Operazione trasparenza, come molti sanno, non è il titolo dell’ultimo film di James Bond, ma il nome di uno dei primi atti posti in essere dal Ministro per la Pubblica Amministrazione e l’Innovazione, On. Renato Brunetta.
L’Operazione fu varata nel maggio 2008 con la pubblicazione sul sito Internet del Ministero dei dati relativi al personale, di organigrammi, numero di dirigenti, retribuzioni lorde, telefono, e-mail e curricula dei dirigenti, nonchè dei tassi di assenza per ufficio.
Molte di queste informazioni erano già pubbliche per legge (ai sensi degli artt. 54 D. Lgs. n. 82/2005 e 1, comma 593, Legge n. 296/2006) ma con è con  la Legge n. 69/2009 che l’Operazione Trasparenza è stata resa obbligatoria per tutti gli Enti; in particolare, l’art. 21, comma 1,  ha previsto che ciascuna Amministrazione

ha l’obbligo di pubblicare nel proprio sito internet le retribuzioni annuali, i curricula vitae, gli indirizzi di posta elettronica e i numeri telefonici ad uso professionale dei dirigenti e dei segretari comunali e provinciali nonché di rendere pubblici, con lo stesso mezzo, i tassi di assenza e di maggiore presenza del personale distinti per uffici di livello dirigenziale.

Dopo la pubblicazione in Gazzetta Ufficiale di questa norma è scattata la corsa all’adeguamento da parte dei diversi Enti che hanno inserito nei propri siti istituzionali le informazioni sopra menzionate.

Con riferimento alle modalità della pubblicazione, in un interessante post, Vittorio Pasteris ha segnalato come molte Amministrazioni (centrali e locali), con un accorgimento tecnico che riguarda il file robots.txt, impediscono l’indicizzazione delle pagine relative all’Operazione Trasparenza da parte dei motori di ricerca; tale accorgimento, lungi dall’essere nascosto, è poi suggerito in modo “trasparente” sul sito del Ministero in un’apposita pagina dedicata all’applicazione della Legge n. 69/2009.
In tanti hanno commentato questa segnalazione, valutando l’accorgimento tecnico relativo al file robots.txt come tentativo di manipolazione volto a frustrare, di fatto, gli oblietivi di trasparenza tanto sbandierati.

L’indagine di Pasteris è sicuramente interessante e trovo assolutamente opportuno tenere alta l’attenzione sui siti Web della Pubblica Amministrazione, ma tali analisi non mi trovano d’accordo.

Chi mi legge sa che in passato sono stato critico con le modalità con cui l’Operazione Trasparenza è stata condotta (ne ho parlato qui e qui) ma, in questo caso, ritengo che le accuse di voler nascondere i dati non siano condivisibili.

In primo luogo, infatti, va rilevato che la norma relativa all’Operazione Trasparenza ha un alto livello di applicazione; altri sono i casi in cui le Amministrazioni non si sono fatte scrupolo di disattendere completamente il dettato normativo (basti pensare all’obbligo di indicare la casella di PEC nell’home page di ogni sito istituzionale contenuto nella stessa Legge n. 69/2009, all’art. 34, e rimasto lettera morta).

E poi, non può farsi a meno di rilevare come la cautela relativa al file robots.txt appaia assolutamente doverosa al fine di garantire il rispetto della normativa in materia di riservatezza dei dati personali.

(Immagine di sicaholic)

Vale la pena di ricordare, infatti, che proprio in corrispondenza dell’avvio dell’Operazione Trasparenza il Garante per la Protezione dei Dati Personali è stato investito di numerosi quesiti. Sul punto – in modo del tutto condivisibile – l’Autorità con Nota del 12 giugno 2008 ha sottolineato la necessità di predisporre

idonei accorgimenti volti a consentire forme proporzionate di consultabilità dei dati, prevedendo in particolare elenchi relativi a singole amministrazioni, consultabili distintamente (anche sulla base di eventuali link a siti web delle amministrazioni medesime), senza che per gli utenti sia possibile modificarli agevolmente o reperire direttamente dati mediante motori di ricerca.

Da un punto di vista giuridico, infatti, la circostanza che un determinato dato sia pubblico non significa che lo stesso possa essere diffuso in modo indiscriminato; sul punto deve necessariamente essere effettuato un contemperamento tra le contrapposte esigenze di conoscenza da parte dei cittadini e quelle di riservatezza dei soggetti cui i dati si riferiscono.

Si tratta di un principio del tutto pacifico in dottrina e affermato in più di un provvedimento dello stesso Garante Privacy (su tutti segnalo l’importantissima Deliberazione n. 17/2007 che è consultabile qui).

Alla luce di tali canoni, anche al fine di evitare contenzioso e pretese risarcitorie, le Amministrazioni devono sempre rispettare il principio di proporzionalità sancito dall’art. 11 del Codice Privacy (D. Lgs. n. 196/2003), ponendo attenzione anche al “diritto all’oblio” degli interessati. Infatti, l’indicizzazione dei dati dell’Operazione Trasparenza da parte dei motori di ricerca potrebbe comportare un sacrificio sproporzionato dei diritti dei soggetti cui i dati stessi si riferiscono. Non deve essere sottovalutato che,  attraverso i motori di ricerca, potrebbe essere ricostruito un numero ingente di dati riferiti a questi soggetti (più o meno aggiornati e di natura differente) per motivi del tutto diversi da quelli di trasparenza dell’Amministrazione.

Di conseguenza, in considerazione del sempre maggiore ruolo che avranno i siti Web della PA, la cautela relativa al file robots.txt mi sembra un segnale positivo di attenzione nei confronti della riservatezza degli interessati, i cui dati sono comunque pubblici e resi consultabili sui siti delle singole Amministrazioni.

Rispettare la normativa in materia di privacy non signirica avere qualcosa da nascondere (o, peggio, voler nascondere qualcosa), ma semplicemente avere riguardo ai diritti e agli interessi di tutti.

Technorati Tags art. 21, comma 1, funzione pubblica, garante privacy, legge n. 69/2009, operazione trasparenza, robots.txt

Si continua a parlare del delicatissimo (e difficile) rapporto tra privacy e social networks.

E’ di qualche tempo fa la notizia che una Corte della California ha stabilito che la stampa può ri-pubblicare ciò che gli utenti scrivono sulle rispettive bacheche (nella fattispecie si trattava di Myspace); anche in Italia il Garante Privacy (dopo la diffusione dell’opuscolo di cui ho parlato qui) si è espresso sulla questione relativa all’uso di immagini tratte dai social networks (in particolare Facebook), affermando il principio per cui giornali e televisioni possono diffondere le fotografie pubblicate dagli utenti, qualora ciò sia necessario per fornire informazioni riguardo a fatti di interesse pubblico e purchè venga adeguatamente verificata la correttezza e l’esattezza dei dati pubblicati (ad esempio che la foto diffusa sia davvero della persona cui si riferisce la notizia).

L’importanza delle informazioni inserite dagli utenti nei rispettivi profili è ancora più evidente se si pensa, ad esempio, che gli Uffici dei college statunitensi che si occupano delle ammissioni acquisiscono informazioni sugli aspiranti studenti proprio da siti come Facebook o Myspace.

Per questo ritengo che sia sempre più importante creare consapevolezza su questi temi. In Rete, fortunatamente, si moltiplicano i siti che contengono consigli su come proteggere la propria privacy e EFF ha addirittura lanciato un servizio on line (utilissimo) che consente di monitorare le condizioni si servizio di tutti i più importanti siti web (da Ebay a Google); tenendolo d’occhio è possibile essere informati su tutte le modifiche delle politiche dei siti, compresi quelli di social networking, in materia di privacy.

Su “la privacy nell’era digitale” ho scritto un articolo, che vi segnalo, sul numero di giugno di BlogMagazine; fatemi sapere cosa ne pensate

- Cliccate qui per leggere l’articolo on line
- Cliccate qui per il download del magazine in formato PDF

Technorati Tags blogmagazine, facebook, garante privacy, myspace, Privacy, social networks

La crescente diffusione del social networking ha posto fin da subito numerosi problemi in ordine alla riservatezza dei dati personali inseriti dagli utenti.
Si tratta di argomenti che, per lungo tempo, sono stati oggetto di discussione tra gli addetti ai lavori mentre sono stati quasi del tutto sottovalutati dalla generalità degli utenti: dalla titolarità dei dati alla data portability, dallo spam al dirito all’oblio.

Alcuni episodi saliti agli onori della cronaca hanno avuto il merito di portare questi temi all’attenzione dell’opinione pubblica e delle istituzioni che (a livello comunitario e nazionale) si occupano di tutela della privacy e che, finora, si erano affidate esclusivamente all’autoregolamentazione e ai suggerimenti dettati dal buon senso.

Nel corso degli ultimi giorni ha fatto molto discutere il caso dell’infermiera di un Ospedale di Udine che ha pubblicato su Facebook foto in cui comparivano anche pazienti ricoverati in terapia intensiva (anziani intubati e incoscienti): la Direzione Generale dell’Ospedale (con provvedimento discutibile che rischia di diventare un pericoloso precedente) ha deciso di vietare Facebook ai propri dipentendi e il Garante per la privacy avvierà un’istruttoria.

Proprio all’inizio di questa settimana (con involontario tempismo) il Garante aveva pubblicato un opuscolo – che embeddo qui sotto – sui rischi che l’uso dei social networks può determinare per la privacy.

Finalmente, anche se con un certo ritardo, il Garante ha deciso di iniziare un’operazione di sensibilizzazione su queste tematiche nei confronti di tutti gli utenti dei social networks.
L’opuscolo, dal taglio pratico, non è un manuale ma una guida operativa che contiene molti ammonimenti e qualche “consiglio per l’uso”.
In modo consivisibile, il Garante afferma l’importanza della c.d. “autotutela”, vale a dire di una gestione attenta e consapevole che ogni utente deve curare per i propri dati personali.

Ciò significa, innanzitutto, stare attenti a quali e quante informazioni si inseriscono, al contenuto delle condizioni d’uso dei diversi siti (ad esempio in materia di proprietà dei dati, ma anche delle foto e dei video uploadati), alla possibilità di poter cancellare il proprio profilo (e non solo disattivarlo come permesso da alcuni social networks) e al fatto che la gran parte delle informazioni viene indicizzata dai motori di ricerca.

Un utente consapevole, inoltre, deve difendere anche la privacy degli altri facendo attenzione, ad esempio, ad inserire foto in cui compaiono anche altre persone che non hanno prestato il consenso alla pubblicazione.

Nell’opuscolo del Garante non mancano però aspetti che suscitano perplessità. In primo luogo l’Autorità afferma genericamente che nei confronti dei social networks aventi sede all’estero “non sempre si è tutelati dalle leggi italiane“; nell’ambito di un’operazione di sensibilizzazione di questo tipo sarebbe stato auspicabile che il Garante – oltre ai consigli di buon senso – fornisse certezze in materia di legge applicabile, precisando quali sono i diritti e doveri degli utenti.

E poi non è affatto condivisibile il consiglio (peraltro già formulato in passato dal Garante) di utilizzare nei social networks uno pseudonimo e non il nome reale (e, addirittura, pseudonimi diversi in ciascun network). Innanzitutto credo che l’uso di uno pseudonimo non sia positivo in termini di fiducia degli utenti, creando solo incertezza su chi si cela dietro lo stesso; inoltre, la tutela offerta dall’utilizzo di pseudonimi corre il rischio di non essere efficace in quanto altri potrebbero individuare chi si cela dietro.
Due ricercatori dell’Università del Texas hanno addirittura sviluppato un algoritmo che consente di identificare gli utenti anonimi dei networks (l’interessante studio è disponibile qui).

L’opuscolo del Garante rappresenta un primo ed importante tentativo delle istituzioni italiane di creare consapevolezza sull’uso dei social networks, ma molto ancora deve essere fatto. Da giurista credo sia importante illustrare con precisione il quadro di regole che si applica al social networking in modo che ciascun utente possa agevolmente sapere quali sono i propri diritti e i propri doveri.
Sto lavorando ad un progetto in tal senso, stay tuned

Technorati Tags facebook, garante privacy, Privacy, social networks

Qualche settimana fa il Garante Privacy ha adottato un provvedimento sui rischi derivanti dalle attività di smatimento, dismissione e cessione di apparecchiature elettriche o elettroniche (ne avevo parlato qui), annunciando l’adozione di un ulteriore documento che avrebbe contenuto “le istruzioni per favorire quanto più possibile una cancellazione sicura dei dati“.

Proprio in questi giorni il Garante ha pubblicato sul proprio sito la scheda informativa contenente le istruzioni; chi si aspettava preziose indicazioni rimarrà deluso, il documento contiene, per lo più, link a raccomandazioni contenute sui siti delle rispettive software houses. Nonostante l’apprezzabile apertura del Garante – che si dichiara disponibile ad integrare le istruzioni con le segnalazioni che gli arriveranno -  su un punto così importante sarebbe stato lecito attendersi una guida più utile, sopratutto per gli utenti meno esperti.

Technorati Tags cancellazione dati, garante privacy, riservatezza dati personali

Prosegue l’opera di semplificazione portata avanti dal Garante in relazione ad alcuni adempimenti imposti dal Codice Privacy: dopo il provvedimento relativo a informativa e consenso è stato reso pubbblico oggi quello (tanto atteso) in materia di misure minime di sicurezza.

Il testo integrale del provvedimento – che si riferisce soltanto ad alcuni tipi di trattamento – è disponibile qui.
Le finalità di semplificazione sono sicuramente condivisibili, ma il provvedimento finisce per attenuare eccessivamente le cautele necessarie in materia di misure minime di sicurezza; per rendersene conto è sufficiente leggere l’art. 2.4 (Altre misure di sicurezza) nella parte in cui prevede che

Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici (ad esempio, antivirus), anche con riferimento ai programmi di cui all’art. 615-quinquies del codice penale, nonché a correggerne difetti, sono effettuati almeno annualmente. Se il computer non è connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite  rete aziendale, posta elettronica), l’aggiornamento deve essere almeno biennale.

Non c’è bisogno di essere un tecnico per capire che l’aggiornamento di un antivirus con cadenza annuale non ha praticamente senso (per non parlare degli aggiornamenti con cadenza biennale).

Possibile che non esista una via di mezzo tra adempimenti troppo complessi ed altri pressochè inesistenti? Non si rischia di far perdere ulteriormente di credibilità ad una normativa ancora poco applicata come quella in materia di privacy?

Technorati Tags antivirus, garante privacy, misure minime di sicurezza

Tutti quelli che usano strumenti informatici sanno cos’è l’obsolescenza, anche se non sanno darne una definizione. L’obsolescenza (insieme a guasti e rotture) è, infatti, uno dei motivi principali per cui un pc, un server o un cellulare vengono sostituiti più spesso di una scrivania, di un divano o di un armadio.

Solo che mentre quando si dà via un armadio ci si preoccupa di ripulirlo di tutti gli oggetti personali contenuti, non sempre quando – per qualsiasi motivo – dismettiamo le apparecchiature elettroniche ci premuriamo di eliminare in modo efficace i dati personali ivi memorizzati.

Nelle mie lezioni in materia di privacy ne parlo sempre: quando si dismette il proprio “usato informatico” è necessario seguire alcune (semplici) cautele per evitare che qualcun altro possa facilmente accedere a mail, indirizzi, foto, password dei servizi web utilizzati (home banking, social networks ecc.). Si tratta di un tema di importanza trasversale: aziende, professionisti, pubbliche amministrazioni e privati cittadini sono tutti tenuti ad adottare specifiche cautele al fine di non esporre i propri dati e quelli di terzi (amici, fornitori o clienti) a rischi seri come manipolazione o furto di identità.

A fronte dell’importanza di questi accorgimenti si rileva che, nella prassi,  vengono raramente adottati e sono sempre più frequenti casi di accesso non consentito ai dati personali memorizzati su apparecchiature elettroniche a seguito di una  “rottamazione” non sicura. Il fenomeno è tanto preoccupante da spingere il Garante per la Protezione dei Dati Personali ad occuparsene con uno specifico provvedimento.

Il provvedimento ha il pregio di richiamare l’attenzione di tutti coloro che dismettono apparecchiature elettroniche sulla necessità “di adottare idonei accorgimenti e misure, anche con l’ausilio di terzi tecnicamente qualificati volti a prevenire accessi non consentiti ai dati personali memorizzati “. Mi preme rilevare che – differentemente da quanto ho sentito – con il provvedimento in questione il Garante non introduce nuovi obblighi ma, semplicemente, illustra come rispettare compiutamente le norme vigenti in materia di misure di sicurezza (art. 31 e ss.; art. 154 e Allegato B D. Lgs. n. 196/2003); nel provvedimento si trovano una serie di preziosi suggerimenti che i più attenti al dettato normativo seguivano già. In particolare:

a) adozione di misure tecniche preventive per la memorizzazione sicura (mediante cifratura) dei dati;
b) adozione di misure tecniche per la cancellazione sicura dei dati (mediante appositi software oppure attraverso formattazione a basso livello o demagnetizzazione);
c) smaltimento che comporti la distruzione dei supporti in modo da impedire l’indebita acquisizione di dati personali.

Nel caso in cui il titolare del trattamento non abbia le competenze per provvedere a queste operazioni, sarà necesario conferire l’incarico a un terzo soggeto (specializzato) che attesti di averle eseguite.

Per chi non lo avesse già fatto, queste procedure devono essere previste nel famigerato Documento Programmatico sulla Sicurezza (DPS) e negli accordi con i fornitori di servizi informatici. Infatti dall’inosservanza di queste cautele, come ricorda il Garante, può derivare una responsabilità penale (per omessa adozione delle misure di sicurezza) e – in caso di danni arrecati a terzi – anche civile.

Meglio pensarci prima di vendere il cellulare su ebay o prima di dare via tutti i computer del nostro ufficio.

Technorati Tags garante privacy, riservatezza dati personali, rottamazione pc

Sabato scorso, nel corso di una conferenza stampa, il Ministro per la Pubblica Amministrazione e l’Innovazione ha presentato l’Operazione Trasparenza che consiste nella divulgazione, sui siti delle PA interessate, di recapiti telefonici ed email, curricula, retribuzioni e statistiche sulle assenze del personale del Ministero.

L’operazione è stata accolta con interesse e favore dall’opinione pubblica e io stesso ho creduto che potesse essere una svolta per l’e-government nostrano.

E invece, a guardare meglio, “il Re è nudo!“.

Innanzitutto sono deludenti i dati pubblicati: si tratta di dati parziali e, ad esempio quelli sulle assenze, sono statistiche, dati aggregati per ufficio. Quindi nulla ci dicono sulle assenze del singolo.

Il motivo? Ovviamente la privacy!

E qui si apre un altro capitolo dolente dell’Operazione. Sono sotto gli occhi di tutti le implicazioni che la pubblicazione via internet di questi dati ha sulla riservatezza dei soggetti interessati. Sul punto il Ministro ha affermato di aver avviato un confronto con il Garante dell Privacy e che l’operazione è conforme alla normativa vigente. Il Garante, invece, tace; o almeno sul suo sito non v’è traccia di alcun interessamento formale. E la memoria corre ad un episodio recente: la pubblicazione dei redditi sul sito dell’Agenzia delle Entrate. In quel caso ci ricordiamo il tempestivo e netto intervento del Garante. Viene da chiedersi come mai, invece, in questo caso l’Autorità sembri disinteressarsi del caso in questione.

Di sicuro non mancano i profili problematici come ha prontamente notato l’ottimo Guido Scorza.

Prima di esprimermi sui profili più prettamente giuridici della vicenda, vorrei qualcuno mi chiarisse alcuni aspetti:

1) Il Garante è stato investito formalmente della questione? Nella querelle con l’Agenzia delle Entrate ha rivendicato un coinvolgimento doveroso e preventivo.

2) Il quadro giuidico vigente consente la pubblicazione su sito internet degli stipendi di dirigenti e dipendenti? Nel procedimento nei confronti dell’Agenzia delle Entrate il Garante ha distinto tra dato pubblico e dato pubblicabile su internet;

3) Se le informazionisono pubbliche e pubblicabili perchè il Ministro ha affermato che la diffusione dei dati è stata autorizzata da ogni dirigente?

4) L’autorizzazione data dai dipendenti è stata preceduta da informativa idonea sulle modalità di publicazione?

A mio parere per iniziare una vera operazione trasparenza Ministro e Garante dovrebbero rendere pubbliche le risposte a queste domande.
Quello iniziato dal Ministero della Funzione pubblica è un cammino importante ed è auspicabile che l’esempio sia seguito dalle altre amministrazioni. Perchè ciò accada anche gli atti propedeutici devono essere resi pubblici.

Technorati Tags funzione pubblica, garante privacy, operazione trasparenza

Nonostante sia trascorso già qualche giorno dal provvedimento del Garante Privacy, si continua ancora a parlare della decisione dell’Agenzia delle Entrate di mettere on line i redditi degli italiani. Tuttavia mentre in Italia ci si limita ad analisi di tipo “politico”o a discutere delle iniziative di alcune associazioni di consumatori, le ossservazioni più interessanti le sto leggendo sui siti stranieri. All’indomani della pubblicazione la notizia era stata commentata con una certa ironia , oggi l’attenzione si sposta sulle ulteriori conseguenze della decisione dell’Agenzia delle Entrate: i rischi maggiori (oltre a quello di rapimenti) sono in termini di furto di identità.

La mia posizione sulla vicenda l’ho espressa nel corso del dibattito live su civile.it di qualche giorno fa. E’ stato un confronto piacevole con l’amico Carmelo Giurdanella ottimamente condotto da Valentino Spataro che ringrazio per l’entusiasmo e la la disponibilità.

 Se avete lo avete perso o avete voglia di riascoltarlo lo embeddo qui sotto.

Technorati Tags belisario, civile.it, fisco, garante privacy, giurdanella, Privacy, redditi on line, spataro