FTCC | Studio Legale Associato

FTCC

News

immagine art. giugno '19 (SANTI)

Sono state all’incirca un migliaio le notifiche di data breach al Garante privacy a partire dal 25 maggio dello scorso anno, data di effettiva applicazione in tutta l’Unione Europea del nuovo regolamento in materia di protezione di dati personali.

Per chi ancora non sapesse che cos’è un data breach, segnalo che trattasi di una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali. Per capire perfettamente il fenomeno non si deve però pensare al solito caso di hackeraggio di un sistema informatico. Infatti, anche il semplice smarrimento di un’agendina cartacea di nominativi, numeri di telefono, indirizzi di casa, password di accesso a conti correnti privati, ecc., potrebbe configurare un’ipotesi di data breach.

Il data breach va segnalato al Garante solo quando la violazione in questione può comportare un danno per l’interessato. Si pensi, ad esempio, al furto d’identità, al rischio di frode, alla perdita di riservatezza dei dati personali protetti dal segreto professionale, ad una perdita finanziaria, ad un danno reputazionale.

Anche l’interessato ha il diritto di essere informato della violazione dei suoi dati, non solo il Garante privacy. Ma cosa bisogna riferire all’interessato in caso di data breach?

In un recente provvedimento adottato nei confronti di uno dei principali fornitori nazionali di servizi di posta elettronica che ha subito la violazione di milioni di password di caselle email di propri utenti, il Garante Privacy ha avuto l’occasione di precisare che le comunicazioni agli interessati relative al data breach non devono essere vaghe e fumose.

In particolare, il fornitore nella comunicazione ai suoi utenti aveva descritto l’avvenuta violazione genericamente come “attività anomala sui sistemi” e suggerito agli utenti di procedere alla modifica della password per eliminare il rischio di accesso indesiderato alla casella email. Il Garante ha invece ritenuto necessaria l’effettuazione di una nuova comunicazione integrativa agli interessati per fornire maggiori dettagli sulla natura della violazione e sulle possibili conseguenze di essa, nonché indicazioni specifiche sulle misure correttive da adottare, quale la raccomandazione di non utilizzare più le credenziali compromesse e modificarle non solo per l’utilizzo delle caselle email in questione ma anche per l’accesso a qualsiasi altro servizio online, se la password coincide o è simile a quella oggetto di violazione.

Pertanto, di queste precisazioni del Garante le imprese dovranno tenere conto all’occorrenza.

    Avv. Santina Parrello


categoria:NewsPrivacy e diritti della personalità