Da poche ore è iniziata l’ultima settimana della campagna elettorale per le elezioni regionali ed amministrative che si terranno il 28 e 29 marzo 2010; tradizionalmente, si tratta della settimana più intensa (ed aggressiva) in cui si intensificano comizi, telefonate e volantinaggio. Quest’anno, più degli altri, politici e partiti stanno usando il Web ed i social networks, non sempre in modo corretto.
Per questo, con il collega (ed amico) Stefano Laguardia, abbiamo scritto un articolo per provare a delineare le regole applicabili alla propaganda elettorale 2.0. Di seguito riporto il testo, che può essere scaricato in formato .pdf cliccando qui.

* * *
Le regole della propaganda politica on line
Dopo la chiusura delle liste dei candidati alle elezioni regionali ed amministrative 2010, la campagna elettorale è entrata nel vivo: le città, come di consueto, si sono riempite di manifesti di partiti e candidati, radio e televisioni ospitano spot e tribune elettorali. Tuttavia, come ormai accade da qualche anno, la propaganda elettorale non è veicolata soltanto attraverso i mezzi tradizionali, come gli enormi manifesti 6×3, i volantini, i c.d. “santini” ed il porta a porta, ma si assiste ad un uso sempre più massiccio delle nuove tecnologie, che hanno il vantaggio di raggiungere un elevato numero di elettori con costi relativamente bassi.
L’uso di strumenti quali la posta elettronica o i siti web preparati ad hoc per le competizioni elettorali non rappresentano più una novità e, fin da subito, hanno posto problemi sotto il profilo della compatibilità con le norme giuridiche vigenti, specialmente in materia di privacy; la propaganda politica virtuale, infatti, non è completamente libera ma soggiace alle stesse regole di quella reale.
E non è casuale che, in prossimità di ogni consultazione elettorale, il Garante per la protezione dei dati personali adotti appositi provvedimenti; l’ultimo è stato pubblicato qualche settimana fa (precisamente sulla Gazzetta Ufficiale n. 43 del 22 febbraio 2010) e ricalca le regole già previste in un provvedimento generale del 2005 ,ricordando a partiti politici e candidati le modalità in base alle quali chi effettua propaganda elettorale può utilizzare correttamente i dati personali dei cittadini (come indirizzo postale, numero di telefono, e-mail).

Innanzitutto, il Garante ricorda come per contattare gli elettori ed inviare loro materiale di propaganda, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono usare senza il consenso dei cittadini soltanto i dati contenuti nelle liste elettorali detenute dai Comuni, nonché i dati personali di iscritti ed aderenti. Possono essere usati anche altri elenchi e registri in materia di elettorato attivo e passivo (es. elenco degli elettori italiani residenti all’estero) ed altre fonti documentali detenute da soggetti pubblici accessibili a chiunque, come gli albi professionali (nei limiti in cui lo statuto del rispettivo Ordine ne preveda la conoscibilità). I titolari di cariche elettive possono utilizzare dati raccolti nel quadro delle relazioni interpersonali da loro avute con cittadini ed elettori (ivi compresi, ad esempio, indirizzi di posta elettronica).
Al contrario, i dati personali raccolti in quanto necessari nell’esercizio di attività professionali e d’impresa non sono utilizzabili, da momento che la finalità di propaganda non è riconducibile agli scopi per i quali i dati sono stati raccolti; di conseguenza, l’imprenditore o il professionista candidato non potrà utilizzare la propria rubrica clienti o il proprio elenco fornitori per inviare materiale elettorale.
Inoltre, a meno che i dati non siano stati forniti direttamente dall’interessato, è necessario il consenso per gli indirizzi raccolti su Internet o ricavati da forum e newsgroup: il Garante, infatti, ha già ripetutamente affermato che l’eventuale reperibilità di un indirizzo sul Web non lo rende per ciò stesso disponibile anche per l’invio di comunicazioni elettroniche non sollecitate.

(Immagine di silenceofthelambert)

La campagna elettorale sui social networks
Negli ultimi anni, però, gli strumenti tecnologici a disposizione di candidati e partiti si sono evoluti, grazie in particolare all’avvento del Web 2.0 e dei social networks. Sono sempre di più coloro che, capendo l’efficacia di social media quali Facebook, Twitter o Friendfeed, hanno iniziato a farne uso come vero e proprio veicolo di propaganda elettorale.
E così non accade raramente che, in questi periodi di fermento dettato dall’approssimarsi delle elezioni, si ricevano inaspettate richieste di amicizia, la propria bacheca venga riempita da messaggi di propaganda o si venga “taggati” in una nota o in una foto di qualche candidato.
C’è da chiedersi, però, fino a che punto questi comportamenti possano essere considerati compatibili con le norme vigenti; infatti, non di rado il modo di usare i social networks da parte dei candidati diventa eccessivamente invasivo, al pari della posta elettronica indesiderata.
Esistono limiti all’uso di questi strumenti? E’ lecito taggare gli amici-elettori in un manifesto elettorale? A queste e ad altre simili domande ci si sarebbe aspettati di trovare risposta nell’ultimo provvedimento del Garante Privacy, ma – al contrario – nel documento innanzi citato non c’è riferimento specifico all’uso degli strumenti del Web 2.0 (il provvedimento generale richiamato, infatti, risale al 2005).
Tuttavia, attraverso la lettura del Codice Privacy (D.Lgs. n. 196/2003) e dei principi fin qui enucleati dall’Autorità Garante, è possibile provare a tracciare alcune indicazioni per l’uso dei social networks a fini di propaganda elettorale in modo da evitare contestazioni, contenzioso e responsabilità.

Il candidato vuole diventare mio amico
Se un partito politico, un comitato elettorale o un candidato decide di seguirci o richiedere la nostra amicizia su un social network in piena campagna elettorale è altamente probabile che voglia inviarci messaggi di propaganda politica. Per evitare questo inconveniente, assume molta importanza la c.d. “autotutela”, vale a dire la gestione attenta e consapevole che ogni utente deve curare per i propri dati personali. Ciò significa, innanzitutto, evitare – se lo vogliamo – che i nostri profili vengano indicizzati dai motori di ricerca.
Tuttavia, se un candidato riesce a trovarci, la mera richiesta di amicizia non può considerarsi illecita. Una volta diventati amici, il candidato non potrà legittimamente utilizzare senza consenso i dati pubblicati sui profili dei suoi amici-elettori (come numeri di telefono ed indirizzi di posta elettronica).

Se mi tagghi non vale
Uno strumento veloce di propaganda elettorale, tanto in voga quanto invasivo, consiste nel “taggare” i propri amici (cioè segnalare la loro presenza) in fotografie o note pubblicate sul profilo del candidato.
Anche qui la domanda fondamentale da porsi è se il candidato possa liberamente taggare gli amici senza il loro previo consenso in note o foto a contenuto propagandistico che nessun legame hanno con i soggetti taggati (ad esempio, il simbolo del partito o l’immagine di un manifesto).
Sotto questo profilo, può essere utile rammentare che lo stesso Garante, quando recentemente ha indicato le cautele da adottare sui social networks, ha già affermato che bisogna evitare di inserire immagini in cui compaiano anche altre persone che non hanno prestato il consenso alla pubblicazione.
Tale cautela deve essere seguita con ancor più scrupolo con riferimento ai “tag elettorali” dal momento che sono idonei a rivelare le opinioni politiche e l’adesione a partiti e organizzazioni politiche, che costituiscono dati sensibili ai sensi dell’art. 4 D. Lgs. n. 196/2003 (Codice Privacy). Di conseguenza, in assenza di un preventivo consenso, il tag su note o immagini elettorali può essere considerato illecito e lesivo della normativa in materia di riservatezza dei dati personali.

Il candidato mi scrive
Un altro modo di utilizzare i social networks a fini di propaganda è rappresentato dall’invio di messaggi da parte del politico ai propri contatti; ciò può avvenire sia in privato, con la trasmissione di comunicazioni dirette (cc.dd. “DM”), sia attraverso la pubblicazione di messaggi sulla bacheca dei propri contatti.
Se tale attività sia legittima o meno è quesito alquanto complesso, la cui risoluzione passa per la corretta definizione del concetto di amicizia sui social networks.
Infatti, se pensiamo che accettare una richiesta di amicizia implichi il consenso a ricevere ogni genere di messaggi (anche di pubblicità e propaganda) dal nuovo contatto, bisognerà considerare legittima l’attività del candidato.
In caso contrario – ed è questa l’opinione di chi scrive – applicando in via analogica i precetti già indicati dal Garante, i messaggi di propaganda politica non sollecitati potranno essere inviati in DM e bacheche solo previo consenso da parte dei propri contatti.

Ernesto Belisario
Stefano Laguardia

Technorati Tags campagna elettorale, elezioni 2010, facebook, garante privacy, Privacy, social networks, spam

Operazione trasparenza, come molti sanno, non è il titolo dell’ultimo film di James Bond, ma il nome di uno dei primi atti posti in essere dal Ministro per la Pubblica Amministrazione e l’Innovazione, On. Renato Brunetta.
L’Operazione fu varata nel maggio 2008 con la pubblicazione sul sito Internet del Ministero dei dati relativi al personale, di organigrammi, numero di dirigenti, retribuzioni lorde, telefono, e-mail e curricula dei dirigenti, nonchè dei tassi di assenza per ufficio.
Molte di queste informazioni erano già pubbliche per legge (ai sensi degli artt. 54 D. Lgs. n. 82/2005 e 1, comma 593, Legge n. 296/2006) ma con è con  la Legge n. 69/2009 che l’Operazione Trasparenza è stata resa obbligatoria per tutti gli Enti; in particolare, l’art. 21, comma 1,  ha previsto che ciascuna Amministrazione

ha l’obbligo di pubblicare nel proprio sito internet le retribuzioni annuali, i curricula vitae, gli indirizzi di posta elettronica e i numeri telefonici ad uso professionale dei dirigenti e dei segretari comunali e provinciali nonché di rendere pubblici, con lo stesso mezzo, i tassi di assenza e di maggiore presenza del personale distinti per uffici di livello dirigenziale.

Dopo la pubblicazione in Gazzetta Ufficiale di questa norma è scattata la corsa all’adeguamento da parte dei diversi Enti che hanno inserito nei propri siti istituzionali le informazioni sopra menzionate.

Con riferimento alle modalità della pubblicazione, in un interessante post, Vittorio Pasteris ha segnalato come molte Amministrazioni (centrali e locali), con un accorgimento tecnico che riguarda il file robots.txt, impediscono l’indicizzazione delle pagine relative all’Operazione Trasparenza da parte dei motori di ricerca; tale accorgimento, lungi dall’essere nascosto, è poi suggerito in modo “trasparente” sul sito del Ministero in un’apposita pagina dedicata all’applicazione della Legge n. 69/2009.
In tanti hanno commentato questa segnalazione, valutando l’accorgimento tecnico relativo al file robots.txt come tentativo di manipolazione volto a frustrare, di fatto, gli oblietivi di trasparenza tanto sbandierati.

L’indagine di Pasteris è sicuramente interessante e trovo assolutamente opportuno tenere alta l’attenzione sui siti Web della Pubblica Amministrazione, ma tali analisi non mi trovano d’accordo.

Chi mi legge sa che in passato sono stato critico con le modalità con cui l’Operazione Trasparenza è stata condotta (ne ho parlato qui e qui) ma, in questo caso, ritengo che le accuse di voler nascondere i dati non siano condivisibili.

In primo luogo, infatti, va rilevato che la norma relativa all’Operazione Trasparenza ha un alto livello di applicazione; altri sono i casi in cui le Amministrazioni non si sono fatte scrupolo di disattendere completamente il dettato normativo (basti pensare all’obbligo di indicare la casella di PEC nell’home page di ogni sito istituzionale contenuto nella stessa Legge n. 69/2009, all’art. 34, e rimasto lettera morta).

E poi, non può farsi a meno di rilevare come la cautela relativa al file robots.txt appaia assolutamente doverosa al fine di garantire il rispetto della normativa in materia di riservatezza dei dati personali.

(Immagine di sicaholic)

Vale la pena di ricordare, infatti, che proprio in corrispondenza dell’avvio dell’Operazione Trasparenza il Garante per la Protezione dei Dati Personali è stato investito di numerosi quesiti. Sul punto – in modo del tutto condivisibile – l’Autorità con Nota del 12 giugno 2008 ha sottolineato la necessità di predisporre

idonei accorgimenti volti a consentire forme proporzionate di consultabilità dei dati, prevedendo in particolare elenchi relativi a singole amministrazioni, consultabili distintamente (anche sulla base di eventuali link a siti web delle amministrazioni medesime), senza che per gli utenti sia possibile modificarli agevolmente o reperire direttamente dati mediante motori di ricerca.

Da un punto di vista giuridico, infatti, la circostanza che un determinato dato sia pubblico non significa che lo stesso possa essere diffuso in modo indiscriminato; sul punto deve necessariamente essere effettuato un contemperamento tra le contrapposte esigenze di conoscenza da parte dei cittadini e quelle di riservatezza dei soggetti cui i dati si riferiscono.

Si tratta di un principio del tutto pacifico in dottrina e affermato in più di un provvedimento dello stesso Garante Privacy (su tutti segnalo l’importantissima Deliberazione n. 17/2007 che è consultabile qui).

Alla luce di tali canoni, anche al fine di evitare contenzioso e pretese risarcitorie, le Amministrazioni devono sempre rispettare il principio di proporzionalità sancito dall’art. 11 del Codice Privacy (D. Lgs. n. 196/2003), ponendo attenzione anche al “diritto all’oblio” degli interessati. Infatti, l’indicizzazione dei dati dell’Operazione Trasparenza da parte dei motori di ricerca potrebbe comportare un sacrificio sproporzionato dei diritti dei soggetti cui i dati stessi si riferiscono. Non deve essere sottovalutato che,  attraverso i motori di ricerca, potrebbe essere ricostruito un numero ingente di dati riferiti a questi soggetti (più o meno aggiornati e di natura differente) per motivi del tutto diversi da quelli di trasparenza dell’Amministrazione.

Di conseguenza, in considerazione del sempre maggiore ruolo che avranno i siti Web della PA, la cautela relativa al file robots.txt mi sembra un segnale positivo di attenzione nei confronti della riservatezza degli interessati, i cui dati sono comunque pubblici e resi consultabili sui siti delle singole Amministrazioni.

Rispettare la normativa in materia di privacy non signirica avere qualcosa da nascondere (o, peggio, voler nascondere qualcosa), ma semplicemente avere riguardo ai diritti e agli interessi di tutti.

Technorati Tags art. 21, comma 1, funzione pubblica, garante privacy, legge n. 69/2009, operazione trasparenza, robots.txt

Si continua a parlare del delicatissimo (e difficile) rapporto tra privacy e social networks.

E’ di qualche tempo fa la notizia che una Corte della California ha stabilito che la stampa può ri-pubblicare ciò che gli utenti scrivono sulle rispettive bacheche (nella fattispecie si trattava di Myspace); anche in Italia il Garante Privacy (dopo la diffusione dell’opuscolo di cui ho parlato qui) si è espresso sulla questione relativa all’uso di immagini tratte dai social networks (in particolare Facebook), affermando il principio per cui giornali e televisioni possono diffondere le fotografie pubblicate dagli utenti, qualora ciò sia necessario per fornire informazioni riguardo a fatti di interesse pubblico e purchè venga adeguatamente verificata la correttezza e l’esattezza dei dati pubblicati (ad esempio che la foto diffusa sia davvero della persona cui si riferisce la notizia).

L’importanza delle informazioni inserite dagli utenti nei rispettivi profili è ancora più evidente se si pensa, ad esempio, che gli Uffici dei college statunitensi che si occupano delle ammissioni acquisiscono informazioni sugli aspiranti studenti proprio da siti come Facebook o Myspace.

Per questo ritengo che sia sempre più importante creare consapevolezza su questi temi. In Rete, fortunatamente, si moltiplicano i siti che contengono consigli su come proteggere la propria privacy e EFF ha addirittura lanciato un servizio on line (utilissimo) che consente di monitorare le condizioni si servizio di tutti i più importanti siti web (da Ebay a Google); tenendolo d’occhio è possibile essere informati su tutte le modifiche delle politiche dei siti, compresi quelli di social networking, in materia di privacy.

Su “la privacy nell’era digitale” ho scritto un articolo, che vi segnalo, sul numero di giugno di BlogMagazine; fatemi sapere cosa ne pensate

- Cliccate qui per leggere l’articolo on line
- Cliccate qui per il download del magazine in formato PDF

Technorati Tags blogmagazine, facebook, garante privacy, myspace, Privacy, social networks

La crescente diffusione del social networking ha posto fin da subito numerosi problemi in ordine alla riservatezza dei dati personali inseriti dagli utenti.
Si tratta di argomenti che, per lungo tempo, sono stati oggetto di discussione tra gli addetti ai lavori mentre sono stati quasi del tutto sottovalutati dalla generalità degli utenti: dalla titolarità dei dati alla data portability, dallo spam al dirito all’oblio.

Alcuni episodi saliti agli onori della cronaca hanno avuto il merito di portare questi temi all’attenzione dell’opinione pubblica e delle istituzioni che (a livello comunitario e nazionale) si occupano di tutela della privacy e che, finora, si erano affidate esclusivamente all’autoregolamentazione e ai suggerimenti dettati dal buon senso.

Nel corso degli ultimi giorni ha fatto molto discutere il caso dell’infermiera di un Ospedale di Udine che ha pubblicato su Facebook foto in cui comparivano anche pazienti ricoverati in terapia intensiva (anziani intubati e incoscienti): la Direzione Generale dell’Ospedale (con provvedimento discutibile che rischia di diventare un pericoloso precedente) ha deciso di vietare Facebook ai propri dipentendi e il Garante per la privacy avvierà un’istruttoria.

Proprio all’inizio di questa settimana (con involontario tempismo) il Garante aveva pubblicato un opuscolo – che embeddo qui sotto – sui rischi che l’uso dei social networks può determinare per la privacy.

Finalmente, anche se con un certo ritardo, il Garante ha deciso di iniziare un’operazione di sensibilizzazione su queste tematiche nei confronti di tutti gli utenti dei social networks.
L’opuscolo, dal taglio pratico, non è un manuale ma una guida operativa che contiene molti ammonimenti e qualche “consiglio per l’uso”.
In modo consivisibile, il Garante afferma l’importanza della c.d. “autotutela”, vale a dire di una gestione attenta e consapevole che ogni utente deve curare per i propri dati personali.

Ciò significa, innanzitutto, stare attenti a quali e quante informazioni si inseriscono, al contenuto delle condizioni d’uso dei diversi siti (ad esempio in materia di proprietà dei dati, ma anche delle foto e dei video uploadati), alla possibilità di poter cancellare il proprio profilo (e non solo disattivarlo come permesso da alcuni social networks) e al fatto che la gran parte delle informazioni viene indicizzata dai motori di ricerca.

Un utente consapevole, inoltre, deve difendere anche la privacy degli altri facendo attenzione, ad esempio, ad inserire foto in cui compaiono anche altre persone che non hanno prestato il consenso alla pubblicazione.

Nell’opuscolo del Garante non mancano però aspetti che suscitano perplessità. In primo luogo l’Autorità afferma genericamente che nei confronti dei social networks aventi sede all’estero “non sempre si è tutelati dalle leggi italiane“; nell’ambito di un’operazione di sensibilizzazione di questo tipo sarebbe stato auspicabile che il Garante – oltre ai consigli di buon senso – fornisse certezze in materia di legge applicabile, precisando quali sono i diritti e doveri degli utenti.

E poi non è affatto condivisibile il consiglio (peraltro già formulato in passato dal Garante) di utilizzare nei social networks uno pseudonimo e non il nome reale (e, addirittura, pseudonimi diversi in ciascun network). Innanzitutto credo che l’uso di uno pseudonimo non sia positivo in termini di fiducia degli utenti, creando solo incertezza su chi si cela dietro lo stesso; inoltre, la tutela offerta dall’utilizzo di pseudonimi corre il rischio di non essere efficace in quanto altri potrebbero individuare chi si cela dietro.
Due ricercatori dell’Università del Texas hanno addirittura sviluppato un algoritmo che consente di identificare gli utenti anonimi dei networks (l’interessante studio è disponibile qui).

L’opuscolo del Garante rappresenta un primo ed importante tentativo delle istituzioni italiane di creare consapevolezza sull’uso dei social networks, ma molto ancora deve essere fatto. Da giurista credo sia importante illustrare con precisione il quadro di regole che si applica al social networking in modo che ciascun utente possa agevolmente sapere quali sono i propri diritti e i propri doveri.
Sto lavorando ad un progetto in tal senso, stay tuned

Technorati Tags facebook, garante privacy, Privacy, social networks

Qualche settimana fa il Garante Privacy ha adottato un provvedimento sui rischi derivanti dalle attività di smatimento, dismissione e cessione di apparecchiature elettriche o elettroniche (ne avevo parlato qui), annunciando l’adozione di un ulteriore documento che avrebbe contenuto “le istruzioni per favorire quanto più possibile una cancellazione sicura dei dati“.

Proprio in questi giorni il Garante ha pubblicato sul proprio sito la scheda informativa contenente le istruzioni; chi si aspettava preziose indicazioni rimarrà deluso, il documento contiene, per lo più, link a raccomandazioni contenute sui siti delle rispettive software houses. Nonostante l’apprezzabile apertura del Garante – che si dichiara disponibile ad integrare le istruzioni con le segnalazioni che gli arriveranno -  su un punto così importante sarebbe stato lecito attendersi una guida più utile, sopratutto per gli utenti meno esperti.

Technorati Tags cancellazione dati, garante privacy, riservatezza dati personali

Prosegue l’opera di semplificazione portata avanti dal Garante in relazione ad alcuni adempimenti imposti dal Codice Privacy: dopo il provvedimento relativo a informativa e consenso è stato reso pubbblico oggi quello (tanto atteso) in materia di misure minime di sicurezza.

Il testo integrale del provvedimento – che si riferisce soltanto ad alcuni tipi di trattamento – è disponibile qui.
Le finalità di semplificazione sono sicuramente condivisibili, ma il provvedimento finisce per attenuare eccessivamente le cautele necessarie in materia di misure minime di sicurezza; per rendersene conto è sufficiente leggere l’art. 2.4 (Altre misure di sicurezza) nella parte in cui prevede che

Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici (ad esempio, antivirus), anche con riferimento ai programmi di cui all’art. 615-quinquies del codice penale, nonché a correggerne difetti, sono effettuati almeno annualmente. Se il computer non è connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite  rete aziendale, posta elettronica), l’aggiornamento deve essere almeno biennale.

Non c’è bisogno di essere un tecnico per capire che l’aggiornamento di un antivirus con cadenza annuale non ha praticamente senso (per non parlare degli aggiornamenti con cadenza biennale).

Possibile che non esista una via di mezzo tra adempimenti troppo complessi ed altri pressochè inesistenti? Non si rischia di far perdere ulteriormente di credibilità ad una normativa ancora poco applicata come quella in materia di privacy?

Technorati Tags antivirus, garante privacy, misure minime di sicurezza

Tutti quelli che usano strumenti informatici sanno cos’è l’obsolescenza, anche se non sanno darne una definizione. L’obsolescenza (insieme a guasti e rotture) è, infatti, uno dei motivi principali per cui un pc, un server o un cellulare vengono sostituiti più spesso di una scrivania, di un divano o di un armadio.

Solo che mentre quando si dà via un armadio ci si preoccupa di ripulirlo di tutti gli oggetti personali contenuti, non sempre quando – per qualsiasi motivo – dismettiamo le apparecchiature elettroniche ci premuriamo di eliminare in modo efficace i dati personali ivi memorizzati.

Nelle mie lezioni in materia di privacy ne parlo sempre: quando si dismette il proprio “usato informatico” è necessario seguire alcune (semplici) cautele per evitare che qualcun altro possa facilmente accedere a mail, indirizzi, foto, password dei servizi web utilizzati (home banking, social networks ecc.). Si tratta di un tema di importanza trasversale: aziende, professionisti, pubbliche amministrazioni e privati cittadini sono tutti tenuti ad adottare specifiche cautele al fine di non esporre i propri dati e quelli di terzi (amici, fornitori o clienti) a rischi seri come manipolazione o furto di identità.

A fronte dell’importanza di questi accorgimenti si rileva che, nella prassi,  vengono raramente adottati e sono sempre più frequenti casi di accesso non consentito ai dati personali memorizzati su apparecchiature elettroniche a seguito di una  “rottamazione” non sicura. Il fenomeno è tanto preoccupante da spingere il Garante per la Protezione dei Dati Personali ad occuparsene con uno specifico provvedimento.

Il provvedimento ha il pregio di richiamare l’attenzione di tutti coloro che dismettono apparecchiature elettroniche sulla necessità “di adottare idonei accorgimenti e misure, anche con l’ausilio di terzi tecnicamente qualificati volti a prevenire accessi non consentiti ai dati personali memorizzati “. Mi preme rilevare che – differentemente da quanto ho sentito – con il provvedimento in questione il Garante non introduce nuovi obblighi ma, semplicemente, illustra come rispettare compiutamente le norme vigenti in materia di misure di sicurezza (art. 31 e ss.; art. 154 e Allegato B D. Lgs. n. 196/2003); nel provvedimento si trovano una serie di preziosi suggerimenti che i più attenti al dettato normativo seguivano già. In particolare:

a) adozione di misure tecniche preventive per la memorizzazione sicura (mediante cifratura) dei dati;
b) adozione di misure tecniche per la cancellazione sicura dei dati (mediante appositi software oppure attraverso formattazione a basso livello o demagnetizzazione);
c) smaltimento che comporti la distruzione dei supporti in modo da impedire l’indebita acquisizione di dati personali.

Nel caso in cui il titolare del trattamento non abbia le competenze per provvedere a queste operazioni, sarà necesario conferire l’incarico a un terzo soggeto (specializzato) che attesti di averle eseguite.

Per chi non lo avesse già fatto, queste procedure devono essere previste nel famigerato Documento Programmatico sulla Sicurezza (DPS) e negli accordi con i fornitori di servizi informatici. Infatti dall’inosservanza di queste cautele, come ricorda il Garante, può derivare una responsabilità penale (per omessa adozione delle misure di sicurezza) e – in caso di danni arrecati a terzi – anche civile.

Meglio pensarci prima di vendere il cellulare su ebay o prima di dare via tutti i computer del nostro ufficio.

Technorati Tags garante privacy, riservatezza dati personali, rottamazione pc

Sabato scorso, nel corso di una conferenza stampa, il Ministro per la Pubblica Amministrazione e l’Innovazione ha presentato l’Operazione Trasparenza che consiste nella divulgazione, sui siti delle PA interessate, di recapiti telefonici ed email, curricula, retribuzioni e statistiche sulle assenze del personale del Ministero.

L’operazione è stata accolta con interesse e favore dall’opinione pubblica e io stesso ho creduto che potesse essere una svolta per l’e-government nostrano.

E invece, a guardare meglio, “il Re è nudo!“.

Innanzitutto sono deludenti i dati pubblicati: si tratta di dati parziali e, ad esempio quelli sulle assenze, sono statistiche, dati aggregati per ufficio. Quindi nulla ci dicono sulle assenze del singolo.

Il motivo? Ovviamente la privacy!

E qui si apre un altro capitolo dolente dell’Operazione. Sono sotto gli occhi di tutti le implicazioni che la pubblicazione via internet di questi dati ha sulla riservatezza dei soggetti interessati. Sul punto il Ministro ha affermato di aver avviato un confronto con il Garante dell Privacy e che l’operazione è conforme alla normativa vigente. Il Garante, invece, tace; o almeno sul suo sito non v’è traccia di alcun interessamento formale. E la memoria corre ad un episodio recente: la pubblicazione dei redditi sul sito dell’Agenzia delle Entrate. In quel caso ci ricordiamo il tempestivo e netto intervento del Garante. Viene da chiedersi come mai, invece, in questo caso l’Autorità sembri disinteressarsi del caso in questione.

Di sicuro non mancano i profili problematici come ha prontamente notato l’ottimo Guido Scorza.

Prima di esprimermi sui profili più prettamente giuridici della vicenda, vorrei qualcuno mi chiarisse alcuni aspetti:

1) Il Garante è stato investito formalmente della questione? Nella querelle con l’Agenzia delle Entrate ha rivendicato un coinvolgimento doveroso e preventivo.

2) Il quadro giuidico vigente consente la pubblicazione su sito internet degli stipendi di dirigenti e dipendenti? Nel procedimento nei confronti dell’Agenzia delle Entrate il Garante ha distinto tra dato pubblico e dato pubblicabile su internet;

3) Se le informazionisono pubbliche e pubblicabili perchè il Ministro ha affermato che la diffusione dei dati è stata autorizzata da ogni dirigente?

4) L’autorizzazione data dai dipendenti è stata preceduta da informativa idonea sulle modalità di publicazione?

A mio parere per iniziare una vera operazione trasparenza Ministro e Garante dovrebbero rendere pubbliche le risposte a queste domande.
Quello iniziato dal Ministero della Funzione pubblica è un cammino importante ed è auspicabile che l’esempio sia seguito dalle altre amministrazioni. Perchè ciò accada anche gli atti propedeutici devono essere resi pubblici.

Technorati Tags funzione pubblica, garante privacy, operazione trasparenza

Nonostante sia trascorso già qualche giorno dal provvedimento del Garante Privacy, si continua ancora a parlare della decisione dell’Agenzia delle Entrate di mettere on line i redditi degli italiani. Tuttavia mentre in Italia ci si limita ad analisi di tipo “politico”o a discutere delle iniziative di alcune associazioni di consumatori, le ossservazioni più interessanti le sto leggendo sui siti stranieri. All’indomani della pubblicazione la notizia era stata commentata con una certa ironia , oggi l’attenzione si sposta sulle ulteriori conseguenze della decisione dell’Agenzia delle Entrate: i rischi maggiori (oltre a quello di rapimenti) sono in termini di furto di identità.

La mia posizione sulla vicenda l’ho espressa nel corso del dibattito live su civile.it di qualche giorno fa. E’ stato un confronto piacevole con l’amico Carmelo Giurdanella ottimamente condotto da Valentino Spataro che ringrazio per l’entusiasmo e la la disponibilità.

 Se avete lo avete perso o avete voglia di riascoltarlo lo embeddo qui sotto.

Technorati Tags belisario, civile.it, fisco, garante privacy, giurdanella, Privacy, redditi on line, spataro