Il Garante della Privacy ha adottato un provvedimento nei confronti di un importante fornitore di servizi di posta elettronica, a seguito del data breach che, a febbraio 2019, ha provocato l’accesso fraudolento alle caselle e-mail di circa un milione e mezzo di utenti.
Con provvedimento n. 106 del 30 aprile 2019, l’Autority ha ordinato alla società fornitrice di effettuare una nuova comunicazione sulla violazione di dati in oggetto.
La procedura messa a punto dal fornitore in conseguenza della violazione - consistita nel “forzare” gli utenti a reimpostare la password, nel predisporre una pagina web per informare della violazione e nell'inviare, poi, una mail ai soggetti interessati - è stata ritenuta dal Garante “carente e non in linea con quanto previsto dalla normativa sulla tutela dei dati personali”.
Secondo l'Autorità, infatti, le comunicazioni dei data breach non devono essere generiche ma devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, tra i quali, in primis, il furto di identità.
La nuova comunicazione agli utenti dovrà, quindi, contenere:
Nel dettaglio, dovrà essere spiegato agli interessati di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata.
Del provvedimento è stata data notizia nella Newsletter del Garante per la protezione dei dati personali n. 453 del 30 maggio 2019.
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".