RISERVATEZZA DEI DATI

Esame avvocato: ci mancava il data breach…

Dopo l’INPS, questa volta è toccato al sito del Ministero della Giustizia: diffusi i dati personali dei candidati.

Dure le sorti degli aspiranti avvocati, soprattutto nell’ultimo anno. Fra gli inciampi di una pratica forense svolta nell’emergenza pandemica, le molteplici incertezze collegate alle modalità di esame e gli orizzonti fiscali tutt’altro che certi e rassicuranti, viene da chiedersi se non c’è un vero e proprio accanimento del fato nell’aver riscontrato molteplici segnalazioni relative al malfunzionamento della piattaforma online con tanto di esposizione dei dati dei candidati.

Un giorno dopo la pubblicazione delle lettere estratte, campeggia l’annuncio “Servizio in fase di ripristino”. Ancor peggio, fioccano le segnalazioni di data breach dal momento che molti utenti hanno la possibilità di accedere anche alla pagina profilo di altri candidati. Per l’effetto risultano esposti e oggetto di diffusione i dati anagrafici, documenti caricati e tutte le informazioni contenute nell’area personale potenzialmente di tutti i candidati iscritti.

Al momento, da via Arenula tutto tace.

Non è possibile però ignorare le molteplici segnalazioni che si stanno accumulando con tanto di tag verso gli account social del Ministero. I fatti riportati sono piuttosto allarmanti, sia per la vulnerabilità riscontrata che il volume di dati coinvolti. Insomma: stando a quanto al momento è possibile apprendere, l’evento di data breach è stato realizzato e i rischi per gli interessati coinvolti sono tutt’altro che improbabili.

Di conseguenza, si attende dunque la tempestiva notifica all’Autorità garante per la protezione dei dati personali ai sensi dell’art. 33 GDPR, e non solo. Avendo riguardo di considerare la portata dell’incidente, è auspicabile anche una comunicazione istituzionale che possa quanto meno informare gli interessati coinvolti dalla violazione dei dati riscontrata ai sensi dell’art. 34 GDPR prestando particolare attenzione agli aspetti delle conseguenze stimate e delle misure di mitigazione.

Per quanto riguarda l’aspetto di comunicazione dell’incidente, l’auspicio è che si possa assistere al superamento di alcuni stili eccessivamente criptici e poco chiari spesso fin troppo diffusi (ad esempio, nella comunicazione di data breach da parte dell’INPS).

È bene ricordare che le worst practices di comunicazioni vaghe, generiche e spesso incomprensibili gravano prima di tutto sugli interessati coinvolti dal data breach. Al contrario, l’adozione di quella forma “concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro” in accordo con le prescrizioni di cui all’art. 12 GDPR consente di provvedere ad una migliore tutela dei diritti degli interessati. Un’informazione tempestiva e corretta dell’evento e dei rischi consente infatti alle persone di agire per proteggersi dalle conseguenze negative della violazione.

Back to top button