- Garante Privacy – Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali
- Blitz nei cantieri, trovato anche operaio che manovrava la gru senza abilitazione
- Grave in ospedale dopo il colpo di calore in cantiere, Spinelli: “Fondamentale la sicurezza sui luoghi di lavoro, evitare il rischio caldo”
- Sicurezza: il DVR per chi guida mezzi aziendali stradali
- Alcol e lavoro: costruzioni e trasporti tra i settori più a rischio
- Lavoro notturno e lavoro a turni: effetti sulla salute e prevenzione
- Sanità: per le ricette transfrontaliere servono maggiori garanzie
- Telemarketing, Garante: il “no” dell’utente va registrato subito
- Whistleblowing: sì del Garante privacy al recepimento della direttiva Ue
- Garante privacy: illecite le email pubblicitarie senza consenso Inserire un link per disiscriversi non rende l’invio lecito
- Lavoro: Garante Privacy ribadisce il no al controllo a distanza, sanzionata un’azienda
- Obblighi informativi per le erogazioni pubbliche
- Obblighi informativi per le erogazioni pubbliche #2
- La sicurezza di trabattelli, piccoli trabattelli e attrezzature speciali
- Le responsabilità penali dell’RSPP in relazione agli appalti
- Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie
- Sicurezza sul lavoro: cambia la formazione in azienda
- Formazione: cosa succede in assenza del nuovo accordo Stato Regioni?
- Amazon ha bloccato alcuni progetti per migliorare la sicurezza sul lavoro
- Gli utenti chiedevano di esercitare il diritto all’oblio ma i loro dati venivano pubblicati online: sanzionato Google per violazione della privacy
Data breach: Garante, le comunicazioni agli utenti non devono essere generiche 
Le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità. È quanto affermato dal Garante per la privacy nel provvedimento adottato nei confronti di uno tra i principali fornitori nazionali di servizi di posta elettronica.
La società dovrà effettuare una nuova comunicazione sul data breach subito nei mesi scorsi, che aveva provocato l’accesso fraudolento alle caselle di posta elettronica di circa un milione e mezzo di propri utenti. La nuova comunicazione dovrà contenere una descrizione della natura della violazione e delle sue possibili conseguenze e dovrà fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi. Nel caso specifico, ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata.
La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda. Nella notificazione dell’incidente di sicurezza, la società ha dichiarato che il 20 febbraio scorso le analisi tecniche avevano evidenziato un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail.
Per contenere le possibili conseguenze del data breach la società aveva “forzato” gli utenti a reimpostare la password e predisposto una pagina apposita sul proprio sito per informare della violazione, in attesa di inviare una mail a tutti agli interessati colpiti dall’incidente. Mail effettivamente inviata, ma che, dagli atti acquisiti dal Garante nel corso di un’ispezione, è risultata carente e non in linea con quanto previsto dalla normativa sulla tutela dei dati personali. La società, infatti, aveva inviato due diverse comunicazioni a seconda che l’utente avesse provveduto o meno a effettuare il cambio della password entro le 48 ore successive all’avviso dell’avvenuto data breach.
In entrambi i casi la violazione era descritta come “attività anomala sui sistemi” e a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, affermando che il cambio di password aveva reso inutilizzabili le credenziali precedenti; a chi, invece, non aveva provveduto alla modifica si suggeriva solamente di cambiare la password per “eliminare il rischio di accesso indesiderato alla casella mail”. Informazioni ritenute dall’Autorità insufficienti, a fronte dei possibili e gravi rischi ai quali sono stati esposti gli utenti.
Fonte: garanteprivacy.it
