Un accadimento così drammatico come quello subìto dalla Asl Avezzano-Sulmona-L’Aquila, il 3 maggio scorso, imporrebbe ben altro senso istituzionale da parte dei responsabili, in primis i titolari del trattamento di dati sensibili di malati, anziani e bambini e un minimo di conoscenza della norma, invece di continuare a tenere un atteggiamento stizzoso e minaccioso, chiunque entri in possesso o scarichi i dati pubblicati sul dark web da organizzazioni criminali – e li utilizzi per propri scopi o li diffonda on line, sui social network o in altro modo – incorre in condotte illecite, anche da parte di certa politica, che almeno dovrebbe dare la sensazione di aver letto il Regolamento generale sulla protezione dei dati (UE/2016/679), in vigore in Italia dal 2018, ancor più stringente rispetto al precedente, proprio perché con la libera circolazione dei dati in Europa, i rischi per i nostri diritti e le nostre libertà sono centuplicati.
E la Asl Avezzano-Sulmona-L’Aquila che fa? Prima minimizza, poi minaccia i giornalisti di non pubblicare i dati, evidentemente ignorando gli elementi base della deontologia professionale, e ieri a mezza bocca, comunica agli assistiti che i loro dati sono stati violati, e lo comunica a norma dell’articolo 34 del Regolamento che d’altra parte lo impone: “Quando la violazione della sicurezza dei dati presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve darne notizia all’interessato senza ingiustificato ritardo…”.
Due settimane dopo l’attacco hacker è un ingiustificato ritardo? La Asl ha dovuto fare la notifica della violazione anche al Garante, l’ha fatta entro le 72 ore seguenti il 3 maggio?
Quali sono i rischi per i nostri diritti e le nostre libertà? Lo dice la giurisprudenza sul Regolamento. I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.
Non siamo in grado di sapere se la comunicazione sulla violazione sia stata effettuata in ritardo, perché la falla con cui hanno informato il cittadino/assistito/utente sul furto dei propri dati, e probabilmente gli argini difensivi che hanno dovuto attivare in fretta e furia per tentare di difendere in extremis le nostre identità, non hanno permesso di fare di meglio. Ma questo non giustifica il fatto che si tratta di un accadimento gravissimo e senza precedenti, che avrebbe potuto e dovuto essere evitato.
Infine non è stato ammesso con chiarezza, nonostante il Regolamento imponga nella comunicazione di una violazione, proprio la chiarezza, “se i dati personali fossero o meno protetti con misure tecniche adeguate di protezione atte a limitare efficacemente il rischio di furto d’identità o altre forme di abuso”.
Prima o poi, la verità dovrà uscirà fuori.