A seguito della pubblicazione sulla stampa di diversi articoli riguardanti una massiccia fuga di dati sanitari, la CNIL ricorda ai titolari del trattamento i loro obblighi in caso di violazione.

La CNIL è stata informata dai media della pubblicazione di un dossier contenente dati medici di quasi 500.000 persone. Attualmente sta effettuando controlli per confermare ufficialmente che il file è stato reso disponibile.

I risultati preliminari sembrano indicare che si tratta effettivamente di una violazione dei dati di entità e gravità particolarmente significativa e suggerisce che i dati potrebbero provenire da laboratori di analisi mediche. Se questi elementi devono essere confermati, è responsabilità delle organizzazioni interessate, che non lo hanno già fatto, notificarlo alla CNIL entro 72 ore dal momento in cui ne sono venute a conoscenza. Inoltre, quando è probabile che la violazione dei dati crei un rischio elevato per i diritti e le libertà, gli organismi responsabili hanno l’obbligo di informare individualmente gli interessati che i loro dati sono stati compromessi e pubblicati online. Questo può essere il caso se, come riportato dalla stampa,

Inoltre, la CNIL ricorda che i titolari del trattamento dei dati hanno l’obbligo di garantire la sicurezza dei dati che elaborano con mezzi proporzionati ai rischi, e in particolare per i dati sensibili come i dati sanitari.

In caso di violazione di tali obblighi, la CNIL potrebbe avviare azioni repressive, fatte salve le azioni che potrebbero intraprendere altre autorità competenti.

Il ruolo della CNIL nella sicurezza informatica

La CNIL supporta le amministrazioni e le imprese nella presa in considerazione della sicurezza informatica. L’obbligo di sicurezza, sancito dalla legge da più di 40 anni, è stato rafforzato dal GDPR e integrato con nuovi strumenti come la notifica delle violazioni, l’analisi dell’impatto sulla protezione dei dati o codici di condotta.