Maxi furto di dati online: 773 milioni di email e 21 milioni di password in un archivio. Gli esperti: Cambiatele” così titolava Repubblica il 17 gennaio, ma questo è solo uno dei titoli che sporadicamente, ma comunque sempre con più frequenza, si leggono sui giornali. Da qui nasce la domanda che ci siamo posti: Le violazioni dei dati personali, i così detti bata breach, sono un evento sporadico o un fatto che succede quotidianamente? La risposta che diamo a questa domanda è che le violazioni dei dati personali sono eventi quotidiani e, per alcuni aspetti, “normali”. Questa affermazione può sembrare un po’ forte ma la spieghiamo meglio. La forte informatizzazione e digitalizzazione dei dati personali così come l’esposizione dei sistemi delle aziende verso l’esterno ha reso più “vulnerabile” la gestione dei dati personali in quanto con una gestione cartacea degli stessi era necessaria la presenza fisica della persona per accedere ai dati e, vedendo l’altra faccia della medaglia, era più semplice proteggerli essendo questo legato più al concetto di protezione fisica.

Perché diciamo che sono eventi quotidiani? Lo diciamo per due motivi, il primo è che nuove vulnerabilità dei sistemi sono individuate continuamente (si veda sito del Mitre); il secondo è che le violazioni dei dati personali (nel senso del GDPR) non sono solo quelle che vanno a finire sui giornali, cioè non sono solo i furti di dati da parte di un malintenzionato (i così detti hacker) ma ci sono tutta una serie di eventi che violano la Riservatezza, l’Integrità e la Disponibilità permanente o anche temporanea dei dati personali. Rientrano nel mondo delle violazioni dei dati personali secondo il GDPR anche eventi meno eclatanti rispetto a un furto come la banale perdita di una chiavetta USB con dati personali, il furto o lo smarrimento di un laptop, la rottura di un hard disk di un server, un ransomware (ad es. CryptoLocker) che blocca l’accesso ai dati o un backup che non si riesce a ripristinare. Ovviamente non tutte queste violazioni di dati personali hanno un vero impatto sui cittadini e non rientreranno nella categoria delle violazioni che devono essere notificate all’Autority Garante della Protezione dei Dati Personali e comunicate agli interessati a meno che non siano state trascurate misure di sicurezza tecniche e organizzative banali.

La quotidianità delle organizzazioni nel contrastare le violazioni dei dati personali non è quella di contrastare un attaccante malevolo che, per quanto sta diventando più frequente, per la singola organizzazione potrebbe essere comunque sporadico (anche se da non trascurare) ma sono tutti quegli eventi quotidiani che violano o possono andare a violare uno o più aspetti della Riservatezza, dell’Integrità o della Disponibilità dei dati personali dei cittadini.