
Viene detto: silentium est aureum. O anche: un bel tacer non fu mai scritto. Ma un perdurante tacere in seguito al data breach SIAE, soprattutto dopo alcune dichiarazioni a caldo, trova ben pochi appigli argomentativi. Anzi: perdura tutt’oggi l’assenza di una corretta comunicazione nei confronti degli interessati, tanto su sito web quanto su canali social.
Che possa essere una strategia difensiva per evitare di esporsi (ancor più) a eventuali pretese risarcitorie, non è credibile. Insomma: i parametri di serietà della lesione e gravità dell’offesa sono già in grado di filtrare richieste insostenibili in tema di risarcimento da danno cagionato per effetto di un’attività di trattamento di dati personali in violazione del GDPR.
Informare conformemente ai parametri di cui all’art. 34 GDPR – soprattutto in quanto la minaccia si è già diffusamente realizzata con richieste estorsive agli interessati – sarebbe proprio un atto di responsabilità e non certamente una violazione della norma.
Qualora poi si voglia valutare l’evento per rilevare se veramente può sussistere quel parametro di rischio elevato per cui vi è un obbligo di comunicazione agli interessati, si può ricorrere al metodo indicato dall’ENISA – l’agenzia europea per la cybersecurity – all’interno del Recommendations for a methodology of the assessment of severity of personal data breaches pubblicato in dicembre 2013. Scorrendo i vari criteri e raffrontandoli con quanto fino ad ora divulgato dalla stessa società, con riguardo al contesto del trattamento è sufficiente rilevare che l’evento faccia riferimento a dati comuni senza possibilità di estrarre particolari informazioni, mentre la facilità di identificazione degli interessati si attesta su un livello massimo. La circostanza della violazione, però, fa ritenere che sia stata intenzionale e con una perdita di confidenzialità dei dati verso un numero ignoto di soggetti, con un impiego scorretto già realizzato e idoneo ad esporre a rischi ulteriori quali il phishing.
Esito dell’analisi è una violazione di livello almeno medio ed un impatto negativo superabile con delle difficoltà. Il tutto senza aver tenuto conto di almeno due fattori tutt’altro che irrilevanti: il volume degli interessati coinvolti e la possibilità che fra le informazioni sottratte possano rientrare anche la dichiarazione di invalidità o soggetti al di sotto di 16 anni, come previsto dal modulo adesione autori.
Ad oggi è stata fatta denuncia alla polizia postale e notifica al Garante Privacy il quale ha provveduto ad aprire un’istruttoria. Ma il perdurante tacere – o peggio minimizzare – l’accaduto non vale a tutelare gli interessati coinvolti dalla violazione.