L’Ufficio per la protezione dei dati personali ha ricevuto una notifica di violazione della protezione dei dati personali da Telmedicin sp. Z oo, responsabile della piattaforma di telemedicina, e consultazioni a distanza con medici di varie specialità. Il caso è attualmente all’esame.

L’amministratore ha ricevuto informazioni da un estraneo su un errore di sicurezza in uno dei sottosistemi responsabili della gestione delle chiamate vocali. A causa di una violazione del sistema, una persona non autorizzata potrebbe avere per un breve periodo un accesso non autorizzato al numero di telefono dell’utente e, se la consultazione includeva una registrazione audio, la possibilità di scaricarla.

Immediatamente dopo aver ricevuto questa informazione, l’azienda ha rimosso l’errore bloccando il funzionamento del sottosistema, senza altre conseguenze per la continuità del servizio clienti. Inoltre, l’amministratore ha protetto i dati dall’accesso non autorizzato.

L’incidente può comportare la perdita della riservatezza dei dati personali dei pazienti, che è protetta dal segreto professionale.

Segnalazione di una violazione dei dati

Lo scopo della segnalazione delle violazioni è, tra l’altro, valutare da parte dell’autorità di controllo se il titolare del trattamento ha correttamente adempiuto, ad esempio, l’obbligo di informare gli interessati della violazione, a condizione che vi sia effettivamente una situazione in cui è tenuto a farlo.

In caso di fuga di dati, l’Ufficio per la protezione dei dati personali collabora con gli amministratori, fornisce consigli o consulta il contenuto della notifica di violazioni dei dati degli interessati. L’attività dell’autorità di controllo è volta a garantire che il titolare tratti i dati in modo lecito.

Cosa fare quando la violazione riguarda i miei dati?

Prima di tutto, fai molta attenzione quando inserisci i dati tramite Internet. Analizzare a fondo i messaggi ricevuti dall’amministratore, ad esempio nei messaggi SMS, nelle e-mail, per evitare, ad esempio, un attacco di phishing, il cui scopo potrebbe essere quello di ottenere dati aggiuntivi.

Attacchi di pirateria informatica, ovvero violazione della sicurezza dei sistemi IT in cui vengono elaborati i dati personali o utilizzo delle vulnerabilità esistenti (lacune) in questi sistemi: si tratta di situazioni in cui persone non autorizzate ottengono (o hanno tale possibilità) dati personali. Nel caso in cui il responsabile del trattamento decida che sussiste il rischio del loro uso non autorizzato, che può comportare una minaccia per i diritti o le libertà delle persone (ad esempio il cosiddetto furto di identità), deve informare l’interessato dell’incidente.

Le persone che sospettano di essere state vittime di un furto di identità dovrebbero prima fare rapporto alla Polizia. Il Presidente dell’Ufficio per la protezione dei dati personali non è un’autorità di contrasto, non ha l’autorità di condurre procedimenti volti a rilevare l’autore di un reato e valutare se sia stato commesso, a qualificare un atto criminale e ad imporre una pena adeguata.

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA POLONIA – UODO