SICUREZZA DIGITALE

La Regione Lazio si è persa tutti i nostri indirizzi e-mail

…e speriamo solo quelli!

La Regione è costretta a informare i cittadini di esser stata arrembata dai pirati informatici. Lo fa scrivendo sulla sua homepage (ultimo striminzito relitto rimasto a galla) che “La presente comunicazione è resa anche ai sensi e per gli effetti di quanto disposto dall’art. 34 del reg. EU 2016/679 (GDPR)”.

La norma in questione è il primo indizio di gravità dei fatti perché si intitola “Comunicazione di una violazione dei dati personali all’interessato” e al primo comma recita “Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.

Sorvolando sul ritardo, visto che fino all’ultimo c’è stata una prova muscolare a negare che le informazioni dei cittadini fossero state “intaccate” da soggetti non autorizzati, varrebbe la pena concentrarsi sul mancato rispetto da parte della Regione e degli specialisti del cosiddetto “Team tecnico dedicato alla gestione dell’evento” del secondo comma della medesima norma.

Chi è pignolo (o ha solo desiderio di capire cosa sia successo e quali siano le responsabilità) legge che la comunicazione in argomento “descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d)”.

Per chi conosce poco la materia questa disposizione rimane incomprensibile. La lettera B stabilisce l’obbligo di “comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni”. Questa prescrizione è rispettata dalla Regione che ha dato in pasto alla folla inferocita il nome dell’ingegner Gianluca Ferrara, Data Protection Officer dell’ente pubblico cui compete il coordinamento delle attività sul fronte della privacy.

Sicuramente il Garante avrà notato che la Regione ha omesso di “descrivere le probabili conseguenze della violazione dei dati personali” sancito dalla lettera C. Per non esporsi ulteriormente al pubblico ludibrio la Regione Lazio crede di aver comunque rispettato la disciplina vigente spiegando che si possono chiedere ragguagli all’ingegner Ferrara tramite mail. Non riesco ad immaginare il poveretto che risponde alle domande di milioni di residenti nel Lazio che pretendono (e mi sembra dovuto) di sapere a quali rischi vanno incontro.

È l’ente a dover dare informazioni, non l’assistito dal Servizio Sanitario a trovarsi a pietire qualche notizia in più su una vicenda che lo riguarda e lo preoccupa.

Veniamo alla lettera D. È scritto che nella comunicazione agli interessati si deve “descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi”.

La deprecabile approssimazione con cui l’ente pubblico si sta muovendo si traduce anche nella descrizione delle cautele adottate. La Regione infatti si limita a dire “Stiamo provvedendo a fare tutto il necessario per porre rimedio all’accaduto e bloccare questo attacco per evitare ulteriori conseguenze sulla privacy e la sicurezza dei dati personali dei cittadini in possesso della Regione”. In perfetto allineamento con il non dire nulla, poco dopo si legge “sono state messe in campo le misure necessarie a porre rimedio a possibili violazioni dei dati personali”. 

L’unica vera precauzione – salvo più fervida fantasia di altri che sono andati a guardare il portale della Regione – è quella di aver spento tutto e staccato la spina: “Nel frattempo, per consentirci la migliore gestione dell’accaduto, i sistemi interessati sono stati disattivati e isolati dalla rete”.

Ma perché la Regione non informa direttamente ogni singolo soggetto e preferisce scrivere poco e male su una pagina web? La fattispecie non rientra tra quelle previste dalla lettera B del terzo comma (o paragrafo) dell’articolo 34 del Regolamento Europeo sulla privacy e quindi nei casi in cui la “comunicazione richiederebbe sforzi sproporzionati” e si possa procedere “a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

Senza essere costretti a sostenere alcuno sforzo ciclopico, era sufficiente (ed elementare) inoltrare un messaggio via mail a tutti i soggetti registrati, invece di piazzare il comunicato su un sito bloccato e ormai meta solamente di necrofili del web a caccia di web esanimi.

Allora perché non si è proceduto così? Semplice. La Regione – a dispetto del fantomatico backup saltato fuori dal cappello a cilindro dopo cinque giorni – non può mandare una mail alle persone interessate perché non ha più gli indirizzi di posta elettronica che erano stati inseriti all’atto della prenotazione dei vaccini. 

Che altro è andato perduto? E, soprattutto, siamo sicuri che la cornucopia di dati adesso non sia nelle mani sbagliate e pronte a rivendere il malloppo?

Back to top button