Dopo l’incidente che ha coinvolto la piattaforma per l’esame di avvocato, esponendo i dati dei candidati, ci si aspettava una comunicazione istituzionale quanto meno per chiarire l’accaduto e, per quanto possibile, adempiere alle prescrizioni relative all’evento di data breach occorso. Si è atteso, e l’unica comunicazione è quella apparsa pochi giorni dopo sul quotidiano del Ministero della giustizia newsonline la quale però non sembra particolarmente confortante.
Il comunicato non indica in alcuna parte espressamente una violazione di confidenzialità o data breach, ma la notizia è titolata con l’annuncio di “piattaforma pronta per il riavvio”. Nella forma, si può ipotizzare forse un tributo al surrealismo di quel Ceci n’est pas une pipe campeggiante nell’opera di Magritte.
Andando al contenuto, gli utenti sono informati circa gli esiti di un intervento tecnico per la verifica dell’accaduto il quale ha “individuato in un applicativo di sicurezza l’origine della falla, che ha reso per qualche ora visibili i dati sensibili di alcuni iscritti”. Le misure di mitigazione adottate sono consistite nella segnalazione alla Polizia Postale e l’eliminazione da parte dei tecnici di “ogni eventuale modifica effettuata dopo la mezzanotte del 13 maggio”.
Nulla si dice circa la notifica della violazione all’Autorità garante per la protezione dei dati personali, ma non ci sono elementi di dubbio circa la sua tempestiva effettuazione dal momento che, stando a quanto emerso, appare difficile giustificare la sussistenza di quel parametro di rischio improbabile citato nell’art. 33.1 GDPR e nelle linee guida dell’EDPB (WP250 e 01/2021) considerata la potenziale diffusione di informazioni personali degli interessati fra cui anche i documenti d’identità.
Si resta perplessi però guardando ai contenuti della comunicazione, soprattutto se viene riferita ai parametri indicati dall’art. 34.3 GDPR. A parte le misure adottate per porre rimedio alla violazione, infatti, non sono indicati né nome né dati di contatto del RPD o di un punto di contatto per ottenere maggiori informazioni. Inoltre, la descrizione delle probabili conseguenze dell’evento si limita all’esporre una perdita di confidenzialità in quanto la falla di sicurezza avrebbe “reso per qualche ora visibili i dati sensibili di alcuni iscritti”.
Ci si chiede innanzitutto cosa si voglia intendere per dati sensibili, quale misura temporale di riferimento si debba adottare per definire correttamente “qualche ora” o che cosa significhi, quantitativamente parlando, “alcuni iscritti”.
Inoltre: confortati dall’annuncio circa il ripristino operativo della piattaforma e il non ostacolo alle prove d’esame, in che modo gli interessati hanno potuto stimare correttamente il rischio dell’esposizione dei propri dati personali?
Suscitare il giusto grado di allerta per gli interessati coinvolti è e deve essere lo scopo della comunicazione di data breach affinché adottino tutte le cautele del caso per la propria tutela. La comunicazione sembra piuttosto aver ridotto l’evento ad un “problema” o una “falla”. Con buona pace dell’art. 12 GDPR e di un approccio sostanziale di tutela.
