Buongiorno,
prendo spunto dal recente data breach di alcune aziende della sanità:
Ho dato una scorsa veloce ai dati e ci sono un sacco di informazioni interessanti, tra cui le password in chiaro (SIGH!).
Mi sono quindi posto il quesito:
- Questi enti (perchè di enti pubblici si tratta fondamentalmente) che gestiscono dati importanti sanno di essere stati violati?
- Avranno fatto la notifica al garante ?
- Possiamo noi, privati cittadini, sapere se hanno fatto tale notifica?*
- Ma è possibile che nel 2019 le password vengano ancora salvate in chiaro?
*Mi soffermo un attimo sul punto 3 poichè la norma non prevede la notifica al garante se “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”
Quindi c’è una discriminante non da poco poiché per il garante un certo tipo di data breach potrebbe essere rilevante mentre per il DPO no. C’è quindi un margine troppo ampio e non ben definito che permette alla società di “glissare” ampiamente sull’evento.
Ritorno quindi alla domanda: considerando che a mio giudizio questo data breach è molto rilevante sulla violazione dei dati (ad es. le password in chiaro) come posso sapere se la società ha fatto la obbligatoria (?) notifica e se sono state prese sanzioni?