Alcuni anni fa fece scalpore la notizia della violazione dei dati di cui era stata vittima Ruth Bader Ginsburg, famosa giudice della Corte Suprema degli Stati Uniti, scomparsa il 18 settembre 2020 all’età di 87 anni. Informazioni relative al suo stato di salute e al male incurabile che l’aveva colpita e che l’avrebbe poi portata alla morte erano finite online.
Dati in pericolo, al di là e al di qua dell’oceano
Nei giorni scorsi, a valle del processo dinnanzi ai Giudici del Distretto Orientale della Virginia, Trent James Russell – 34 anni, operatore sanitario di Bellevue in Nebraska – è stato condannato a due anni di carcere per aver illegalmente acceduto ai dati sensibili della defunta Giudice e aver manomesso le prove nell’indagine che ne è seguita. Russell, lo scorso luglio, era già stato riconosciuto colpevole di aver avuto accesso ai dati sanitari senza autorizzazione e di aver tentato di occultare le sue azioni.
Nonostante il suo avvocato avesse chiesto una condanna alla libertà vigilata o agli arresti domiciliari, il Giudice Michael Nachmanoff del Distretto Orientale della Virginia non ha voluto sentire ragioni e ha criticato fortemente la condotta di Russell definendola “davvero spregevole”.
Leggi anche: Privacy tra Europa e USA: a che punto è l’immenso cantiere pubblico del Data Privacy Framework? Le pagelle dell’EDPB
Una notizia, quella che rimbalza dagli Stati Uniti, che incrocia le tante di queste settimane a proposito di una serie di violazione di dati personali di ogni genere registratesi in Italia con uno schema che, a dispetto delle significative differenze tra un caso e l’altro, si ripete eguale a sé stesso: c’è qualcuno che, proprio come James Russel nella vicenda americana, abusa di un rapporto privilegiato per ragioni di lavoro con taluni dati personali di terzi per accedervi e, in taluni casi, comunicarli o diffonderli mosso dalle motivazioni più diverse.
E, tutto sommato, le ragioni che spingono il singolo a violare certe consegne di riservatezza e a rendere pubblico ciò che dovrebbe restare privato o, almeno, essere diversamente accessibile al pubblico, contano poco. Ciò che conta di più è che è evidente – o, almeno, dovrebbe esserlo – che il titolare di un trattamento non può limitarsi a scommettere sulla circostanza che i propri dipendenti o, comunque, gli utenti dei propri sistemi, siano tutti onesti e rispettino tutte le regole che eventualmente impartisce loro a tutela dei dati personali ai quali hanno, per ragioni di ufficio, accesso.
Chi sorveglia chi dovrebbe sorvegliare i dati?
La storia che rimbalza dagli USA e tante nostrane suggeriscono tutte la stessa indicazione: il titolare del trattamento deve progettare e sviluppare i propri sistemi in maniera tale da poter monitorare eventuali accessi abusivi anche ad opera di chi ha legittimo accesso ai sistemi medesimi ma, magari, entro un perimetro diverso o più circoscritto.
È, peraltro, quanto da questa parte dell’oceano impongono le regole europee del GDPR a proposito della c.d. privacy by design, appunto sin dalla progettazione. E, naturalmente, al tempo stesso i titolari del trattamento dovrebbero prestare attenzione – forse più di quanto sembrerebbe non accadere attualmente – nel tracciare il perimetro e le condizioni che devono limitare a quanto strettamente necessario per adempiere alle proprie mansioni, i diritti di ciascun dipendente o collaboratore nell’accedere a taluni sistemi e data base.
Sfortunatamente, in difetto, ci si ritrova a discutere di certi incidenti e a pagarne le conseguenze quando ormai è troppo tardi perché i buoi sono scappati dal recinto o, meglio, i dati hanno raggiunto destinazioni che non avrebbero dovuto raggiungere.
Il caso Ginsburg, negli USA, ha suonato la sveglia in relazione a un’eccessiva permeabilità dei sistemi utilizzati per il trattamento dei dati sanitari rispetto a un certo genere di accesso abusivo. Sarebbe opportuno che i tanti incidenti consumatisi a casa nostra, nel pubblico come nel privato, di recente e balzati agli onori delle cronache, facessero altrettanto in Italia.
Ma non per innescare una corsa a dettare nuove regole, quanto, piuttosto, per un duplice investimento: quello a rafforzare le risorse in campo per l’applicazione delle tante leggi che già ci sono e quello necessario a lanciare un’imponente campagna di comunicazione di massa sul valore dei dati perché, la verità nuda e cruda è che ciascuno di noi, nel pubblico e nel privato, nella dimensione personale e in quella professionale, protegge con maggior determinazione ciò che ritiene di maggior valore e, semplicemente, a quanto pare, non consideriamo ancora abbastanza importanti la nostra e l’altrui privacy.
Come sempre se volete saperne di più su quello che è accaduto in settimana in giro per il mondo su dati, privacy e dintorni, potete leggere qui le notizie quotidiane di PrivacyDaily o iscrivervi alla newsletter di #cosedagarante.
