CONSIGLIO REGIONALE DELLA SARDEGNA
XVILegislatura
Interrogazione n. 1511/A
(Pervenuta risposta scritta in data 11/08/2022)
COMANDINI – GANAU – CORRIAS – DERIU – MELONI – MORICONI – PINNA – PISCEDDA, con richiesta di risposta scritta, sulla veridicità di quanto riportato da alcuni organi di informazione sia regionali che nazionali sul furto di dati – databreach – ai danni dei server della Regione.
***************
I sottoscritti,
premesso che:
– il Garante per la protezione dei dati personali è un’autorità amministrativa indipendente istituita dalla legge 31 dicembre 1996, n. 675 (cosiddetta legge sulla privacy) poi disciplinata dal decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), come modificato dal Decreto legislativo 10 agosto 2018, n. 101, che ha confermato che il Garante è l’autorità di controllo designata anche ai fini dell’attuazione del Regolamento generale sulla protezione dei dati personali (UE) 2016/679 (art. 51);
– i compiti del Garante sono definiti appunto dal regolamento (UE) 2016/679 e dal decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), adeguato alle disposizioni del regolamento (UE) 2016/679 tramite il decreto legislative 10 agosto 2018, n. 101, oltre che da vari altri atti normativi italiani e internazionali;
appreso da alcuni organi di stampa che:
– lo scorso febbraio gli hacker hanno preso di mira i server della Regione Sardegna, accedendo ad un archivio di oltre 155 gigabyte di documenti;
– ad oggi, a cinque mesi dall’attacco, sono centinaia i file sottratti alla Regione Sardegna e liberamente accessibili;
considerato che tra i documenti resi pubblici ci sarebbero atti relativi a contenzioni, concessioni demaniali, richieste di creditori, dichiarazioni di potenziali conflitti di interesse, indennità disposte a favore dei dirigenti, segnalazioni di casi positivi al Covid-19 all’interno degli uffici pubblici e ancora informazioni personali sui dipendenti e relativi incarichi all’interno della pubblica amministrazione, numeri di telefono e documenti di identità di dirigenti e politici;
preso atto che non è possibile oscurare i dati sensibili pubblicati, in quanto ospitati in un sito schermato dall’anonimato del dark web, e risulta altrettanto impossibile individuarne i responsabili;
appreso ulteriormente che:
– durante un convegno sulla sicurezza informatica, l’Assessore degli affari generali, personale e riforma della Regione ha vantato speciali competenze in fatto di protezione dei dati sensibili, dichiarano inoltre che: “la Regione Sardegna ha già promosso la creazione di un poli nazionale per la sicurezza cibernetica e l’Accademia della sicurezza informatica”;
– è evidente che se fossimo stati bravi non avremmo subito il furto,
chiedono di interrogare il Presidente della Regione per sapere:
1) se corrisponde al vero quanto riportato da alcuni organi di informazione sia regionali che nazioni sul furto di dati – databreach – ai danni dei server della Regione;
nell’eventualità di notizie veritiere, per sapere, inoltre:
1) quali strategie intenda mettere in atto, oltre ad aver a suo tempo informato il Garante per la protezione dei dati personali e il comparto di Cagliari della polizia postale, per arginare quanto più possibile i danni causati dalla pubblicazione dei dati sensibili;
2) se non ritenga, urgente e doveroso, informare per le vie ufficiali le vittime, di modo che possano tempestivamente prendere le dovute precauzioni.
Cagliari, 22 giugno 2022