Sanzione Garante Ordine psicologi: l’Ordine degli Psicologi della Lombardia è stato multato per un data breach che ha esposto dati sensibili. Scopri le criticità emerse e le lezioni da imparare per evitare sanzioni future.
Il caso dell’Ordine degli Psicologi della Lombardia: un attacco ransomware che ha causato gravi implicazioni per la protezione della privacy
L’Ordine degli Psicologi della Lombardia ha dichiarato di essere stato colpito da un attacco ransomware. I cybercriminali sono riusciti a infiltrarsi nei sistemi informatici dell’Ordine, cifrando e rubando numerosi documenti.
Tra i dati personali coinvolti, vi erano anche informazioni sensibili. Queste riguardavano minori, dati sanitari, orientamento sessuale, condanne penali e altre informazioni riservate. Di conseguenza, esponevano gli interessati a gravi rischi di discriminazione, furto d’identità e frodi. L’attacco ha portato anche alla pubblicazione dei dati sul dark web da parte degli hacker, dopo il fallimento del pagamento del riscatto. Nonostante ciò, i sistemi di backup adottati dall’Ordine hanno permesso di recuperare i dati, evitando ulteriori danni a lungo termine. Fortunatamente quindi, non sono state compromesse la disponibilità e l’integrità dei dati.
Per approfondire > Attacchi ransomware: quando vanno informati gli interessati?
Intervento del Garante Privacy e multa: i provvedimenti presi
A seguito della notifica del data breach e di alcuni reclami, il Garante Privacy è intervenuto ed ha avviato un’istruttoria che ha evidenziato diverse criticità nella gestione della sicurezza dei dati personali da parte dell’Ordine. In particolare, l’istruttoria ha rilevato che l’Ordine non aveva adottato misure tecniche e organizzative adeguate a garantire la sicurezza dei dati trattati, come previsto dal GDPR.
Secondo il provvedimento del Garante, l’Ordine degli Psicologi della Lombardia non aveva attivato misure sufficienti per rilevare tempestivamente le violazioni dei dati e per garantire la protezione dei sistemi informatici. In particolare, è emerso che:
- non erano stati implementati sistemi di monitoraggio e prevenzione contro attacchi informatici;
- è mancata una formazione adeguata per il personale sull’importanza della sicurezza informatica;
- l’adozione di politiche di protezione dei dati e gestione dei rischi era carente.
In base a queste osservazioni, il Garante ha emesso una sanzione pecuniaria di 30.000 euro, tenendo conto della gravità dei dati compromessi e dei rischi associati al data breach. Nonostante la multa, il Garante ha riconosciuto la collaborazione dell’Ordine, che ha prontamente notificato l’incidente e ha preso provvedimenti per migliorare la sicurezza informatica.
Per saperne di più > Subire un attacco ransomware non esime dalle responsabilità di protezione dati: il Garante Privacy sanziona la regione Lazio
Cosa si impara dal provvedimento del Garante
Il provvedimento del Garante offre lezioni importanti per tutte le aziende, pubbliche e private, che trattano dati personali. Ecco i principali insegnamenti tratti dal caso dell’Ordine degli Psicologi della Lombardia:
- prevenire è meglio che curare: non basta reagire agli attacchi, è fondamentale implementare sistemi di monitoraggio e protezione proattivi per rilevare tempestivamente le violazioni della sicurezza.
- la formazione del personale è essenziale. Un sistema di sicurezza informatica efficace deve includere percorsi formativi regolari per i dipendenti e per chi gestisce i dati personali.
- ogni azienda deve implementare politiche di sicurezza e gestione dei rischi: l’adozione di misure adeguate per la sicurezza dei sistemi di trattamento è obbligatoria, così come la gestione dei rischi associati al trattamento dei dati.
- backup e gestione dei dati sensibili sono fondamentali: sebbene il recupero dei dati sia stato possibile grazie ai backup, l’esposizione dei dati sensibili sul dark web ha evidenziato come ogni azienda debba adottare misure di protezione aggiuntive per i dati particolarmente delicati, come quelli sanitari o relativi a minori.
- è importante essere trasparenti e notificare in maniera tempestiva: in caso di incidente, è fondamentale che l’azienda rispetti gli obblighi di notifica al Garante e agli interessati, come previsto dal GDPR, e che comunichi le azioni intraprese per ridurre i rischi.
Per approfondire > Data breach: la guida pratica dell’EDPB per le notifiche e gestione del rischio (soprattutto quello umano)
Per vedere il provvedimento completo clicca qui.
Sanzione Garante Ordine psicologi: proteggere i dati è responsabilità di tutti
La sanzione del Garante è un monito per tutte le aziende: la protezione dei dati non può essere lasciata al caso, ma deve essere un impegno costante.
GDPRLab offre soluzioni complete per garantire la conformità al GDPR e supporta le aziende nella protezione dei dati personali, fornendo strumenti pratici, consulenze e formazione continua.
Vuoi scoprire come possiamo aiutare la tua azienda a rispettare le normative sulla privacy e proteggere i dati personali in modo sicuro e conforme al GDPR?
