Furto Louvre e sicurezza informatica: supponenza o pigrizia?

La notizia che si legge in questi giorni, relativamente alla password scelta dal museo parigino per tutelare i propri sistemi informatici, lascia gli addetti ai lavori abbastanza basiti: una superficialità che, di fatto, ha reso l’intera rete del Louvre altamente – e prevedibilmente – vulnerabile. Come insegna l’art. 32 par. 1 del Reg. UE 2016/679 (“GDPR”) in tema di sicurezza del trattamento di dati personali (ma, in realtà, dei <<dati>> in senso lato): “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.” E’ fuori dubbio che tale disposizione non possa non applicarsi ad uno dei musei – europei – più importanti e visitati del mondo e che la vicenda avrà – inevitabilmente – ripercussioni interne anche in ottica di responsabilità contrattuale laddove il legale rappresentante del Museo, in quanto Titolare del trattamento, abbia provveduto alle apposite designazioni di Amministratori di sistema e/o Responsabili (e sub) del trattamento, come il GDPR stesso impone.