"Dovevo avvisare il Garante che mi hanno rubato 910 gigabyte di dati? Ho avvisato la Procura". La leggerezza con cui il superconsulente di Report Giangaetano Bellavia ammette al Fatto quotidiano di aver violato una normativa stringente in materia di privacy che non poteva non conoscere - e che prevede l'obbligo di denuncia del data breach entro 72 ore - suona come un clamoroso assist a chi (come l'ex premier Matteo Renzi ma non solo) ha intenzione di fargli causa per la vicenda dei dieci milioni di file "ad alta sensibilità" sottratti dal 18 giugno al 25 settembre 2024 dalla sua ex collaboratrice Valentina Varisco, rinviata a giudizio a Milano per "accesso abusivo al sistema informatico".
Solo dopo qualche giorno dalla notizia dello scandalo il Garante si è svegliato e ha chiesto al commercialista di chiarire come e perché migliaia e migliaia di dati che Bellavia avrebbe dovuto tutelare siano stati esfiltrati, quando l'ha saputo e come. E soprattutto a che titolo e per quanto tempo li detenesse. Domande a cui Bellavia dovrà rispondere entro pochi giorni, nel tentativo (vano) di evitare una sanzione monstre fino a 10 milioni di euro che appare sostanzialmente inevitabile. "Non basta possedere migliaia di file come faceva il commercialista, bisogna sapere perché li aveva archiviati, se gli strumenti di data detention sono adeguati, se sono scattati gli alert e quando", ci dice una fonte vicina al Garante, che sottolinea la natura "tecnica", non politica, dell'istruttoria resa nota l'altra sera. Con quali finalità Bellavia conservava questi dati giudiziari? Nessuno dei giornaloni che ieri ha dato conto della mossa (tardiva) del Garante glielo ha chiesto, anzi secondo il Fatto l'Autorità si sarebbe mossa "con una rapidità insolita". È vero esattamente il contrario. Il Garante avrebbe dovuto agire appena la polemica politico-mediatica è esplosa dalle colonne del Corriere della Sera: sin da subito è stata chiara a tutti la portata dell'ennesimo, potenziale dossieraggio all'italiana per quei milioni di file, arrivati nel pc di Bellavia da fonti aperte come Report e dalle tante Procure di cui era consulente.
"La premessa da cui partirà il Garante è la proporzionalità tra la mole di dati che deteneva e la protezione di questi dati", spiega al Giornale l'esperto di privacy Rocco Panetta, ex dirigente dell'Autorità, del cui operato ribadisce "l'assoluta serietà e integrità" dopo le accuse lanciate da Sigfrido Ranucci e dallo stesso Fatto, che hanno messo nel mirino il Garante di area Pd Pasquale Stanzione e i commissari Agostino Ghiglia, Ginevra Cerrina Feroni (nella foto) e Guido Scorza, "colpevoli" di aver sanzionato Report per la telefonata privata tra l'ex ministro della Cultura Gennaro Sangiuliano e la moglie, captata dall'ex consulente del ministero Maria Rosaria Boccia e mandata in onda ormai un anno fa. "Sarebbe gravissimo se fosse confermata la mancata denuncia del data breach entro le 72 ore - sottolinea Panetta - la normativa sulla privacy che in Italia vige dal 1999 serve a proteggere la riservatezza dal rischio Far West. Non si può dire non lo sapevo o minimizzare".
Quanto all'idea che tanto quei file di natura giudiziaria - verbali, perizie, sentenze o ordinanze - fossero "pubblici" come si è affrettato a dire Ranucci, è lo stesso esperto di privacy a negarlo, fissando paletti precisi su "trattamento" e qualità di queste informazioni, custodite secondo le ricostruzioni in hard disk chiusi in un armadio dello studio: "Non esiste il dato pubblico tout court, se non per esempio le liste elettorali dei Comuni.
Ci sono dati privati che io decido di rendere pubblici, mettendoli sui social. Dati sensibili come gli atti giudiziari ma anche sentenze di processi passati in giudicato possono essere pubblici o conoscibili solo per un lasso di tempo preciso, in nome del diritto all'oblio".
