Data Breach

COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?

Data Breach

Data Breach

Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Alcuni possibili esempi:

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • il furto o la perdita di dispositivi informatici contenenti dati personali;
  • la deliberata alterazione di dati personali;
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • la divulgazione non autorizzata dei dati personali.

 

COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

CHE TIPO DI VIOLAZIONI  DI DATI PERSONALI VANNO NOTIFICATE?
Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali.
Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione  e qualsiasi altro significativo svantaggio economico o sociale.

CHE INFORMAZIONI DEVE CONTENERE LA NOTIFICA AL GARANTE?**
La notifica deve contenere le informazioni previste all’art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951).

Qualora si utilizzi per la notifica il modello allegato al provvedimento, è necessario scaricarlo sul proprio dispositivo e successivamente procedere alla sua compilazione.

COME INVIARE LA NOTIFICA AL GARANTE?
La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it *** oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.
L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

LE AZIONI DEL GARANTE
Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

FONTE GARANTE PRIVACY



Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679


Violazione dei dati personale – modello di notifica al Garante

Linee guida sulla notifica delle violazioni dei dati personali

Linee guida sulla notifica delle “violazioni dati personali” (data breach) ai sensi del regolamento (UE) 2016/679
adottate il 3 ottobre 2017
Versione emendata e adottata in data 6 febbraio 2018

Il regolamento generale sulla protezione dei dati introduce l’obbligo di notificare una violazione dei dati personali (in appresso: “violazione”) all’autorità di controllo nazionale competente (oppure, in caso di violazione transfrontaliera, all’autorità capofila) e, in alcuni casi, di comunicare la violazione alle singole persone fisiche i cui dati personali sono stati interessati dalla violazione.
Attualmente l’obbligo di notifica delle violazioni esiste già per determinate organizzazioni, quali i fornitori di servizi di comunicazione elettronica accessibili al pubblico (come specificato nella direttiva 2009/136/CE e nel regolamento (UE) n. 611/2013)2. Inoltre, alcuni Stati membri dell’UE prevedono già un obbligo nazionale di notifica delle violazioni, che può consistere nell’obbligo di notificare violazioni che coinvolgono categorie di titolari del trattamento diversi dai fornitori di servizi di comunicazione elettronica accessibili al pubblico (ad esempio Germania e Italia) oppure nell’obbligo di segnalare tutte le violazioni riguardanti dati personali (ad esempio Paesi Bassi). Altri Stati membri dispongono di codici di buona pratica (ad esempio Irlanda). Sebbene un certo numero di autorità di protezione dei dati dell’UE incoraggi già il titolare del trattamento a segnalare le violazioni, la direttiva 95/46/CE sulla protezione dei dati, che viene sostituita dal regolamento generale sulla protezione dei dati, non contiene uno obbligo specifico di notifica delle violazioni, pertanto tale obbligo sarà nuovo per numerose organizzazioni. Il regolamento generale sulla protezione dei dati rende ora la notifica obbligatoria per tutti i titolari del trattamento a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Anche i responsabili del trattamento hanno un ruolo importante da svolgere e devono notificare qualsiasi violazione al proprio titolare del trattamento.
Il Gruppo di lavoro articolo 29 (“Gruppo di lavoro”) ritiene che il nuovo obbligo di notifica presenti una serie di vantaggi. All’atto della notifica all’autorità di controllo, il titolare del trattamento può ottenere consulenza sull’eventuale necessità di informare le persone fisiche interessate. In effetti l’autorità di controllo può ordinare al titolare del trattamento di informare le persone fisiche interessate dalla violazione. La comunicazione della violazione alle persone fisiche interessate consente al titolare del trattamento di fornire loro informazioni sui rischi derivanti dalla violazione e sui provvedimenti che esse possono prendere per proteggersi dalle potenziali conseguenze della violazione. Qualsiasi piano di risposta alle violazioni dovrebbe mirare a proteggere le persone fisiche e i loro dati personali. Di conseguenza, la notifica della violazione dovrebbe essere vista come uno strumento per migliorare la conformità in materia di protezione dei dati personali. Allo stesso tempo, va osservato che la mancata segnalazione di una violazione a una persona fisica o all’autorità di controllo può comportare l’imposizione di una sanzione al titolare del trattamento ai sensi dell’articolo 83.
I titolari e i responsabili del trattamento sono pertanto incoraggiati a pianificare anticipatamente e a mettere in atto processi per essere in grado di rilevare e limitare tempestivamente gli effetti di una violazione, valutare il rischio per le persone fisiche e stabilire se sia necessario notificare la violazione all’autorità di controllo competente e comunicarla alle persone fisiche interessate, ove necessario. La notifica all’autorità di controllo dovrebbe costituire parte del piano di intervento in caso di incidente.
Il regolamento contiene disposizioni che specificano quando e a chi la violazione deve essere notificata e quali informazioni devono essere fornite nel contesto della notifica. Le informazioni richieste per la notifica possono essere fornite procedendo per fasi, tuttavia il titolare del trattamento deve agire sempre in maniera tempestiva in caso di violazione.
Nel parere 03/2014 sulla notifica delle violazioni dei dati personali, il Gruppo di lavoro ha fornito orientamenti ai titolari del trattamento per aiutarli a decidere se effettuare la notifica agli interessati in caso di violazione. Il parere ha preso in considerazione l’obbligo dei fornitori di comunicazioni elettroniche ai sensi della direttiva 2002/58/CE e ha fornito esempi afferenti a più settori, nel contesto dell’allora progetto di regolamento generale sulla protezione dei dati, e ha illustrato le buone prassi per tutti i titolari del trattamento.
Le presenti linee guida spiegano gli obblighi di notifica e di comunicazione delle violazioni sanciti dal regolamento, nonché alcune misure che i titolari e i responsabili del trattamento possono intraprendere per soddisfare questi nuovi obblighi. Forniscono inoltre esempi di vari tipi di violazioni e i soggetti ai quali esse devono essere notificate nei diversi scenari.


[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2019/06/wp250rev01_it.pdf” width=”800″ height=”915″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]

Data breach: Garante, le comunicazioni agli utenti non devono essere generiche

ARTICOLO COMPLETO DEL GARANTE

 

Le informazioni devono consentire alle persone di comprendere i rischi e proteggere i loro dati 

Le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità. È quanto affermato dal Garante per la privacy nel provvedimento adottato nei confronti di uno tra i principali fornitori nazionali di servizi di posta elettronica.

La società dovrà effettuare una nuova comunicazione sul data breach subito nei mesi scorsi, che aveva provocato l’accesso fraudolento alle caselle di posta elettronica di circa un milione e mezzo di propri utenti. La nuova comunicazione dovrà contenere una descrizione della natura della violazione e delle sue possibili conseguenze e dovrà fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi. Nel caso specifico, ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata.

La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda. Nella notificazione dell’incidente di sicurezza, la società ha dichiarato che il 20 febbraio scorso le analisi tecniche avevano evidenziato un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail.

Per contenere le possibili conseguenze del data breach la società aveva “forzato” gli utenti a reimpostare la password e predisposto una pagina apposita sul proprio sito per informare della violazione, in attesa di inviare una mail a tutti agli interessati colpiti dall’incidente. Mail effettivamente inviata, ma che, dagli atti acquisiti dal Garante nel corso di un’ispezione, è risultata carente e non in linea con quanto previsto dalla normativa sulla tutela dei dati personali. La società, infatti, aveva inviato due diverse comunicazioni a seconda che l’utente avesse provveduto o meno a effettuare il cambio della password entro le 48 ore successive all’avviso dell’avvenuto data breach.

In entrambi i casi la violazione era descritta come “attività anomala sui sistemi” e a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, affermando che il cambio di password aveva reso inutilizzabili le credenziali precedenti; a chi, invece, non aveva provveduto alla modifica si suggeriva solamente di cambiare la password per “eliminare il rischio di accesso indesiderato alla casella mail”. Informazioni ritenute dall’Autorità insufficienti, a fronte dei possibili e gravi rischi ai quali sono stati esposti gli utenti.

 

Dlgs 196/03 Allegato B

ALLEGATO B

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA
(Artt. da 33 a 36 del codice)

Trattamenti con strumenti elettronici

Modalita’ tecniche da adottare a cura del titolare, del responsabile ove designato e dell’incaricato, in caso di trattamento con strumenti elettronici:

Sistema di autenticazione informatica

1. Il trattamento di dati personali con strumenti elettronici e’ consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

2. Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

3. Ad ogni incaricato sono assegnate o associate individualmente una o piu’ credenziali per l’autenticazione.

4. Con le istruzioni impartite agli incaricati e’ prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato.

5. La parola chiave, quando e’ prevista dal sistema di autenticazione, e’ composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all’incaricato ed e’ modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e’ modificata almeno ogni tre mesi.

6. Il codice per l’identificazione, laddove utilizzato, non puo’ essere assegnato ad altri incaricati, neppure in tempi diversi.

7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.

8. Le credenziali sono disattivate anche in caso di perdita della qualita’ che consente all’incaricato l’accesso ai dati personali.

9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.

10. Quando l’accesso ai dati e agli strumenti elettronici e’ consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita’ con le quali il titolare puo’ assicurare la disponibilita’ di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita’ di operativita’ e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali e’ organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato.

11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

Sistema di autorizzazione

12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso e’ utilizzato un sistema di autorizzazione.

13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.

14. Periodicamente, e comunque almeno annualmente, e’ verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

Altre misure di sicurezza

15. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati puo’ essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

16. I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita’ di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento e’ almeno semestrale.

18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

Documento programmatico sulla sicurezza

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1. l’elenco dei trattamenti di dati personali;

19.2. la distribuzione dei compiti e delle responsabilita’ nell’ambito delle strutture preposte al trattamento dei dati;

19.3. l’analisi dei rischi che incombono sui dati;

19.4. le misure da adottare per garantire l’integrita’ e la disponibilita’ dei dati, nonche’ la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilita’;

19.5. la descrizione dei criteri e delle modalita’ per il ripristino della disponibilita’ dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;

19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali piu’ rilevanti in rapporto alle relative attivita’, delle responsabilita’ che ne derivano e delle modalita’ per aggiornarsi sulle misure minime adottate dal titolare. La formazione e’ programmata gia’ al momento dell’ingresso in servizio, nonche’ in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

19.7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformita’ al codice, all’esterno della struttura del titolare;

19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

20. I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di cui all’art. 615-ter del codice penale, mediante l’utilizzo di idonei strumenti elettronici.

21. Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.

22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.

23. Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalita’ di cui all’articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all’identita’ genetica sono trattati esclusivamente all’interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all’esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico e’ cifrato.

Misure di tutela e garanzia

25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformita’ alle disposizioni del presente disciplinare tecnico.

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

Trattamenti senza l’ausilio di strumenti elettronici

Modalita’ tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell’incaricato, in caso di trattamento con strumenti diversi da quelli elettronici:

27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati puo’ essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

29. L’accesso agli archivi contenenti dati sensibili o giudiziari e’ controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.

 

Dati violati

Il Regolamento Dell’Unione Europea sulla privacy ha conseguenze importanti nel caso di violazione dei dati. Per esempio la perdita dell smartphone con la rubrica completa e delle email, che oggi tutti noi riceviamo sui dispositivi mobili comporta a notifica obbligatoria al garante della privacy entro 72 ore ed in ogni caso senza ingiustificato ritardo ed comporta anche l’informazione dell’accaduto a tutti gli interessati.

Alcuni casi

[raw]
[column size=”1/2″ wpautop=”true”]

Evento

[/column]
[column size=”1/4″ wpautop=”true”]

Notifica al Garante

[/column]
[column size=”1/4″ wpautop=”true”]

Comunicazione all’interessato

[/column]
[/raw]
[raw]
[column size=”1/2″ wpautop=”true”]
furto e/o smarrimento di supporto mobile contente dati criptati
[/column]
[column size=”1/4″ wpautop=”true”]

NO

[/column]
[column size=”1/4″ wpautop=”true”]

NO

[/column]
[/raw]
[raw]
[column size=”1/2″ wpautop=”true”]
attacco di un ramsoware con perdita dei dati
[/column]
[column size=”1/4″ wpautop=”true”]

SI

[/column]
[column size=”1/4″ wpautop=”true”]

SI

[/column]
[/raw]
[raw]
[column size=”1/2″ wpautop=”true”]
Dati personali inviati ad una mail list errata
[/column]
[column size=”1/4″ wpautop=”true”]

SI

[/column]
[column size=”1/4″ wpautop=”true”]

SI

[/column]
[/raw]
[raw]
[column size=”1/2″ wpautop=”true”]
Comunicazione pubblicitaria o notiziario indicandi in chiaro gli indirizzi dei destinatari
[/column]
[column size=”1/4″ wpautop=”true”]

SI se l’invio è massivo e/o sono stati esposti dati sensibili

[/column]
[column size=”1/4″ wpautop=”true”]

SI

[/column]
[/raw]

Il senso della norma, come evidenziato da questi casi, è quello di proteggere l’errata divulgazione dei dati personali sensibili.

[highlight]Occorre quindi prestare molta attenzione alla protezione da attacchi informatici ed alla perdita per smarrimento e/o furto dei così detti dispositivi mobili quali penne usb e smartphone.[/highlight]

Pin It on Pinterest