Lo dico sempre ai miei colleghi ed a chi segue le mie lezioni: “Ci vuole fantasia!”.
Quando si effettua un’analisi del rischio o una valutazione d’impatto sulla protezione dei dati personali (art. 35 del GDPR) bisogna far ricorso alla fantasia. Come sappiamo il rischio si valuta stimando due elementi:
- la probabilità che una minaccia sfrutti una vulnerabilità;
- l’impatto che l’evento sfavorevole può avere sui diritti e le libertà delle persone.
La fantasia deve essere impiegata, in particolare, per stimare l’impatto. Bisogna pensare non soltanto agli impatti diretti ma anche a quelli che possono danneggiare indirettamente gli interessati ed i terzi.
L’ultimo esempio riguarda i recenti attacchi agli ordini degli avvocati di diverse province. I dati personali riguardanti gli iscritti agli ordini, per legge, sono pubblici: nome, cognome, indirizzo fisico, PEC, ecc. Dunque, se sono pubblici, sembrerebbero non esserci rischi, nel senso che la legge li ha messi a disposizione di tutti. Ma riuscire ad ottenere, in un colpo solo, i dati di tutti gli iscritti, senza sforzo e senza filtri, potrebbe ledere non solo i diritti e le libertà degli iscritti ma anche quelli di terzi.
Infatti, a partire dagli indirizzi PEC, l’escalation è stata quella di violare le caselle degli iscritti e di rendere pubblico il contenuto delle mail: su questo il Garante per la Protezione dei Dati Personali ha aperto un’apposita istruttoria. Vedremo.
Io, intanto, continuo a predicare che bisogna avere fantasia… Almeno quanto quella dei malintenzionati.