Dopo l’annuncio del 7 febbraio 2020 pubblicato su Twitter da parte del collettivo di Hacktivisti LulZSec Italia che riguardava la violazione ai sistemi informatici dell’Università di Napoli Partenophe, il portale Stylo24.it aveva riportato la notizia di matricedigitale, datata 7 febbraio, in data 12 febbraio.
L’Ateneo, ha mandato lettera di smentita alla redazione del direttore Simone di Meo che è possibile leggere qui
Noi di Matricedigitale abbiamo segnalato la smentita della Partenophe a Enrico Ferraris, avvocato specializzato in tutela dei dati personali, che ha commentato così le parole dell’Ateneo: In caso di violazione di dati personali (data breach) il GDPR impone al titolare in via principale la notifica al Garante (salvo eccezioni) e, nel caso in cui reputi che la violazione possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, la comunicazione agli interessati.
In entrambi i casi è richiesto che il Titolare si attivi “senza ingiustificato ritardo” e comunque entro 72 ore – ove possibile – per la notifica al Garante. Entro questo termine è almeno opportuno effettuare una notifica preliminare, con riserva di integrazioni all’esito dei dovuti accertamenti interni. L’individuazione delle categorie di dati violati e degli interessati coinvolti può indubbiamente richiedere alcuni giorni, a seconda della complessità dell’infrastruttura e della quantità di dati trattati. Peraltro è bene dare la massima priorità alla messa in sicurezza dei sistemi violati.
Starà all’Autorità Garante valutare anche i tempi di reazione del titolare nel procedimento che sicuramente sarà stato avviato.
Personalmente ritengo che 6 giorni siano accettabili”
Secondo chi ha effettuato l’attacco, LulZSecItalia, invece: è una comunicazione datata 12/02/2020 , la pubblicazione della violazione è avvenuta in data 31/01/2020, quindi non è stato tanto “prontamente” comunicato il breach. Si arrampicano sugli specchi.
Punti di vista differenti, ma al netto delle idee che si esprimono sulla comunicazione del data breach, resta la violazione della piattaforma informatica criminale da parte degli attivisti e la negligenza dell’Ateneo nel custodire dati sensibili dei suoi studenti.