La Commissione nazionale per l’informatica e le libertà (CNIL), l’ufficiale di polizia francese per i dati personali, ha annunciato giovedì 21 aprile di aver condannato la società Dedalus a una pesante multa di 1,5 milioni di euro dopo un’estesa violazione dei dati sanitari.
A metà febbraio 2021, un utente di Internet in un forum di discussione ha pubblicato un database contenente informazioni mediche sensibili su mezzo milione di francesi. In particolare, siamo stati in grado di trovare il loro cognome, nome e indirizzo postale, nonché il loro numero di telefono e indirizzo e-mail, nonché il loro gruppo sanguigno o il numero di previdenza sociale. Nei dati pubblicati sono state incluse anche informazioni mediche ultrasensibili, in particolare per quanto riguarda: “contro HIV, cancro, malattie genetiche, gravidanze, trattamenti farmacologici seguiti dal paziente, o anche dati genetici”specifica la CNIL.
La fonte della fuga di notizie è stata rapidamente identificata come proveniente dal software commercializzato nei laboratori dalla società Dedalus Biology. All’epoca, la CNIL aveva aperto un’indagine e verificato l’azienda. I risultati travolgenti di questi controlli hanno spinto l’organo di governo a infliggere una grossa multa, ma anche a rendere pubblica questa sanzione.
“Molte carenze”
La CNIL ritiene la società responsabile di gravi violazioni del Regolamento generale sulla protezione dei dati (GDPR), il quadro europeo per i dati personali. In particolare, critica l’azienda per: “molte falle di sicurezza tecniche e organizzative”nello specifico “mancanza di crittografia” alcuni dati, “mancata autenticazione” per accedere a parte dell’infrastruttura IT, o “l’assenza di cancellazione automatica dei dati dopo [leur] migrazione “†
Per la CNIL “Questa mancanza di misure di sicurezza soddisfacenti è una delle cause della violazione dei dati che ha compromesso le cartelle cliniche di quasi 500.000 persone”† La CNIL accusa inoltre l’azienda di eccedere le richieste dei propri clienti, in questo caso i laboratori medici, quando: “la migrazione di un software ad un altro strumento”estratto “una quantità di dati maggiore del necessario”†
Pochi giorni dopo la divulgazione della violazione dei dati, il tribunale – adito dalla CNIL – ha ordinato ai fornitori di servizi Internet francesi di impedire agli utenti di Internet di accedere al sito su cui i dati sono stati pubblicati.
Se la sanzione inflitta dalla CNIL comporta la sanzione di carenze di sicurezza, il responsabile oi responsabili dell’hacking e della pubblicazione dei dati non sono stati individuati. Questi dati avrebbero potuto essere messi in vendita per la prima volta, diversi mesi prima della scoperta pubblica della fuga di notizie, su forum online specializzati. Il venditore originale avrebbe quindi rilasciato questi dati ad accesso aperto in risposta a una controversia con un acquirente.
La procura di Parigi ha aperto un’indagine sull’hacking informatico e l’ha affidata all’unità di polizia specializzata nella lotta alla criminalità informatica.
GIPHY App Key not set. Please check settings