Questa settimana è emerso un archivio contenente un migliaio di Green Pass italiani, diffuso in vari angoli della rete e divenuto noto quando è stato condiviso su piattaforme come Emule. A differenza di precedenti incidenti, dove erano stati rubati solo i QR code, questa volta sono stati sottratti i PDF completi dei Green Pass, contenenti tutti i dati personali e i codici QR. Questo rappresenta una grave violazione della privacy e del GDPR, poiché i dati sono stati diffusi senza il consenso degli interessati.
Dal punto di vista legale, ci sono diverse infrazioni del GDPR. La diffusione non autorizzata di dati personali è evidente, e c'è la possibilità che ci sia stata una raccolta e conservazione illecita dei Green Pass. Le normative vigenti, infatti, non permettono la conservazione di questi certificati, salvo specifiche eccezioni molto recenti. È probabile che qualcuno abbia raccolto e conservato i certificati per poi diffonderli, o che ci sia stata una fuga di dati da parte di un'azienda o un'organizzazione che aveva accesso a questi documenti.
L'episodio esplora diverse ipotesi sulla provenienza di questi Green Pass. È improbabile che si tratti di un archivio centrale del Ministero della Salute, dato il numero limitato di documenti diffusi. Più plausibile è l'ipotesi che una palestra, una farmacia o un'altra struttura abbia conservato i Green Pass dei clienti e che questi siano stati poi resi pubblici. La distribuzione geografica dei documenti rende difficile identificare una singola fonte.
Un altro aspetto critico è l'efficacia dei controlli nei luoghi pubblici. In molti casi, i Green Pass vengono controllati solo superficialmente, senza verificare l'identità della persona che li esibisce. Questo rende possibile l'uso di Green Pass rubati da parte di chiunque abbia un documento che sembri valido. La discussione sottolinea l'importanza di esibire il Green Pass senza trasmetterlo o conservarlo in modo inappropriato, e la necessità di un controllo più rigoroso da parte dei verificatori.
Infine, viene sfatata la leggenda metropolitana secondo cui solo i pubblici ufficiali possono richiedere il documento d'identità per verificare un Green Pass. I verificatori autorizzati possono chiedere il documento per assicurarsi che il Green Pass esibito appartenga effettivamente alla persona che lo presenta. Chi è responsabile della conservazione illecita dei dati rischia sanzioni per il trattamento non autorizzato e per la mancata notifica di un data breach al garante della privacy.
🎙️ Ospite: Guido Scorza, Garante per la protezione dei dati personali in Italia.
In questa Puntata
Un archivio contenente un migliaio di Green Pass italiani è stato diffuso online, sollevando gravi preoccupazioni sulla privacy e sulla sicurezza dei dati personali. L'episodio esamina le potenziali violazioni del GDPR, le responsabilità dei titolari dei dati e le conseguenze per le strutture che potrebbero aver gestito in modo inappropriato i certificati. Viene analizzata anche l'efficacia dei controlli nei luoghi pubblici e la necessità di una maggiore responsabilità individuale nella gestione dei propri dati.