Copyright
Salvo dove diversamente specificato, i contenuti di questo sito sono distribuiti con licenza CC BY-NC-SA 2.5
Da poche ore iniziata l’ultima settimana della campagna elettorale per le elezioni regionali ed amministrative che si terranno il 28 e 29 marzo 2010; tradizionalmente, si tratta della settimana pi intensa (ed aggressiva) in cui si intensificano comizi, telefonate e volantinaggio. Quest’anno, pi degli altri, politici e partiti stanno usando il Web ed i social networks, non sempre in modo corretto.
Per questo, con il collega (ed amico) Stefano Laguardia, abbiamo scritto un articolo per provare a delineare le regole applicabili alla propaganda elettorale 2.0. Di seguito riporto il testo, che pu essere scaricato in formato .pdf cliccando qui.
* * *
Le regole della propaganda politica on line
Dopo la chiusura delle liste dei candidati alle elezioni regionali ed amministrative 2010, la campagna elettorale entrata nel vivo: le citt, come di consueto, si sono riempite di manifesti di partiti e candidati, radio e televisioni ospitano spot e tribune elettorali. Tuttavia, come ormai accade da qualche anno, la propaganda elettorale non veicolata soltanto attraverso i mezzi tradizionali, come gli enormi manifesti 6×3, i volantini, i c.d. santini ed il porta a porta, ma si assiste ad un uso sempre pi massiccio delle nuove tecnologie, che hanno il vantaggio di raggiungere un elevato numero di elettori con costi relativamente bassi.
L’uso di strumenti quali la posta elettronica o i siti web preparati ad hoc per le competizioni elettorali non rappresentano pi una novit e, fin da subito, hanno posto problemi sotto il profilo della compatibilit con le norme giuridiche vigenti, specialmente in materia di privacy; la propaganda politica virtuale, infatti, non completamente libera ma soggiace alle stesse regole di quella reale.
E non casuale che, in prossimit di ogni consultazione elettorale, il Garante per la protezione dei dati personali adotti appositi provvedimenti; l’ultimo stato pubblicato qualche settimana fa (precisamente sulla Gazzetta Ufficiale n. 43 del 22 febbraio 2010) e ricalca le regole gi previste in un provvedimento generale del 2005 ,ricordando a partiti politici e candidati le modalit in base alle quali chi effettua propaganda elettorale pu utilizzare correttamente i dati personali dei cittadini (come indirizzo postale, numero di telefono, e-mail).
Innanzitutto, il Garante ricorda come per contattare gli elettori ed inviare loro materiale di propaganda, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono usare senza il consenso dei cittadini soltanto i dati contenuti nelle liste elettorali detenute dai Comuni, nonch i dati personali di iscritti ed aderenti. Possono essere usati anche altri elenchi e registri in materia di elettorato attivo e passivo (es. elenco degli elettori italiani residenti all’estero) ed altre fonti documentali detenute da soggetti pubblici accessibili a chiunque, come gli albi professionali (nei limiti in cui lo statuto del rispettivo Ordine ne preveda la conoscibilit). I titolari di cariche elettive possono utilizzare dati raccolti nel quadro delle relazioni interpersonali da loro avute con cittadini ed elettori (ivi compresi, ad esempio, indirizzi di posta elettronica).
Al contrario, i dati personali raccolti in quanto necessari nell’esercizio di attivit professionali e d’impresa non sono utilizzabili, da momento che la finalit di propaganda non riconducibile agli scopi per i quali i dati sono stati raccolti; di conseguenza, l’imprenditore o il professionista candidato non potr utilizzare la propria rubrica clienti o il proprio elenco fornitori per inviare materiale elettorale.
Inoltre, a meno che i dati non siano stati forniti direttamente dall’interessato, necessario il consenso per gli indirizzi raccolti su Internet o ricavati da forum e newsgroup: il Garante, infatti, ha gi ripetutamente affermato che l’eventuale reperibilit di un indirizzo sul Web non lo rende per ci stesso disponibile anche per l’invio di comunicazioni elettroniche non sollecitate.
(Immagine di silenceofthelambert)
La campagna elettorale sui social networks
Negli ultimi anni, per, gli strumenti tecnologici a disposizione di candidati e partiti si sono evoluti, grazie in particolare all’avvento del Web 2.0 e dei social networks. Sono sempre di pi coloro che, capendo l’efficacia di social media quali Facebook, Twitter o Friendfeed, hanno iniziato a farne uso come vero e proprio veicolo di propaganda elettorale.
E cos non accade raramente che, in questi periodi di fermento dettato dall’approssimarsi delle elezioni, si ricevano inaspettate richieste di amicizia, la propria bacheca venga riempita da messaggi di propaganda o si venga taggati in una nota o in una foto di qualche candidato.
C’ da chiedersi, per, fino a che punto questi comportamenti possano essere considerati compatibili con le norme vigenti; infatti, non di rado il modo di usare i social networks da parte dei candidati diventa eccessivamente invasivo, al pari della posta elettronica indesiderata.
Esistono limiti all’uso di questi strumenti? E’ lecito taggare gli amici-elettori in un manifesto elettorale? A queste e ad altre simili domande ci si sarebbe aspettati di trovare risposta nell’ultimo provvedimento del Garante Privacy, ma – al contrario – nel documento innanzi citato non c’ riferimento specifico all’uso degli strumenti del Web 2.0 (il provvedimento generale richiamato, infatti, risale al 2005).
Tuttavia, attraverso la lettura del Codice Privacy (D.Lgs. n. 196/2003) e dei principi fin qui enucleati dall’Autorit Garante, possibile provare a tracciare alcune indicazioni per l’uso dei social networks a fini di propaganda elettorale in modo da evitare contestazioni, contenzioso e responsabilit.
Il candidato vuole diventare mio amico
Se un partito politico, un comitato elettorale o un candidato decide di seguirci o richiedere la nostra amicizia su un social network in piena campagna elettorale altamente probabile che voglia inviarci messaggi di propaganda politica. Per evitare questo inconveniente, assume molta importanza la c.d. autotutela, vale a dire la gestione attenta e consapevole che ogni utente deve curare per i propri dati personali. Ci significa, innanzitutto, evitare se lo vogliamo che i nostri profili vengano indicizzati dai motori di ricerca.
Tuttavia, se un candidato riesce a trovarci, la mera richiesta di amicizia non pu considerarsi illecita. Una volta diventati amici, il candidato non potr legittimamente utilizzare senza consenso i dati pubblicati sui profili dei suoi amici-elettori (come numeri di telefono ed indirizzi di posta elettronica).
Se mi tagghi non vale
Uno strumento veloce di propaganda elettorale, tanto in voga quanto invasivo, consiste nel taggare i propri amici (cio segnalare la loro presenza) in fotografie o note pubblicate sul profilo del candidato.
Anche qui la domanda fondamentale da porsi se il candidato possa liberamente taggare gli amici senza il loro previo consenso in note o foto a contenuto propagandistico che nessun legame hanno con i soggetti taggati (ad esempio, il simbolo del partito o l’immagine di un manifesto).
Sotto questo profilo, pu essere utile rammentare che lo stesso Garante, quando recentemente ha indicato le cautele da adottare sui social networks, ha gi affermato che bisogna evitare di inserire immagini in cui compaiano anche altre persone che non hanno prestato il consenso alla pubblicazione.
Tale cautela deve essere seguita con ancor pi scrupolo con riferimento ai tag elettorali dal momento che sono idonei a rivelare le opinioni politiche e l’adesione a partiti e organizzazioni politiche, che costituiscono dati sensibili ai sensi dell’art. 4 D. Lgs. n. 196/2003 (Codice Privacy). Di conseguenza, in assenza di un preventivo consenso, il tag su note o immagini elettorali pu essere considerato illecito e lesivo della normativa in materia di riservatezza dei dati personali.
Il candidato mi scrive
Un altro modo di utilizzare i social networks a fini di propaganda rappresentato dall’invio di messaggi da parte del politico ai propri contatti; ci pu avvenire sia in privato, con la trasmissione di comunicazioni dirette (cc.dd. DM), sia attraverso la pubblicazione di messaggi sulla bacheca dei propri contatti.
Se tale attivit sia legittima o meno quesito alquanto complesso, la cui risoluzione passa per la corretta definizione del concetto di amicizia sui social networks.
Infatti, se pensiamo che accettare una richiesta di amicizia implichi il consenso a ricevere ogni genere di messaggi (anche di pubblicit e propaganda) dal nuovo contatto, bisogner considerare legittima lattivit del candidato.
In caso contrario – ed questa lopinione di chi scrive – applicando in via analogica i precetti gi indicati dal Garante, i messaggi di propaganda politica non sollecitati potranno essere inviati in DM e bacheche solo previo consenso da parte dei propri contatti.
Operazione trasparenza, come molti sanno, non il titolo dell’ultimo film di James Bond, ma il nome di uno dei primi atti posti in essere dal Ministro per la Pubblica Amministrazione e l’Innovazione, On. Renato Brunetta.
L’Operazione fu varata nel maggio 2008 con la pubblicazione sul sito Internet del Ministero dei dati relativi al personale, di organigrammi, numero di dirigenti, retribuzioni lorde, telefono, e-mail e curricula dei dirigenti, nonch dei tassi di assenza per ufficio.
Molte di queste informazioni erano gi pubbliche per legge (ai sensi degli artt. 54 D. Lgs. n. 82/2005 e 1, comma 593, Legge n. 296/2006) ma con con la Legge n. 69/2009 che l’Operazione Trasparenza stata resa obbligatoria per tutti gli Enti; in particolare, l’art. 21, comma 1, ha previsto che ciascuna Amministrazione
ha l’obbligo di pubblicare nel proprio sito internet le retribuzioni annuali, i curricula vitae, gli indirizzi di posta elettronica e i numeri telefonici ad uso professionale dei dirigenti e dei segretari comunali e provinciali nonch di rendere pubblici, con lo stesso mezzo, i tassi di assenza e di maggiore presenza del personale distinti per uffici di livello dirigenziale.
Dopo la pubblicazione in Gazzetta Ufficiale di questa norma scattata la corsa all’adeguamento da parte dei diversi Enti che hanno inserito nei propri siti istituzionali le informazioni sopra menzionate.
Con riferimento alle modalit della pubblicazione, in un interessante post, Vittorio Pasteris ha segnalato come molte Amministrazioni (centrali e locali), con un accorgimento tecnico che riguarda il file robots.txt, impediscono l’indicizzazione delle pagine relative all’Operazione Trasparenza da parte dei motori di ricerca; tale accorgimento, lungi dall’essere nascosto, poi suggerito in modo “trasparente” sul sito del Ministero in un’apposita pagina dedicata all’applicazione della Legge n. 69/2009.
In tanti hanno commentato questa segnalazione, valutando l’accorgimento tecnico relativo al file robots.txt come tentativo di manipolazione volto a frustrare, di fatto, gli oblietivi di trasparenza tanto sbandierati.
L’indagine di Pasteris sicuramente interessante e trovo assolutamente opportuno tenere alta l’attenzione sui siti Web della Pubblica Amministrazione, ma tali analisi non mi trovano d’accordo.
Chi mi legge sa che in passato sono stato critico con le modalit con cui l’Operazione Trasparenza stata condotta (ne ho parlato qui e qui) ma, in questo caso, ritengo che le accuse di voler nascondere i dati non siano condivisibili.
In primo luogo, infatti, va rilevato che la norma relativa all’Operazione Trasparenza ha un alto livello di applicazione; altri sono i casi in cui le Amministrazioni non si sono fatte scrupolo di disattendere completamente il dettato normativo (basti pensare all’obbligo di indicare la casella di PEC nell’home page di ogni sito istituzionale contenuto nella stessa Legge n. 69/2009, all’art. 34, e rimasto lettera morta).
E poi, non pu farsi a meno di rilevare come la cautela relativa al file robots.txt appaia assolutamente doverosa al fine di garantire il rispetto della normativa in materia di riservatezza dei dati personali.
(Immagine di sicaholic)
Vale la pena di ricordare, infatti, che proprio in corrispondenza dell’avvio dell’Operazione Trasparenza il Garante per la Protezione dei Dati Personali stato investito di numerosi quesiti. Sul punto – in modo del tutto condivisibile – l’Autorit con Nota del 12 giugno 2008 ha sottolineato la necessit di predisporre
idonei accorgimenti volti a consentire forme proporzionate di consultabilit dei dati, prevedendo in particolare elenchi relativi a singole amministrazioni, consultabili distintamente (anche sulla base di eventuali link a siti web delle amministrazioni medesime), senza che per gli utenti sia possibile modificarli agevolmente o reperire direttamente dati mediante motori di ricerca.
Da un punto di vista giuridico, infatti, la circostanza che un determinato dato sia pubblico non significa che lo stesso possa essere diffuso in modo indiscriminato; sul punto deve necessariamente essere effettuato un contemperamento tra le contrapposte esigenze di conoscenza da parte dei cittadini e quelle di riservatezza dei soggetti cui i dati si riferiscono.
Si tratta di un principio del tutto pacifico in dottrina e affermato in pi di un provvedimento dello stesso Garante Privacy (su tutti segnalo l’importantissima Deliberazione n. 17/2007 che consultabile qui).
Alla luce di tali canoni, anche al fine di evitare contenzioso e pretese risarcitorie, le Amministrazioni devono sempre rispettare il principio di proporzionalit sancito dall’art. 11 del Codice Privacy (D. Lgs. n. 196/2003), ponendo attenzione anche al “diritto all’oblio” degli interessati. Infatti, l’indicizzazione dei dati dell’Operazione Trasparenza da parte dei motori di ricerca potrebbe comportare un sacrificio sproporzionato dei diritti dei soggetti cui i dati stessi si riferiscono. Non deve essere sottovalutato che, attraverso i motori di ricerca, potrebbe essere ricostruito un numero ingente di dati riferiti a questi soggetti (pi o meno aggiornati e di natura differente) per motivi del tutto diversi da quelli di trasparenza dell’Amministrazione.
Di conseguenza, in considerazione del sempre maggiore ruolo che avranno i siti Web della PA, la cautela relativa al file robots.txt mi sembra un segnale positivo di attenzione nei confronti della riservatezza degli interessati, i cui dati sono comunque pubblici e resi consultabili sui siti delle singole Amministrazioni.
Rispettare la normativa in materia di privacy non signirica avere qualcosa da nascondere (o, peggio, voler nascondere qualcosa), ma semplicemente avere riguardo ai diritti e agli interessi di tutti.
Si continua a parlare del delicatissimo (e difficile) rapporto tra privacy e social networks.
E’ di qualche tempo fa la notizia che una Corte della California ha stabilito che la stampa pu ri-pubblicare ci che gli utenti scrivono sulle rispettive bacheche (nella fattispecie si trattava di Myspace); anche in Italia il Garante Privacy (dopo la diffusione dell’opuscolo di cui ho parlato qui) si espresso sulla questione relativa all’uso di immagini tratte dai social networks (in particolare Facebook), affermando il principio per cui giornali e televisioni possono diffondere le fotografie pubblicate dagli utenti, qualora ci sia necessario per fornire informazioni riguardo a fatti di interesse pubblico e purch venga adeguatamente verificata la correttezza e l’esattezza dei dati pubblicati (ad esempio che la foto diffusa sia davvero della persona cui si riferisce la notizia).
L’importanza delle informazioni inserite dagli utenti nei rispettivi profili ancora pi evidente se si pensa, ad esempio, che gli Uffici dei college statunitensi che si occupano delle ammissioni acquisiscono informazioni sugli aspiranti studenti proprio da siti come Facebook o Myspace.
Per questo ritengo che sia sempre pi importante creare consapevolezza su questi temi. In Rete, fortunatamente, si moltiplicano i siti che contengono consigli su come proteggere la propria privacy e EFF ha addirittura lanciato un servizio on line (utilissimo) che consente di monitorare le condizioni si servizio di tutti i pi importanti siti web (da Ebay a Google); tenendolo d’occhio possibile essere informati su tutte le modifiche delle politiche dei siti, compresi quelli di social networking, in materia di privacy.
Su “la privacy nell’era digitale” ho scritto un articolo, che vi segnalo, sul numero di giugno di BlogMagazine; fatemi sapere cosa ne pensate 
- Cliccate qui per leggere l’articolo on line
-Cliccate qui per il download del magazine in formato PDF
La crescente diffusione del social networking ha posto fin da subito numerosi problemi in ordine alla riservatezza dei dati personali inseriti dagli utenti.
Si tratta di argomenti che, per lungo tempo, sono stati oggetto di discussione tra gli addetti ai lavori mentre sono stati quasi del tutto sottovalutati dalla generalit degli utenti: dalla titolarit dei dati alla data portability, dallo spam al dirito all’oblio.
Alcuni episodi saliti agli onori della cronaca hanno avuto il merito di portare questi temi all’attenzione dell’opinione pubblica e delle istituzioni che (a livello comunitario e nazionale) si occupano di tutela della privacy e che, finora, si erano affidate esclusivamente all’autoregolamentazione e ai suggerimenti dettati dal buon senso.
Nel corso degli ultimi giorni ha fatto molto discutere il caso dell’infermiera di un Ospedale di Udine che ha pubblicato su Facebook foto in cui comparivano anche pazienti ricoverati in terapia intensiva (anziani intubati e incoscienti): la Direzione Generale dell’Ospedale (con provvedimento discutibile che rischia di diventare un pericoloso precedente) ha deciso di vietare Facebook ai propri dipentendi e il Garante per la privacy avvier un’istruttoria.
Proprio all’inizio di questa settimana (con involontario tempismo) il Garante aveva pubblicato un opuscolo – che embeddo qui sotto – sui rischi che l’uso dei social networks pu determinare per la privacy.
Finalmente, anche se con un certo ritardo, il Garante ha deciso di iniziare un’operazione di sensibilizzazione su queste tematiche nei confronti di tutti gli utenti dei social networks.
L’opuscolo, dal taglio pratico, non un manuale ma una guida operativa che contiene molti ammonimenti e qualche “consiglio per l’uso”.
In modo consivisibile, il Garante afferma l’importanza della c.d. “autotutela”, vale a dire di una gestione attenta e consapevole che ogni utente deve curare per i propri dati personali.
Ci significa, innanzitutto, stare attenti a quali e quante informazioni si inseriscono, al contenuto delle condizioni d’uso dei diversi siti (ad esempio in materia di propriet dei dati, ma anche delle foto e dei video uploadati), alla possibilit di poter cancellare il proprio profilo (e non solo disattivarlo come permesso da alcuni social networks) e al fatto che la gran parte delle informazioni viene indicizzata dai motori di ricerca.
Un utente consapevole, inoltre, deve difendere anche la privacy degli altri facendo attenzione, ad esempio, ad inserire foto in cui compaiono anche altre persone che non hanno prestato il consenso alla pubblicazione.
Nell’opuscolo del Garante non mancano per aspetti che suscitano perplessit. In primo luogo l’Autorit afferma genericamente che nei confronti dei social networks aventi sede all’estero “non sempre si tutelati dalle leggi italiane“; nell’ambito di un’operazione di sensibilizzazione di questo tipo sarebbe stato auspicabile che il Garante – oltre ai consigli di buon senso – fornisse certezze in materia di legge applicabile, precisando quali sono i diritti e doveri degli utenti.
E poi non affatto condivisibile il consiglio (peraltro gi formulato in passato dal Garante) di utilizzare nei social networks uno pseudonimo e non il nome reale (e, addirittura, pseudonimi diversi in ciascun network). Innanzitutto credo che l’uso di uno pseudonimo non sia positivo in termini di fiducia degli utenti, creando solo incertezza su chi si cela dietro lo stesso; inoltre, la tutela offerta dall’utilizzo di pseudonimi corre il rischio di non essere efficace in quanto altri potrebbero individuare chi si cela dietro.
Due ricercatori dell’Universit del Texas hanno addirittura sviluppato un algoritmo che consente di identificare gli utenti anonimi dei networks (l’interessante studio disponibile qui).
L’opuscolo del Garante rappresenta un primo ed importante tentativo delle istituzioni italiane di creare consapevolezza sull’uso dei social networks, ma molto ancora deve essere fatto. Da giurista credo sia importante illustrare con precisione il quadro di regole che si applica al social networking in modo che ciascun utente possa agevolmente sapere quali sono i propri diritti e i propri doveri.
Sto lavorando ad un progetto in tal senso, stay tuned 
Qualche settimana fa il Garante Privacy ha adottato un provvedimento sui rischi derivanti dalle attivit di smatimento, dismissione e cessione di apparecchiature elettriche o elettroniche (ne avevo parlato qui), annunciando l’adozione di un ulteriore documento che avrebbe contenuto “le istruzioni per favorire quanto pi possibile una cancellazione sicura dei dati“.
Proprio in questi giorni il Garante ha pubblicato sul proprio sito la scheda informativa contenente le istruzioni; chi si aspettava preziose indicazioni rimarr deluso, il documento contiene, per lo pi, link a raccomandazioni contenute sui siti delle rispettive software houses. Nonostante l’apprezzabile apertura del Garante – che si dichiara disponibile ad integrare le istruzioni con le segnalazioni che gli arriveranno - su un punto cos importante sarebbe stato lecito attendersi una guida pi utile, sopratutto per gli utenti meno esperti.
Prosegue l’opera di semplificazione portata avanti dal Garante in relazione ad alcuni adempimenti imposti dal Codice Privacy: dopo il provvedimento relativo a informativa e consenso stato reso pubbblico oggi quello (tanto atteso) in materia di misure minime di sicurezza.
Il testo integrale del provvedimento – che si riferisce soltanto ad alcuni tipi di trattamento – disponibile qui.
Le finalit di semplificazione sono sicuramente condivisibili, ma il provvedimento finisce per attenuare eccessivamente le cautele necessarie in materia di misure minime di sicurezza; per rendersene conto sufficiente leggere l’art. 2.4 (Altre misure di sicurezza) nella parte in cui prevede che
Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilit di strumenti elettronici (ad esempio, antivirus), anche con riferimento ai programmi di cui all’art. 615-quinquies del codice penale, nonch a correggerne difetti, sono effettuati almeno annualmente. Se il computer non connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica), l’aggiornamento deve essere almeno biennale.
Non c’ bisogno di essere un tecnico per capire che l’aggiornamento di un antivirus con cadenza annuale non ha praticamente senso (per non parlare degli aggiornamenti con cadenza biennale).
Possibile che non esista una via di mezzo tra adempimenti troppo complessi ed altri pressoch inesistenti? Non si rischia di far perdere ulteriormente di credibilit ad una normativa ancora poco applicata come quella in materia di privacy?
Tutti quelli che usano strumenti informatici sanno cos’ l’obsolescenza, anche se non sanno darne una definizione. L’obsolescenza (insieme a guasti e rotture) , infatti, uno dei motivi principali per cui un pc, un server o un cellulare vengono sostituiti pi spesso di una scrivania, di un divano o di un armadio.
Solo che mentre quando si d via un armadio ci si preoccupa di ripulirlo di tutti gli oggetti personali contenuti, non sempre quando – per qualsiasi motivo – dismettiamo le apparecchiature elettroniche ci premuriamo di eliminare in modo efficace i dati personali ivi memorizzati.
Nelle mie lezioni in materia di privacy ne parlo sempre: quando si dismette il proprio “usato informatico” necessario seguire alcune (semplici) cautele per evitare che qualcun altro possa facilmente accedere a mail, indirizzi, foto, password dei servizi web utilizzati (home banking, social networks ecc.). Si tratta di un tema di importanza trasversale: aziende, professionisti, pubbliche amministrazioni e privati cittadini sono tutti tenuti ad adottare specifiche cautele al fine di non esporre i propri dati e quelli di terzi (amici, fornitori o clienti) a rischi seri come manipolazione o furto di identit.
A fronte dell’importanza di questi accorgimenti si rileva che, nella prassi, vengono raramente adottati e sono sempre pi frequenti casi di accesso non consentito ai dati personali memorizzati su apparecchiature elettroniche a seguito di una “rottamazione” non sicura. Il fenomeno tanto preoccupante da spingere il Garante per la Protezione dei Dati Personali ad occuparsene con uno specifico provvedimento.
Il provvedimento ha il pregio di richiamare l’attenzione di tutti coloro che dismettono apparecchiature elettroniche sulla necessit “di adottare idonei accorgimenti e misure, anche con l’ausilio di terzi tecnicamente qualificati volti a prevenire accessi non consentiti ai dati personali memorizzati “. Mi preme rilevare che – differentemente da quanto ho sentito – con il provvedimento in questione il Garante non introduce nuovi obblighi ma, semplicemente, illustra come rispettare compiutamente le norme vigenti in materia di misure di sicurezza (art. 31 e ss.; art. 154 e Allegato B D. Lgs. n. 196/2003); nel provvedimento si trovano una serie di preziosi suggerimenti che i pi attenti al dettato normativo seguivano gi. In particolare:
a) adozione di misure tecniche preventive per la memorizzazione sicura (mediante cifratura) dei dati;
b) adozione di misure tecniche per la cancellazione sicura dei dati (mediante appositi software oppure attraverso formattazione a basso livello o demagnetizzazione);
c) smaltimento che comporti la distruzione dei supporti in modo da impedire l’indebita acquisizione di dati personali.
Nel caso in cui il titolare del trattamento non abbia le competenze per provvedere a queste operazioni, sar necesario conferire l’incarico a un terzo soggeto (specializzato) che attesti di averle eseguite.
Per chi non lo avesse gi fatto, queste procedure devono essere previste nel famigerato Documento Programmatico sulla Sicurezza (DPS) e negli accordi con i fornitori di servizi informatici. Infatti dall’inosservanza di queste cautele, come ricorda il Garante, pu derivare una responsabilit penale (per omessa adozione delle misure di sicurezza) e – in caso di danni arrecati a terzi – anche civile.
Meglio pensarci prima di vendere il cellulare su ebay o prima di dare via tutti i computer del nostro ufficio.
Sabato scorso, nel corso di una conferenza stampa, il Ministro per la Pubblica Amministrazione e l’Innovazione ha presentato l’Operazione Trasparenza che consiste nella divulgazione, sui siti delle PA interessate, di recapiti telefonici ed email, curricula, retribuzioni e statistiche sulle assenze del personale del Ministero.
L’operazione stata accolta con interesse e favore dall’opinione pubblica e io stesso ho creduto che potesse essere una svolta per l’e-government nostrano.
E invece, a guardare meglio, “il Re nudo!“.
Innanzitutto sono deludenti i dati pubblicati: si tratta di dati parziali e, ad esempio quelli sulle assenze, sono statistiche, dati aggregati per ufficio. Quindi nulla ci dicono sulle assenze del singolo.
Il motivo? Ovviamente la privacy!
E qui si apre un altro capitolo dolente dell’Operazione. Sono sotto gli occhi di tutti le implicazioni che la pubblicazione via internet di questi dati ha sulla riservatezza dei soggetti interessati. Sul punto il Ministro ha affermato di aver avviato un confronto con il Garante dell Privacy e che l’operazione conforme alla normativa vigente. Il Garante, invece, tace; o almeno sul suo sito non v’ traccia di alcun interessamento formale. E la memoria corre ad un episodio recente: la pubblicazione dei redditi sul sito dell’Agenzia delle Entrate. In quel caso ci ricordiamo il tempestivo e netto intervento del Garante. Viene da chiedersi come mai, invece, in questo caso l’Autorit sembri disinteressarsi del caso in questione.
Di sicuro non mancano i profili problematici come ha prontamente notato l’ottimo Guido Scorza.
Prima di esprimermi sui profili pi prettamente giuridici della vicenda, vorrei qualcuno mi chiarisse alcuni aspetti:
1) Il Garante stato investito formalmente della questione? Nella querelle con l’Agenzia delle Entrate ha rivendicato un coinvolgimento doveroso e preventivo.
2) Il quadro giuidico vigente consente la pubblicazione su sito internet degli stipendi di dirigenti e dipendenti? Nel procedimento nei confronti dell’Agenzia delle Entrate il Garante ha distinto tra dato pubblico e dato pubblicabile su internet;
3) Se le informazionisono pubbliche e pubblicabili perch il Ministro ha affermato che la diffusione dei dati stata autorizzata da ogni dirigente?
4) L’autorizzazione data dai dipendenti stata preceduta da informativa idonea sulle modalit di publicazione?
A mio parere per iniziare una vera operazione trasparenza Ministro e Garante dovrebbero rendere pubbliche le risposte a queste domande.
Quello iniziato dal Ministero della Funzione pubblica un cammino importante ed auspicabile che l’esempio sia seguito dalle altre amministrazioni. Perch ci accada anche gli atti propedeutici devono essere resi pubblici.
Nonostante sia trascorso gi qualche giorno dal provvedimento del Garante Privacy, si continua ancora a parlare della decisione dell’Agenzia delle Entrate di mettere on line i redditi degli italiani. Tuttavia mentre in Italiaci si limita ad analisi di tipo “politico”o a discutere delle iniziative di alcune associazioni di consumatori, le ossservazioni pi interessanti le sto leggendo sui siti stranieri. All’indomani della pubblicazione la notizia era stata commentata con una certa ironia , oggi l’attenzione si sposta sulle ulteriori conseguenze della decisione dell’Agenzia delle Entrate: irischi maggiori (oltre a quello di rapimenti) sono in termini di furto di identit.
La mia posizione sulla vicenda l’ho espressa nel corso del dibattito live su civile.it di qualche giorno fa. E’ stato un confronto piacevole con l’amico Carmelo Giurdanella ottimamente condotto da Valentino Spataro che ringrazio per l’entusiasmo e la la disponibilit.
Se avete lo avete perso o avete voglia di riascoltarlo lo embeddo qui sotto.