Il giorno 8 ottobre ho ricevuto comunicazione da Dolomiti Energia S.p.A (mio fornitore per luce e gas), del furto dei miei dati personali. Furto comunicato a Dolomiti Energia da parte di un loro fornitore, il 13 settembre. Da quanto riportato, si tratta del furto di alcuni dei dati personali (non sono specificati quali) ma, è riportato un elenco comprensivo dei dati potenzialmente compromessi. Trovo già alquanto discutibile il tempo di circa 30 giorni per comunicare al cliente il "furto di dati". Subire un episodio del genere, nelle migliore delle ipotesi, potrebbe rivelarsi un evento spiacevole ma, potrebbe evolversi in situazioni molto più complicate.
Quindi:
• sono stati compromessi dati sensibili e altamente identificativi: nome, cognome, indirizzo, codice fiscale, indirizzo e-mail, telefono, codice del contatore, informazioni contrattuali, IBAN;
• non è stato fornito il nome del fornitore responsabile né la natura precisa dell’attacco, né dove/come i dati siano finiti o se siano stati pubblicati o venduti;
• c’è stato un ritardo nella comunicazione agli interessati, che è avvenuta a quasi un mese dall’evento;
• v’è stato un’evidente sottovalutazione del rischio effettivo relativo all’aggregazione dei dati sensibili inerenti al singolo utente;
• registro una violazione dei diritto degli interessati ai sensi del GDPR:
Dolomiti Energia ha solo inviato alcune indicazioni sull’attenzione da prestare in caso di phishing ecc. ma, senza alcuna indicazione precisa su quali siano i dati sensibili effettivamente coinvolti nell’attività fraudolenta;
• nessuna indicazione sui diritti dell’interessato né sui rimedi disponibili, nessuna misura concreta di supporto, monitoraggio o risarcimento proposta ai clienti coinvolti;
A fronte di quanto sopra desidero domandare:
1. Qual è il nome del fornitore coinvolto nella violazione?
2. Quali dati personali sono stati compromessi, con precisione e dettaglio e quali dati sono stati effettivamente compromessi, copiati, divulgati o pubblicati?
3. Perché la comunicazione è stata inviata solo dopo quasi un mese dall'accaduto?
4. Quali azioni correttive sono state implementate successivamente all’incidente?
5. Sono previsti risarcimenti per i danni materiali e morali subiti o potenziali, ai sensi dell’art. 82 GDPR?
6. Qual è il nome e contatto diretto del DPO responsabile del trattamento dei dati personali?
7. I dati aggregati violati permettono l’identificazione certa della persona? Con la possibilità di simulare l'identità del cliente per stipulare contratti, accedere a utenze esistenti, ricevere pagamenti fraudolenti, attuare truffe bancarie o SEPA.
Grazie in anticipo della risposta.
MA. M.
