Ha suscitato clamore e continua a creare conseguenze il recente scandalo del furto di dati subito dal sito di incontri extra coniugali canadese, Ashley Madison; quasi 10 GB di dati sottratti da un gruppo di hacker e contenenti informazioni estremamente sensibili sulla vita privata degli utenti coinvolti, le cui vite sono state comunque inevitabilmente condizionate per il solo far parte di tale lista.
Tutti i commenti sull’eclatante episodio rimarcano lo stesso concetto: non è che l’ennesimo caso che rafforza nei cittadini la percezione di insicurezza delle informazioni inviate via web, riportando il dibattito sulla Privacy al centro dell’attenzione dell’opinione pubblica.
Restando su un piano tecnico, tre gravi elementi di violazione dei dati personali da parte di Ashley Madison saltano subito all’occhio in tutta questa vicenda:
- assenza di procedure di verifica dei dati (per esempio l’e-mail) inseriti dagli utenti;
- a seguito di richiesta degli utenti, cancellazione dei loro dati solo dietro pagamento di un importo pari a 15 Sterline;
- mancata notifica alle autorità competenti dopo la minaccia di diffusione dei dati da parte degli hacker, dopo il furto nel mese di luglio 2015.
Tali violazioni sono riconducibili agli Articoli 5, 17 e 31 dell’attuale bozza del Regolamento Europeo, oltre all’implicito riferimento alla mancata sicurezza del trattamento (Art. 30), alla luce del furto di dati subìto. E sono state già avviate due class action contro il sito di incontri infedeli, per un valore di quasi 600 milioni di Euro.
Non ritengo che la conclusione da trarre sia quella che i dati immessi sul web siano necessariamente insicuri; credo però che si possa affermare, senza timore di essere smentiti, che in un mondo interamente interconnesso è sempre più necessario un lavoro di diffusione della cultura e della consapevolezza sulle tematiche attinenti alla Privacy.
Il Regolamento Europeo va, non a caso, in questa direzione, definendo in generale un approccio olistico alla Privacy da implementare nelle organizzazioni attraverso processi strutturati (cfr. Privacy Impact Assessment, Privacy by design, Privacy by default), auspicabilmente indirizzati da future indicazioni degli organismi europei che consentiranno di standardizzare le modalità di gestione a livello di Unione.
Se il Canada di Ashley Madison ha fatto un importante passo in avanti in materia di privacy soltanto due mesi fa (cfr. questo post), è ancor di più da apprezzare lo sforzo che l’Europa sta compiendo con i lavori sul Regolamento, il quale avvalora la convinzione che il nostro continente possa davvero essere l’apripista per un lavoro che appare sempre più necessario per uniformare linguaggi ed approcci su un orizzonte geografico ben più ampio.
thanks very interesting. I have twitted here: https://twitter.com/U3L4/status/639377959124643840
Can you explain point 2 above?
Thank you Alessandro. About point 2, the problem was (and maybe still is) that if Ashley Madison’s users wanted their data to be permanently deleted, they were answered that this is possible only after paying 15 Pounds. You can find more about this at the following link: http://arstechnica.com/business/2015/07/cheaters-hook-up-site-ashley-madison-makes-account-deletion-confusing/
This is clearly contrary to Article no. 17 (Right to erasure and “to be forgotten”) of the Draft GEDP Regulation; here I quote its beginning to give an idea: “1. The (…) controller shall have the obligation to erase personal data without undue delay, especially in relation to personal data which are collected when the data subject was a
child, and the data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay where one of the following grounds applies:
(a) the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed; […]”.