Analizziamo la débâcle del sito INPS sia dal punto di vista della protezione dei dati sia sul versante della sicurezza informatica con Stefano Mele, avvocato specializzato in diritto delle tecnologie, privacy e cybersecurity.
Key4biz. Qual è il suo giudizio su quanto accaduto ai sistemi informatici dell’INPS?
Stefano Mele. Il mio giudizio è senz’altro negativo, ma purtroppo – dopo ormai tanti anni di attività – l’accaduto non mi ha minimamente sorpreso. Infatti, se vogliamo cercare una costante nel settore di chi si occupa di diritto delle tecnologie, privacy e cybersecurity è senz’altro quella della mancanza di sicurezza delle banche dati e dei sistemi informatici delle amministrazioni pubbliche italiane. Le eccezioni, purtroppo, sono davvero rare. Tuttavia, quanto accaduto all’INPS – mi dispiace molto dirlo – è solo il sintomo di una patologia molto più ampia: quella della insufficiente cultura della protezione dei dati personali nel nostro Paese.
Key4biz. È stato un data breach?
Stefano Mele. Il Garante privacy è giustamente intervenuto in maniera tempestiva, evidenziando molta preoccupazione – cito le parole del Presidente Antonello Soro – “per questo gravissimo data breach” e preannunciando accertamenti atti a verificare quanto accaduto. Non si può che dargli ragione. Infatti, già solo da quanto abbiamo potuto vedere pubblicamente, l’incidente informatico occorso ai sistemi dell’INPS non può che essere qualificato come una violazione di dati personali (un data breach, appunto). Peraltro, a nulla serve mettere in mezzo presunti “attacchi hacker”, dato che la normativa – per nostra fortuna – si concentra sulla tutela del cittadino, ovvero sulla tutela dell’interessato al trattamento dei dati, guardando agli effetti del data breach e non alla sua causa. Ciò che conta, quindi, è la compromissione della riservatezza, dell’integrità o della disponibilità dei dati personali e soprattutto che questa compromissione abbia comportato un rischio reale per i diritti e le libertà delle persone fisiche. Qualora ciò si verifichi, un data breach può essere sanzionato tanto in conseguenza di attività illecite (il presunto “attacco hacker”), quanto persino in caso di attività meramente accidentali. Il presunto “attacco hacker”, quindi, almeno dal punto di vista della normativa in materia di privacy, non può essere assolutamente considerato come un’attenuante della responsabilità. Anzi, potrebbe addirittura aggravare la posizione dell’INPS, potendo evidenziare una grave mancanza di adeguate misure di sicurezza (sanzionata fino a 20 milioni di euro).
Key4biz. Se accertato chi sarà il responsabile? In caso di sanzione da parte del Garante chi sarà a pagarla?
Stefano Mele. Per quello che possiamo vedere anche solo dai dati pubblici, a mio avviso, la violazione di dati personali subita dall’INPS ha sicuramente comportato un rischio per i diritti e le libertà dei cittadini che, loro malgrado, si sono ritrovati coinvolti vedendo esposti – o meglio, vedendo diffusi – i loro dati personali. Pertanto, qualora il Garante privacy accerti la responsabilità dell’ente, la sanzione potrebbe essere davvero molto consistente, generandosi – come detto in precedenza – almeno dalla mancata adozione di misure di sicurezza adeguate. Sul chi pagherà, invece, è inutile nasconderci dietro ad un dito: alla fine, la sanzione ricadrà sui contribuenti.
Key4biz. Cosa insegna la débâcle del sito INPS?
Stefano Mele. Rispondo con una provocazione: chissà se oggi gli stessi paladini della “sospensione della privacy”, che fino a pochi giorni fa gridavano dai social e dai quotidiani, cartacei e online, quanto inutile fosse il diritto alla privacy e alla protezione dei dati personali in un periodo di emergenza come quello che stiamo purtroppo vivendo, sono gli stessi che oggi tirano parole e “like” contro quanto accaduto all’INPS. La protezione dei dati personali è un diritto di libertà e – per citare il famosissimo adagio di Benjamin Franklin – chi rinuncia alla libertà per raggiungere la sicurezza, non merita né la libertà né la sicurezza.