Originariamente inviato da
Sistoiv
Con pacatezza: sembri ignorare che questo forum deve, come minimo, applicare il GDPR. Pertanto, dovrebbe aver eseguito l'analisi di rischio. Quando si esegue questa metodica non ci si deve fare le domande che hai posto tu, è esattamente il contrario: "che impatto (gravità e probabilità) ci sarebbe se, in caso di data breach, gli utenti avessero i loro dati personali violati? Nist dice che lo scenario deve essere il peggiore, quindi: nome e cognome reale, indirizzo di posta utilizzato per lavoro o per la banca, allego la foto della vicina, etc. etc." Il giudice, in caso di data breach, non dirà "ma doveva essere una persona intelligente", ragionerà esattamente al contrario. E chiederà le misure (fisiche, logiche, organizzative, preventive e di mitigazione) che sono state attuate. E' lo stesso approccio che un'altra sicurezza (quella sul posto di lavoro, rif. TU 81/2008) impone di fare. No: chi vuoi che metta la mano dentro il tornio ma che succede se si mette la mano dentro il tornio? Cosa faccio per impedire che possa farlo?
Ti esorto a leggerti un po' di guai che hanno passato, solo negli ultimi 5 anni, titolari di innocenti pizzerie (pagina FB con le foto dei consumatori non mascherate), aziende (informative incomplete o non conformi, dati personali non anonimizzati, form privo di disclaimer, etc.) applicazioni digitali (phising), forum (attacchi exploit da cybercrime), etc. etc.
Comunque sono preoccupazioni di chi risponde legalmente del detto forum, oltre che nostre ovviamente.