Il 20 gennaio sera una bambina è stata ricoverata in un ospedale nel reparto di rianimazione. Dai racconti forniti dai genitori sembrerebbe che nel bagno di casa sua, dove viveva con i genitori e una sorella, abbia stretto al proprio collo una cintura elastica provocandosi un soffocamento che, dopo alcune ore di coma è risultato comunque fatale.
I genitori hanno raccontato che, a parer loro, la figlia si stava riprendendo con il cellulare per inserire il filmato su Tik Tok, e immaginano che avesse aderito ad una sorta di competizione emulativa che l’ha spinta ad indursi il soffocamento con la cintura elastica.
La procura ha aperto il fascicolo, sequestrato il telefono che, secondo fonti giornalistiche, la bambina aveva ricevuto in dicembre in regalo dai genitori. Il telefono dovrà essere oggetto di una perizia forense, nella quale il primo ostacolo è superare il codice di sblocco che i genitori non conoscono.
Il 22 gennaio, l’Autorità Garante per la protezione dei dati personali è intervenuta nell’ambito di una istruttoria che riguarda Tik Tok, e con proprio provvedimento ha imposto una limitazione del trattamento a Tik Tok, chiedendo che il titolare proceda ad una limitazione:
provvisoria del trattamento, vietando l’ulteriore trattamento dei dati degli utenti che si trovano sul territorio italiano per i quali non vi sia assoluta certezza dell’età e, conseguentemente, del rispetto delle disposizioni collegate al requisito anagrafico;
Un controllo superficiale effettuato il 26 gennaio pare non avere ottemperato del tutto a questa disposizione, per quanto questa risulti effettivamente di difficilissima attuazione.
Il provvedimento del 22 gennaio viene da lontano, l’istruttoria dell’Autorità è cominciata a marzo 2020 ed è sfociata in un provvedimento del 22 dicembre 2020 con il quale sono stati posti degli interrogativi a Tik Tok per cui è attesa risposta il 29 gennaio.
Il caso citato all’inizio non ha preoccupato solo l’Autorità Garante ma ha agitato un lieve dibattito a livello nazionale con proposte che, per l’ennesima volta, sono sfociate in idee che puntano alla registrazione degli utenti di servizi solo previo accertamento delle identità. Molti esponenti si sono espressi anche in modo poco informato pensando che semplici norme di divieto possano essere efficaci e ignorando alcuni aspetti della realtà odierna circa l’uso di social network e altri servizi digitali tramite telefoni e computer.
Nelle righe che seguono proverò ad ipotizzare quali reali pericoli si stanno palesando o si sono già palesati, e poi inquadrerò i rilievi sostanziali mossi a Tik Tok da parte dell’Aurorità Garante.
Non v’è alcun dubbio che un uso incauto di qualsiasi servizio (anche analogico) comporta dei rischi. I social network non di rado sono improntati ad una immediatezza che per scelta anche meditata di chi li gestisce, tende a nascondere i pericoli e la doverosità di certe precauzioni.
In ogni caso è evidente che i social network non sono posti adatti a bambini. Persino Tik Tok, Facebook, Instagram e Snapchat, dicono apertamente di offrire dei servizi che non sono adatti ai minori di tredici anni e quindi dove la loro presenza non è consigliabile.
I minori quindi che utilizzano questi servizi stanno agendo ignorando delle cautele che, pur essendo non sempre escplicite ed evidenti, al tempo stesso sono comunque presenti e scattano in modo chiaro dal momento che l’indicazione di una data di nascita anteriore ai tredici anni, porta all’esclusione dalla registrazione.
Quindi, ogni minore di tredici anni che è iscritto ad uno di questi servizi lo fa dopo avere mentito sulla propria identità ed età.
Al tempo stesso però è indubbiamente vero che i minorenni che utilizzano quotidianamente i social network sono milioni, Nielsen stima che possano essere più di un milione ogni mese, e non possiamo sapere quanti degli utenti che si collocano siano nella fascia 13-18 siano in verità inferiori ai tredici anni, ma il fenomeno esiste e non è del tutto marginale.
Il caso di cronaca vede una bambina deceduta per un incidente. Non sappiamo se con responsabilità penali di terzi, ma certamente è un incidente che, anche qualora non avesse dei responsabili diretti, è tragico e profondamente doloroso.
Quello che però non è provato è la correlazione con Tik Tok o altro servizio legato ad Internet. E questo vale per questo caso ma anche per altri.
Al tempo stesso qualora ci fosse una labile correlazione provata o anche una diretta correlazione provata, dobbiamo comprendere se e quanto questo porta ad una responsabilità oggettiva, ad una chiamata in causa diretta da parte di chi gestisce questi servizi.
Se si fa una ricerca su Internet con Google usando i termini “muore imitando superman” si trovano riportati diversi casi di cronaca del passato che citano incidenti tragici avvenuti che vedono protagonisti dei bambini, molto piccoli, che per suggestioni o emulazioni sfortunate, hanno rischiato la vita o sono persino morti in alcuni casi. Sono casi marginali e del tutto infrequenti ma purtroppo che si sono verificati.
Nessuno ha mai incolpato di questi accaduti Superman o altro fumetto o altra figura fantastica di superereoe e nemmeno i produttori dei film o dei fumetti relativi. E, per fortuna aggiungerei, non ha avuto alcun successo il tentativo di chiamare in responsabilità per fatti criminali avvenuti, i produttori e gli autori di Natural Born Killers film che ha visto alla regia Oliver Stone e Quentin Tarantino alla sceneggiatura.
Personalmente trovo che una parte non indifferente dell’Autorità Garante dovrebbe essere indirizzata alla responsabilizzazione degli adulti perché si rendano conto che, consentire ad un minore di tredici anni di usare Tik Tok, Facebook e Instagram, significa consentire ad un bambino di frequentare un postribolo, un club di poker, un club di cinefili appassionati di film horror o una fonderia.
Sono posti così poco adatti a bambini che gli stessi gestori del luogo, che hanno l’interesse ad allargare il più possibile la propria base utenti, avvertono i bambini di non iscriversi.
Un bambino di dieci anni che usi un telefono moderno ha accesso ad un dispositivo che è connesso ad Internet. Usa una SIM che – per legge – non può essere a lui intestata, questa SIM fa riferimento ad un contratto che non lo vede come parte, perché per legge non può esserne parte.
Ci sono quindi molti avvertimenti per chi esercita la funzione genitoriale, che quello che si sta consentendo ha dei profili di rischio e penso che ci siano certamente e inevitabilmente dei minori che possono ingannare, superare i controlli, e aggirare i divieti compiendo accessi e indagini su Internet.
Sinora, nel dibattito che si è ascoltato troppe persone hanno semplicemente pensato che la soluzione possa essere un divieto di utilizzo o, ancora una volta, l’uso di documenti univocamente associati alla creazione di un profilo utente.
Se si deve fronteggiare il fenomeno di minori che si iscrivono a servizi aggirando un divieto esplicito, mi chiedo cosa li frenerebbe, dato che sono, di fatto, proprietari di un telefono connesso ad Internet con l’autorizzazione genitoriale, di trafugare la carta d’identità di un genitore (o anche di usarla con il suo permesso) per registrarsi a tale servizio.
Questo sistema quindi non credo sia efficace per frenare il timore che minori siano danneggiati da ambienti non consono alla loro età.
Ma prima che pensare a nuove norme che il legislatore degli ultimi lustri, pensa siano sempre utili, sempre migliori quando impongono sanzioni più draconiane e sempre efficaci per il solo fatto di essere state scritte, trovo che sia più utile valutare come funzionino le norme esistenti e se siano state rispettate.
E anche quanto sia possibile farle rispettare.
Nei provvedimenti di gennaio e di dicembre l’Autorità Garante ha espresso rilievi su questi aspetti:
In effetti Tik Tok consente l’iscrizione a tutti gli utenti che abbiano compiuto tredici anni per evitare la registrazione di minori di tredici anni, invita gli utenti a comunicare la propria data di nascita allo scopo preciso di costringerli ad una dichiarazione falsa qualora chi desidera iscriversi ha meno di tredici anni.
Questa scelta di consentire la registrazione dei minor di quattordici anni, ignora completamente che la legislazione italiana, che ha attuato una deroga prevista dal Regolamento, consente l’iscrizione di minori di quattordici anni, solo previo accertamento che il consenso sia espresso da qualcuno che eserciti la funzione genitoriale.11L’articolo del Codice Privacy è il 2-quinquies, che attua una deroga prevista dal Regolamento all’art. 8
Si può comprendere come sia facile per un/una minore di tredici anni (come nel caso riportato in apertura), iscriversi: gli basta dichiarare una data di nascita falsa (anteriore a quella reale), effettivamente gli serve anche avevere accesso ad un servizio di posta elettronica o a un numero di cellulare, infatti dopo la prima fase di registrazione il sistema invia un codice che validerà l’iscrizione. Ovviamente, questa procedura è perfettamente aggirabile da un minore di tredici anni a cui sia stato consegnato un telefono connesso ad Internet di cui abbia pieno accesso.
L’informativa resa agli utenti non è particolarmente scorrevole (sono 14 pagine dattiloscritte e 4.710 parole nella versione oggi resa disponibile del Luglio 2020). È sì presente una versione sintetica, ma è al tempo stesso evidente e chiaro che è scritta in un linguaggio destinato non solo a persone adulte, ma anche a persone adulte che hanno facilità di comprendere i molti aspetti che sono semplicemente impliciti nelle righe scritte da Tik Tok, anche usando con disinvoltura un linguaggio non sempre chiaro ed esplicito.
Le impostazioni predefinite prevedono per un utente che si registra, un profilo pubblico e il consenso a pubblicità personalizzate, è vero che le impostazioni possono essere variate, ma è vero che non viene chiesta attenzione a questi aspetti da parte dell’app (che ho verificato su iOs), e non viene raccolto alcun consenso specifico.
Tutti i rilievi mossi dall’Autorità Garante appaiono fondati. Quello che lascia perplessi è la scelta di imporre una limitazione di trattamento che tecnicamente richiedere, di fatto, una massiccia operazione di raffronto, di raccolta e validazione di dati personali originariamente non accertati.
Nei giorni scorsi ho cercato di accertare se questa limitazione sia attiva, e il dubbio è che ancora diversi contenuti siano inseriti e resi pubblici da minori di quattordici anni o comunque con il coinvolgimento di molti minori di tredici anni.22 Il provvedimento non specifica se i dati per cui sia attiva la limitazione di trattamento riguardano solo gli utenti o anche i filmati che ritraggano minori di tredici anni. L’indeterminatezza dell’obbligo farebbe propendere quasi per la seconda ipotesi, ma, nonostante i video siano classificati e analizzati da bot, credo che per il titolare del trattmento sia ai limiti dell’oggettivamente impossibile imporre una limitazione che non riguardi solo gli utenti ma anche i contenuti. Quando alla limitazione per gli utenti, posto che qualsiasi utente iscritto ha dichiarato, al momento dell’iscrizione, di avere già compiuto tredici anni, Tik Tok ha la difficoltà di individuare tra i propri utenti, anche quelli che hanno dichiarato sedici anni (o quindici) avendone in realtà meno di quattordici (e il caso di cronaca testimonia come esistono utenti attivi con dieci anni).
Oltre a questo desta qualche perplessità l’adozione di un simile provvedimento:
CONSIDERATO che recenti articoli di stampa hanno riportato la notizia del decesso di una bambina di 10 anni a seguito di pratiche emulative messe in atto in relazione alla sua partecipazione alla predetta piattaforma e che l’iscrizione alla stessa non risulta essere stata sin qui smentita dalla Società;
Va ricordato che, tristemente, non esiste alcuna ragione per la tutela dei dati personali della minorenne deceduta. Il diritto alla protezione dei dati personali non si estende, in un caso come questo, a dopo il decesso. Al tempo stesso va ricordato che, sinora, non c’è alcuna correlazione certa tra quanto avvenuto ed alcun social network.
Gli articoli di stampa richiamati dall’Autorità Garante in verità fanno illazioni, non riferiscono alcuna fonte certa (i genitori stessi non hanno alcuna informazione ma solo delle vaghe idee che sono certamente confuse dal dolore e lutto tremendo che hanno patito), ed anzi fanno riferimento ad articoli e notizie che già più volte, in passato, sono state ritenute, dopo un primo momento, casi di allarmismo esagerato.
È certamente vero che la violazione formale di Tik Tok è documentata in modo evidente: il titolare del trattamento consente ai tredicenni di registrarsi e non accerta in alcun modo che la loro registrazione avvenga con il consenso e l’assistenza di chi esercita la legittima potestà genitoriale.
Tik Tok quindi non rispetta la norma Europea e nemmeno quella nazionale (che è più permissiva visto che ha abbassato il limite da 16 anni a 14).
In difesa di Tik Tok, dovendo ammettere la censura di avere consentito l’iscrizione di tredicenni, si può dire che per ogni utente raccolgono la data di nascita e che legittimamente si basano su quella indicazione essendo allo stato dell’arte, altre soluzioni, tecnicamente troppo onerose.
Nel dibattito pubblico il caso di cronaca ha scatenato una serie di idee molte delle quali preoccupanti: non è certo ragionevole e consigliabile risolvere il problema ponendo a queste società (Tik Tok e non solo), l’onere di trattare ulteriori dati personali, peggio se identificativi, peggio ancora se identificativi che accertano identità ed età.
Tik Tok è società di diritto irlandese con sede a Dublino. Lì ha fissato il suo stabilimento principale, tuttavia è informazione nota al pubblico che la società è controllata (forse interamente partecipata) da Byte Dance società avente sede legale a Pechino e quindi totalmente appartenente al diritto e all’influenza della Cina Popolare.33Il trasferimento dei dati personali fuori dall’UE e verso stati per i quali non è stata dichiarata l’adeguatezza (ai sensi dell’art 45 del RGPD) deve essere soggetto a garanzie adeguate sottoscritte da clausole particolarmente vincolanti. Nel caso della Cina Popolare, senza che mai ci sia stato – ancora – un pronunciamento ufficiale, è legittimo ipotizzare che sia impossibile offrire delle effettive garanzie: in particolare lo stato Cinese non riconosce legittimità alcuna, pare, all’inviolabilità del domicilio digitale, e richiede in molti casi un accesso diretto ai dati conservati nei confini controllati. Del resto i principi alla base della protezione dei dati personali delle norme nate in UE non possono ontologicamente essere recepiti in un ordinamento che è ancora improntato ad una superiorità e preminenza assoluta dello stato sugli interessi dei privati.
Circa il trasferimento dei dati l’informativa di Tik Tok dice:
I dati personali che raccogliamo presso di te saranno trasferiti e archiviati in una destinazione al di fuori dello Spazio Economico Europeo (“SEE”).
Laddove trasferiamo i tuoi dati personali in paesi al di fuori dello SEE, lo facciamo ai sensi di contratti modello della Commissione Europea per il trasferimento di dati personali in paesi terzi (vale a dire clausole contrattuali standard) ai sensi della Decisione della Commissione 2004/915/CE o 2010/87/UE (a seconda dei casi) o in linea con il meccanismo di sostituzione approvato ai sensi della normativa UE. Per una copia di queste Condizioni Contrattuali Standard, ti invitiamo a contattarci tramite il modulo su https://www.tiktok.com/legal/report/privacy
Il titolare non sta affatto specificando alcun ruolo per il trattamento, né viene evidenziato il ruolo (eventuale) della casa madre, né viene spiegato in quali Paesi vengono trasferiti o per quali finalità o per quali tempi. È quindi evidente che questa parte dell’informativa non rispetta la clausola dell’art. 13 del Regolamento:44L’art. 13 è la norma che contiene le informazioni che il titolare del trattamento deve rendere disponibili all’interessato, alla lettera f) del primo paragrafo si specifica che il titolare deve comunicare: “ove applicabile, l’intenzione (…) di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione, o nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili”
L’Autorità Garante non ha evidenziato criticità o difetti rispetto all’indicazione del titolare del trattamento, eppure l’indicazione è tutto fuorché chiara, sia in termini formali (non si usa mai l’espressione “titolare del trattamento“) che in termini sostanziali:
Benvenuto in TikTok (la “Piattaforma”). È nostro impegno proteggere e rispettare la tua privacy e questa informativa stabilisce le basi su cui trattare i dati personali che raccogliamo dall’utente o che lo stesso ci fornisce. Laddove si faccia riferimento a “TikTok”, “noi” o “ci”, nella presente Informativa sulla Privacy, si alluderà a TikTok Technology Limited, una società con sede legale in Irlanda (“TikTok Ireland”), e TikTok Information Technologies UK Limited (“TikTok UK”), una società con sede legale nel Regno Unito.
Come si può notare nessun riferimento alla società controllante, nessun riferimento alle società o ai rapporti tra loro. Più in avanti, indicando il riferimento per i contatti, si ripeteranno le stesse informazioni.
L’Autorità Garante ha stigmatizzato il comportamento di Tik Tok e il fatto che si è scelto di consentire la registrazione di minorenni anche minori di quattordici anni, senza rispettare le cautele e le misure di garanzia che il Regolamento e la norma nazionale prescrivono.
Tuttavia devo dire che un esame veloce fatto sui più diffusi popolari servizi di connessione sociale esistenti su Internet ha dato identici risultati.
Servizio | Età minima | Procedura |
13 anni | indic. data di nascita | |
13 anni | indic. data di nascita | |
Snapchat | 13 anni | indic. data di nascita |
Tinder | 18 anni | indic. data di nascita |
In più, Instagram mette delle indicazioni per aiutare/assistere i genitori i cui figli si siano registrati, tali indicazioni sono certamente coerenti con le politiche aziendali di Facebook ma sono in esplicito disprezzo delle norme esistenti in UE e in Italia:
Comprendiamo le tue preoccupazioni sull’uso della nostra applicazione da parte di tuo figlio o tua figlia, ma purtroppo non possiamo fornirti l’accesso al suo account né intraprendere alcuna azione sull’account in seguito alle tue richieste. In generale, le leggi sulla privacy non ci consentono di fornire l’accesso non autorizzato a un account a una persona diversa dal titolare.
Tieni presente che tutti gli utenti di età superiore ai 13 anni sono autorizzati ad avere un account e rientrano nell’ambito di questa normativa.
In altre parole sta affermando ak genitore di un tredicenne, che non ha alcuno strumento per amministrare l‘account che il figlio ha registrato presso di loro, ignorando completamente che questa registrazione è avvenuta violando una norma imperativa e tenendo un comportamento illecito che, in qualche modo, vede Facebook corresponsabile.
Come si può vedere tutti i servizi, incluso Tinder, si accontentano di una autodichiarazione dell’utente e non accertano in alcun modo la correttezza o veridicità di questo dato personale comunicato.
In questo contesto fa eccezione Google che, qualora si voglia registrare un account a nome di un minore di quattordici anni, chiede che la registrazione sia assistita anche da un genitore che avrà a disposizione qualche strumento di controllo e co-gestione dell’account.
Google ha quindi preso consapevolezza dell’esistenza di una norma e cerca di farvi fronte.
Quando ho iniziato a scrivere queste righe mi chiedevo, sibillinamente, se l’Autorità Garante avesse deciso che il problema riguardasse solo Tik Tok, dato che, come ho notato sopra, identicamente a Tik Tok agiscono anche tutti gli altri principali giocatori del mercato.
Certo, il Garante si è lamentato anche di altri aspetti che certamente riguardano Tik Tok in modo più specifico, certamente Facebook è in grado di offrire migliori garanzie sul trasferimento dei dati (non esente da problemi tuttavia).
L’Autorità Garante nella data del 27 gennaio ha iniziato a chiarire questa domanda: Facebook e Instagram sono i due servizi che saranno interessati da un fascicolo che ha lo scopo di accertare la presenza di minori e le misure di sicurezza adottate.
Lo stato dell’arte, tuttavia, non mi pare che offra soluzioni sicure per accertare l’identità degli utenti. È vero che si può mentire sulla propria data di nascita, ma è vero anche che, all’atto della registrazione è difficile pensare ad un sistema che possa evitare la presenza di un terzo (sia esso un soggetto o un documento affidabile), ed è vero che a quel punto, caricheremmo i titolari di questi servizi di ancora più dati da archiviare.
Il 24 luglio all’interno della Trasmissione Zapping in onda su Radio 1, l’onorevole Alessandro Morelli, presidente della commissione parlamentare Trasporti, Poste e Telecomunicazioni ha brevemente illustrato la proposta di legge C.2016 con la quale lui e altri due suoi colleghi deputati si propongono di modificare l’art. 22 della Costituzione per inserire in questo articolo anche il principio che la persona (quindi non solo i cittadini italiani) ha diritto anche alla tutela della propria identità digitale.
L’onorevole in questo intervento ha anche detto:
Le informazioni disponibili e le dichiarazioni dell’on. Morelli fanno emergere il sospetto che il legislatore stia proponendo soluzioni a problemi ipotetici , senza conoscere forse in modo approfondito i principi fondamentali della protezione dei dati personali e i meccanismi del diritto costituzionale e comunitario.
Nelle righe che seguono cercherò di illustrare brevemente che l’identità digitale da ormai oltre quarant’anni è ritenuta una parte dell’identità personale di un individuo e perché nelle norme, nelle decisioni delle Autorità e dei giudici si parli quindi non di tutela dell’identità digitale, ma di tutela dell’identità personale e dei dati personali che contribuiscono a formarla.
Per questo fornirò cenni su quale sia il quadro normativo di tale materia, quali siano le Autorità che già oggi sono preposte alla tutela dei dati personali, e quali siano gli aspetti fortemente critici di quanto ha dichiarato l’on. Morelli, riferendosi al progetto di legge citato.
Il concetto di identità digitale sia in informatica che nell’informatica giuridica è legato alla gestione di credenziali di autenticazione in un sistema informatico. Riguarda quindi l’insieme delle operazioni compiute e registrate con quel profilo e il livello di abilitazioni riconosciute da chi amministra il sistema.
Il passaggio importante compiuto dalla legislazione in Europa (Francia e Germania) negli anni ‘70 è stato quello di riferire a persone fisiche queste informazioni, riconoscendone il diritto alla tutela analogamente agli altri diritti personali.
Da allora gli strumenti elettronici si sono raffinati, evoluti e potenziati e la legislazione si è evoluta di conseguenza. In Italia, dopo alcuni infruttuosi tentativi del legislatore abbiamo iniziato a regolare la materia su direttive dell’Unione Europea e gli interpreti del diritto (Corte Costituzionale e Cassazione) hanno riconosciuto che:
il diritto all’identità, alla libertà, e alla dignità, che sono sanciti dalla costituzione (art. 2) comprendono il diritto alla protezione dei propri dati personali;1
il diritto alla tutela della propria identità comprende anche la tutela di quella digitale.2
In altre parole il diritto alla tutela della propria identità non è riconosciuto come un diritto secondario ma fondamentale e questo avviene in coerenza con quanto ha deciso l’Unione Europea scrivendo la così detta Carta di Nizza che comprende i diritti fondamentali applicati dagli stati membri, tra cui vi è il diritto alla protezione dei propri dati personali sancito dall’art. 8.
Pertanto si può dire che oggi il diritto delle persone alla tutela dei dati personali collegati e riferiti alla propria identità digitale è tutelato:
dall’art. 2 della costituzione;3
dal d.lg. 196/2003, come novellato nel 2018, che definisce i reati connessi alla violazione di tali diritti.5
Come si può notare il quadro normativo è ben complesso ed esso prevede anche (nel caso del Regolamento) una interdizione o limitazione del potere legislativo nazionale.
La modifica dell’art. 22 della costituzione risulta quindi non solo non necessaria, ma potenzialmente dannosa perché introdurrebbe differenze nazionali che sarebbe difficile giustificare rispetto al diritto comunitario; si tratterebbe inoltre di una sovrapposizione di norme che renderebbe più complesso il lavoro interpretativo degli operatori del diritto.
Tali norme hanno istituito, come noto, una autorità indipendente6
in ogni Paese dell’Unione Europea7.
In Italia si tratta dell’Autorità Garante dei Dati Personali, che opera tramite un proprio collegio e di cui si attende per altro il rinnovo da parte del Parlamento. L’Autorità Garante ha competenza su tutte le questioni che riguardano la protezione dei dati personali, in particolare:
Per quanto riguarda il lento processo di digitalizzazione della pubblica amministrazione, esso è oggetto di una norma molte volte modificata, il Codice per l’Amministrazione Digitale, (d.lg. 82/2005), che ha anche istituito l’Agenzia per l’Italia digitale con il compito di fornire regole tecniche alla pubblica amministrazione per l’adozione di servizi digitali. L’Agenzia, inoltre, seleziona e certifica fornitori di servizi ed opera in stretta coordinazione con l’Autorità Garante per la protezione dei dati personali, fornendo tra l’altro indicazioni ai rami della pubblica amministrazione che si vogliano dotare di servizi in cloud.
Nuovamente non si comprende quali siano i meriti della proposta legislativa illustrata dall’onorevole Morelli, dal momento che abbiamo già una autorità indipendente con competenze relative alla tutela della identità digitale, che è un aspetto specifico della più generale tutela dei dati personali.
A latere destano qualche perplessità le dichiarazioni e le considerazioni dell’onorevole Morelli quando
La complessità degli ordinamenti moderni impone al legislatore estrema prudenza e grande attenzione: prima di abbozzare progetti di legge che rischiano di essere incauti occorre documentarsi con cura, dato che le norme non necessarie finiscono sempre con l’essere dannose.
Sembra insomma che una parte dei Parlamentari nazionali sia riuscita a non apprendere le lezioni e indicazioni che gli esperti del settore hanno illustrato per mesi e mesi nell’anno passato, tra cui ricordo vivamente quella del prof. Pizzetti che a gran voce ricordava come, essendo il RGPD una norma di rango comunitario non sarebbero più state possibili quelle attività incoerenti del legislatore italiano viste in passato, di modifiche sistematiche del Codice Privacy.
È finalmente online il Modulo per la comunicazione dei dati di contatto del DPO/RPD (Data Protection Officer – Responsabile Protezione Dati) all’Autorità Garante della Privacy in Italia.
Lo avevamo aspettato per mesi e negli ultimi giorni ho più volte detto ai miei clienti che, non essendoci ancora, dovevamo pazientare un poco, ma ora è qui, lo possiamo iniziare ad usare o possiamo prepararci di corsa per iniziare ad usarlo.
Ci sono le istruzioni ma in effetti è una operazione molto semplice.
Per compilarlo servono tutte le informazioni del titolare dei trattamenti, la sua esatta denominazione, il codice fiscale (se ne ha uno), la sede legale, un numero di telefono (è obbligatorio), un indirizzo fisico e un indirizzo PEC.
Servono anche tutte le informazioni del Responsabile cognome, il suo nome (come fossimo al servizio militare) il suo numero di telefono/cellulare un suo indirizzo di posta elettronica, e un indirizzo PEC.
Ma servono anche informazioni relative al soggetto che fa la comunicazione e la compila (e la dovrà firmare), cognome e nome (sempre come fossimo al servizio militare), e un indirizzo di posta elettronica. Questa persona dovrà anche firmare digitalmente un documento (quindi deve essere dotata, personalmente, di firma digitale).
Serve anche sapere dove e come si è resa nota l’esistenza del DPO/RPD, usando i “dati di contatto” pubblicati sul sito Internet o indicando dove sono stati indicati.
Bisognerà valutare se il gruppo ha pensato e valutato di designare un RPD/DPO di gruppo, in quel caso bisognerà indicare gli estremi della società controllante (se non è il soggetto per cui si sta facendo la comunicazione) anche indicando gli estremi della comunicazione (se in Italia) o verso quale Autorità di controllo straniera è stata fatta la comunicazione.
Il modulo dati non può compilarlo, apparentemente, per sé, il DPO – RPD. Anche se questa è una mera deduzione personale che potrebbe essere sbagliata, poichè niente vieta che il Responsabile per la Protezione Dati inserisca due volte il proprio nome: come persona che effettua la comunicazione su delega del titolare dei trattamenti.
Tuttavia le istruzioni e la modulistica non accennano nemmeno incidentalmente a questa ipotesi; questo ha quindi provocato la deduzione che il soggetto che effettua la dichiarazione non possa essere il DPO/RPD delegato dal titolare, ma, hai visto mai…
Semplice: si compila online il modulo in ogni parte con i dati necessari dell’RPD, si compila anche il “Codice di sicurezza” e si “Invia“, ricevendo a questo punto un messaggio di posta elettronica con un file allegato che dovrà essere firmato (e l’Autorità raccomanda di firmarlo persino senza aprirlo, già…).
Il file firmato con estensione .p7m deve a questo punto essere inviato e il soggetto che effettua la comunicazione riceverà un ID provvisorio di comunicazione.
L’Autorità effettuerà i controlli formali, verificherà tra l’altro che il file inviato e il file firmato siano identici (per questo raccomanda persino di non aprirlo).
Se l’Autorità verificherà che formalmente non ci sono vizi, accoglierà la comunicazione e di conseguenza:
Il numero di protocollo sarà quello che tutti dovranno indicare per le future comunicazioni con l’Autorità.
Finalmente è arrivata! È qui, la possiamo usare e la possiamo segnalare, è stato importante ed è certamente una procedura fatta in modo abbastanza snello. Tuttavia alcune cose fanno storcere un poco il naso, non tanto il fatto che nel modulo si indichi prima il cognome e solo dopo il nome (è poco elegante, ma è una quisquilia), penso invece l’uso della firma digitale con riferimento ad uno standard normativo nazionale, e all’uso della PEC come strumento di comunicazione.
Se da un lato è comprensibile la scelta di adottare lo strumento della firma digitale che velocizza le operazioni e che è uno strumento riconosciuto in ambito europeo, invece non è apprezzabile la scelta di rendere obbligatorio l’uso di una PEC.
La PEC è uno strumento limitato, non riconosciuto fuori dall’Italia e quindi è – secondo me – sconsigliabile adottarlo in un contesto internazionale, e, almeno, comunitario. Personalmente ero sempre riuscito a non adottarlo ma a questo punto obtorto collo saremo costretti a farne uso.
Da ultimo, invece che mettere un link dell’AgID che non indica l’elenco dei certificatori, potevano direttamente mettere quello che li indica in ordine alfabetico: Prestatori Attivi.
Da ultimo, mi sono messo a rileggere l’informativa per questa comunicazione adottata dal Garante, e ironicamente mi chiedo se non si poteva fare uno sforzo maggiore per adottare un linguaggio chiaro, adottando l’indicazione della Autorità stessa che raccomandava termini semplici usando, persino, l’italiano colloquiale.
Sono state sollevate alcune voci, un poco di confusione e qualche discussione, verso la fine della scorsa settimana a partire dal 19 aprile. Tutto è nato attorno al commento ad un provvedimento dell’Autorità Garante del 22 febbraio scorso, reso noto di recente sul sito dell’Autorità.
Su Agenzia Digitale, Gabriele Faggioli ha scritto che l’Autorità Garante ha rimandato di sei mesi controlli e sanzioni relativamente al Regolamento che entrerà pienamente in vigore dal 25 maggio 2018.
A seguito di questo articolo l’Autorità Garante ha scritto un comunicato nel quale ha dichiarato non veritiera la notizia riportata da Agenzia Digitale e Luigi Garofalo, su Key4biz, ha ripreso il comunicato bollando la notizia come una fake news.
Il giorno stesso l’autore è tornato sul tema precisando perché la notizia fornita era non scorretta (o almeno non così scorretta).
Trovo esagerato e impreciso sostenere che l’articolo di Gabriele Faggioli sia una notizia falsa, e trovo persino esagerata la smentita dell’Autorità Garante al punto da rendere sibillino il provvedimento citato che rimane, al momento, comunque sospeso nella sua efficacia.
Il cuore della querelle è quindi il provvedimento del 22 febbraio, che è a tutti gli effetti un’introduzione molto cauta e prudente, al Regolamento Europeo prossimo e venturo. In esso vengono semplicemente introdotti e anticipati i temi di cui inevitabilmente tratteranno nei prossimi mesi (e anni) l’attività delle Autorità di controllo Europee.
Si parla di:
Rispetto alle Linee Guida del WP29, nessuna significativa novità da segnalare. Rispetto agli obblighi di sorveglianza già individuati dal Regolamento nessun principio originale da registrare e sul legittimo interesse come analizzato dall’Autorità, solo timidi accenni a possibili interpretazioni future.
In ogni caso le novità sono effettivamente sospese, tutto il provvedimento è sospeso: nero su bianco questo è quanto riporta il provvedimento (le annotazioni in rosso sono mie):
Quindi:
In conclusione è sempre più urgente che venga esercitata la delega da parte del Governo Italiano. Ma, a questo punto entriamo nel delicato gioco di equilibri politici e ogni considerazione tecnica diventa inutile.
Il 25 maggio entra in vigore il regolamento per la protezione dei dati personali (ormai noto con l’acronimo GDPR), da quando lo abbiamo letto, noi professionisti del settore, abbiamo capito che pur essendo il Regolamento pienamente (e automaticamente) efficace, c’erano alcuni interventi per cui l’Autorità di Controllo (il Garante) non poteva bastare, perché serviva un’azione del legislatore (che, ovviamente non può essere scavalcato).
Il legislatore nazionale è chiamato in causa innanzitutto dall’art. 84 del Regolamento:
Articolo 84 – Sanzioni
1. Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83. Tali sanzioni devono essere effettive, proporzionate e dissuasive.
2. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica.
In altre parole, viene imposto agli stati dell’UE di adottare delle sanzioni penali per le violazioni più gravi del GDPR, esattamente come già prevede il d.lg. 196/2003. Tuttavia, la traslazione dal Codice Privacy al Regolamento non può essere una operazione automatica, infatti queste sono le figure di reati previste ad oggi in tema:
Di queste norme, nessuna viene facilmente trasportata da un regime ad un altro perché, se non altro, cambiano tutti i riferimenti normativi (e quindi bisogna fare un intervento redazionale non automatico), ma in più alcune necessitano di un vero e proprio adattamento.
In concreto (ma in maniera non esaustiva) questo vuol dire che:
Il trattamento illecito prevede una condotta, che, in linea generale, è in effetti facilmente trasportata salvo la necessità di variare alcuni aspetti e riflettere al fatto che le norme nel 2003 la cui violazione era ritenuta così grave da fare scattare l’illecito penale, nel 2018 non hanno più la gravità invocata, nell’ambito della moderna società dell’informazione.
Decisamente è necessario un intervento di adattamento, perché la notificazione non è più prevista e perché il Garante è oggi una delle Autorità di controllo competenti ad agire per verifiche e controlli.
L’illecito penale riguardante le misure di sicurezza dovrà essere completamente variato, infatti su questo punto il GDPR ha eliminato le “Misure minime di sicurezza” sostituendo la doverosità delle stesse, non già dipendenti da un Allegato Tecnico (oggi l’Allegato B), ma da una Analisi del rischio elaborata dal titolare dei trattamenti.
Se prima era quindi semplice collegare l’esistenza di un illecito penale al mancato rispetto di una norma cogente, oggi è difficile valutare che le misure di sicurezza sono così inefficaci da fare scattare una condotta penalmente rilevante, visto che l’efficacia o meno dipende da un documento elaborato autonomamente dal titolare.
Ancora una volta l’illecito non è penalmente adattabile per via automatica, perché la struttura delle Autorità di controllo e l’emanazione di norme specifiche è profondamente diversa nel passaggio verso il Regolamento.
È questa la norma, forse, più facilmente trasportabile nel nuovo regime perché dipende dallo Statuto del Lavoratori (non modificato dal Regolamento UE) e perché ancora oggi è vietato (e penalmente rilevante) controllare l’attività dei lavoratori a distanza e fare indagini sulle loro opinioni politiche.
Ieri è stata diffusa una nota del presidente dell’Autorità Garante per la protezione dei dati personali:
“Non possiamo che esprimere forte preoccupazione per la violazione subita da Uber, tardivamente denunciata dalla società americana. Abbiamo aperto un’istruttoria e stiamo raccogliendo tutti gli elementi utili per valutare la portata del data breach e le azioni da intraprendere a tutela degli eventuali cittadini italiani coinvolti.
Quello che certo colpisce, in una multinazionale digitale come Uber, è l’evidente insufficienza di adeguate misure di sicurezza a protezione dei dati e quello che sconcerta è la scarsa trasparenza nei confronti degli utenti sulla quale indagheremo”.
La notizia riguarda la violazione dei dati personali che Uber avrebbe confermato di avere subito l’anno scorso, riguardante i dati personali di 50 milioni di clienti e 7 milioni di autisti. È stata data da Bloomberg dal Wall Street Journal ed è così rimbalzata anche in Italia dove tra le tante notizie diffuse (il Post ad esempio) si segnala per completezza e intelligenza delle domande, ovviamente, quello pubblicato su La Stampa da Carola Frediani che oltre che riportare la notizia esprime qualche dubbio e perplessità e fa delle domande che, al momento, rimangono senza risposta.
È importante ricordare che, a partire dal 25 maggio 2018, entrando in vigore il Regolamento UE, troverà anche piena applicazione l’art. 33 del Regolamento che impone la comunicazione all’Autorità di controllo competente, a meno che, la violazione sia improbabile, “che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche” (dal comma 1, dell’art. 33).
In questo caso non sappiamo con precisione quali dati siano stati oggetto della violazione, ma pare ci siano nomi, cognomi, e-mail e numeri di telefono, ovviamente associati al dato che sono tutti clienti o autisti di Uber. In questi casi è quindi possibile ipotizzare degli attacchi mirati ed è quindi difficile fare valere l’esenzione citata.
La CNIL (Commission Nationale de l’Informatique et Libertés) ha pubblicato una mappa mondiale dove ciascun Paese è classificato sulla base delle norme esistenti sulla protezione dei dati personali, queste le opzioni possibili:
Cliccando su ogni Paese si possono avere i dettagli specifici e link per l’accesso alle Autorità di controllo eventualmente presenti. È anche apprezzabile che la mappa sia stata compilata usando OpenStreetMap.
Conoscete già PlusPrivacy? Tra minacce, attacchi, virus e vulnerabilità varie, cresce in modo spesso doloroso la consapevolezza che i propri dati personali (per chi volesse sul Glossario esiste la relativa definizione) siano un patrimonio da proteggere.
Libero Tecnologia ci segnala con grande enfasi l’esistenza di un progetto chiamato, appunto, Plus Privacy, che ha lo scopo (addirittura!) di consentirci di guadagnare vendendo i nostri dati personali:
Come è noto, le informazioni raccolte dai vari siti sono utilizzate per ottenere profitto. La funzione cerca di dare agli utenti un tool con cui provare a monetizzare i dati personali rilasciati su Internet gratuitamente.
Un’affermazione così roboante, equivalente quasi a quella dei biglietti Alitalia in regalo (una truffa recente ne potete leggere qui). E forse, PlusPrivacy non è una truffa, ma certamente è qualcosa che appare estremamente sfuggente e prima che vengano consegnati i nostri dati personali a qualcuno (non è chiarissimo chi) è quasi impossibile avere informazioni precise.
Ecco alcune cose che non vengono chiarite o che dovrebbero sollevare qualche sospetto:
Tra le altre cose tra il curioso e lo sgradevole, c’è la indicazione immancabile sui cookies adottati:
During the initial beta period of this service, Google Analytics will know that you visited this site. No other information about you and your clicks on buttons/links on this site will be transferred to Google or another 3rd party.
Tuttavia, un veloce controllo ci informa che tramite la visita a questo dominio non viene salvato alcun cookie di Google Analytics, ma uno differente che, per quanto generico, scade solamente il primo gennaio 2099 (fra più di ottantun anni!).
Possiamo/dobbiamo quindi supporre (ma nessuna informazione chiara ci viene fornita), che Romsoft ha sviluppato il software insieme (o come parte) del consorzio Operando, tuttavia anche quest’ultimo soggetto non è molto chiaro circa la sua identità:
Insomma, ci viene presentato un software che in maniera abbastanza insinuante ci fa credere che per il solo fatto di avere un account Facebook potremmo guadagnarci, che si propone di raccogliere tutti i dati personali correlati alla nostra identità digitale, che si propone di gestire questi dati personali in modo accentrato e unico.
MA A FRONTE DI TUTTO QUESTO:
Magari il servizio fornito è eccellente e rivoluzionario (francamente ne dubito profondamente), ma al momento, così presentandosi la situazione, pare di vedere il Lupo che si propone di aiutare Cappuccetto Rosso a portare le cose buone alla nonna.
Uno dei temi molto esplorati dalla protezione dei dati personali è quello del delicato bilanciamento che si attua nel rapporto di lavoro. Il datore di lavoro tratta necessariamente dati personali dei propri dipendenti (è un fatto intrinsecamente legato alla sua posizione lavorativa) e molti datori di lavoro devono anche occuparsi di trattare dati sanitari nell’ambito della verifica periodica dell’idoneità lavorativa.
Per alcune categorie di lavoratori si attua poi la sorveglianza sanitaria che prevede periodici esami nei quali si verifica l’assenza di condizioni ostative. Leggo che tale tema si sta estendendo anche a controlli di natura psicologica nei confronti dei docenti, e leggo pure che si usa come argomento per rendere questo tema improponibile la “privacy“:
E c’è ancora un’altra questione ancora più complessa che si scontra con la normativa sulla privacy: supponiamo che lo psicologo accerti che l’insegnante X necessita di una qualche forma di “intervento”, come dovrà procedere? Ovviamente non potrà darne comunicazione al datore di lavoro che in nessun caso potrà conoscere gli esiti degli accertamenti.
Un caso classico in cui con superficialità di usa un argomento pretestuoso e fallace per rifiutare qualcosa. Non entro nel merito della questione che è delicata e ricca di problemi e criticità, ma è sbagliato, ingannevole e superficiale dire che “le norme sulla privacy” renderebbero improbabile un monitoraggio psicologico dei docenti, ci sono molte categorie che sono già sottoposte a questo tipo di controllo e viene attuata, per quanto in modo molto articolato, con piena tutela dei reciproci diritti.
Indice
In piena notte di quel venerdì 7 ottobre 2016, in Italia, su una strada di una qualsiasi provincia italiana, alla periferia del capoluogo, un’automobile viaggia a velocità sostenuta, è buio e la strada è poco o niente illuminata, il limite imposto in quel tratto di statale è di sessanta chilometri orari.
L’automobile tuttavia sta viaggiando a più di centodieci chilometri orari, è una vecchia Giulietta Alfa Romeo, sono anni che non effettua la revisione e la sua carta di circolazione è scaduta, chi guida ha deciso di vedere non solo sino a che punto tira la vecchia vettura sportiva del nonno, ma anche se conosce la strada così bene da poterla percorrere a fari spenti, nella notte. Si sente il personaggio di una canzone di Lucio Battisti, Antonio, nipote di Antonio, mentre sfreccia lungo la strada rombando.
Dopo un lungo rettilineo c’è una brusca curva a sinistra lungo la statale ed è quasi una curva parabolica che però ha due differenti punti di corda, così bisogna farla con attenzione e pronti a correggere la traiettoria.
Antonio si distrae fatalmente quando non deve e così la Giulietta scivola perde aderenza e travolge, sull’altra carreggiata, la bicicletta di Gianluca, che dopo avere finito il suo lavoro nella sua pasticceria lì vicino sta tornando a casa in bicicletta; sono poche centinaia di metri dalla pasticceria a casa sua, ed è per questo che con ogni tempo e ad ogni orario Gianluca preferisce fare la strada in bici, e sono poche centinaia di metri, per questo non ha mai montato i fari alla sua bici o la tuta con i catarifrangenti.
Il giorno dopo i giornali locali parleranno del gesto folle di Antonio e lo descriveranno come l’ennesimo pirata della strada. Nessuno sarà mosso a compassione per le ferite che ha riportato, nessuno piangerà i danni alla Giulietta del nonno.
Da anni mi chiedo come mai i giudizi spesso drastici, feroci e crudeli che la gente riserva a chi tiene condotte stradali così azzardate non vengono applicati per analogia anche a chi è vittima di minacce informatiche come quella in corso con Wannacry.
Lunedì 15 maggio 2017, nella provincia già teatro – ad ottobre – dell’incidente immaginato, in più di un ufficio scoprono che i loro computer sono bloccati e che l’attacco in corso da giovedì in oltre cento Paesi ha colpito pure loro.
Perché chi tratta dati personali usando computer, senza avere una copia di sicurezza (backup) tiene un comportamento imprudente molto simile a quello di Antonio. Ma la somiglianza non è limitata all’imprudenza, infatti sia Antonio con la Giulietta del nonno che il titolare dei trattamenti privo di backup stanno violando la legge.
Antonio non può circolare con la Giulietta senza idonea carta di circolazione, e non può ignorare i limiti di velocità e tenere i fari della vettura spenti, facendo questo si è automaticamente messo “dalla parte del torto”, ma anche il titolare che tratta dati personali (siano essi i dati del personale assunto o le quote del condominio di cui è amministratore) non può non avere adottato delle buone politiche di salvataggio dei dati.
Dal 2003 il backup diventa un obbligo: tutti coloro i quali trattano dati personali per fini che non siano quelli esclusivamente personali (cfr. art. 5 d.lg. 196/2003) dovendo applicare le misure minime di sicurezza (cfr. articoli 31, 33, 34 del d.lg. 196/2003), devono anche porsi il problema delle “copie di sicurezza”.
Questo è il testo dell’art. 33:
Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.
L’articolo successivo (art. 34, comma 1, lettera f) invece dice che si possono trattare dati personali con strumenti elettronici solamente se sono adottate (tra gli altri obblighi):
procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
Se anche questi riferimenti non bastassero, sono ribaditi dall’Allegato B al Codice Privacy, che infatti alla regola 18 sottintende l’operazione di backup (dei dati) dicendo:
Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
In sintesi, dunque, sul backup dei dati personali dobbiamo tenere a mente che:
È un obbligo, sancito dall’art. 33, dall’art. 34 e dall’Allegato B al Codice Privacy. Non adempiere a questo obbligo significa incorrere nella sanzione prevista dall’art. 162 comma 2-bis, e nella sanzione prevista dall’art. 169 (almeno teoricamente).
Nel primo caso (l’art. 162 comma 2-bis) è prevista una sanzione amministrativa da ventimila a centoventimila euro. Nel secondo caso è previsto l’arresto sino a due anni.
L’illecito amministrativo e il reato si realizzano non quando si verificano danni a seguito degli inadempimenti, ma per il solo fatto di avere omesso gli adempimenti nel modo corretto. Quindi, a ben vedere, è quasi più grave non avere un backup e relative procedure di custodia e ripristino che non guidare a fari spenti nella notte…