Alla storia dell’attacco hacker all’INPS si è certamente liberi di credere o meno. Siamo considerevolmente meno liberi però nel momento in cui vogliamo comprendere se e quali siano, ai sensi dell’attuale normativa in materia di protezione dei dati personali, i profili di responsabilità dell’Istituto.
Un problema è che, nella vulgata mediatica, sembra quasi che citare un attacco hacker valga come scusante tanto sul piano politico che giuridico. Con buona pace dell’approccio di responsabilizzazione del GDPR, il quale esige che un titolare del trattamento predisponga misure tecniche e organizzative per garantire la conformità alla norma e un livello di sicurezza adeguato al rischio delle attività di trattamento svolte.
All’interno del provvedimento 14 maggio 2020 il Garante richiamava il contenuto della notifica di data breach da parte della stessa INPS, in cui veniva espressamente citata una “non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato” ed una “non corretta implementazione di [… un] controllo applicativo”. Inoltre, fra le osservazioni formulate nello stesso provvedimento, nel novero delle ulteriori anomalie rilevate, alcuni accessi non autorizzati a dati personali già nella giornata del 31 marzo 2020.
Per essere chiari: su un piano strettamente giuridico, citare un “attacco hacker” non libera da alcuna responsabilità il titolare del trattamento. Questi è infatti tenuto all’adozione di misure di sicurezza secondo il criterio di adeguatezza ai sensi dell’art. 32.2 GPDR tenendo conto dei “rischi presentati dal trattamento” dei “dati personali trasmessi, conservati o comunque trattati”. Inoltre, l’art. 32.1 lett. b) GDPR prescrive, fra le misure esemplificative per garantire la sicurezza dei trattamenti, “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.
Va pertanto ricordato che un attacco DDoS non può essere interpretato come un fenomeno in astratto assolutamente imprevedibile (e dunque: al di fuori della valutazione delle misure di sicurezza), facendo riferimento all’attuale panorama tecnologico. Ad esempio, nel Radware’s 2019-2020 Global Application and Network Security Report viene indicato che il 33% delle organizzazioni ha subito un attacco di tipo DDoS nell’anno precedente. Quindi, sebbene l’attacco sia, per sua natura, imprevedibile nel tempo e nelle modalità di svolgimento, le misure di sicurezza predisposte devono comunque essere in grado di garantire il rispetto del principio di integrità e riservatezza di cui all’art. 5.1 lett. f) GDPR in forza del quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.
Un attacco hacker va dunque interpretato, in una lettura correttamente orientata delle responsabilità in materia di protezione dei dati personali, quanto meno come evento neutrale e da analizzare e valutare per il riesame continuo della sicurezza dei trattamenti e per la valutazione di una violazione di dati personali occorsa. Può generare responsabilità di varia natura, fra cui ad esempio un danno erariale se dalle conseguenze della violazione è coinvolto un ente pubblico o un danno reputazionale se impatta sull’immagine dell’organizzazione. Di sicuro, non può valere come golden ticket per una facile deresponsabilizzazione.
