Comunicazione di violazione dei dati all’interessato

Comunicazione di violazione dei dati all’interessato ex art. 34 GDPR

In ossequio all’art. 34 del Regolamento UE 2016/679 (GDPR), si avvisa che in data 18.04.2024 Synlab Italia s.r.l. – società nominata da Laboratorio Suzzi quale responsabile esterno ex art. 28 GDPR – ha comunicato di essere stata vittima di un attacco cybercriminale di tipo ransomware che ha comportato la sottrazione illecita di dati anagrafici e relativi allo stato di salute anche di pazienti di cui questo Laboratorio è titolare del trattamento.

L’attacco è stato prontamente notificato all’Autorità competente e Laboratorio Suzzi si è tempestivamente attivato con l’assistenza del DPO nominato per gestire efficacemente gli adempimenti di legge ricevendo da Synlab le seguenti informazioni:

• in data 17/06/2024 SYNLAB ha rilevato l’avvenuta esfiltrazione e pubblicazione dei dati anagrafici e relativi allo stato di salute di pazienti dello scrivente Laboratorio nel dark web;
  • alla data di comunicazione SYNLAB ha rilevato che la violazione, in riferimento alla nostra Organizzazione, riguarda n. 2000 registrazioni contenenti dati personali trattati da SYNLAB in qualità di Responsabile del trattamento;
  • il numero approssimativo di interessati è 667;

• appena ricevuta la notizia dell’attacco, il team IT specializzato in cybersecurity di Synlab ha provveduto a mettere in sicurezza il sistema isolando e neutralizzando il malware ad oggi confinato in due postazioni, utilizzate esclusivamente per le verifiche da parte del team interno IT;
• allo stato non risulta possibile escludere che l’incidente possa portare a tentativi di furto d’identità,

o altri tentativi di frode nei confronti anche dei pazienti interessati.

Posto quanto sopra, si raccomandano tutti i soggetti interessati di porre particolare attenzione a qualunque interazione sospetta (online ed offline) invitando tutti i soggetti interessati a prendere visione delle seguenti pagine informative dell’Autorità Garante per la Protezione dei dati personali:

• PHISHING https://www.garanteprivacy.it/temi/cybersecurity/phishing
• VISHING https://www.garanteprivacy.it/temi/cybersecurity/vishing
• SMISHING https://www.garanteprivacy.it/temi/cybersecurity/phishing
• SIM SWAPPING
• https://www.garanteprivacy.it/home/docweb/-/docwebdisplay/docweb/9572143

In questa fase, si suggerisce in particolare di mettere in atto alcune misure:

• valutare attentamente ogni e-mail, SMS, messaggio o telefonata in cui Vi venissero richiesti codici di accesso o ulteriori dati personali, valutando con attenzione l’attendibilità del richiedente; gli Istituti bancari e, più in generale, i fornitori di servizi, non richiedono mai codici di accesso o password tramite SMS, E-mail o telefonate.

• valutare attentamente e-mail, SMS e di altri fonti di messaggistica contenenti collegamenti ipertestuali (link) o allegati sospetti-inusuali: potrebbero essere usati per indirizzare l’utente verso siti web dannosi o fargli scaricare software malevoli;

• sostituire le password dei propri account (e-mail, Social Network, forum, etc…) e, se il sistema lo permette, attivare l’autenticazione a più fattori. I meccanismi di autenticazione multifattoriale (es. i codici OTP che ricevete dalla banca dopo aver inserito username e password per accedere all’home banking) rafforzano la protezione da accessi indesiderati. I principali fornitori di servizi online offrono questo sistema: per attivarlo è sufficiente entrare nelle impostazioni di sicurezza dell’account;

• informare i propri amici e familiari di essere stati vittima di questa violazione, suggerendo loro di porre attenzione al rischio di ricevere false richieste che paiono pervenire da Voi.

Gli interessati potranno rivolgersi all’indirizzo e-mail databreach.laboratoriosuzzi@gmail.com per ottenere informazioni ed indicazioni, con l’assistenza del DPO nominato, circa le azioni e comportamenti da adottare per il contenimento dell’eventuale impatto dell’incidente sui diritti e sulle libertà.

Laboratorio Suzzi