venerdì, 18 settembre 2020

W la Privacy

W la Privacy

Data breach: Garante, le comunicazioni agli utenti devono essere precise

20/06/2019

ROMA - Le comunicazioni agli utenti dei data breach non solo non devono essere generiche, ma devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, innanzitutto il furto di identità. Lo sostiene il Garante per la privacy nel provvedimento adottato nei confronti di un importante fornitore nazionale di servizi di posta elettronica. 

La società sarà tenuta ad effettuare una nuova comunicazione sul data breach subìto nei mesi scorsi, che era stato causa dell’accesso fraudolento alle caselle di posta elettronica di circa un milione e mezzo di propri utenti. La nuova comunicazione dovrà contenere una descrizione della natura della violazione e delle sue possibili conseguenze e dovrà fornire agli utenti indicazioni chiare sugli accorgimenti che devono essere adottati per scongiurare ulteriori rischi.

Nel caso specifico, ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online, se uguale o simile a quella violata.

La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda. Nella notificazione dell’incidente di sicurezza, la società ha dichiarato che il 20 febbraio scorso le analisi tecniche avevano evidenziato un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail.

Al fine di limitare le possibili conseguenze del data breach la società aveva “forzato” gli utenti a reimpostare la password e predisposto una pagina apposita sul proprio sito per informare della violazione, in attesa di inviare una mail a tutti agli interessati colpiti dall’incidente. Mail effettivamente inviata, ma che, dagli atti acquisiti dal Garante nel corso di un’ispezione, è risultata carente e non in linea con quanto previsto dalla normativa sulla tutela dei dati personali. La società, infatti, aveva inviato due diverse comunicazioni a seconda che l’utente avesse provveduto o meno a effettuare il cambio della password entro le 48 ore successive all’avviso dell’avvenuto data breach.

La violazione era in entrambi i casi descritta come “attività anomala sui sistemi” e a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, sostenendo che che il cambio di password aveva reso inutilizzabili le credenziali precedenti. Chi, invece, non aveva provveduto alla modifica si vedeva suggerire solo di cambiare la password per “eliminare il rischio di accesso indesiderato alla casella mail”. Informazioni ritenute dall’Autorità insufficienti, a fronte dei possibili e gravi rischi ai quali sono stati esposti gli utenti.     


maggiori informazioni su:
www.garanteprivacy.it



Tutte le news

Calendario Corsi 2020

INTERACTIVE LIVE STREAMING
23-24-25 settembre 2020

Formazione privacy

  • Videosorveglianza e privacy: tecnologie, GDPR, videosorveglianza, cosa cambia?
    Validato da TÜV Italia
  • 10 domande sulla Privacy
    Validato da TÜV Italia

Formazione Norme CEI

  • Norma CEI 64-8: Criteri di prestazione dell'impianto elettrico
    Validato da TÜV Italia
  • Realizzi un impianto antintrusione secondo la norma?
    Validato da TÜV Italia
  • Norme CEI: Analisi e valutazione del rischio
    Validato da TÜV Italia

Formazione Antincendio

  • Il nuovo Codice di Prevenzione incendio

Formazione Responsabilità

  • Obblighi e responsabilità per gli operatori della videosorveglianza
    Validato da TÜV Italia

Formazione Commerciale

  • Vendere Sicurezza - Prima e dopo il Covid: come è cambiata la vendita

Formazione Manageriale

  • Welfare aziendale: come costruire un piano di successo

Videsorveglianza Urbana integrata

  • Per Operatori della Pubblica Amministrazione
    23 settembre, 9:00-12:30

Privacy Channel

Ethos Academy

  • Nuova data Privacy Officer e consulente della privacy nel settore Videosorveglianza
    Bologna, 29-30 Ottobre

Tecniche di vendita

Vitekna

  • Vendere sicurezza 2.0: dopo il Covid-19 come cambia la vendita
    Cercola (NA), 3-10-17 ottobre

Vigilo4You - Vigilanza Group

  • Vendere sicurezza oggi
    Brescia, data in definizione

Pillole formative

DST
Norme CEI sistemi videosorveglianza

  • Cologno Monzese (MI)
    data in definizione

Ethos Academy propone corsi propedeutici che portano alla certificazione degli operatori
Scopri la programmazione »