Il Garante della privacy chiede chiarimenti a Sogei dopo il down dei giorni scorsi

Il down di Sogei – che ha mandato in tilt i sistemi informatici (collegati) dell’Agenzia delle Entrate, dell’Agenzia delle Dogane, della gestione delle fatture elettroniche e della certificazione verde anti-Covid – è finito anche nel mirino della Garante per la protezione dei dati personali. L’Autorità ha infatti chiesto chiarimenti e informazioni dopo quanto accaduto lo scorso 30 marzo. Si parla di dati – anche se la Società Generale d’Informatica controllata al 100% dal MEF ha già rassicurato in quella direzione -, ma anche dei sistemi di protezione vista la delicatezza del tema a livello di sicurezza informatica.

LEGGI ANCHE > Sogei attende comunicazione per i disservizi creati da Areti

A riportare la notizia della richiesta di chiarimenti da parte del Garante della Privacy a Sogei è Wired. Domanda inevitabile visto che la Società controllata dal MEF è strettamente legata alla fornitura di servizi destinati agli enti pubblici italiani, con ovvi riflessi anche sui singoli cittadini. Perché con il down di Sogei sono stati interrotti i servizi dell’Agenzia dell’Entrate (in un periodo ricco di scadenze fiscali), ma anche di altre agenzie della pubblica amministrazione. Ultimo, ma non per importanza, anche tutto quell’apparato informatico attorno al Green Pass (dall’emissione alla eventuale revoca in caso di positività a un tampone, fino al ripristino della validità di quel QR Code in caso di negativizzazione).

Down di Sogei, anche il garante Privacy chiede chiarimenti

Non si è trattato di un attacco hacker, hanno immediatamente precisato da Sogei, ma di un calo della tensione elettrica – chiamato esattamente “buco di tensione – nella zona (gli uffici si trovano nel quadrante Sud di Roma, non distante dal quartiere Cecchignola) che ha portato a un intervento di Areti per la risoluzione del danno. E in quel frangente si sarebbe consumato il data breach (che non riguarda solo la perdita o la violazione) che ha portato all’indisponibilità del trattamento dei dati personali.

Il Garante della Privacy, in attesa delle risposte dopo il down di Sogei, dovrà valutare l’eventuale violazione dell’articolo 32 del Gdpr europeo (vigente, ovviamente, anche in Italia) che fa riferimento proprio al concetto di “sicurezza del trattamento” dei dati personali dei cittadini. In particolare occorrerà verificare il rispetto di questi 4 cardini:

a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Ma oltre al Gdpr, occorre fare riferimento anche all’articolo 51 del Codice dell’Amministrazione digitale (testo unico che riunisce e organizza le norme riguardanti l’informatizzazione della Pubblica Amministrazione nei rapporti con i cittadini e le imprese) in cui si fa esplicito riferimento alle linee guida «garantire la protezione, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati e la continuità operativa dei sistemi e delle infrastrutture».