Il Garante Privacy sulla sicurezza dei servizi PEC vulnerabili

Ecco i temi affrontati dal Garante Privacy resi noti con la newsletter numero 463/20 misure urgenti per la sicurezza del servizio PEC, tutele privacy nei bandi di gara della Sanità, pubblicazione di dati sulla salute o non necessari nelle graduatorie docenti, gestione dei data breach alla luce dei risultati dello Sweep 2019.

Il Garante Privacy, con la newsletter numero 463/20, ha reso noto il provvedimento con cui ha prescritto ad Aruba PEC l’implementazione di misure per la messa in sicurezza del proprio servizio di posta elettronica certifica, che gestisce oltre 6 milioni di caselle utilizzate da soggetti pubblici, società private e singoli professionisti. In particolare, a seguito delle vulnerabilità rilevate durante un accertamento ispettivo condotto nella seconda metà del 2019, l’Autorità ha imposto ad Aruba Pec s.p.a. la modifica obbligatoria delle password di accesso alle caselle di posta certificata rilasciate in modo non sicuro, la ridefinizione delle modalità di tracciamento, prevedendo che i log prodotti non contengano informazioni non indispensabili per le finalità di controllo e sicurezza, nonché un intervento sulle modalità di consultazione ed esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle PEC. Sempre nella newsletter del 6 marzo scorso, il Garante ha riportato importanti novità in tema di tutela della privacy nei bandi di gara della Sanità, di pubblicazione di dati sulla salute o non necessari nelle graduatorie docenti e di gestione dei data breach alla luce dei risultati dello Sweep 2019. Riguardo a quest’ultimo tema, il Garante ha rilevato che «Fra i dati positivi emerge che l'84% dei soggetti intervistati nei diversi Paesi hanno designato un'equipe o un gruppo incaricati della gestione delle violazioni di dati nonché della ricezione delle relative segnalazioni. Nel 75% dei casi le procedure prevedono fasi essenziali quali attività di contenimento, di valutazione e di analisi dei rischi associati. Nel 18% dei casi le risposte fornite in merito a tali procedure sono insufficienti, e ciò segnala la necessità di maggiore chiarezza rispetto alle politiche da seguire in modo da assicurare l'adozione di tutte le misure fondamentali per rispondere a una violazione dei dati. Il 65% degli organismi dispone di procedure buone o eccellenti in caso di violazione dei dati al fine di prevenire quelle future. Per il rimanente 35% le procedure previste risultano insufficienti o non vengono specificate».