En mi lugar de trabajo actual, se envió un correo electrónico de phishing desde la dirección de correo electrónico de un empleado (llamémoslo Sally). Se envió un correo electrónico procedente de la cuenta de Sally al correo electrónico del trabajo de todos dentro de la organización, se informó a todos dentro de la empresa que se trataba de un correo electrónico de phishing y que la cuenta de Sally estaba comprometida.
También se envió exactamente el mismo correo electrónico a las direcciones de correo electrónico personales de varios empleados, lo que significa que quien haya obtenido acceso a la cuenta de Sally ahora tiene mi dirección de correo electrónico personal y la de otros.
¿Cuál es la responsabilidad de una empresa con respecto a la información privada de un individuo en el caso de que un atacante no autorizado obtenga esta información y si la empresa infringió el RGPD o cualquier otra legislación de privacidad de datos relevante en este caso?
Depende completamente del contexto en el que "Sally" tenía su correo electrónico personal:
Si la razón por la que "Sally" tenía su dirección de correo electrónico personal era porque la empresa (o Sally actuando en nombre de la empresa) lo había solicitado específicamente (digamos que estaba trabajando en recursos humanos y formaba parte de los datos de contacto de su empleado o algo así) entonces se los consideraría el "procesador" de esa información de identificación personal (PII) y esto podría considerarse una infracción y tendrían que notificar al ICO, aunque cualquier paso adicional que deban tomar o no dependerá de lo que el ICO decir y el nivel percibido de riesgo para las personas afectadas.
Sin embargo, si "Sally" tenía estas direcciones personales para fines ajenos a la empresa, entonces no es que su empleador actuara como un "procesador" de los datos y, por lo tanto, no tiene obligaciones en virtud del RGPD.
SZCZERZO KŁY
baya120
carmen carmen