.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

06 luglio 2024

Entrino, signori, entrino! Più gente entra e più bestie si vedono!

 


Entrino, signori, entrino! Più gente entra e più bestie si vedono!

(Cit. Dumbo)


In questi giorni su X si ride ma sono risate amare, forse utili solo ad esorcizzare uno sconfortante scenario.

Non conosco personalmente nessuno dei protagonisti riportati dalla cronaca pertanto, dal mio punto di vista, sono tutti personaggi immaginari e i racconti sono pura fiction, degni della peggiore shitcom, con tanto di risate registrate in sottofondo.  Per una analisi lucida e precisa, consiglio vivamente QUESTO ARTICOLO di L'Opinionista Scalza  @LaScalza_



La vicenda trae spunto dall’esposto collettivo relativo ad un famoso medico, chiamiamolo Brontolo, inviato al suo ordine professionale, chiamiamolo Pisolo, confezionato da un illustre avvocato, chiamiamolo Bartolo, per conto di un famigerato consesso di circa 800 persone che, con una ardita metonimia, chiamerò collettivamente Tontolo


Me li immagino come una allegra combriccola goliardica di persone alticce e disinibite. A Genova si direbbe ironicamente che “Il più scemo suona il violino”.


Bartolo preparò l’esposto per Pisolo, uno di quelli venduti un tanto al chilo e, quindi, con un corposo e pesantissimo incartamento. Ovviamente l’atto è preparato in nome e per conto di Tontolo.


Forse proprio per aumentare il cabotaggio dell’atto e, di conseguenza, l’ammirazione per l’opera e l’effetto “mecojoni” da parte di Pisolo, forse perché uomo di un’altra epoca e poco avvezzo all’uso delle tecnologie informatiche, Bartolo pensò bene di allegare all’atto quanta più documentazione possibile, includendo ogni documento possibile, fosse anche carta straccia. Così anche il documento di identità di Tontolo, perfettamente superfluo, finì nel plico consegnato a Pisolo.



🎯 Violazione n. 1  al GDPR  - Minimizzazione del dato 🎯



Questa fantastica idea, oltre ad appesantire l’atto che, ricordiamolo, è un tanto al chilo, presenta uno spiacevole effetto collaterale: una bella violazione del GDPR.

Racconta la leggenda che gli avvocati possano autenticare la firma dei propri clienti, sia nella sottoscrizione del mandato che negli atti. 

Poterlo fare corrisponde a doverlo fare qualora l’atto sia destinato ad essere condiviso con terzi (non tenuti al segreto professionale) poiché l’autentica permette di evitare la condivisione superflua di dati personali, documenti di identità ed altre informazioni di cui non vi è alcuna necessità. Non si tratta di proteggere i nomi dei firmatari, quelli sono necessariamente noti sia Brontolo che a Pisolo, ma la copia di inutili documenti di identità.

Il passaggio dal “potere” al “dovere” ha un nome: principio di necessità del trattamento, la faccia oscura del principio di minimizzazione del trattamento.


Bartolo sa molto bene che è lecito trattare dati personali solo ed unicamente se sono “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità” per le quali si intende trattarli, quindi Bartolo sa anche che allegare la copia di un documento di identità di Tontolo è, per definizione, un trattamento illecito ogni qual volta si disponga di una modalità alternativa e preferibile di autenticazione che non comporti la condivisione di dati personali superflui.

Bartolo lo sa ma se ne infischia, così come se ne infischia della illiceità del trattamento sottostante.


Questa si che è una partenza scintillante.



Proseguendo, Bartolo decide di confezionare e condividere l’esposto con gli strumenti meno indicati per questa tipologia di atto: una cartella di Google Drive, resa accessibile dal cloud a chiunque abbia il link di condivisione. Il file non è cifrato, non richiede alcuna autenticazione per essere visto e scaricato ed è rimasto online, liberamente accessibile, per un tempo incredibile di diversi mesi, consentendo migliaia di download.

Bartolo pubblica l'atto su forum online, in chat private, gruppi telegram e persino sul suo sito! Andato, perduto, disponibile a chiunque e per sempre. Ovviamente il documento, con il link malefico, viene indicizzato da archive.org e da ogni altra forma di memoria permanente.

Recentemente alcuni social media hanno amplificato la visibilità del link moltiplicando esponenzialmente i download e Bartolo ha deciso di revocare la condivisione solo dopo due giorni di intensa attività di condivisione con Cani e Porci.

Cani e Porci non sono amici di Bartolo, né di Brontolo e nemmeno di Pisolo o Tontolo. È gente di passaggio che nessuno conosce e che farà dei dati ciò che vuole.  Pare che Cani gestisca un callcenter selvaggio attivo nella vendita di contratti online e che Porci sia un truffatore professionista.


Questa è una condivisione illecita di dati personali, anzi, una diffusione perché non sarà mai possibile ricostruire chi abbia avuto accesso ai dati e non sarà possibile chiedere a Cani e Porci di cancellare i dati. 


🎯 Violazione n. 2  al GDPR - Condivisione e diffusione illecita di dati personali 🎯



La condivisione illecita dei dati personali porta inevitabilmente ad un’unica drammatica conseguenza: un vero e proprio data breach! Il data breach è già, di per sé un problema e rischia di procurare grossi guai a Bartolo, ma c’è di peggio


🎯 Violazione n. 3  al GDPR - Data Breach 🎯



Bartolo minimizza. Come sappiamo, il principe del foro era assente il giorno in cui hanno spiegato la praivasi all’università quindi non è molto ferrato.  Con il contributo di una folta schiera di esperti di strada, fino a ieri sera CT della nazionale, ha pensato che la condivisione illecita, la diffusione e il Data Breach meritassero di essere declassati a sciocchezzuola. Ma così non è. Il timer corre veloce e entro 72 ore deve essere fatta un’analisi completa dell’accaduto e, sulla base delle informazioni raccolte, una notifica al Garante. Se esiste un rischio grave, senza ritardo (vale a dire subito) deve essere inviata una completa informazione a tutte le persone coinvolte in modo da permettere loro di minimizzare gli effetti del breach. Date le premesse, considerando l’odio sociale che Tontolo sprizza da tutti i pori, è ragionevole pensare che ci siano in circolazione diversi facinorosi pronti a bussare alla sua porta con pessime intenzioni. Il rischio grave c’è, eccome. Immagino già Cani programmare le 12 chiamate telefoniche al giorno a Tontolo e Porci che scrive una coloratissima presentazione per vendere a Tontolo l’ultima immaginaria terapia: un braccialetto per neutralizzare il grafene che ammorba i fluidi vitali. Ovviamente nel braccialetto c’è scritta la formula taumaturgica in caratteri elfici “E saremo così liberi dalla paura e in piena salute, per la purezza e l'essenza dei nostri naturali fluidi.”


🎯 Violazione n. 4  al GDPR - Adempimenti relativi al data breach 🎯




Le scelte tecniche, incongrue rispetto ai dati trattati, hanno determinato uno scenario catastrofico.

Un filotto di decisioni incomprensibili e problematiche. Penso che il Garante dovrà approfondire la questione.

Sarebbe molto interessante capire se Tontolo sia stato informato del fatto che i suoi dati sarebbero stati trattati in questo modo, condivisi, diffusi pubblicamente e anche condivisi con Brontolo. Dalle reazioni scomposte viste in rete parrebbe proprio di no. Anche volendo ammettere una improbabile completezza dell’informativa resa da Bartolo a Tontolo, pare che l’effettiva comprensione non sia stata raggiunta, il che mette in discussione in principio di trasparenza che il GDPR richiede. Sì, è così, se il cliente di Bartolo è un imbecille, allora Bartolo deve spiegare cosa accadrà ai suoi dati con un linguaggio da imbecilli, perchè se l’imbecille non capisce è colpa di Bartolo che non si è fatto capire. La norma dice questo e non ammette eccezioni, nemmeno con anziani, bambini, deficienti.

Buona fortuna Bartolo… non è una caso che il tuo cliente si chiami Tontolo.

Vuoi fare affari con Tontolo? Devi conoscere e accettarne le conseguenze.


🎯 Violazione n. 5  al GDPR - mancanza di trasparenza nell’informativa 🎯




Trattandosi di una serie di successo, non ci si può fermare alla prima stagione. 

La seconda è dedicata a Brontolo, il cerusico noto nel mondo della data protection per aver appellato un diritto umano fondamentale come una “fisima”, riducendo il giuramento di Ippocrate a una barzelletta.


Forse vale la pena di riprendere questo giuramento che mette al centro di tutto la dignità della persona:


Consapevole dell'importanza e della solennità dell'atto che compio e dell'impegno che assumo, giuro:


  • di esercitare la medicina in autonomia di giudizio e responsabilità di comportamento contrastando ogni indebito condizionamento che limiti la libertà e l'indipendenza della professione;

  • di perseguire la difesa della vita, la tutela della salute fisica e psichica, il trattamento del dolore e il sollievo dalla sofferenza nel rispetto della dignità e libertà della persona cui con costante impegno scientifico, culturale e sociale ispirerò ogni mio atto professionale;

  • di curare ogni paziente con scrupolo e impegno, senza discriminazione alcuna, promuovendo l'eliminazione di ogni forma di diseguaglianza nella tutela della salute;

  • di non compiere mai atti finalizzati a provocare la morte;

  • di non intraprendere né insistere in procedure diagnostiche e interventi terapeutici clinicamente inappropriati ed eticamente non proporzionati, senza mai abbandonare la cura del malato;

  • di perseguire con la persona assistita una relazione di cura fondata sulla fiducia e sul rispetto dei valori e dei diritti di ciascuno e su un'informazione, preliminare al consenso, comprensibile e completa;

  • di attenermi ai principi morali di umanità e solidarietà nonché a quelli civili di rispetto dell'autonomia della persona;

  • di mettere le mie conoscenze a disposizione del progresso della medicina, fondato sul rigore etico e scientifico della ricerca, i cui fini sono la tutela della salute e della vita;

  • di affidare la mia reputazione professionale alle mie competenze e al rispetto delle regole deontologiche e di evitare, anche al di fuori dell'esercizio professionale, ogni atto e comportamento che possano ledere il decoro e la dignità della professione;

  • di ispirare la soluzione di ogni divergenza di opinioni al reciproco rispetto;

  • di prestare soccorso nei casi d'urgenza e di mettermi a disposizione dell'Autorità competente, in caso di pubblica calamità;

  • di rispettare il segreto professionale e di tutelare la riservatezza su tutto ciò che mi è confidato, che osservo o che ho osservato, inteso o intuito nella mia professione o in ragione del mio stato o ufficio;

  • di prestare, in scienza e coscienza, la mia opera, con diligenza, perizia e prudenza e secondo equità, osservando le norme deontologiche che regolano l'esercizio della professione.



Non poca cosa, un grosso fardello sia nella professione che nella vita privata e che, in certi momenti, può rivelarsi un paio di scarpe troppo strette da calzare.


Qui Brontolo inciampa in un trabocchetto involontario: i dati a cui ha avuto accesso, anche se grazie ad una improvvida condivisione, erano comunque finalizzati ad un uso specifico e circoscritto. È illecito utilizzare tali dati per altre finalità senza una valida base di legittimazione, che non c’è. Brontolo, profondamente ignorante in materia, non si è nemmeno accorto di ciò che ha fatto amplificando la condivisione del link, minacciando di querelare Tontolo, pubblicando a mezzo social i dati e i documenti di Tontolo, ancora perfettamente riconoscibili, canzonandolo pubblicamente per le sue deficienze.


Si potrebbe pensare che non sia etico già tra persone comuni

Si potrebbe pensare che, per un Medico, si aggiunga una violazione alla deontologia professionale

Si potrebbe pensare che, trattandosi di un titolare del trattamento, sia addirittura un trattamento illecito ai sensi del GDPR


🎯 Violazione n. 6  al GDPR - trattamento illecito, senza base di legittimazione 🎯



Purtroppo Brontolo, canzonando ripetutamente Tontolo sui social, minacciando azioni legali abbastanza temerarie e, in generale, pubblicando post basati sulle convinzioni di Tontolo, non ha solo trattato illecitamente i suoi dati, anche di natura sensibile, ma ha anche dimostrato un certo animo “sighino” (termine piacentino che indica il voler stuzzicare in modo malizioso e consapevole, provocare,  irritare intenzionalmente fino al danneggiare una persona).

Purtroppo questo elemento va nella direzione sbagliata e assomiglia a ciò che caratterizza la violazione più grave e per la quale sono previste sanzioni penali che, nel mondo della protezione dei dati personali, entrano in gioco solo con intento di lucro oppure se si riscontra la volontà di arrecare danno all'interessato e, a tal fine, si trattano illecitamente suoi dati particolari (sensibili).


🎯 Violazione n. 7  al GDPR - Art. 167 Codice della privacy 🎯



Voglio sperare che nessuno giunga a gesti inconsulti di autolesionismo o di violenza privata verso Tontolo perchè questo sposterebbe l’ago della bilancia sul rosso pieno del diritto penale e la situazione, degenerando, travolgerebbe anche Brontolo.


🎯 Violazione n. 8  al GDPR - materia per il Penalista di Brontolo 🎯






Per carità, questo esposto non è una citazione in tribunale, non accusa nessuno di aver commesso reati e vuole solo cercare di svegliare Pisolo dal torpore che lo caratterizza.

Ma pisolo dorme profondamente, al punto da non accorgersi di aver, a sua volta, condiviso dati che avrebbe dovuto espungere dall’atto.

Macchè, nemmeno l’ombra di buonsenso. Pisolo ha preso l’atto e lo ha girato tale e quale a Brontolo, probabilmente senza nemmeno leggerlo.

Che dire… sogno d’oro Pisolo, continua pure, intanto anche tu hai violato il GDPR.


🎯 Violazione n. 9  al GDPR - condivisione di dati in violazione del principio di necessità 🎯




Dio solo sa quali violazioni verranno commesse con i dati diffusi ad opera di Cani e di Porci. Questi due dei bastardi sono senza scrupoli, hanno già depositato copie dei documenti ovunque, nel web, nel dark web, nei canali instagram, nei loro archivi e  non esiste più alcuna speranza di riprendere il controllo della situazione. Cani è un tipo paziente e frequenta brutta gente, i danni che potrà fare sono moltiplicati per ogni amico con il quale ha condiviso i dati, alcuni pare che siano all’estero e si faranno ancora meno scrupoli perché si sentono al sicuro.

Porci è specializzato nelle truffe e nello sfruttamento della povera gente, dei creduloni, di quelli in difficoltà. Andrebbe proprio fermato ma si sa nascondere bene e ha amicizie influenti. La situazione non è rosea.


🎯 Violazione n. 10! (fattoriale) al GDPR - la qualunque 🎯





Peccato che Bartolo, Brontolo, Tontolo, Pisolo, Cani e Porci siano “personaggi immaginari” perchè vorrei tanto poter dire una parolina a ciascuno di loro:



Tontolo, ragazzo mio, mi dispiace, a volte la vita è ingiusta e i più deboli dovrebbero avere la pazienza e l’umiltà di farsi aiutare. Purtroppo, a volte, si scelgono male i propri maestri, si incappa nel Gatto e la Volpe come accadde a Pinocchio. Mi spiace. Capisco perchè non ti fidi più di nessuno, perché pensi sempre al complotto e perchè cerchi un colpevole per tutto ciò che ti capita… la via è veramente dura vestendo i tuoi panni. 

Magari puoi iniziare a pensare che non tutti ti vogliono fregare… alcuni sono dalla tua parte. Di solito, li riconosci perchè non ti chiedono nè soldi nè dati personali.

Pensaci.


Bartolo, non ho capito se ci fai o se ci sei. Veramente, dimmelo, in confidenza, magari sei un grande stratega e questa è una machiavellica strategia oppure, al contrario, stai annaspando come una trota sulla griglia perché ti sei accorto di aver fatto una cazzata e non sai come uscirne?


Brontolo, a te va il mio pensiero più serio. Con te non ho alcuna voglia di scherzare e puoi immaginare perchè. So che ti piacciono le metafore, in particolare quelle automobilistiche e calcistiche. Purtroppo non frequento gli stadi e non ho alcun interesse per il gioco che ti appassiona tanto. Però possiamo ragionare di motori.

Se trovi una macchina coi finestrini aperti e le chiavi nel cruscotto, non puoi sentirti legittimato a prenderla per farci un giro. Se lo fai, ti arrestano per furto. Se la riporti dopo 5 minuti, ti prendi comunque un calcio nel culo perchè non puoi pensare che sia lì a disposizione di tutti come l’altalena del parchetto. Anche il proprietario passerà i suoi guai perché non si può lasciare la macchina parcheggiata, incustodita e rubabile, è una violazione del codice della strada e verrà sanzionato ma questo non toglie nulla alla gravità del tuo comportamento. Se poi tu, guidando la sua macchina, stiri una vecchietta sulle strisce, entrambi andrete nei guai, ma quelli veri.

Ecco, a mio parere tu e Bartolo avete fatto esattamente questo: Bartolo ha parcheggiato come un coglione ubriaco, tu hai preso una macchina che non potevi guidare, hai travolto una vecchietta e, da quello che vedo, ti sei pure fatto un selfie con il cadavere. Ovviamente questa è una metafora, non so nemmeno se abbiate una macchina o la patente, ma volevo provare a usare il tuo stesso linguaggio per provare a scalfire il tuo ego tracotante e arrivare almeno in prossimità del comprendonio.



Pisolo

Continua pure a dormire, non c’è problema.



Cani e Porci

Siete delle merde.





Due parole in merito alle palle dei cani e alla percezione soggettiva della libertà.


“sai perchè i cani si leccano le palle?”

"perché possono farlo!”


Questo è l’approccio con il quale molta gente, incluso Brontolo, Cani e Porci, percepiscono i limiti al concetto di libertà, arrivando a pensare che la libertà sia assoluta e limitata unicamente da leggi della fisica. 


Siamo liberi di volare? Si, in teoria, ma non possiamo farlo perché non abbiamo le ali. 

I più radicali pretendono di esercitare comunque questo diritto e si schiantano inesorabilmente a causa della forza di gravità. Pace.


Sei libero di lavarti i denti con la benzina? Si, ma muori avvelenato.

Sei libero di prendere a calci un alveare? Si, ma ti pungeranno tante volte.

Sei libero di fermare il vento con le mani? Si, provaci pure, ma non ci riuscirai e non farai nemmeno una bella figura.

Sei libero di dire cose intelligenti? Si, ma non ne hai la capacità.


In un mondo più civile e più umano non riusciamo a leccarci le palle, non proviamo a volare senza un aereo, non beviamo benzina, non litighiamo con uno sciame di api e non pretendiamo di fermare il vento con le mani.


Questa sofisticata evoluzione, il fatto di essere umani, civili e sociali ci ha limitato in molti modi e ci siamo anche accordati per definire malandrino chi carpisce ed utilizza i dati personali altrui in modo non consensuale.


Stacce.



Prosit.






SEI UN PROFESSIONISTA?



SI


FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi.


Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?


bene... allora mi devi una birra.

NO


Se sei arrivato fino a qui meriti un plauso. Complimenti!

Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:


- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.




👇 👇 Clicca qui 👇 👇






 

 


02 luglio 2024

Il silenzio degli innocenti



Il silenzio degli innocenti?

No, meglio dire il silenzio e gli innocenti.

Chi sta in silenzio innocente non è dato che, per il GDPR, è illecito tacere quando si ha il dovere di informare le vittime di un data breach - Il caso Synlab




Del caso Synlab si è parlato tanto, ed è sufficiente una veloce ricerca online per trovare centinaia di articoli e contributi che sostengono ogni tesi possibile e immaginabile. Leggendo si trova di tutto, come nelle peggiori tifoserie calcistiche: chi insulta Synlab, chi la giustifica a priori, chi maledice gli hacker (che è assurdo perché non sono criminali informatici), chi criminalizza le vittime, chi ignora completamente le persone coinvolte, chi se la prende con loro, chi inveisce contro il Garante e l’assenza di misure preventive, chi dà tutta la colpa alla tecnologia… un caleidoscopio di fenomeni da baraccone.


Dopo il polverone restano i fatti che, nella loro brutale semplicità, ci mettono di fronte ad uno scenario deprimente:


  • La rivendicazione del data breach Synlab risale al 04.05.2024 (https://ransomfeed.it/index.php?page=post_details&id_post=15161 );

  • I dati sono tutti pubblicati online sia sul dark web che sul web “normale”, a disposizione di chiunque; 

  • I dati sono tantissimi, 1,5 Tera;

  • I dati sono stati scaricati già 12.000 volte (and counting);

  • I criminali o i malintenzionati hanno scaricato tutto senza troppi scrupoli e in totale sicurezza;

  • Le persone coinvolte (ricordiamolo, le vere vittime del data breach) sono state diffidate da tutti tranne che da Babbo Natale per cercare di evitare che andassero a curiosare tra i contenuti pubblicati;

  • Senza bisogno di acquisire dati personali altrui, chiunque può fare una breve ricerca nell'indice dei contenuti trafugati e andare alla ricerca del proprio nome. Basta usare la funzione Control-F nel file di testo.   Trovare il proprio nome ci dà la certezza di essere stati coinvolti;

  • Se il proprio nome non compare espressamente, diventa necessario approfondire la ricerca tra i file che non hanno una indicazione nominativa diretta ma che contengano dati personali espliciti al loro interno come le scansioni o “aaab44454.doc”;

  • Purtroppo questa lunga ricerca comporterebbe la presa visione dei dati di altre persone oltre ai propri, vittime anch’esse dell’incapacità di custodire adeguatamente i dati che sono stati perduti;

  • Per evitare di dover cercare in autonomia tra i dati oggetto di ransomware, in tanti hanno scritto sia al Garante che a Synlab con richieste di vario genere e tutte formulate in relazione ai propri dati personali;

  • Ad oggi, tutto tace.


Lo ripeto perché potrebbe sembrare un refuso: ad oggi, tutto tace.

Non una sola risposta, non un comunicato, non una pec, non un’email è stata inviata per dare riscontro a chi, preoccupato per la propria sorte, ha formalmente lamentato una intollerabile carenza di informazioni. Ovviamente posso sbagliare, sarei felice se così fosse ma di risposte, ad oggi, non ne ho intercettate né ricevute.



A proposito di silenzio, partirei da una considerazione crudele:


NELLO SPAZIO NESSUNO PUÒ SENTIRTI URLARE

Ho già scritto un articolo dedicato a cosa accade quando il data breach è talmente grave da rendere inservibili tutti i sistemi di posta. In pratica, l’azienda resta irraggiungibile e non sa nemmeno che c’è qualcuno che sta disperatamente tentando di contattarla. Non riuscire a gestire le richieste dei clienti può trasformarsi in un problema economico per mancata fatturazione,  ma non riuscire a gestire le richieste di persone coinvolte nel data breach è un vero e proprio inadempimento ed è esattamente ciò che è accaduto a Synlab.

Male, molto male… colpevolmente male!

Qui il pezzo dedicato a questo aspetto della vicenda: https://bernieri.blogspot.com/2024/05/ce-no-meglio-ci-sarebbe-posta-per-te.html 


Provo a mettere a fattor comune le domande inviate a Synlab.



SE “MAL COMUNE MEZZO GAUDIO”, IN SYNLAB GODONO COME RICCI

Un data breach va comunicato entro 72 ore al Garante. È un atto formale e costituisce un adempimento importante.

Synlab ha sicuramente inviato la propria notifica ma si è dimenticata un pezzo del puzzle: l'azienda colpita non è solo Synlab in veste di Titolare del trattamento, ma anche Synlab in veste di Responsabile del trattamento.

Eh, già…  Synlab opera anche per conto di altre aziende, altri Titolari che avrebbero dovuto fare la stessa identica notifica al Garante perché il data breach le riguarda direttamente.

Per fare alcuni esempi concreti, lo scenario riguarda le aziende che hanno affidato a Synlab la sorveglianza sanitaria dei propri dipendenti, tutte le aziende che hanno effettuato gli esami diagnostici in convenzione, quelle che hanno appaltato servizi e persino la Pubblica Amministrazione che eroga prestazioni del SSN tramite le strutture Synlab.

Sono centinaia gli enti e le aziende coinvolte, ciascuna delle quali si domanda da mesi se è stata coinvolta nel data breach. La situazione è kafkiana perché la notifica di data breach va inviata entro 72 ore da quando si ha notizia del data breach, Synlab non ha informato i suoi clienti che, pertanto, potrebbero anche sostenere di non sapere nulla. Purtroppo gli organi di stampa, i siti specializzati come Ransomfeed, ogni DPO del reame e tutti i tecnici informatici in età militare sanno benissimo che il data breach c’è stato e ha coinvolto le aziende clienti di Synlab. Diciamo che esiste una flebile speranza che i criminali informatici abbiano scaricato tutto tranne i dati della propria azienda… più che una speranza sarebbe un miracolo.

Non credo che il Garante potrà accontentarsi di un laconico “non ce l’hanno detto” per giustificare il mancato invio della notifica di data breach.


O meglio:

“Non lo sapevamo.

Non ce l’hanno detto

ma poi… chi ce lo doveva dire?”


Synlab ce lo doveva dire e non ci ha detto nulla.


Come me, centinaia di DPO hanno scritto a Synlab chiedendo informazioni al riguardo e ponendo una semplice e breve domanda: “la mia azienda, in qualità di Titolare del trattamento, è stata coinvolta dal data breach che vi ha interessati in veste di Responsabili del trattamento?”.


Silenzio.


Per chi vuole approfondire, qui tratto più diffusamente il punto del “ma chi ce lo doveva dire?” 

https://bernieri.blogspot.com/2024/05/extinction-event.html




LE VITTIME - CORNUTI E MAZZIATI

Le persone che si sono avvalse dei servizi di Synlab non hanno ricevuto alcuna informazione e non sanno se sono state coinvolte nel data breach oppure se, per qualche caso fortuito, sono stati solo sfiorati dalla tragedia.

Chi è coinvolto è preoccupato perché nei database di Synlab ci sono i dati più delicati e più preziosi di cui disponiamo, quei dati per i quali la normativa prevede cautele particolari, divieti tassativi e misure di prevenzione adeguate al loro valore. Il valore, peraltro, non va inteso in senso economico nella prospettiva del criminale, anche perché i dati sono abbastanza inflazionati. Il loro valore va misurato nella prospettiva della persona alla quale si riferiscono: una persona cosa può perdere a causa dell’abuso dei suoi dati? Può perdere la reputazione? Il lavoro? La famiglia? I clienti? La gioia di vivere?

Il GDPR prevede che “tempestivamente” e senza ritardo siano date informazioni a tutte le persone coinvolte affinché possano proteggersi, tutelarsi, mitigare i danni. A volte basta cambiare una password ma altre volte occorre prepararsi ad affrontare situazioni molto complesse e rischiose.


Nel caso più banale, si deve poter riconoscere una telefonata o una email truffa, escogitata e basata proprio sulle informazioni rubate e pubblicate online

Nei casi più complessi ci si deve riorganizzare e affrontare un cambio di vita.


Le vittime sono quindi state danneggiate dall’incapacità di custodire adeguatamente i dati e, in più, vengono trattate come persone che non hanno alcun diritto e non meritano di ricevere informazioni su ciò che sta accadendo loro.

Voglio sperare che il Garante sia pronto a sanzionare questo silenzio che, a tutti gli effetti, si configura come una violazione di un importante precetto del GDPR.




RISVOLTI OCCULTI

A proposito di danni, in molti si sono trovati di fronte alla necessità di rimediare e, come prima cosa, occorre rifare i documenti di identità compromessi dal data breach. Con la scansione della CIE si possono fare tante cose online, rubare identità, sottoscrivere abbonamenti telefonici, acquistare merci, effettuare prenotazioni, chiedere il ripristino di credenziali di accesso per conto della persona alla quale si riferiscono i documenti. Il costo materiale necessario per rifare la carta di identità non è trascurabile e, moltiplicato per il numero di persone coinvolte, è decisamente una cifra rilevante. Nessuno pagherà per questo se non le vittime, le persone che si trovano a dover affrontare da sole e senza informazioni le conseguenze del data breach.



Ho la triste sensazione che si stia insinuando un fosco pensiero, sia nelle persone che negli stessi soggetti deputati a tutelarci: se una persona può avere dei problemi a causa della diffusione di propri dati personali, in fondo in fondo, se lo merita; una persona per bene può permettersi di essere completamente trasparente; un bravo ragazzo non dovrebbe avere problemi a condividere la propria cartella clinica o il proprio esame del sangue con il resto del mondo; ben venga una norma a tutela dei dati personali ma, se capitasse di perdere la riservatezza, gli unici ad avere problemi sarebbero le persone che hanno qualcosa da nascondere.


Mi astengo dal commentare questa posizione perché rischierei di diventare scurrile, offensivo con persone che hanno la sola colpa di non disporre di un cervello funzionante. Non è una scelta, purtroppo.

Ogni regime totalitario ha sempre provato ad introdurre questo stesso concetto che ci allontana dalla natura dell’essere umano.

L’unica cosa che desidero condividere al riguardo è questa breve considerazione: i bravi ragazzi di oggi non è detto che saranno giudicati bravi ragazzi anche domani. I comportamenti virtuosi di oggi possono diventare lo stigma sociale di domani. Ciò che non suscita alcuna vergogna qui, può facilmente essere un reato altrove.



Un’altra triste sensazione riguarda le cause di questo silenzio. Temo che a Synlab siano arrivati dei consigli sbagliati. Secondo una certa scuola di pensiero, giurassica e formalista, il non sapere conviene a tutti. Ho sentito personalmente elargire questo tipo di consiglio in diverse occasioni, suggerendo alle imprese di porsi nella condizione di massima ignoranza e massima cautela e mantenere questo status il più a lungo possibile.

Secondo alcuni, la notifica agli interessati deve necessariamente seguire l’esito di un’analisi tecnica completa che accerti ogni minimo dettaglio sui dati coinvolti. Finché questa non è completa, meglio non dire nulla perché si potrebbe sbagliare, c’è il rischio di creare allarme, di falsi positivi, ecc.


Questo approccio ci allontana da ciò che prevede il GDPR che, in modo molto pratico, chiede di non ritardare le comunicazioni per non vanificare la loro vera funzione: permettere alle vittime di tutelarsi, avvisarle che potrebbero esserci tentativi di truffa ai loro danni, utilizzi di credenziali non autorizzati, ecc. 

Come DPO avrei consigliato a Synlab di fare una campagna informativa a più step, a tappeto su tutti i clienti e utenti per avvisare dell’accaduto (e non è stato fatto), successivamente, di contattare le persone più facilmente riconoscibili i cui nomi appaiono all’interno dei nomi dei file compromessi; infine, dopo adeguate verifiche, avrei suggerito di contattare individualmente le persone coinvolte ma meno visibili, i cui nomi sono, per esempio, all’interno di file scansionati o nelle immagini della videosorveglianza.


Nulla di tutto questo è avvenuto.


Aspettiamo… è arrivato persino Godot, ma Synlab non ancora.




L’ALEPH

Per quanto mi riguarda, il caso Synlab mi ha scioccato ma per un motivo inaspettato. Sì, i miei dati sono nel data breach, sì, sono anche il DPO di diverse aziende coinvolte come Titolari del trattamento… ma il motivo è un altro: grazie a Synlab ho trovato l'”Aleph” descritto da Borges nell’omonimo racconto.


Ogni DPO riflette spesso sul concetto di dato personale, sulla sua natura, su come evitare di doverlo trattare, sulle differenti tipologie, su come trasmutarlo in un dato non personale, ecc. Il Dato è quasi un’ossessione come lo potrebbe essere la pietra filosofale per un alchimista, se solo esistesse.

Nel database trafugato a Synlab è presente una tipologia di dato che non avevo ancora né incontrato né immaginato, il peggio del peggio, qualcosa di raccapricciante che mi ha fatto orrore al solo pensiero: un dato, personale, particolare cioè sensibile, relativo alla salute, giudiziario, di minore, coinvolto in un data breach, che ha perso riservatezza e disponibilità, diffuso online ad insaputa della persona alla quale si riferisce. Non esiste nulla di peggio nel mondo della data protection.


Come ogni altra, anche questa tragedia nasce da una sfortunata combinazione di circostanze: alcuni provveditorati regionali all’amministrazione penitenziaria hanno commissionato la sorveglianza sanitaria prevista per i propri lavoratori proprio a Synlab. Nei penitenziari ci sono detenuti che hanno ottenuto il beneficio di poter lavorare e, quindi, sono sottoposti a sorveglianza sanitaria come ogni altro lavoratore. Alcuni penitenziari sono riservati ai minori. Tra i detenuti si registra un’alta concentrazione di malattie sessualmente trasmissibili, di quelle con lo stigma sociale peggiore immaginabile e, in alcuni casi, sono presenti nelle anamnesi… Ecco l’”Aleph”, il punto di incontro di tutto, dove ogni cosa converge e dove ogni cosa ha la sua origine.


Nel data breach subìto da Synlab è presente questa incredibile tipologia di dato, per il quale non esiste nemmeno un nome appropriato.




L’INDIFFERENZA UCCIDE

Ecco un pensiero per chi non ha alcuna intenzione di mandare nulla a Synlab.

Alcune persone, coinvolte dal data breach, hanno manifestato un atteggiamento scettico, rassegnato, e tale da giustificare perfettamente una quiete immobile che generalmente si esplica sul divano con la TV accesa.

Più o meno l’approccio è: “anche se sono presente nel data breach, sono una persona comune mischiato a tante altre, nessun criminale informatico mi beccherà mai lì dentro”.

Io rimango sempre basito dai danni che l’esperienza ci procura. Quando è troppa ci lascia segni indelebili, quando è poca non ci permette di cogliere la complessità del mondo che ci circonda.


Ho scritto al riguardo in un recente articolo (https://bernieri.blogspot.com/2024/05/la-sanita-deve-fare-meno-dei-dati.html ) e cercherò di non ripetermi.

Purtroppo la realtà non fa sconti alle persone comuni e i criminali sono metodici, attrezzati, pazienti e inesorabili. Qualsiasi persona, annegata in un elenco di migliaia di altre persone ordinarie, sarà oggetto dell’attenzione del criminale, anzi, dei criminali, dato che i dati sono a disposizione di chiunque. Magari non accadrà subito ma fra sei o sedici mesi, appena la memoria dei recenti eventi si sarà affievolita e tutti saremo meno sospettosi. Ecco l’identikit della vittima perfetta: quella che non si sente a rischio.

Se sei nella lista delle persone coinvolte, aspettati che qualcuno bussi alla porta e, ti garantisco, non sarà una buona giornata.




FOR THOSE ABOUT TO ROCK…

Come accennato, il GDPR prevede che ad ogni richiesta di accesso ai dati (acronimo inglese DSAR) il Titolare del trattamento debba dare riscontro formale entro 30 giorni. È un adempimento, non una concessione, non è bontà d’animo e nemmeno un regalo. È proprio obbligatorio e solo in casi eccezionali la risposta può essere ritardata, motivandone le ragioni.


Se decorrono i termini senza alcuna risposta, la persona che ha inviato la DSAR può rivolgersi al Garante che provvederà a sollecitare una risposta e sanzionare per la violazione.


Inoltre, chi è coinvolto nel data breach, se non informato, può inviare una richiesta al fine di potersi tutelare. Questa non è tecnicamente una DSAR ma corrisponde all’esercizio di un altro diritto. Anche di questo è bene informare il Garante in caso di mancata risposta.


Circa un mese fa ho condiviso online una bozza per l’esercizio di entrambi questi diritti: (https://x.com/prevenzione/status/1790137659563647400 )

Chi ha effettuato l’invio, con qualunque mezzo (pec, posta ordinaria, posta tradizionale, telefonicamente), può procedere ora con un ulteriore passaggio a propria tutela: scrivere al Garante.


Denunciare i comportamenti illeciti è necessario per dare al Garante la possibilità di misurare i fenomeni. Se nessuno denuncia, per le autorità va tutto bene, la gente sta bene e non ci sono problemi. Anche per questo, per poter dimensionare correttamente le risorse a disposizione degli Enti coinvolti è necessario denunciare.


Ecco come fare:



Modo puccioso e coccoloso: Segnalazione al Garante

La segnalazione è un atto informale che il Garante può prendere in considerazione o ignorare. In entrambi i casi fa statistica e permette al Garante di agire in modo appropriato.

https://cryptpad.fr/file/#/2/file/Iw4UDQ8XXDJm5Q1glUgty7+J/





Modo rude e maleducato: Reclamo al Garante

Il Reclamo è una vera e propria denuncia alla quale il Garante deve far seguire una istruttoria ed un provvedimento (di archiviazione o sanzione)

https://cryptpad.fr/file/#/2/file/o8TH7Ls5lodH0pC6MeOqDEfB/






Ciascuno decida come meglio crede, io metto qui entrambe le bozze che, idealmente, costituiscono il secondo passaggio rispetto al primo atto di esercizio dei diritti, già pubblicato qui:

https://x.com/prevenzione/status/1790450327172325601



Prosit







SEI UN PROFESSIONISTA?



SI


FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi.


Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?


bene... allora mi devi una birra.

NO


Se sei arrivato fino a qui meriti un plauso. Complimenti!

Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi. Puoi farlo in due modi:


- Condividendo il mio lavoro sui tuoi social.

Questo aiuterà altre persone


- Con una donazione.

Questo aiuterà me.




👇 👇 Clicca qui 👇 👇