trovare tutte le novità e utili risorse per il proprio aggiornamento professionale continuo.

Accedi a http://www.alertprivacy.it dal seguente link