L’Ufficio del GEPD ricorda che il responsabile del trattamento deve notificare la violazione dei dati personali alle persone soggette ad essa e all’autorità di controllo quando è probabile che la violazione costituisca un rischio elevato per gli interessati. All’inizio di marzo il Cyber ​​Security Center ha avvertito di una vulnerabilità critica nel server di posta elettronica di Exchange.

Nel mese di marzo, l’ufficio del supervisore della protezione dei dati ha ricevuto 28 notifiche di violazione della sicurezza relative a una vulnerabilità critica nel server di posta elettronica di Microsoft Exchange. Il numero dovrebbe continuare a crescere.

All’inizio di marzo, il Cyber ​​Security Center ha stimato che la vulnerabilità sarebbe stata sfruttata attivamente e che un’organizzazione che utilizza un server Exchange vulnerabile avrebbe dovuto presumere che fosse stata violata. La semplice installazione di un aggiornamento software non è sufficiente per tenere lontano un utente malintenzionato. Puoi leggere ulteriori informazioni sull’avviso nel bollettino del Cyber ​​Security Centre .

In caso di perdita di informazioni personali ad alto rischio, è necessario segnalare una violazione della sicurezza

In caso di violazione dei dati personali, il titolare del trattamento deve valutare il livello di rischio della violazione e valutare il rischio per le persone interessate.

In caso di violazione dei dati personali,  o che questi vengono distrutti, persi, alterati, divulgati senza autorizzazione o accessibili da un’entità che non ha diritto al trattamento.

È probabile che la pirateria informatica del server di posta costituisca un rischio elevato per i diritti e le libertà degli interessati. Tale violazione dei dati personali deve essere notificata alle persone violate senza indebito ritardo. La notifica agli interessati è ulteriormente specificata nell’articolo 34 del regolamento generale sulla protezione dei dati.

Una violazione dei dati personali ad alto rischio deve essere segnalata all’autorità di controllo, ovvero all’Autorità per la protezione dei dati. La responsabilità di effettuare la notifica spetta al titolare del trattamento. Una violazione dei dati personali deve essere segnalata senza indebito ritardo e, se possibile, entro 72 ore dall’accertamento della violazione. Dovrebbe essere documentata anche una violazione della sicurezza ad alto rischio.

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FINLANDIA