Dimostrazione MATEMATICA di perché il data breach Axios DEVE essere notificato al Garante

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Dimostrazione MATEMATICA di perché il data breach Axios DEVE essere notificato al Garante

Messaggio da Giancarlo Favero »


A seguito del data breach di Axios, che ha comportato la totale indisponibilità per oramai circa sette giorni delle piattaforme in cloud, tra cui il registro elettronico e la segreteria digitale, ci sono stati vari dibattiti sul fatto se tale violazione dei dati rientrasse nella casistica che richiedono la notificazione al Garante per la protezione dei dati personali.

Ora vi dimostro con la chiarezza e l'inconfutabilità di un teorema matematico, che tale violazione dei dati rientra nella casistica delle violazioni che DEVONO essere notificate al Garante. Ricordo che l'omessa notificazione, laddove dovuta, è punibile con la sanzione fino a 10.000.000,00 Euro, ai sensi dell'art. 83 comma 4 lettera a) del GDPR.

Il ragionamento è molto semplice.

Cominciamo con l'evidenziare che l'unica cosa che fa fede è la norma di legge (tutte le altre considerazioni, modelli, tool, simulazioni etc. hanno la rilevanza giuridica di un pezzo di carta straccia), rappresentata dall'art. 33 comma 1 del GDPR, che recita:

1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità
di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro
72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione
dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.


Il punto chiave dirimente da valutare è quindi se sia improbabile o meno che la violazione dei dati presenti un rischio per i diritti per i diritti delle persone fisiche.
Orbene, trattandosi di indisponibilità dei dati, vi sono alcuni diritti che con certezza matematica, PER DEFINIZIONE, sono a rischio, in quanto non possono essere soddisfatti.
I diritti in questione sono proprio quelli previsti dal GDPR, ed in particolare

Art. 15: diritto di accesso dell'interessato
Art. 16: diritto di rettifica
Art. 17: diritto alla cancellazione
Art. 18: diritto alla limitazione del trattamento
Art. 20: diritto alla portabilità dei dati.

In caso di indisponibilità dei dati, vale a dire impossibilità di accedere ai dati, è MATEMATICO che tali diritti sono a rischio, per l'ottimo motivo che
vi è la certezza assoluta che tali diritti non potranno essere soddisfatti.
Questo dimostra in maniera inconfutabile, che in caso di indisponibilità dei dati, il data breach DEVE essere notificato al Garante.QED.

Punto. Fine del dibattito e della discussione.

Come detto sopra, l'omessa notificazione al Garante, laddove dovuta come nel caso in questione, è punibile con la sanzione fino a 10.000.000,00 Euro.

La nostra indicazione è quindi a non violare la legge e procedere, senza indugio e senza ritardo, alla notificazione del data breach.

Rimanendo a disposizione per qualsiasi chiarimento al 335-5950674 oppure a giancarlo.favero@capitalsecurity.it, porgiamo distinti saluti.


Cordialmente,
Giancarlo Favero


Rispondi