Website Editore!

Effettua la tua ricerca

More results...

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Filter by Categories
#adessonews
Affitto Immobili
Agevolazioni - Finanziamenti
Aste Abruzzo
Aste Basilicata
Aste Calabria
Aste Campania
Aste Emilia Romagna
Aste Friuli Venezia Giulia
Aste Italia
Aste Lazio
Aste Liguria
Aste Lombardia
Aste Marche
Aste Molise
Aste Piemonte
Aste Puglia
Aste Sardegna
Aste Sicilia
Aste Toscana
Aste Trentino Alto Adige
Aste Umbria
Aste Valle d'Aosta
Aste Veneto
Auto - Moto
bed & breakfast
Immobili
900mila euro di multa per violazione dati personali dei lavoratori, il caso #finsubito prestito immediato


Come è noto, la materia della privacy è oggi disciplinata dal regolamento 2016/679 UE o GDPR, sulla tutela delle persone fisiche per ciò che riguarda il trattamento dei dati personali e la libera circolazione di tali dati. Nel nostro paese il Codice Privacy è stato aggiornato – dopo l’entrata in vigore del regolamento – con il d. lgs. 101/2018, testo normativo con cui sono state inserite le maggiori novità indicate, in tema di trattamento dei dati personali, da parte del legislatore UE.

Nelle attività aziendali e nei rapporti di lavoro la riservatezza dei dati personali può essere messa a rischio dagli attacchi degli hacker e dalle falle ai sistemi informatici, come un recente caso – finito sotto la lente del Garante Privacy – dimostra. Di seguito coglieremo l’occasione per spiegarlo in sintesi, chiarendo anche come l’Authority è arrivata alla decisione di una maxi sanzione pari a 900mila euro, inflitta a Postel. Ciò infatti costituisce un monito verso comportamenti di aziende e datori di lavoro, poco attenti al rispetto delle regole privacy e alla protezione delle banche dati digitali.

Il caso e l’attacco ransomware ai sistemi Postel

Come accennato poco sopra, Postel – document company del gruppo Poste Italiane che offre servizi di gestione documentale e di comunicazione a supporto di aziende pubbliche e private – si è trovata nel bel mezzo di un procedimento conclusosi con una salatissima multa.

Il Garante ha infatti accertato che la società, per quasi un anno, non è intervenuta su una già nota e segnalata vulnerabilità dei propri sistemi, tramite cui ha poi subìto una violazione dei dati personali. Di fatto le misure di sicurezza che già c’erano non erano più sufficienti, e avrebbero dovuto essere aggiornate. Ma Postel non si è mossa tempestivamente, di fatto aprendo un varco ad un attacco informatico di tipo ransomware.

Finanziamo strutture per affitti brevi

Gestiamo strutture per affitto breve

Quest’ultimo altro non è che una tipologia molto diffusa di aggressione ai sistemi, nella quale un malware – un software dannoso di cui recentemente abbiamo già parlato – blocca o limita l’accesso ai dati di un sistema, di solito criptandoli, per poi richiedere un riscatto (ransom) per ripristinare l’accesso ai dati o al sistema stesso. Tale attacco ransomware, avvenuto nell’agosto dello scorso anno e rivendicato dalla cybergang Medusa, ha causato il blocco dei server e di alcune postazioni di lavoro Postel, con conseguente attivazione delle procedure di recovery / restore. Vero è che gli attacchi hacker sono oggi minacce costanti e, non di rado, prendono di mira colossi come ad es. la Disney.

Circa il caso che qui interessa, nel sito web del Garante Privacy si precisa che il piano criminoso ha determinato l’esfiltrazione, ossia la fuga o sottrazione non autorizzata dei dati – e in alcuni casi la perdita di disponibilità – dei file che includevano i dati personali di circa 25mila persone. Tra essi troviamo lavoratori della società e ex dipendenti, titolari di cariche societarie, congiunti, candidati a posizioni lavorative e rappresentanti di imprese che avevano rapporti commerciali in essere con la società del gruppo Poste Italiane.

I dati personali nel mirino dei criminali informatici e le violazioni della società

Le violazioni di dati personali possono avere effetti molto negativi sulle persone, provocando danni fisici, materiali o immateriali. Basti pensare ad es. alla limitazione di alcuni diritti, alla perdita di riservatezza di informazioni coperte dal segreto professionale o al connesso rischio di frode.

Ebbene, nella vicenda che qui interessa e che ha portato a una pesante sanzione amministrativa pecuniaria, inflitta a Postel con ordinanza-ingiunzione, era emerso che le informazioni sottratte – e successivamente pubblicate nel dark web – attenevano a dati:

  • anagrafici e di contatto;
  • di accesso e identificazione;
  • di pagamento;
  • relativi alla salute;
  • relativi a condanne penali e reati;
  • rivelanti all’appartenenza sindacale.

La vulnerabilità dei sistemi informatici era stata tempestivamente segnalata, prima dal produttore del software nel settembre 2022 (con la messa a disposizione degli aggiornamenti necessari dopo qualche mese) e poi dall’Agenzia per la cybersicurezza nazionale sempre nello stesso anno. Ma Postel – aggravando di fatto una situazione già pericolosa – non aveva proceduto ad aggiornare i propri sistemi informatici, esponendosi ad attacchi poi in effetti avvenuti con la grave sottrazione di dati personali.

Per questa via, la società sanzionata ha violato gli obblighi previsti dalla normativa di protezione dei dati personali che impongono l’adozione di misure tecniche e organizzative, tali da assicurare un livello di sicurezza proporzionato al rischio di cyberattacco.

Infatti, come si può leggere nel provvedimento del Garante, alla società sono state notificate le violazioni del GDPR:

riscontrate con riferimento agli artt. 5, par. 1, lett. f), 25, 28, par. 3, lett. f), 32, 33, del Regolamento.

La maxi sanzione

Non solo. Nella decisione dell’Authority è emerso che, nella notifica di data breach allo stesso Garante – ai sensi dell’art. 33 del GDPR – e nelle successive integrazioni, Postel non ha dato informazioni complete sulla violazione patita e sulle misure di attenuazione o di eliminazione delle vulnerabilità sofferte, determinando un allungamento dei tempi per le verifiche dell’Autorità per la protezione dei dati.

Conto e carta difficile da pignorare

Proteggi i tuoi risparmi

Il Garante ha così individuato le condizioni per infliggere la maxi sanzione amministrativa pecuniaria pari a 900mila euro, come è nei suoi poteri, imponendo peraltro alla società di rispettare i tre obblighi seguenti:

  • compiere un’azione straordinaria di analisi delle vulnerabilità dei propri sistemi;
  • approntare un piano per individuare e gestire tali vulnerabilità;
  • individuare tempistiche di rilevamento e di risposta opportune contro il cyber-rischio.

Non dimentichiamo, infine, che con lo stesso provvedimento sanzionatorio, il Garante per la protezione dei dati personali ha anche richiesto a Postel di comunicare quali iniziative verranno intraprese al fine di dare attuazione a quanto disposto.

La società dovrà cioè fornire riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice Privacy, entro il termine di 120 giorni dalla data di notifica dello stesso provvedimento. La conseguenza dell’eventuale mancato riscontro potrà determinare l’applicazione di una nuova sanzione amministrativa, quella prevista dall’art. 83, par. 5, lett. e) del Regolamento.





Source link

***** l’articolo pubblicato è ritenuto affidabile e di qualità*****

Visita il sito e gli articoli pubblicati cliccando sul seguente link

Source link 

Informativa sui diritti di autore

La legge sul diritto d’autore art. 70 consente l’utilizzazione libera del materiale laddove ricorrano determinate condizioni:  la citazione o riproduzione di brani o parti di opera e la loro comunicazione al pubblico sono liberi qualora siano effettuati per uso di critica, discussione, insegnamento o ricerca scientifica entro i limiti giustificati da tali fini e purché non costituiscano concorrenza all’utilizzazione economica dell’opera citata o riprodotta.

Vuoi richiedere la rimozione dell’articolo?

Clicca qui

 

 

 

***** l’articolo pubblicato è ritenuto affidabile e di qualità*****

Visita il sito e gli articoli pubblicati cliccando sul seguente link

Source link

Finanziamenti personali e aziendali

Prestiti immediati

Informativa sui diritti di autore

La legge sul diritto d’autore art. 70 consente l’utilizzazione libera del materiale laddove ricorrano determinate condizioni:  la citazione o riproduzione di brani o parti di opera e la loro comunicazione al pubblico sono liberi qualora siano effettuati per uso di critica, discussione, insegnamento o ricerca scientifica entro i limiti giustificati da tali fini e purché non costituiscano concorrenza all’utilizzazione economica dell’opera citata o riprodotta.

Vuoi richiedere la rimozione dell’articolo?

Clicca qui

 

 

 

Finanziamenti personali e aziendali

Prestiti immediati

Cessione crediti fiscali

procedure celeri

Per richiedere la rimozione dell’articolo clicca qui

La rete #dessonews è un aggregatore di news e replica gli articoli senza fini di lucro ma con finalità di critica, discussione od insegnamento,

come previsto dall’art. 70 legge sul diritto d’autore e art. 41 della costituzione Italiana. Al termine di ciascun articolo è indicata la provenienza dell’articolo.

Il presente sito contiene link ad altri siti Internet, che non sono sotto il controllo di #adessonews; la pubblicazione dei suddetti link sul presente sito non comporta l’approvazione o l’avallo da parte di #adessonews dei relativi siti e dei loro contenuti; né implica alcuna forma di garanzia da parte di quest’ultima.

L’utente, quindi, riconosce che #adessonews non è responsabile, a titolo meramente esemplificativo, della veridicità, correttezza, completezza, del rispetto dei diritti di proprietà intellettuale e/o industriale, della legalità e/o di alcun altro aspetto dei suddetti siti Internet, né risponde della loro eventuale contrarietà all’ordine pubblico, al buon costume e/o comunque alla morale. #adessonews, pertanto, non si assume alcuna responsabilità per i link ad altri siti Internet e/o per i contenuti presenti sul sito e/o nei suddetti siti.

Per richiedere la rimozione dell’articolo clicca qui