Data breach esame avvocati 2021
[Torna su]
Ieri abbiamo assistito al più classico caso di scuola di Data Breach. Più di 25 mila aspiranti avvocati, nel momento in cui tentavano di accedere al Portale del Ministero della Giustizia che avrebbe consentito loro di monitorare i propri dati per sostenere l'esame di abilitazione alla professione, hanno potuto, invece, visualizzare i dati personali di altri iscritti come il nome, cognome, data di nascita, residenza numeri di telefono, f23, i voti degli esami di abilitazione sostenuti in anni precedenti.
Dati personali di altri candidati erano pronti lì ad attendere solo di essere consultati, a disposizione, quindi, degli utenti.
Per giunta, il problema ha anche avuto risvolti pesanti in capo ad alcuni candidati che, appena dopo aver fatto l'accesso al sistema, si sono ritrovati tra coloro che hanno "rinunciato", a causa di click effettuati da altri candidati.
Il "Data Breach" subito dal titolare del trattamento Ministero della Giustizia è una qualsiasi violazione alla sicurezza (informatica) che comporta l'accesso, la perdita, la modifica o la divulgazione non autorizzata di dati personali o il furto di questi. In sostanza, è una violazione alla riservatezza, all'integrità e anche alla disponibilità di tali dati.
Non sempre il Data Breach è un processo volontario, come nel caso di furti o attacchi informatici. A volte, come in questo frangente, la violazione è del tutto involontaria e probabilmente nasce dall'adozione di scarse misure di sicurezza.
Il Ministero, a seguito dell'accaduto, è tenuto a notificare la violazione al Garante stesso entro 72 ore dalla scoperta della problematica e, successivamente, il Garante valuterà l'opportunità di effettuare anche la comunicazione ai singoli interessati a rischio di uso improprio dei loro dati.
Cosa possono fare i candidati?
[Torna su]
La violazione dei dati è sicuramente risarcibile a favore dei soggetti lesi. A tal proposito si sottolineano due espetti fondamentali: il primo è che il trattamento dei dati personali prevede una disciplina da considerarsi analoga a quella prevista per le "attività pericolose" ex art. 2050 c.c., con onere della prova invertito.
Sarà quindi il Ministero a dover dimostrare di aver attuato tutte le misure tecniche ed organizzative al fine di evitare il cagionarsi dell'evento dannoso; il secondo aspetto è che il Reg. UE 16/679 prevede all'art. 82 nn. 1 e 2 che "chiunque" subisca un danno "materiale o immateriale" (quindi senza necessità che questo sia quantificabile attraverso una perdita economica dimostrabile), ha diritto di ottenere il risarcimento del danno.
Quale l'azione esperibile?
[Torna su]
Le azioni esperibili dinanzi al Garante per la Protezione dei dati Personali sono due. La segnalazione e il reclamo. Quest'ultima, appare sicuramente la più indicata nel caso concreto, in quanto viene normalmente esperita dal soggetto che è direttamente interessato dalla violazione dei dati.
Il reclamo è disciplinato dall'Art. 77 GDPR che dispone: "Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un'autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione".
Si tratta un atto circostanziato, firmato anche dalla parte laddove sia rappresentata da un legale, che prevede delle forme determinate, con il quale si rappresenta una violazione della disciplina in materia di protezione dei dati personali.
Al reclamo segue un'istruttoria preliminare che può comportare anche ad un eventuale successivo procedimento amministrativo formale con conseguente adozione dei provvedimenti di cui all'articolo 58 del Regolamento.
La bontà della procedura sta in primis senz'altro nella rapidità. Infatti, il Garante decide sul reclamo entro nove mesi dalla data di presentazione e, in ogni caso, entro tre mesi dalla predetta data informa l'interessato sullo stato del procedimento. In presenza di motivate esigenze istruttorie, il reclamo è deciso entro dodici mesi.
Il reclamo, laddove si proponga, è preclusivo della contestuale azione dinanzi al Giudice ordinario.
All'esito del reclamo, poi, ottenuta la dichiarazione di illegittimo trattamento del dato da parte del titolare del trattamento, la parte lesa ben potrà agire dinanzi al Tribunale ordinario per ottenere il conseguente risarcimento del danno.
Vai alla guida Esame avvocati 2021
Avv. Carlo Pikler Collaboratore Sole24Ore e Avv. Ylli Pace
Studio Legale Cataldi
Sede di Roma
Via della Giuliana 101
00195 - Roma
Tel. 06452213121
studiocataldiroma@gmail.com
• Foto: 123rf.com