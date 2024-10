Non importa che ciò che è successo sia “colpa” dell’applicazione – errata – di una legge: l’indisponibilità dei dati (in formato digitale) rappresenta un data breach. Una violazione indicata anche all’interno del Regolamento Generale sulla Protezione dei Dati personali (il GDPR europeo) che prevede l’obbligo da parte di un’azienda di segnalare (attraverso una notifica) al Garante Privacy “l’incidente”. Di qualsiasi natura esso sia, per qualsiasi causa sia avvenuto. Dunque, non solo per quel che riguarda l’ampio capitolo degli “attacchi informatici” in tutte le loro vesti. Ed ecco perché lo Stato – quello italiano – ha una responsabilità dopo il caos derivante dal blocco (temporaneo) di un dominio di Google Drive nell’ambito delle operazioni legate alla piattaforma Piracy Shield. Ma, allo stesso tempo, le responsabilità e gli obblighi di notifica spettano non solo all’azienda di Mountain View, ma anche a tutte le altre che utilizzano questo servizio nel loro rapporto con il pubblico.

Lo Stato è colpevole. Lo Stato è “innocente”. Perché, come specificato dal Garante Privacy italiano, tra le caratteristiche tipiche di un data breach ci sono diverse fattispecie. Tra cui quella che si è configurata con il caso Google Drive-Piracy Shield:

«L’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.».

Ed è quello che è successo, per molte ore, dal tardo pomeriggio di sabato: singoli utenti o aziende che utilizzano il servizio di archiviazione in cloud di documenti su Google non hanno potuto scaricare i propri (o gli altrui) file. Dunque, è stato – per alcuni ancora lo è – impossibile accedere ai dati per cause accidentali. Queste ultime, in questo caso, sono rappresentate dal blocco da parte del sistema previsto – per legge – dalla piattaforma Piracy Shield.

Google Drive-Piracy Shield, perché è un data breach

Dunque, lo Stato è responsabile di aver provocato il caos. Ma i responsabili del data breach sono molti altri. A partire da Google, passando per le aziende che utilizzano il suo servizio (Drive) per allocare e archiviare dei documenti di libero accesso al pubblico. Il motivo è semplice: sono loro i titolari del trattamento dei dati e hanno loro la responsabilità di notificare il data breach all’autorità. Insomma, una vera e propria filiera fatta di innocenti (per quel che riguarda l’incidentalità di quanto avvenuto) che ora rischiano sanzioni se non hanno provveduto all’inoltro della notifica al Garante Privacy entro 72 ore. E non ci si può neanche appigliare alla seconda parte del comma 1 dell’articolo 33 del GDPR che recita:

«In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche».

Sul drive di Google possono esserci caricati documenti di ogni tipo che – in caso di indisponibilità – potrebbero mettere a rischio diritti e libertà delle persone fisiche. Basti pensare, come spiegato da Christian Bernieri su X, sono molte le conseguenze che possono essere generate da un caos come quello avvenuto lo scorso weekend.

Se ho solo due ore di tempo per lavorare su una pratica in scadenza e in quella finestra è tutto inaccessibile, il lavoro va a monte e le conseguenze sono imprevedibili, dipende dal lavoro. — Christian Bernieri – DPO (@prevenzione) October 20, 2024

Dunque, quel concetto espresso nella seconda parte del comma 1 dell’articolo 33 del GDPR non può essere ricondotto a questa vicenda.