Lo scorso 13 maggio la piattaforma del Ministero della Giustizia ha subito un “data breach” ovvero la violazione dei dati personali dei candidati aspiranti avvocati, che dovranno sostenere l’esame di abilitazione sessione 2020.
L’ufficio stampa dell’Istituzione con comunicato del 15 maggio 2021, presente sul proprio sito web, ha annunciato che il problema è stato risolto e che la piattaforma online del Ministero della Giustizia, che gestisce i dati dei candidati per il prossimo esame di abilitazione alla professione forense, è pronta per essere riavviata dopo che le Corti d’Appello avranno provveduto alla necessaria nuova calendarizzazione delle convocazioni.
Il fatto
Così come accaduto per l’Inps, poco più di un anno fa, lo scorso 13 aprile il sito del Ministero di Giustizia ha subito un “data breach” di notevole entità. Oggetto della violazione sono i dati personali di quasi 26 mila aspiranti avvocato, che, attraverso la citata piattaforma, hanno inviato la propria candidatura per sostenere l’esame di abilitazione all’esercizio della professione forense per la sessione d’esami dell’anno 2020, ormai slittato, a causa delle limitazioni imposte dal periodo emergenziale, alla primavera del 2021.
A segnalare l’accaduto sono stati gli stessi interessati i quali, nel tentativo di accedere alla propria area personale del portale del Ministero, che consente loro di monitorare i dati rilasciati al fine della partecipazione all'esame di abilitazione – quali ad esempio il nome, cognome, data di nascita, residenza, numeri di telefono, f23 e i voti degli esami di abilitazione sostenuti in anni precedenti - hanno potuto, invece, visualizzare i dati personali di altri iscritti e finanche gestirne la candidatura.
Cos’è un data breach?
Il Garante per la protezione dei dati personali prova a fornire una definizione del fenomeno alla luce delle previsioni del Regolamento (UE) 2016/679 (GDPR). Individua, infatti, il data breach nella violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può, quindi, compromettere la riservatezza, l’integrità o la disponibilità di dati stessi.
Il comunicato del Ministero di Giustizia
Come anticipato, il Ministero di Giustizia, in risposta alle numerose segnalazioni, ha rassicurato i migliaia aspiranti avvocati, i cui dati sono stati coinvolti nella violazione, attraverso un comunicato del 15 maggio 2021, in cui ha dichiarato che la piattaforma online che gestisce i dati dei candidati fosse pronta per il riavvio, avendo i tecnici individuato in un applicativo di sicurezza l’origine della falla, che ha reso per qualche ora visibili i dati personali di alcuni iscritti.
La notifica della violazione al Garante Privacy
Il Ministero di Giustizia, alla luce della richiamata disciplina del GDPR, in qualità di titolare del trattamento dei dati e quindi, responsabile per la grave violazione avvenuta ai danni di una significativa mole di interessati, dovrà certamente provvedere, ai sensi dell’art. 33, ad inviare la formale notifica della violazione, entro 72 ore dal momento della conoscenza del problema, al Garante per la protezione dei dati personali, il quale successivamente deciderà se avviare o meno un’istruttoria per analizzare concretamente i rischi per gli interessati connessi alla vicenda.
L’esposto del Codacons
Il Codacons (Coordinamento delle associazioni per la difesa dell'ambiente e dei diritti degli utenti e dei consumatori), proprio alla luce della gravità del caso, ha presentato un esposto denuncia e nomina di parte offesa alla Procura della Repubblica di Roma chiedendo di aprire un’indagine per la violazione del codice della privacy ma soprattutto per la violazione penalmente rilevante di un diritto costituzionalmente garantito, quale quello dell’inviolabilità della corrispondenza, nonché possibili violazioni inquadrabili tra i reati informatici.
Avv. Vincenzo Colarocco e Dott. Pietro Vitucci