dott. Marco Massimini – Amministratore Unico e Project Manager di Privacy.it

Pubblicato in data 26-07-2017

Ormai è un bollettino di guerra. Basta alzarsi la mattina, sfogliare le pagine elettroniche del World Wide Web e fare la conta delle vittime. Ogni giorno sono migliaia, se non milioni, i cittadini che scoprono che i loro dati personali – che supponevano affidati alle mani sicure di un terzo – sono stati persi, rubati, distrutti, presi in ostaggio, venduti, impropriamente resi accessibili a terzi o divulgati al pubblico. I termini data breach e data leak stanno rapidamente divenendo parte del linguaggio comune e internazionalmente condiviso (è un primo sintomo: ci stiamo tutti abituando a questi fenomeni).

Negli ultimi giorni sono emersi all’estero due casi piuttosto eclatanti. Non hanno guadagnato visibilità sui nostri media nazionali (è un secondo sintomo: i mezzi di informazione danno per scontato che qualche grave violazione di privacy può accadere ogni giorno). Ma, a nostro avviso, meritano di essere evidenziati perché concernono database gestiti da amministrazioni statali ed inducono a qualche riflessione di ordine generale.

Il primo caso proviene dagli Stati Uniti, la notizia giunge dall’emittente locale KCUR. Una recente open records request – quella che noi chiameremmo richiesta d’accesso agli atti amministrativi – ha portato alla luce un data breach molto rilevante risalente al marzo scorso. Un hacker ha violato i sistemi del Department of Commerce dello Stato del Kansas accedendo ad un database contenente i dati di persone in cerca di un impiego (database interfacciato con una rete di agenzie per il lavoro articolata in 9 altri stati federali). I dati di oltre 6 milioni di persone sono stati violati, tra cui 5,5 profili contenenti quei Social Security Number che – per come sono strutturati l’economia e il welfare americano – non dovrebbero mai finire nella mani sbagliate.

L’incursione è stata rilevata il 12 marzo scorso e la FBI fu prontamente avvisata. Lo Stato ha contattato (in maggio!) soltanto 260.000 vittime del data breach per avvisarli di stare attenti a possibili frodi o furti di identità: sui restanti milioni di interessati – par di capire – non si interverrà perché l’amministrazione non è in possesso della loro e-mail e non c’è una legge statale che la obblighi ad una data breach notification via posta ordinaria o telefono.

A seguito dell’incidente, lo Stato ha dovuto ingaggiare e pagare profumatamente:

  • un call center per rendere informazioni alle vittime che non sono state contattate direttamente;
  • un società che monitori il credito delle stesse fino al 31 dicembre prossimo (periodo giudicato dagli esperti insufficiente perché le frodi possono avvenire anche dopo un anno);
  • uno studio legale per assistenza e per lo svolgimento di attività di compliance;
  • una IT company per porre rimedio alle vulnerabilità del sistema.

La seconda notizia di data breach, sempre afferente ad un contesto governativo, riguarda la Svezia (fonte Privacy News Online). Per quella che appare essere una semplice quanto incredibile omissione, i dati riguardanti tutte le immatricolazioni di veicoli e le patenti del regno scandinavo sono stati resi accessibili a terzi.

I fatti, in breve. Nel 2015 l’Agenzia dei Trasporti svedese, per tagliare i costi di servizi in-house, ha affidato ad IBM Svezia la gestione e manutenzione dei propri sistemi la quale ha, a sua volta, affidato l’esecuzione delle prestazioni ad alcune sussidiarie del gruppo dislocate in Repubblica Ceca, Romania e Serbia. La direttrice dell’Agenzia, pare ignorando deliberatamente il parere degli auditor interni, decideva – per velocizzare l’operazione – di procedere all’esternalizzazione senza curare le cautele e le procedure che la legge svedese prevede, per questi casi, in tema di privacy e sicurezza: in particolare, il personale tecnico che accede ai dati dall’estero non dovrebbe poter visualizzare le informazioni o, se proprio necessario, dovrebbe ricevere un’autorizzazione speciale per farlo. Così non è stato: ad IBM non sono state rese stringenti istruzioni affinché i dipendenti dei subappaltatori dell’est-Europa non potessero accedere liberamente a tutti i dati.

Ciò che ha reso la questione ancor più grave – che sta facendo tremare l’intero paese ed incendiando il clima politico – è che nei database della Swedish Transport Agency non ci sono solo i dati di chiunque possegga un veicolo o abbia una patente, ma anche:

  • nome, foto, e indirizzo di casa di tutti i piloti delle forze aeree;
  • nome, foto, e indirizzo di casa di agenti segreti (alcuni dei quali potrebbero rischiare la vita perché operativi sotto copertura);
  • nome, foto, e indirizzo di casa di qualsiasi persona sia stata schedata dalla polizia;
  • nome, foto, e indirizzo di coloro che sono soggetti ai cd. programmi testimoni (la cui identità dovrebbe essere iper-protetta)
  • tipo, modello, peso, e difetti di qualsiasi mezzo governativo o militare con dettaglio del personale autorizzato a guidarli;
  • la capacità di carico di strade e ponti, dettagli strutturali su porti e metropolitane (che non saranno dati personali, ma che sono dati cruciali in caso di guerra).

E’ bene precisare che non risultano, al momento, responsabilità riconducibili ad IBM che, peraltro, interpellata dai media svedesi, ha preferito non rilasciare commenti sull’accaduto.

Di sicuro, stando al NY Times, almeno 3 operatori in Repubblica Ceca hanno avuto accesso non autorizzato a tutte le informazioni, con possibilità di copiare i dati e cancellare qualsiasi traccia informatica del proprio accesso.

Si tratta del più grave data breach nella storia della Svezia e – come naturale che sia, stante anche la rilevanza in termini di sicurezza nazionale – sta causando un terremoto politico. Anche perché qualcuno sapeva da tempo del problema. I servizi segreti svedesi avevano già invitato nel novembre 2015 l’Agenzia dei trasporti ad interrompere l’outsourcing (facendo notare che certi dati è meglio che non escano dal perimetro governativo e che – benché non esplicitamente vietato da alcuna norma – è inaccettabile che siano resi accessibili a fornitori esteri). Il governo in carica è sotto accusa per non aver informato tempestivamente l’opposizione, oltre che il pubblico.

Che qualcosa stesse andando storto, qualcuno lo aveva capito dal licenziamento, risalente al gennaio scorso, della direttrice dell’Agenzia “per divergenza di vedute”. Ma solo il mese scorso è emerso che alla medesima sono state comminati circa 8.000 Euro di sanzione per “noncuranza delle procedure di privacy e sicurezza”. Da lì, si è pian piano compreso in cosa fosse consistita tale non curanza e quale enorme problema simile condotta avesse originato.

Le storie provenienti dal Kansas e dalla Svezia confermano come i sistemi e i database delle pubbliche amministrazioni (che detengono una impressionante mole di dati, spesso sensibili, talvolta critici) siano sovente oggetto di data breach massivi. Se ne potrebbe fare un elenco quasi sterminato, ma sfruttiamo i più recenti come spunto per effettuare una notazione ulteriore.

La vicenda svedese, in particolare, ci invita ad una riflessione riguardante il GDPR, sia perché la Svezia è nazione che dal maggio prossimo dovrà applicarlo, sia perché – diversamente da quanto finora emerso circa il data breach statunitense – il leak in questione è palesemente riconducibile ad una condotta negligente dell’amministrazione: ci sono responsabilità soggettive della dirigente ma anche responsabilità “oggettive” dell’Agenzia.

Ed è su queste ultime che si desidera incentrare la riflessione conclusiva. Non conoscendo tutti i dettagli della vicenda, ci è impossibile definire quali violazioni potrebbero essere imputabili all’Agenzia ai sensi del Regolamento 2016/679. Ma poniamo che – come parrebbe – le infrazioni fossero molteplici nonché di gravi entità. Per fare qualche esempio:

  • culpa in eligendo et in vigilando riguardo all’operato del dirigente;
  • mancata adozione di misure di sicurezza (tra cui restrizione degli accessi, pseudonimizzazione dei dati esternalizzati);
  • assenza o mancato rispetto di rigorose policy in tema di outsourcing tecnologico;
  • ritardo negli obblighi di notificazione e comunicazione del data breach.

Se fossimo sotto il regime operativo del GDPR, ci si dovrebbe attendere una sanzione amministrativa salatissima secondo i temibili parametri dell’art. 83 che prevede “fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato annuo”.

Escludendo il criterio del 4% per la natura giuridica della Swedish Transport Agency, la domanda è: può una P.A. essere sanzionata per 20 milioni di Euro? E’ una questione poco dibattuta (in vero, un po’ come tutta l’applicazione del GDPR nel comparto pubblico) e ci ripromettiamo di approfondirla più compiutamente in un prossimo futuro. Ma qualcosa in merito lo si può già dire.

A scrutare il disposto dell’art. 83 del GDPR la risposta è sì, un ente pubblico può ricevere una penalità da 20 milioni di Euro. Ma è evidente che – considerati i tagli alla spesa pubblica correnti un po’ in tutta Europa – un’applicazione rigorosa della norma da parte delle Autorità nazionali rischierebbe in diversi casi di mettere in ginocchio servizi pubblici indispensabili.

La “scappatoia”, a ben guardare, c’è ed è rinvenibile nei Considerando posti in premessa al Regolamento. Al Considerando 150 si osserva che “Dovrebbe spettare agli Stati membri determinare se e in che misura le autorità pubbliche debbano essere soggette a sanzioni amministrative pecuniarie”.

Pertanto, ciascun Paese dovrà stabilire se e come i propri enti pubblici siano sanzionabili. Ad evitare che ciascuno Stato membro possa “fare di testa propria” oppure che sfrutti la libertà apparentemente concessa dal GDPR per varare politiche “risparmiose” e, con ciò, indulgenti verso le inadempienze delle proprie P.A. (esentandole o sottoponendole a forme di depenalizzazione eccessive rispetto ai privati) soccorre il Considerando 152: “Se il presente regolamento non armonizza le sanzioni amministrative o se necessario in altri casi, ad esempio in caso di gravi violazioni del regolamento, gli Stati membri dovrebbero attuare un sistema che preveda sanzioni effettive, proporzionate e dissuasive”.

Dunque, per risolvere il dubbio (può una P.A. ricevere sanzione da 20 mln?) non rimane che attendere che ciascuno Stato – e quel che più ci interessa, l’Italia – determini i parametri sanzionatori applicabili al proprio settore pubblico.

L’auspicio è quello che i Paesi membri si confrontino prima tra loro, di modo che le P.A. di tutta Europa siano sanzionabili con criteri omologhi e che, per quanto differentemente dimensionate per ciascuna economia “locale”, le penalità impattino in ogni Paese con pari efficacia perché è importante che tutto il settore pubblico europeo sia, anche in questo senso, allineato nella strada verso il progresso.

Lo sforzo di adeguamento per la globale messa in sicurezza della digital society non può essere chiesto ai soli privati (sotto la minaccia di sanzioni semi letali). Il passaggio verso l’e-government e la cittadinanza digitale sono elementi cardinali del futuro continentale e devono passare attraverso la responsabilizzazione di tutte le propaggini del settore pubblico con riguardo alla protezione delle informazioni. Per questo, ci si deve auspicare che la P.A. non goda di un sistema sanzionatorio incerto o eccessivamente attenuato.