Sul sito web tutt’ora inaccessibile della Regione Lazio, campeggia questa scritta:
“A causa di un attacco hacker il sito non è momentaneamente raggiungibile.
Ci scusiamo per il disagio, stiamo lavorando per ripristinare tutte le funzioni nel più breve tempo possibile.
AVVISO OPERATORI REGIONALI
Sono in corso le azioni di ripristino del sistema di Identità digitale della Regione Lazio. Per tale motivo, tutti gli utenti abilitati all’utilizzo degli applicativi regionali riceveranno una mail con la richiesta di “Reset Password”, mediante la quale, con un sistema di autenticazione a doppio fattore, potranno accedere nuovamente per lo svolgimento delle proprie attività lavorative.
COMUNICAZIONE AGLI INTERESSATI
In data 30/07/2021 un attacco informatico effettuato da Hacker al data center che ospita alcuni dei sistemi informatici della nostra Regione ha compromesso l’utilizzo di alcuni dei servizi e delle applicazioni a disposizione del cittadino. Stiamo provvedendo a fare tutto il necessario per porre rimedio all’accaduto e bloccare questo attacco per evitare ulteriori conseguenze sulla privacy e la sicurezza dei dati personali dei cittadini in possesso della Regione.
È stato tempestivamente attivato, in collaborazione con le autorità competenti e le forze dell’ordine, un Team tecnico dedicato alla gestione dell’evento e sono state messe in campo le misure necessarie a porre rimedio a possibili violazioni dei dati personali. Nel frattempo, per consentirci la migliore gestione dell’accaduto, i sistemi interessati sono stati disattivati e isolati dalla rete. Queste misure pur comportando la sospensione di alcuni servizi si rendono necessarie per evitare di acuire le conseguenze dell’attacco.
Per ulteriori informazioni o chiarimenti è possibile contattare il DPO della Regione Lazio, Ing. Gianluca Ferrara, all’indirizzo PEC dpo@regione.lazio.legalmail.it.
Ci scusiamo per l’accaduto, provvederemo a comunicare eventuali aggiornamenti non appena saranno disponibili ulteriori evidenze a seguito delle analisi in corso.
La presente comunicazione è resa anche ai sensi e per gli effetti di quanto disposto dall’art. 34 del reg. EU 2016/679 (GDPR).”.
Orbene, ciò significa che l’indisponibilità dei sistemi perdura nonostante le rassicurazioni a conferma che l’incidente è tutt’altro che chiuso. Soffermandoci su quella che viene presentata come comunicazione di data breach, mancano ancora gli elementi sostanziali necessari ad assolvere ai requisiti dell’art. 34 GDPR. Nonostante la formula di stile impiegata a chiusura di quello che sembra aver più una natura di proclama, connotato peraltro da vaghezza e genericità.
L’art. 34.2 GDPR prescrive che la comunicazione debba descrivere “con un linguaggio semplice e chiaro la natura della violazione dei dati personali” e fornire “almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d)”, ovverosia: il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni (punto su cui si riscontra un’evidenza); una descrizione delle probabili conseguenze della violazione dei dati personali e delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Circa la natura della violazione dei dati personali, stando a quanto comunicato dal titolare e non alle congetture mediatiche, ci si limita a comunicare che c’è stata compromissione di “alcuni dei servizi e delle applicazioni a disposizione del cittadino” senza specificare quali, né tantomeno fornire indicazioni di massima su dati o interessati coinvolti. Si può presumere vi sia stata un’indisponibilità forse temporanea dei dati, ma gli interessati non hanno contezza dell’effettiva portata del danno o del pericolo a proprio carico.
È bene ricordare inoltre che l’art. 12.1 GDPR prescrive che siano adottate “misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”, e dunque che si dia risposta quanto meno ad alcune ovvie domande che ciascun interessato si sta ponendo: sono stato coinvolto dalla violazione? Sono stati compromessi miei dati personali? Se sì, in che modo e quali azioni possono intraprendere di mia iniziativa per tutelarmi nell’immediato? Quali sono i rischi? Purtroppo, però, oggi campeggia il silenzio nonostante l’impiego di toni rassicuranti e formule di stile a chiosa di una comunicazione di data breach che si riscontra essere incompleta dei suoi elementi fondamentali.
