Non ci stiamo nemmeno provando - Episodio 2: il data breach e la comunicazione agli interessati.
Prendo spunto da un recente fatto di cronaca, il bancario infedele che ha effettuato accessi compulsivi e abusivi ai dati di migliaia di correntisti.
Il Garante Privacy si è interessato della ghiotta vicenda emettendo un provvedimento con il quale chiede alla banca di effettuare una speciale comunicazione, prevista nei casi di particolare gravità dall’articolo 34 del GDPR, diretta a tutti gli interessati coinvolti dal data breach. L’atto informativo deve essere tempestivo, molto chiaro e comprensibile e serve per informarli dell’accaduto, delle probabili conseguenze della violazione, di come mitigare il rischio e di quali misure sono state adottate dal titolare per porre rimedio.
Non entrerò nel merito della vicenda perché i colleghi DPO stanno lavorando bene e si stanno scontrando con ricostruzioni giornalistiche decisamente emotive e non sempre accurate. Ad oggi, i dettagli sono ancora troppo imprecisi per poterne discutere.
Tuttavia i fatti accertati sono questi:
- c’è stato un data breach
- ci sono molti interessati coinvolti
- il rischio per la loro sicurezza, libertà, dignità è elevato e, pertanto, occorre fare la comunicazione a cui ho accennato.
L’altro elemento certo è il recentissimo provvedimento del Garante che stabilisce alcuni punti fermi e, oltre ai 20 giorni di tempo per completare l’attività di comunicazione, mette in chiaro alcuni aspetti che definirei problematici.
Il Garante chiede, in sostanza, di qualificare con precisione i clienti coinvolti: i correntisti i cui dati sono stati oggetto di accesso abusivo. Nelle sue otto pagine, il provvedimento non lascia spazio a dubbi e, con riferimento alle medesime persone, il Garante usa indifferentemente i termini “interessati” e “clienti”, lasciando pensare che l’obbligo di comunicazione sia limitato solo ai correntisti della banca.
A volte penso che non ci stiamo nemmeno provando a rispettare le regole.
Ma questo è un déjà vu: in un precedente pezzo, riguardante le procedure autorizzative degli strumenti che possono permettere il controllo a distanza dei lavoratori, ho esposto una tesi tanto estrema quanto vera e che, in effetti, alla luce dei recenti sviluppi nell’applicazione della materia, parrebbe una profezia autoavverante.
Oggi il tema è diverso e riguarda l’identificazione degli interessati.
Caro Garante, con tutto il dovuto rispetto per l’autorità, a mio modesto parere hai preso una grossa cantonata e, vergandola in un provvedimento, hai posto le basi per un generalizzato indebolimento della tutela del diritto alla protezione dei dati personali. Bene ma non benissimo.
Che dire, spero di sbagliarmi, di essere un fanatico esagerato e di aver travisato completamente il GDPR… purtroppo non riesco a cambiare idea e non riesco a considerare corretto il provvedimento che, ai miei occhi, è parziale.
IMHO, gli interessati coinvolti dalla perdita di riservatezza dei dati personali, non sono solo i correntisti, ma anche tutte le persone fisiche che compaiono nei tabulati, nelle videate, negli estratti conto, nelle righe dei movimenti bancari ai quali ha avuto accesso il funzionario infedele.
Se i correntisti coinvolti sono, ipotizziamo, 10, allora le persone che compaiono nelle rispettive movimentazioni sono di almeno due ordini di grandezza superiori: per ogni cliente della banca è facile pensare che siano state compromesse decine, centinaia o migliaia di transazioni, migliaia di persone esterne alla banca che hanno inviato o ricevuto un bonifico o una transazione qualsiasi. 10 x 1.000 = 10.000 E se i correntisti non sono 10 ma sono 100, 1000, 6000…. le persone coinvolte diventano un numero gigantesco.
Peraltro, i correntisti sono facilmente raggiungibili, ma vedo molte complessità nel raggiungere tutte le persone che compaiono nelle varie transazioni che, a loro volta, sono clienti di altri istituti bancari o altri intermediari.
Il GDPR prevede cosa fare nei casi di particolare complessità, tali da rendere irragionevole lo sforzo ma, ahimè, non nel senso economico, quanto, piuttosto, rispetto alla concreta possibilità di rintracciare gli interessati. Direi che, trattandosi di transazioni effettuate su circuiti soggetti ad obblighi di identificazione e tracciamento, non è certamente difficile ricostruire l’identità dei soggetti coinvolti. Sicuramente sono tanti, potrà porsi un tema di fattibilità, di scelta del migliore strumento oppure dei tempi e dei costi, ma non certo una difficoltà nell’identificazione.
Eccoci qui, siamo in una piccola stanza assieme ad un gigantesco, rumorosissimo e sgargiante elefante rosa glitterato. Vogliamo fare finta di non vederlo? Vogliamo pensare che gli interessati siano solo e soltanto i correntisti della banca? Vogliamo girare lo sguardo altrove e non vedere che le paginate e le estrazioni sono piene zeppe di nomi di altre persone?
Facciamolo pure, conviene a tutti, ma non possiamo pensare di aver applicato correttamente ciò che il GDPR prevede e, ancora peggio, non abbiamo certo tutelato come meritano tutte le persone coinvolte.
Forse, così facendo, abbiamo creato degli interessati di serie A e degli interessati di serie B.
Tanto per capirci, ecco un esempio tipico, un normalissimo estratto conto trovato in rete.
L’estratto conto si riferisce ad un singolo cliente che è certamente uno degli interessati al data breach. Purtroppo, però, nella stessa pagina io vedo i nomi e cognomi di altre otto persone fisiche differenti, con ulteriori dettagli che mi permettono di capire anche perchè hanno ricevuto o inviato un pagamento: stipendio, rimborso, prestito, massaggio olistico, pilates, guida turistica a Berlino… facciamo pure finta di non vederli ma, volendo fare le cose per bene, non possiamo ignorare il fatto che la violazione di sicurezza ai danni dei correntisti coinvolga anche a tutte le persone che compaiono nelle singole transazioni.
Ribadisco, vorrei sbagliarmi.
Prosit.
Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili per la tua vita, prendi in considerazione l'idea di ringraziarmi. Puoi farlo in due modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone
- Con una donazione. In questo modo aiuterai me.
Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.
👇 👇 Clicca qui 👇 👇