Siete qui: Oggi sulla stampa
Oggi sulla stampa

E-mail violata? Diritto saperlo

L’interessato deve sapere chiaramente se la sua password della e-mail è stata rubata dagli hacker. Se un’azienda subisce una violazione della sicurezza informatica (cioè un cosiddetto «data breach») deve informare gli interessati senza giri di parole. A pretendere la piena trasparenza è il Garante della privacy, che, con il suo provvedimento n. 106 del 30 aprile 2019, bacchetta una società che ai suoi clienti aveva descritto un episodio di data breach come una «anomalia dei sistemi» e le ordina di fare una comunicazione suppletiva. Stiamo parlando di quei casi in cui un sistema informativo è attaccata da terzi che hanno conoscenza indebita di dati riservati, come le credenziali di accesso alle casella di posta elettronica. Se c’è un rischio elevato per le persone, l’articolo 34 del Regolamento Ue 2016/679 sulla privacy (Gdpr) obbliga a dare comunicazione dell’accaduto agli interessati, potenziali danneggiati. Bisogna correre ai ripari e la prima cosa da fare è avvisare chi rischia ad esempio un furto di identità o sottrazione di somme o comunque la propalazione di notizie riservate. Bisogna avvisare gli interessati, anche a costo di rimetterci la faccia: l’effetto negativo reputazionale, in effetti, potrebbe frenare una piena trasparenza su quanto accaduto. Ma il Gdpr pretende la trasparenza piena. Nel caso specifico sono state violate circa 1,5 milioni di credenziali e-mail. Il provider è subito intervenuto e ha chiesto ai possessori delle caselle e-mail di cambiare la password di accesso, ma ha inviato comunicazioni sia a chi aveva cambiato la credenziale sia a chi non lo aveva fatto, nelle quali la violazione è stata descritta come «attività anomala sui sistemi». Secondo il Garante questa sintesi non è sufficiente perché all’interessato deve essere mandata una comunicazione contenente una descrizione della natura della violazione e delle possibili conseguenze della stessa, le indicazioni specifiche sulle misure che gli interessati possono adottare per proteggersi da eventuali conseguenze negative della violazione, quale la raccomandazione di non utilizzare più le credenziali compromesse, modificando la password utilizzata per l’accesso a qualsiasi altro servizio online qualora coincidente o simile a quella oggetto di violazione. Per il Garante, dunque, nel caso concreto è mancata la completa e chiara informazione su quanto accaduto. Inoltre il Garante non ha gradito il fatto che le comunicazioni (pur lacunose) siano state inviate alle stesse caselle di posta elettronica violate, e, quindi, senza la certezza che siano state correttamente recapitate agli effettivi interessati. Da qui l’ordine del Garante di rifare tutto e cioè di inviare una nota informativa con mezzi che permettano di raggiungere il maggior numero di interessati.

Antonio Ciccia Messina

Print Friendly

Condividi su

Potrebbe interessarti anche
Oggi sulla stampa

Le banche sono di fronte a una scelta obbligata: fare dell'evoluzione tecnologica la chiave per conq...

Oggi sulla stampa

Oggi sulla stampa

Il concordato con continuità aziendale (articolo 186-bis della legge fallimentare) guadagna spazio ...

Oggi sulla stampa

Oggi sulla stampa

Il credito del professionista incaricato di redigere l'attestazione richiesta dalla legge fallimenta...

Oggi sulla stampa