Ieri molti telegiornali hanno titolato le loro copertine annunciando “Germania: rubati dati sensibili di centinaia di personaggi famosi”. Naturalmente, la libertà di espressione prevale su ogni possibile norma o regolamento e, quindi, l’aggettivo sensibile costituisce una licenza giornalistica che, tuttavia, non corrisponde al lessico previsto dal GDPR.
Intanto, il GDPR non prevede l’insieme dei dati sensibili. Esiste l’insieme dei dati personali (p.e. indirizzo email, data di nascita, IBAN, ecc.), comunque oggetto di tutela, e all’interno di questo insieme esistono due specifici sottoinsiemi: le particolari categorie di dati personali (dati sulla salute, orientamenti sessuali, orientamenti politici, ecc.) ed i dati riguardanti i reati e le condanne penali. Per questi due sottoinsiemi il GDPR prevede che si applichino misure di sicurezza aggiuntive.
Dalle prime notizie, i dati sottratti o, meglio, rivelati non appartengono ai due sottoinsiemi che richiedono una tutela maggiore. Sembrano dati personali comuni e, quindi, da un certo punto di vista, la notizia si sgonfia. Infatti, trattandosi di personaggi famosi, molti dei fatti (e dei dati relativi) che li riguardano sono di dominio pubblico.
La faccenda, invece, è grave perché la sua dinamica appare inquietante. Sembra, infatti, che gli hacker siano riusciti a scoprire le password degli account Outlook dei soggetti‑bersaglio ed hanno provato, evidentemente con successo, ad utilizzarle su altri account (Twitter, Whatsapp, Facebook, ecc.).
Purtroppo, se si usa la stessa password su varie piattaforme, non è efficace per la salvaguardia nemmeno un pastore tedesco.