Mentre i più si stanno ancora domandando dove siano finiti i 522 gigabyte di documenti sensibili trafugati dagli hacker che hanno violato il sistema informatico della Asl1, gli addetti ai lavori ci mettono il carico aggiungendo altri quesiti importanti: siamo in grado di scoprire chi è stato? Le vittime sono state informate nei modi e nei tempi previsti dalle apposite leggi sulla privacy? È stato applicato alla lettera il Gdpr?

 

Di sicuro quello che oggi è un problema, per quanto serio, domani potrebbe rappresentare anche un notevole danno economico per la ASL Avezzano Sulmona L’Aquila, finita sotto l’attacco dei pirati informatici. Pensiamo, per esempio, alla possibilità che i cittadini ai quali sono stati “rubati” i dati sensibili (e tra questi potrebbe esserci anche Matteo Messina Denaro) si uniscano in una class action che chiedere i danni e fare valere i loro diritti. Lo scenario è inquietante.

Ma cos’è esattamente il Gdpr? E cosa significa data breach?

Il Regolamento generale per la protezione dei dati personali 2016/679 (General Data Protection Regulation o GDPR) è la principale normativa europea in materia di protezione dei dati personali.

Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in  vigore il 24 maggio 2016, ma la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018. È composto da 99 articoli e 173 considerando, laddove questi ultimi hanno solo un valore interpretativo.

Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati dell’Unione ed è attuato allo stesso modo in tutti gli Stati dell’Unione senza margini di libertà nell’adattamento (tranne per le parti per le quali si prevede espressamente delle possibilità di deroga). Il Regolamento nasce con i seguenti obiettivi (vedi Considerando 9):

– la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea, questo perché col Trattato di Lisbona la protezione dei dati personali è diventata diritto fondamentale dei cittadini, e quindi va garantito allo stesso modo in tutto il territorio dell’Unione (pur lasciando margini di manovra ai legislatori nazionali in alcune materie, in particolare quelle che investono in via diretta l’esercizio di pubblici poteri, vedi il decreto di adeguamento 101 del 2018);

– lo sviluppo del Mercato Unico Digitale (Digital Single Market) europeo, grazie alla maggiore tutela dei dati si alimenta la fiducia dei cittadini nella società digitale e nell’uso dei servizi digitali;

– rispondere alle nuove sfide derivante dalle nuove tecnologie digitali.

VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)

Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Alcuni possibili esempi:

– l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

– il furto o la perdita di dispositivi informatici contenenti dati personali;

– la deliberata alterazione di dati personali;

– l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;

– la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

– la divulgazione non autorizzata dei dati personali.

A sottolineare l’importanza del Gdpr al microfono del Tg8 è stato il professor Antonio Teti, esperto di cyber security.