Le aziende, non da oggi, hanno una ragione in più per prendere sul serio la sicurezza informatica: in caso di misure di sicurezza non adeguate e/o in caso di incidenti potrebbe essere difficile o molto costoso trovare una copertura assicurativa per i danni derivanti da attacchi informatici. In Nord America questa tendenza è evidente da diversi mesi, le compagnie assicurative negli ultimi anni hanno visto aumentare i risarcimenti e sono diventate più rigorose nel valutare il livello di sicurezza delle aziende prima di attivare una polizza. Di recente, una scuola canadese si è vista aumentare il premio del 320% (da 6.000 $ a 22.000 $) pur in assenza di incidenti ed ha ricevuto contestualmente una comunicazione dalla compagnia con la quale la stessa comunicava l’abbassamento del livelli di risarcimento fino alla completa adozione dell’autenticazione a due fattori per gli account dell’istituto.
Uncategorized
Informazioni sanitarie comunicate a terzi per errore: sanzione ad una struttura sanitaria
14 ottobre 2021 – Il Garante per la Protezione dei Dati Personali ha sanzionato per € 8.000 un centro di salute mentale in Sardegna dopo che, per un errore, dati sulla salute di una terza persona erano stati allegati alla documentazione inviata ad una paziente assieme alla copia della propria documentazione. L’Azienda ha collaborato per appurare le cause dell’errore e per porre rimedio al trattamento illegittimo effettuato in violazione degli artt. 5 e 9 del Reg. UE 2016/679, come appurato dal Garante.
A prescindere dalle cause che hanno generato il singolo problema, per prevenire simili situazioni è importante creare archivi logici e fisici adeguatamente strutturati con informazioni segmentate e soggetti autorizzati al trattamento istruiti e aggiornati, specie nel trattamento di categorie particolari di dati personali e di dati relativi a soggetti vulnerabili.
Sanzione a una banca per mancata notifica di una violazione dei dati
22 novembre 2021: In Polonia, l’autorità di controllo ha inflitto una sanzione di € 80.000 ad una banca per non avere notificato all’autorità stessa e agli interessati una violazione di dati personali avvenuta in seguito allo smarrimento di corrispondenza dell’istitutuo contenente dati personali quali dati anagrafici, numero di identificazione personale, indirizzo di residenza, numero di conto corrente, codice cliente assegnato dalla banca.L’autorità di controllo nazionale è venuta a conoscenza della violazione a causa di un reclamo presentato da clienti della banca stessa. Nel corso delle indagini, è emerso come il titolare del trattamento abbia deciso di non notificare all’autorità la violazione dei dati valutando come “medio” il rischio dell’incidente. La banca ha comunicato ai reclamanti le circostanze dell’incidente, ma tale comunicazione non è stata giudicata sufficiente in relazione a quanto previsto dall’art. 34(2) del GDPR.
L’autorità polacca ha calcolato la sanzione tenendo conto delle circostanze aggravanti che la banca non ha avuto un atteggiamento collaborativo nel corso delle indagini e ha continuato a non ottemperare agli obblighi previsti dal GDPR in caso di violazione dei dati personali.
(fonte: EDPB)