menu di navigazione del network

Data Breach e GDPR: c'è modo di sapere se è stata fatta notifica al garante?


(Alessandro Carloni) #1

Buongiorno,
prendo spunto dal recente data breach di alcune aziende della sanità:

Ho dato una scorsa veloce ai dati e ci sono un sacco di informazioni interessanti, tra cui le password in chiaro (SIGH!).
Mi sono quindi posto il quesito:

  1. Questi enti (perchè di enti pubblici si tratta fondamentalmente) che gestiscono dati importanti sanno di essere stati violati?
  2. Avranno fatto la notifica al garante ?
  3. Possiamo noi, privati cittadini, sapere se hanno fatto tale notifica?*
  4. Ma è possibile che nel 2019 le password vengano ancora salvate in chiaro?

*Mi soffermo un attimo sul punto 3 poichè la norma non prevede la notifica al garante se “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”
Quindi c’è una discriminante non da poco poiché per il garante un certo tipo di data breach potrebbe essere rilevante mentre per il DPO no. C’è quindi un margine troppo ampio e non ben definito che permette alla società di “glissare” ampiamente sull’evento.
Ritorno quindi alla domanda: considerando che a mio giudizio questo data breach è molto rilevante sulla violazione dei dati (ad es. le password in chiaro) come posso sapere se la società ha fatto la obbligatoria (?) notifica e se sono state prese sanzioni?


(Andrea Tironi) #2

Teoricamente chi è coinvolto nel furto di password, se coinvolto come cittadino dovrebbe essere informato a sua volta dell’ente violato, se il rischio è di perdita/diffusione di suoi dati sensibili.

Forse potrebbe essere interessante avere un albo delle PA violate, anche se il rischio è che diventi una pubblica gogna.

Sono invece assolutamente favorevole come cittadino a delle comunicazioni del garante che indichi casi specifici di PA multate in caso di data breach segnalati, in caso di inadempienze evidenti (e anche in caso di data breach non segnalati dalle PA ma resi pubblici da Anonymous o terzi), perchè questo può e deve aiutare a sensibilizzare il sistema PA su privacy e security, che devono diventare by design nel futuro.


(Alessandro Carloni) #3

Ho una domanda alla quale non ho trovato risposta: posso io come privato cittadino segnalare al garante il data beach?


(Botte Antonello) #4

SI. Basta fare un reclamo nella qualità di interessato (i propri dati personali sono stati oggetto di data breach) o una segnalazione sulla base di conoscenze dirette e documentate dell’evento