{"id":2686,"date":"2022-07-27T11:42:30","date_gmt":"2022-07-27T09:42:30","guid":{"rendered":"https:\/\/www.gdpronline.cloud\/blog\/?post_type=avada_portfolio&p=2686"},"modified":"2022-07-27T11:42:30","modified_gmt":"2022-07-27T09:42:30","slug":"e-boom-di-data-breach-notificati-al-garante-della-privacy-ma-i-nemici-piu-pericolosi-non-sono-sempre-gli-hacker","status":"publish","type":"avada_portfolio","link":"https:\/\/www.gdpronline.cloud\/blog\/news\/e-boom-di-data-breach-notificati-al-garante-della-privacy-ma-i-nemici-piu-pericolosi-non-sono-sempre-gli-hacker\/","title":{"rendered":"\u00c8 boom di data breach notificati al Garante della Privacy, ma i nemici pi\u00f9 pericolosi non sono sempre gli hacker"},"content":{"rendered":"

Un dato emerso dall\u2019ultima Relazione annuale del Garante per Privacy, \u00e8 il numero dei data breach notificati lo scorso anno: con una media di quasi 6 al giorno, sono state infatti complessivamente ben 2071 le violazioni comunicate all\u2019Autorit\u00e0 per la protezione dei dati personali, con un aumento addirittura di circa il 50% rispetto all\u2019anno precedente. Anche se la definizione anglofona \u201cdata breach\u201d evoca tipicamente nelle menti degli addetti ai lavori le conseguenze di attacchi hacker ed altri disastri di natura informatica, leggendo la relazione del Garante si apprende per\u00f2 che non sempre c\u2019\u00e8 la mano oscura dei cyber criminali quando si verifica una violazione sui dati.<\/p>\n

Anzi, in molti casi \u00e8 l\u2019errore umano il vero nemico della sicurezza dei dati, quello che nel gergo tecnico \u00e8 chiamato \u201cinsider threat\u201d, termine che indica una minaccia interna proveniente da dipendenti e collaboratori che spesso, consapevoli o inconsapevoli, sono essi stessi la principale causa dei data breach per la loro incompetenza o per superficialit\u00e0 nel gestire i dati aziendali.
\nAl punto 5.3.1. del resoconto annuale della propria attivit\u00e0, l\u2019Autorit\u00e0 elenca infatti una lunga e dettagliata serie di casi istruiti a seguito di notifiche di violazioni ricevute, molto spesso riguardanti i dati sulla salute degli interessati, che nulla hanno a che vedere con attacchi informatici da parte di hacker ed altri malintenzionati.<\/p>\n

Ad esempio, tra le violazioni che rivelano maggiormente le conseguenze del \u201cfuoco amico\u201d ve n\u2019\u00e8 stata una che ha riguardato la spedizione di un referto relativo ad esami ematici di un bambino a un soggetto diverso da quello legittimato a riceverlo a causa di un erroneo imbustamento della documentazione, e altre due in cui le copie dei referti medici sono state inserite all\u2019interno delle cartelle cliniche di altri pazienti. In un altro procedimento i dati sanitari di otto pazienti, anche concernenti esiti di esami ematici e delle urine, sono stati distrattamente inviati a destinatari sbagliati a cause di un\u2019erronea associazione tra referti e prenotazioni effettuati in tempi diversi, mentre in un\u2019altra vicenda si \u00e8 verificato l\u2019erroneo inserimento nella copia digitale della cartella clinica di un interessato dei referti relativi ad altri 7 pazienti.<\/p>\n

\"\"
\nAltre violazioni sui dati sanitari degli interessati che sono state notificate al Garante hanno avuto ad oggetto l\u2019invio in chiaro di comunicazioni in copia conoscenza (cc), invece che in copia conoscenza nascosta (ccn). Un\u2019azienda sanitaria ha, infatti, comunicato di aver trasmesso, via e-mail, un invito a compilare un questionario sullo stato di salute a 98 indirizzi, rendendoli visibili a tutti i destinatari. Il questionario era volto a raccogliere informazioni per fornire assistenza ai pazienti malati di HIV seguiti dall\u2019ambulatorio di malattie infettive dell\u2019azienda, considerato che le visite ambulatoriali programmate erano state sospese a causa dell\u2019emergenza sanitaria da Covid-19. Non diversa la violazione occorsa presso un\u2019azienda ospedaliero-universitaria che per errore ha inviato attraverso una mailing-list in chiaro a diciotto mamme di bambine in cura presso il reparto endocrinologia pediatrica un invito da cui si poteva desumere la condizione di pubert\u00e0 precoce delle piccole pazienti seguite dal centro.<\/p>\n

Con tre distinti provvedimenti, adottati nei confronti di un medico, di una Ausl e di un\u2019associazione di medici chirurghi, il Garante ha poi sanzionato la condotta relativa alla pubblicazione online di documenti sulla salute di un paziente contenuti nella documentazione presentata in occasione di un premio a carattere scientifico. Il caso ha preso le mosse da una comunicazione di violazione dei dati personali da parte di un\u2019azienda sanitaria chiamata in causa da un paziente che, dopo essersi curato presso tale struttura, aveva rinvenuto su Internet fotografie, diapositive e altre informazioni riferibili alla sua salute sul sito di un\u2019associazione medica. Nella documentazione, reperibile anche tramite comuni motori di ricerca, erano riportate informazioni molto dettagliate come le iniziali del paziente, l\u2019et\u00e0, il sesso, l\u2019anamnesi dettagliata della patologia sofferta dallo stesso, dettagli sui ricoveri e gli interventi effettuati negli ultimi venti anni, nonch\u00e9 22 fotografie che ritraevano l\u2019interessato durante il decorso clinico.<\/p>\n

Per quanto sia importante investire in infrastrutture informatiche, l\u2019ultima relazione del Garante ci trasmette dei preoccupanti segnali evidenziando che per essere in grado di affrontare la transizione digitale \u00e8 necessario mettere a punto e mantenere un complesso di procedure per gestire i dati aziendali in modo veramente efficace, e soprattutto \u00e8 necessario un cambio di paradigma nella formazione delle risorse umane. Quand\u2019anche le aziende che si sono rese protagoniste loro malgrado delle innumerevoli violazioni snocciolate dal Garante fossero infatti in grado di dimostrare di avere fornito le istruzioni che il GDPR richiede di dare agli addetti ai trattamenti di dati personali, i disastrosi risultati dei grossolani errori umani che ne sono seguiti dimostrano per\u00f2 che quella formazione non ha raggiunto il suo obiettivo. Semmai fosse ancora necessario ricordarlo, \u00e8 fondamentale ed urgente creare consapevolezza e una vera cultura della privacy. Diversamente, dietro l\u2019angolo c\u2019\u00e8 il concreto pericolo di trovarsi in un ingovernabile far west dei dati personali da cui sarebbe poi difficile tornare indietro.<\/p>\n

Fonte: https:\/\/www.federprivacy.org\/<\/a><\/p>\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Un dato emerso dall\u2019ultima Relazione annuale del Garante per Privacy, \u00e8 il numero dei data breach notificati […]<\/p>\n","protected":false},"author":5,"featured_media":2688,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","format":"standard","meta":{"footnotes":""},"portfolio_category":[20],"portfolio_skills":[],"portfolio_tags":[],"class_list":["post-2686","avada_portfolio","type-avada_portfolio","status-publish","format-standard","has-post-thumbnail","hentry","portfolio_category-news"],"_links":{"self":[{"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/avada_portfolio\/2686","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/avada_portfolio"}],"about":[{"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/types\/avada_portfolio"}],"author":[{"embeddable":true,"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/comments?post=2686"}],"version-history":[{"count":1,"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/avada_portfolio\/2686\/revisions"}],"predecessor-version":[{"id":2689,"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/avada_portfolio\/2686\/revisions\/2689"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/media\/2688"}],"wp:attachment":[{"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/media?parent=2686"}],"wp:term":[{"taxonomy":"portfolio_category","embeddable":true,"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/portfolio_category?post=2686"},{"taxonomy":"portfolio_skills","embeddable":true,"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/portfolio_skills?post=2686"},{"taxonomy":"portfolio_tags","embeddable":true,"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/portfolio_tags?post=2686"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}