Il recente provvedimento sanzionatorio del Garante nei confronti dell’Università di Roma “La Sapienza” trova la propria origine da una notifica di violazione di dati personali per “dispersione di dati personali comuni (nome, indirizzo e-mail) relativi a due segnalanti tramite la piattaforma whistleblowing (fornita dalla Società Agic Technology srl) su motori di ricerca”. La diffusione è avvenuta mediante pubblicazione dell’elenco dei segnalanti e successiva identificazione da parte dei motori di ricerca; la causa di tale problema, secondo le memorie difensive, è riconducibile all’aggiornamento tramite patch di sicurezza della piattaforma che ha interferito con l’applicativo ed esposto di conseguenza le liste dei segnalanti.
Anche in questo caso, andando oltre la lettera del provvedimento si possono individuare alcuni dei principali elementi individuati dall’Autorità di controllo per indicare un metodo di gestione delle misure di sicurezza sia nel sistema di whistleblowing che in sistemi analoghi, per i quali l’elemento della sicurezza è di primaria importanza per garantire l’integrità e la riservatezza dei dati trasmessi e conservati.
Prima di tutto, è bene notare che l’esposizione sul web di un’informazione che deve (per espresso e specifico obbligo di legge o altrimenti per il potenziale impatto nei confronti dell’interessato) essere mantenuta confidenziale è già di per sé un elemento indiziario per indicare l’assenza di predisposizione (e progettazione) di misure adeguate di gestione del controllo degli accessi, e sta al titolare del trattamento fornire evidenze di segno opposto. Ciò comporta de plano la contestazione di una violazione dell’art. 32 GDPR, non superabile con il solo rilievo che la vulnerabilità è stata cagionata da un fattore esterno (quale, in questo caso, è stata una patch di sistema) in quanto la progettazione e predisposizione delle misure di sicurezza è sì un elemento necessario ma non è sufficiente di per sé a superare la responsabilità per la violazione contestata. Perché si possa escludere una responsabilità del titolare del trattamento, ricorda infatti il Garante, occorre piuttosto che lo stesso sia in grado di dimostrare anche di aver adottato procedure “per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (art. 32.1 lett. d) GDPR).
Il secondo punto che è stato posto in evidenza dal provvedimento riguarda invece le misure tecniche richieste per garantire la sicurezza del trasporto e della conservazione dei dati, fra cui rientra la cifratura in quanto espressamente citata dall’art. 32.1 lett. a) GDPR e dalle raccomandazioni ANAC contenute nella delibera 28 aprile 2015 n. 6. Tenendo conto inoltre dei rischi inerenti al trattamento è necessario infatti che siano individuate misure finalizzate a garantire una comunicazione sicura e dunque tutelare l’integrità e la riservatezza dei dati trasmessi. In caso vi sia l’assenza di evidenze circa lo svolgimento di una corretta valutazione dei rischi, la predisposizione di misure meno efficaci della crittografia non può che comportare l’esposizione del titolare del trattamento ad una contestazione circa la violazione degli obblighi di sicurezza di cui all’art. 32 GDPR.
In conclusione, dunque, un approccio preventivo di security by design non può che costituire la chiave di volta per la prevenzione tanto degli incidenti che delle eventuali ed ulteriori conseguenze sanzionatorie.
