9 giugno 2020 – Nel periodo da gennaio a maggio di quest’anno, l’Ufficio per la protezione dei dati personali ha ricevuto più di 100 casi segnalati di violazioni dei dati personali, le cosiddette violazioni dei dati. I soggetti colpiti dall’incidente di sicurezza provenivano principalmente dalle aree della finanza e delle banche, dell’istruzione, della sanità e della pubblica amministrazione, per lo più dal comune.
Un motivo serio e frequente per la segnalazione era un attacco di phishing a un sistema informatico. Tale evento ha riguardato anche le strutture mediche (vedi casi recenti di ospedali nelle regioni della Boemia centrale e della Moravia meridionale).
Incidenti meno gravi includevano, ad esempio, un rapporto di uno studente delle superiori che entrava nel sistema, che aveva ottenuto e usato in modo improprio i dati di accesso dell’insegnante e successivamente modificato alcuni dati di frequenza e risultati.
Un numero significativo di violazioni della sicurezza è causato da un’insufficiente istruzione e formazione delle persone, a seguito della quale errori, come la gestione sconsiderata della posta elettronica, rendono disponibili i dati o consentono una violazione del sistema (attacco di phishing).
Dalla relazione emerge chiaramente che i responsabili del trattamento dei dati personali spesso non collaborano sistematicamente con la sicurezza e la protezione dei dati personali e non prestano sempre attenzione alla politica delle password appropriata. Valuta inoltre il livello di sicurezza dell’accesso ai sistemi interni in modo molto irregolare. Il rispetto dei principi di base della protezione dei dati personali non è sufficiente. Anche la sicurezza della comunicazione su Internet dovrebbe essere valutata separatamente (molti amministratori ancora non apprezzano che, in conformità con l’articolo 24 del GDPR, il protocollo https sia considerato la protezione standard, non solo una connessione http).
Una tendenza positiva è il fatto che i giornalisti degli incidenti hanno preso provvedimenti per porre rimedio e prevenire gli effetti collaterali in quasi tutti i casi giustificati. L’Ufficio sottolinea che il rimedio comprende non solo l’eliminazione della condizione difettosa, ma anche la definizione di future misure più efficaci e la possibile attuazione della necessaria formazione dei dipendenti sulla sicurezza dei dati personali.
Per quanto riguarda le ulteriori richieste dei responsabili del trattamento volte a valutare se sono idonei anche procedimenti disciplinari con un dipendente che ha avuto un impatto sulla violazione della protezione dei dati personali, l’Ufficio sottolinea che ciò non rientra nelle sue competenze. Il responsabile del trattamento nel suo insieme, non i suoi singoli dipendenti, è sempre responsabile del corretto trattamento dei dati personali in conformità con la legge.
Nella maggior parte dei casi, l’Ufficio ha valutato la natura e le modalità di risoluzione degli incidenti e le misure adottate sulla base delle notifiche inviate (o delle informazioni aggiuntive richieste dall’Ufficio) come sufficienti senza la necessità di esercitare poteri di vigilanza.