Uno degli effetti di una violazione di dati personali (o data breach) è la modifica accidentale o illecita di dati personali.
Sembra che questo sia successo già un paio di volte presso l’Università degli Studi di Bari che sta indagando su modifiche non autorizzate sui libretti digitali contenenti i dati degli esami superati dagli studenti.
L’ultimo episodio riguarda una studentessa di medicina il cui libretto elettronico è stato alterato per accreditarle tre esami mai sostenuti. La studentessa si dichiara estranea all’accaduto e la commissione d’inchiesta appositamente costituita non ha saputo fare piena luce sulla vicenda.
Il GDPR non è ancora in vigore e, per adesso, è ancora possibile che queste indagini interne si concludano con un nulla di fatto. Tuttavia, a partire dal 25 maggio, il principio di responsabilizzazione prevede che ogni titolare del trattamento, nello specifico l’Ateneo,
-
debba mettere in atto tutte le misure per ridurre al minimo il rischio di violazione;
-
debba attrezzarsi, a data breach avvenuto, per capire quale è stata la causa (accidentale o illecita) e rimuoverla;
-
debba informare il Garante per la Protezione dei Dati Personali e, per i casi più gravi, l’interessato.
Sottrarsi a questi obblighi può tradursi in sanzioni fino a 20.000.000 di euro.
Un ritocco all’insaputa può davvero costare caro a molti.