Pubblicato su altalex
Entità della violazione al portale internet che gestisce le domande per l’abilitazione alla professione di avvocato e possibili conseguenze
Lo scorso 13 maggio, a causa di un malfunzionamento del portale, si è verificato un disallineamento dei dati dei candidati iscritti a causa del quale, effettuato il login alla propria posizione, si accedeva in visualizzazione e modifica alla posizione di altri candidati.
È quello che è successo a migliaia di praticanti avvocati che, nell’effettuare l’accesso alla propria posizione personale, si sono trovati davanti i dati personali e le informazioni relative ad altri candidati in tutta Italia.
Da quest’anno, l’esame per la professione di avvocato, che normalmente si articola in una prova scritta ed una orale, si svolgerà mediante due prove orali. L’iscrizione per i migliaia di candidati in possesso dei requisiti è stata gestita attraverso un portale del Ministero della Giustizia sul quale ciascuno ha caricato i propri dati e la documentazione necessaria per sostenere le prove. All’interno della propria posizione personale, i candidati possono gestire l’iscrizione e visionare le date delle prove.
Ebbene, chi ha effettuato il login alla propria posizione personale, per alcune ore, si è trovato davanti la posizione di un altro candidato. Ciò ha causato l’esposizione illegittima di dati ed informazioni personali quali nome, cognome, data di nascita, residenza numeri di telefono, f23, e persino informazioni relative ai precedenti tentativi di ottenere l’abilitazione. Ma non è tutto. A coloro i quali del tutto inconsapevolmente accedevano alle posizioni di altri candidati era persino data la possibilità di rinunciare alla domanda.
È evidente che un simile incidente di sicurezza ha cagionato pesanti conseguenze a partire dalla violazione della riservatezza dei dati personali e delle informazioni di carriera degli aspiranti avvocati fino alla possibilità stessa di partecipare alle selezioni. Tutto questo ha riguardato circa 26.000 iscritti.
Nell’immediatezza del fatto, il Ministero della Giustizia ha messo temporaneamente offline il sito.
Due giorni dopo il Titolare del trattamento, con un comunicato stampa, ha reso noto che è stato individuato in un applicativo di sicurezza l’origine della falla che ha reso per qualche ora visibili i dati sensibili di alcuni iscritti. Ha fornito rassicurazioni circa l’intervento dei tecnici del Ministero che nel frattempo hanno controllato tutti i dati e per sicurezza eliminato ogni eventuale modifica effettuata dopo la mezzanotte del 13 maggio e non ha escluso lo slittamento di qualche giorno nell’inizio delle convocazioni.
A prescindere dalla effettiva persuasività delle motivazioni addotte a questo increscioso incidente, non vi è dubbio che ai sensi degli artt. 33 e 34 del Regolamento europeo 679/2016 (GDPR) il Titolare è tenuto a notificare la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, essendo escluso nel caso in questione che si rientri nell’ipotesi in cui la notifica non debba essere effettuata poichè “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Oltre a ciò il Titolare, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche (come sembrerebbe evidente nel caso in commento), è tenuto a comunicare la violazione all’interessato senza ingiustificato ritardo.
Si tratta di un episodio grave (che segue a circa un anno di distanza e presenta numerose similitudini con il data breach verificatosi sul sito dell’Inps) sul quale si attende di conoscere la posizione del Garante privacy. Nel frattempo alcune associazioni di categoria hanno interessato dell’accaduto il Garante privacy e lo stesso hanno fatto autonomamente numerosi candidati, determinati ad ottenere un risarcimento per il danno patito.
Quanto accaduto avrà l’inevitabile conseguenza di fornire ulteriori motivi di doglianza sulla correttezza dello svolgimento delle prove a quei (numerosi) candidati che ogni anno ritengono di dover adire l’autorità giudiziaria per ottenere ragione dei propri diritti, non essendo riusciti a conseguire l’abilitazione all’esercizio della professione di avvocato.