Documenti rilasciati dall’autorità garante per la protezione dei dati del Regno Unito rivelano che il personale del Ministero della Difesa (MoD) aveva ricevuto avvertimenti sulla condivisione di informazioni contenenti schede nascoste prima della fuga di dati afghana.
Il mese scorso, è stato rivelato che i dati personali di quasi 19.000 individui in fuga dai talebani, che avevano richiesto il trasferimento nel Regno Unito, erano stati compromessi quando un funzionario aveva inavvertitamente inviato via e-mail un foglio di calcolo contenente una scheda nascosta con informazioni sensibili.
I documenti dell’Information Commissioner’s Office (ICO) indicano anche preoccupazioni interne per la mancanza di una multa inflitta al MoD in risposta alla violazione.
Mentre il MoD afferma di aver adottato misure per migliorare la sicurezza dei dati, un portavoce dell’ICO ha dichiarato che il governo non ha ancora affrontato pienamente le lezioni apprese dall’incidente.
Secondo un promemoria dell’ICO, le linee guida esistenti al momento della fuga di notizie dimostrano che “il MoD era consapevole dei rischi della condivisione dei dati e faceva esplicito riferimento alla necessità di rimuovere i dati nascosti dai set di dati”.
Le schede nascoste, una funzionalità comune nei software per fogli di calcolo, nascondono le informazioni dalla visualizzazione immediata, ma consentono un facile accesso se le impostazioni del documento vengono modificate.
Il governo stima che la fuga di notizie del 2022, che ha reso necessario un programma di reinsediamento di emergenza per gli individui a rischio di persecuzione talebana, alla fine costerà circa 850 milioni di sterline.
Il documento compromesso conteneva i nomi, i dettagli di contatto e, in alcuni casi, le informazioni familiari di migliaia di persone che ritenevano che la loro associazione con le forze britanniche durante la guerra in Afghanistan li avesse messi in pericolo.
Una super-ingiunzione dell’Alta Corte, concessa nel settembre 2023, ha soppresso la segnalazione dell’incidente per quasi due anni, fino a quando l’ordine è stato revocato il mese scorso.
Poco dopo che il MoD ha scoperto la violazione dei dati nel 2023, ha informato l’ICO. Le due entità hanno partecipato a diversi incontri riservati nei due anni successivi, con documenti appena rilasciati che fanno luce sulle discussioni.
Secondo quanto riferito, i funzionari governativi hanno descritto la fuga di notizie come potenzialmente “l’e-mail più costosa mai inviata”. Le e-mail interne rivelano anche le preoccupazioni del personale dell’ICO in merito alla decisione di non indagare in modo indipendente sul MoD o di imporre una multa.
Le violazioni dei dati da parte di enti pubblici sono legalmente obbligate a essere segnalate all’ICO, che ha quindi la facoltà di indagare e potenzialmente penalizzare l’organizzazione responsabile.
Il personale dell’ICO ha deliberato privatamente sul potenziale “rischio reputazionale” per l’autorità di regolamentazione derivante dalla sua decisione di non sanzionare il MoD, in particolare alla luce di una multa di 350.000 sterline emessa per una violazione dei dati afghana notevolmente più piccola nel 2023.
In un’e-mail fatta circolare il pomeriggio prima che la fuga di notizie diventasse pubblica, un membro del personale dell’ICO ha riconosciuto che la motivazione per non multare il governo rimaneva una “risposta imperfetta”.
L’ICO ha pubblicato i documenti all’inizio di questo mese a seguito di una richiesta di Freedom of Information, che non è stata presentata dalla BBC.
Sebbene gli appunti scritti fossero proibiti durante le riunioni riservate, un promemoria dell’ICO che dettagliava la cronologia degli eventi è stato compilato dopo che l’incidente è diventato pubblico il mese scorso.
Il promemoria afferma che il MoD ha adottato “misure intensive per recuperare ed eliminare i dati da tutte le fonti identificate” e “limitare la perdita di controllo” dopo aver scoperto la violazione.
In uno scambio di e-mail privato, un membro del personale dell’ICO ha messo in dubbio il ritardo nel decidere se indagare, suggerendo che “se fossi un giornalista, chiederei perché ci sono voluti due anni per accertare se intraprendere o meno un’azione”.
Un altro membro del personale ha riconosciuto il “ruolo significativo” dell’ICO, ma ha ammesso che “la realtà è che siamo stati in grado solo di rivedere le informazioni in situ e ci siamo affidati al MoD per raccogliere prove sotto la nostra guida”.
I documenti rivelano che l’ICO alla fine ha deciso di non sanzionare il MoD per evitare di “imporre costi aggiuntivi al contribuente”.
La scorsa settimana, BBC News ha segnalato 49 violazioni di dati separate negli ultimi quattro anni presso l’unità responsabile della gestione delle domande di trasferimento da parte degli afgani in cerca di rifugio nel Regno Unito.
Un portavoce dell’ICO ha dichiarato di essersi “concentrati chiaramente sull’assicurarsi che le cause delle violazioni fossero identificate, rettificate e le lezioni apprese”.
Il portavoce ha aggiunto che il governo “non ha ancora fatto abbastanza per raggiungere il ritmo dei cambiamenti” richiesto e che avevano richiesto “assicurazioni che i miglioramenti necessari vengano apportati e gli standard vengano elevati”.
Un portavoce del MoD ha affermato che il governo ha lavorato per “migliorare la sicurezza dei dati in tutto il dipartimento attraverso software, formazione ed esperti di dati migliori”.
Il portavoce ha concluso: “Abbiamo lavorato a stretto contatto con l’ICO durante un’indagine interna e abbiamo accettato integralmente tutte le raccomandazioni per garantire che un incidente simile non si ripeta”.
Questo sviluppo coincide con l’invito del Commissario per le informazioni del Regno Unito al governo ad intensificare gli sforzi per prevenire le violazioni dei dati, come la fuga di notizie afghana.
A luglio, a seguito della divulgazione pubblica della violazione afghana, il Commissario John Edwards ha indirizzato una lettera al Cancelliere del Ducato di Lancaster, Pat McFadden, affermando che il governo “deve andare oltre e più velocemente per garantire che Whitehall e il più ampio settore pubblico mettano in ordine le loro pratiche”.
Il Commissario ha raccomandato che i ministri “in via d’urgenza” attuino pienamente le raccomandazioni di una revisione della sicurezza delle informazioni condotta in risposta a una serie di violazioni dei dati del settore pubblico.
La revisione, commissionata nel 2023 dal governo precedente, è stata rilasciata pubblicamente per la prima volta giovedì a seguito delle pressioni di Dame Chi Onwurah, presidente della Commissione per la scienza, l’innovazione e la tecnologia.
Dame Chi ha affermato che il governo “ha ancora domande a cui rispondere” in merito alla revisione e al fatto che solo 12 delle 14 raccomandazioni sono state attuate.
In una lettera a Dame Chi, McFadden ha affermato che sono stati compiuti “buoni progressi” nel miglioramento degli standard dei dati “ma dobbiamo guardarci dalla compiacenza”.
“Questa è un’area su cui dobbiamo mantenere un’attenzione costante per garantire che gli standard continuino a migliorare”, ha affermato McFadden.
Iscriviti alla nostra newsletter Politics Essential per rimanere informato su Westminster e oltre.
Calendario, risultati e tabellini della triplice serie Twenty20 ospitata dagli Emirati Arabi Uniti, con anche Afghanistan e Pakistan.
I residenti dicono che una spiaggia con valore storico e locale viene utilizzata come discarica.
Lo Shropshire Council afferma che la demolizione e la riqualificazione presso la RAF Cosford devono essere completate entro cinque anni.
Almeno 17 bambini sono stati tra le persone uccise dopo che l’autobus si è schiantato e ha preso fuoco mentre era in viaggio verso Kabul.
I rifugiati afgani negli Stati Uniti affermano di temere ciò che accadrebbe se tornassero nel loro paese, che ora è controllato dai talebani.