Privacy: data breach, comunicazioni non generiche

---

Condividi l'articolo:

---

Il Garante della Privacy ha adottato un provvedimento nei confronti di un importante fornitore di servizi di posta elettronica, a seguito del data breach che, a febbraio 2019, ha provocato l’accesso fraudolento alle caselle e-mail di circa un milione e mezzo di utenti.

Indicazioni precise agli utenti su come proteggersi

Con provvedimento n. 106 del 30 aprile 2019, l’Autority ha ordinato alla società fornitrice di effettuare una nuova comunicazione sulla violazione di dati in oggetto.

La procedura messa a punto dal fornitore in conseguenza della violazione - consistita nel “forzare” gli utenti a reimpostare la password, nel predisporre una pagina web per informare della violazione e nell'inviare, poi, una mail ai soggetti interessati - è stata ritenuta dal Garante “carente e non in linea con quanto previsto dalla normativa sulla tutela dei dati personali”.

Secondo l'Autorità, infatti, le comunicazioni dei data breach non devono essere generiche ma devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, tra i quali, in primis, il furto di identità.

Contenuto della nuova comunicazione

La nuova comunicazione agli utenti dovrà, quindi, contenere:

• una descrizione della natura della violazione;
• una descrizione delle sue possibili conseguenze;
• precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi.

Nel dettaglio, dovrà essere spiegato agli interessati di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata.

Del provvedimento è stata data notizia nella Newsletter del Garante per la protezione dei dati personali n. 453 del 30 maggio 2019.