La Regione Puglia ha emesso lo scorso mese un bando chiamato "Start", che prevede la possibilità di ricervere 2000 euro di contributo a fondo perduto, aggiuntivo agli aiuti già previsti dallo Stato: le domande sono state quasi 37.000 e sono tutte transitate da un apposito portale gestito da InnovaPuglia. Ma qualcosa è andato storto....

La vicenda è emersa lo scorso mese, quando il DPO della Regione Puglia ha inoltrato a InnovaPuglia la segnalazione di un utente il quale denunciava di aver visualizzato dati personali di un altro utente al posto della propria area privata. Potremmo dire quasi una fotocopia di quanto già accaduto al portale dell'INPS ad Aprile, quando il sito dell'ente è andato in tilt collassando sotto le innumerevoli connessioni al sito per inoltrare la richiesta riguardante il bonus di 600 euro previsto per le partite Iva: anche in questo caso infatti, gli utenti che entravano nell'area personale del portale si trovavano a scoprire che i dati del proprio profilo erano in realtà associati ad un altra persona.

InnovaPuglia ha immediatamente avviato una serie di rilievi tecnici, confermando la presenza del problema ma, incredibilmente, sminuendone la gravità: per InnovaPuglia il leak non è grave poichè ha riguardato pochissimi utenti. "Sicuramente", hanno dichiarato, sono stati diffusi erroneamente i dati di un ignaro richiedente, dati visualizzati per errore dal primo utente che ha segnalato il problema all'help desk. Il problema in ogni caso riguarderebbe "soltanto 30 altre persone" e comunque "Pur essendo stati esposti dati reddituali e quindi di una certa rilevanza da un punto di vista privacy, è improbabile che il soggetto che ha erroneamente visualizzato i dati utilizzi gli stessi fraudolentemente e in danno dell’interessato, anche alla luce del fatto che lo stesso soggetto ha prontamente attivato procedure di segnalazione dell’evento al titolare».

Ancora più grave poi la decisione di non segnalare all'Autorità Garante il problema. Il GDPR prevede infatti che, in questi casi, il responsabile del trattamento segnali all'Autorità il leak, descrivendo il problema e illustrando le misure di contenimento messe in atto. InnovaPuglia (che ad ora ha presidente vacante) ha ritenuto che tutto ciò non fosse necessario perchè "pur essendo stati esposti dati reddituali e quindi di una certa rilevanza da un punto di vista (della) privacy, è improbabile che l’evento provochi tali rischi per i diritti e le libertà dell’interessato coinvolto».

E non è neppure la prima volta: già nel Dicembre 2017 un problema simile aveva riguardato il Portale della Salute della regione, anch'esso derivante da una falla di sicurezza sui server di InnovaPuglia. A seguito dell'istruttoria, il Garante Privacy ha comminato a InnovaPuglia una multa da 32.000 euro, ma il responsabile del trattamento dei dati è la Regione: così la Puglia aveva già specificato che sarà InnovaPuglia a farsi carico di ogni eventuale sanzione. 

Siamo alle solite: invece di prendere coscienza delle proprie falle informatiche ed investire per porvi rimedio, si tenta maldestramente di sminuire il problema; invece di utilizzare i canali istituzionali per comunicare l'avvenuto data breach (perchè di questo si tratta), ci si giustifica goffamente col fatto che gli utenti colpiti "sono pochi". E' un modo di fare tipicamente italiano, volto a nascondere e a nascondersi il problema. Occorre un cambio di rotta sulla protezione dei dati altrui ed è necessario un intervento del nostro Garante che rispieghi ai più disattenti che le Leggi si rispettano a prescindere.

Fonte: La Gazzetta del Mezzogiorno