Pensieri d’estate: Synlab ha rotto!
Questo articolo riguarda il data breach Synlab ed è stato preceduto da altri sullo stesso tema:
Il silenzio degli innocenti
C'è... no, meglio, ci sarebbe posta per te.
Extinction Event
(originariamente pubblicato su https://ransomfeed.it/index.php?page=blog)
La sanità deve fare a meno dei dati personali.
(originariamente pubblicato su https://ransomfeed.it/index.php?page=blog)
Ormai è una saga.
14 agosto... mi immagino un surreale dialogo interno al board Synlab:
“Chi vuoi che legga le PEC nella settimana di ferragosto?”
“Giusto! Mandiamola adesso così viene sommersa da altra fuffa, passa sotto silenzio, nessuno se ne accorge e la sfanghiamo…”
“Geniale!”
Beh, qualcuno che legge c’è.
SYNLAB: qualcosa si è rotto.
“Annunciazione, annunciazione”, dopo un immane data breach, dopo mesi di ostinato silenzio, dopo l’invio di infinite richieste e solleciti, finalmente Synlab ha dato segni di vita, non necessariamente vita intelligente, ed ha inviato una splendida letterina che, tuttavia, non ha aggiustato le cose.
Ciascuno faccia le proprie considerazioni, le mie sono quelle di un DPO coinvolto sia a livello personale che professionale e non mi sento affatto accondiscendente.
Synlab ha rotto il silenzio?
In senso tecnico certamente sì, il silenzio è stato rotto: Synlab è uscita da uno stato di assenza totale di comunicazioni grazie all’invio di un messaggio. In questo modo non è più possibile sostenere che l’azienda sia completamente inerte.
Tuttavia esistono vari strumenti per decodificare gli eventi e la realtà che ci circonda: oltre all’atto meramente tecnico di inviare un segnale, esiste un piano semantico. In questa prospettiva il segnale, per essere tale, dovrebbe avere un significato.
Ecco, nel caso Synlab, la lettera inviata non ha alcun significato proprio: parole vuote e, certamente, prive di valore e delle informazioni attese dalle vittime del data breach.
Sempre in senso semantico, siamo di fronte ad una comunicazione priva di un vero e proprio contenuto specialmente se messa in relazione al contesto, se rapportata ai passaggi che hanno portato a questo evento. Questa vacuità genera indirettamente un contenuto e dice, più o meno, questo: “non ce ne frega niente di ciò che ci hai chiesto. Ti rispondiamo con una supercazzola anche perchè tu sei stupido e non sei in grado di accortgertene. Inoltre ce ne fottiamo allegramente delle regole e delle leggi.”
Ho commentato ogni passaggio della risposta inviata da Synlab come glossa al documento originario.
Nel commento non ho incluso alcuna informazione costruttiva o correzione poiché non desidero sovrappormi ai colleghi che stanno cercando di assistere l’azienda. Intravedo il loro profondo disagio.
Per non offuscare il punto di vista del DPO occorre soprassedere sui refusi e sugli evidenti problemi sintattici del testo.
Il documento è stato inviato anche in versione “brevis” come risposta a chi ha inviato una richiesta ma non risulta essere presente negli archivi Synlab. Purtroppo, questa versione è altrettanto problematica rispetto a quella più verbosa poichè conclama una menzogna: nel momento in cui Synlab prende in carico una richiesta ed invia la risposta “brevis”, si realizza un trattamento di dati personali, la loro archiviazione e conservazione, pertanto non è lecito scrivere che “All’esito delle analisi delle nostre banche dati, non risultato trattamenti di dati personali relativi alla Sua persona.”
Nei confronti di una persona i cui dati non sono presenti nei database synlab, sarebbe stato necessario chiarire che, a seguito della gestione della richiesta, i dati personali vengono trattati a tale scopo e che saranno trattati per poter dimostrare di aver adempiuto al dovere di riscontro gravante sul titolare.
Quindi sì, il silenzio è stato rotto, ma la situazione è immutata, se non addirittura peggiorata sotto il profilo comunicativo. Non ravviso alcun contenuto che risponda alle domande poste, che possa soddisfare l’esercizio del diritto di accesso ai dati, che assolva all’obbligo di comunicazione agli interessati coinvolti in un data breach.
Male, direi.
Forse sarebbe stato meglio inviare una promozione per esami diagnostici scontati o gli auguri di buone ferie: sarebbe stato un dileggio ma, per lo meno, non avrebbe aggiunto ulteriori violazioni ad una situazione già decisamente compromessa.
Synlab ha rotto le palle?
È una considerazione molto soggettiva, c’è chi ha una soglia del dolore abbastanza alta e esistono persino i masochisti. I gusti sono gusti.
Per quanto mi riguarda penso che sia stato superato il punto di non ritorno.
Non si può fare la vittima e lamentare un elevatissimo numero di richieste, prenderlo come scusa per ritardare le risposte e poi, dopo cotanto impegnativo lavoro, inviare una comunicazione che non ha nulla di specifico… questo significa prendere per il culo la gente.
Dopo aver letto la risposta di Synlab, una persona di buonsenso e solida pazienza, a questo punto della vicenda, dovrebbe dire parole poco gradite al clero e inappropriate per una educanda svizzera.
Non penso che le sanzioni siano una soluzione e non amo le rappresaglie ma, di fronte a questo scempio e alla strafottenza dell’impunità, auspico un severo intervento da parte del Garante e farò quanto possibile per attivare e seguire da vicino il procedimento.
Dopo due domande aperte ad ogni possibile risposta, penso sia necessario fissare due evidenze fattuali:
1. Synlab ha rotto il patto sociale violando la legge.
Le norme e le leggi hanno una precisa funzione: regolano la nostra esistenza permettendoci di essere ragionevolmente sereni nelle attività quotidiane. Il barista non ci avvelenerà utilizzando caffè mischiato a rifiuti tossici, il bancario non si intascherà i soldi che intendiamo versare sul conto corrente, l’automobile in custodia dal meccanico non verrà utilizzata dal suo garzone per andare in vacanza, il dentista ci curerà al meglio della sua arte senza espiantare un organo per rivenderlo.
Le regole non impediscono affatto comportamenti scorretti, ma li qualifica come illeciti e chi viola le norme diventa un criminale e, pertanto, può essere denunciato, giudicato e sanzionato.
Oltre all’aspetto punitivo, esistono anche conseguenze civiche: chi viola le norme e calpesta i diritti delle persone dovrebbe essere isolato ed evitato da tutti. Spetta a ciascuno di noi aprire gli occhi per fare le scelte più consapevoli ed informate.
Il tema è stato esplorato e mirabilmente sintetizzato da Kubrick in un famoso dialogo di Full Metal Jacket:
“If it wasn't for dickheads like you, there wouldn't be any thievery in this world, would there?”
“Sono le teste di cazzo come te che al mondo incrementano la razza dei ladri, è vero o no?”
2. Synlab ha rotto la fiducia.
Sbagliare è lecito, chiunque si può imbattere in un fornitore pettinato e patinato senza intravedere lo schifo sottostante. In questi casi il sacrificio di alcuni deve essere monito per tutti e ciascuno deve prenderne atto: dopo che gli eventi hanno messo in luce il marcio, non è più possibile vivere spensierati perchè imbattersi nello stesso fornitore problematico diventa una scelta o addirittura una colpa.
Oggi è necessario fare i conti con la realtà.
Per quanto mi riguarda, tutto ciò significa semplicemente depennare Synlab dalla lista dei miei possibili fornitori.
"There's no fate but what we make for ourselves"
Prosit