L’azienda ULSS Euganea, in seguito all’invio di migliaia di lettere con certificati di esenzione indirizzate a destinatari scorretti, tenta di rassicurare con un comunicato sul proprio sito istituzionale circa l’evento realizzato. Al momento, però, non si riesce a comprendere se e fino a che punto tale comunicazione possa essere intesa come conforme alle prescrizioni di cui all’art. 34 GDPR, né tantomeno si può dedurre se l’evento sia stato gestito come un data breach.
Nella descrizione della natura della violazione, il fatto viene infatti definito come un “invio dei certificati di esenzione 7R2 scorretti”. Ma sia chiaro: per quanto non lo si definisca esplicitamente come un data breach, consentire un accesso dei dati relativi all’esenzione per reddito a soggetti non autorizzati rappresenta comunque una violazione di dati personali la cui gravità poi deve essere oggetto di valutazione. Andando a leggere la descrizione delle cause dell’incidente, viene citata “una problematica che si è generata nel corso dell’elaborazione dei dati, circoscritta alle esenzioni per reddito”. Ciò purtroppo aggiunge ben poco rispetto a quanto già noto ai soggetti coinvolti, i quali forse avevano autonomamente potuto comprendere la sussistenza di un problema di elaborazione dei dati nell’esatto momento in cui si sono visti recapitare dei certificati di esenzione altrui.
Quella che ha la forma di un’apparente rassicurazione nei confronti delle utenze sul fatto che tale problema sia stato “indipendente dall’attacco hacker e dalla struttura organizzativa informatica di Ulss 6 Euganea” solleva invece non pochi dubbi su quale sia stata la criticità alla fonte. Per logica, e sapendo solo ciò che non è stato, restano un errore umano nella fase di configurazione del database o nella fase di elaborazione dei dati, dal momento che sono esclusi un’azione dolosa e un incidente di natura tecnica? O forse c’è una responsabilità dipendente da un servizio che non si colloca all’interno della struttura organizzativa informatica? Mistero.
Le misure adottate per la mitigazione del rischio sono invece comunicate nel modo che segue: “L’Azienda si è tempestivamente attivata, ha proceduto alla minuziosa analisi di quanto accaduto e sta gestendo tutti gli obblighi normativi del caso. Gli utenti che hanno ricevuto la comunicazione con il nominativo errato, che rappresentano parte di coloro che hanno diritto all’esenzione per reddito, nei prossimi giorni riceveranno il documento corretto. L’Azienda ha infatti dato immediate disposizioni per il re-invio delle certificazioni di esenzione che, è importante sottolineare, non contengono dati afferenti allo stato di salute dei cittadini.”. L’indicazione di un link per il download dei certificati di esenzione consente così di superare la indisponibilità temporanea del documento.
Nulla però viene detto circa le probabili conseguenze della violazione dei dati personali nei confronti degli interessati, che comunque riguarda i dati personali riconducibili a “Cittadini di età inferiore ai sei anni o superiore ai sessantacinque anni, purché appartenenti ad un nucleo familiare avente un reddito complessivo lordo riferito all’anno precedente non superiore a € 36.151,98 (Esenti reddito ed età) codificato in Regione del Veneto con 7R2.”, come da informazioni sulle esenzioni.
Ma se questo è il grado di incertezza che si può percepire, certamente tutti gli interessati potenzialmente coinvolti avrebbero ben diritto di pretendere maggiori approfondimenti a riguardo. E se c’è una problematica immediatamente riscontrabile, forse è stata quella di non aver chiarito sufficientemente che un data breach c’è stato.
