data-breach-e-commerce

Nel provvedimento n. 351 del 3 agosto 2023 il Garante ha dato prova del potere correttivo di cui dispone per indicare misure idonee da applicare in determinati casi; nello specifico legate ad un data breach di un sito e-commerce.

A seguito della segnalazione di un utente che reclamava la diffusione nel dark web di dati personali relativi a soggetti iscritti al sito in questione, l’autorità ha constatato una carenza nelle misure di sicurezza applicate dal gestore, e quindi un’errata valutazione dei rischi, abbinata ad un’erronea considerazione del fattore di rischio per gli Interessati ai quali si era deciso, in prima battuta, di non comunicare la violazione.

Alla luce di quanto emerso durante le indagini, è stata appurata la perdita di riservatezza di 1,8Gb di dati personali relativi a nome, cognome, indirizzo, CAP, città, email, data nascita, storico ordini (comprendente anche articoli da cui è possibile desumere informazioni sulla vita sessuale degli acquirenti) e password criptate degli user-account, riguardanti circa 900 mila utenti del sito.

Il Garante ha riscontrato di conseguenza la mancanza di un piano con le misure preventive e considerato il rischio elevato per quantità e natura dei dati coinvolti; ha così deciso di ingiungere al Titolare di adottare misure di sicurezza adeguate al rischio entro 20 giorni e comunicare la violazione agli interessati entro 10 giorni.

In termini calcistici possiamo affermare che il gestore se l’è cavata con un cartellino giallo.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!