È ora di dare più valore alle protezione dei dati personali. Purtroppo chi ha la responsabilità di assicurare la blindatura di certe banche dati spesso la considera come un fastidioso adempimento o una spesa da tagliare
Dopo quanto emerso sulla società Equalize, con più di 800mila dati carpiti da banche dati pubbliche e un milione di persone “spiate”, qualcuno direbbe ancora, come ai tempi della pandemia, che “la privacy è una fisima”? La domanda sorge spontanea, a seguito della vicenda oggetto delle cronache di questi giorni.
La lezione della pandemia
All’epoca della pandemia, qualcuno qualificava la privacy come una fisima affinché, a tutela della salute pubblica, il governo ricorresse all’uso di strumenti idonei a un tracciamento massivo digitale. Si minimizzava il problema della pesante intrusione che vi sarebbe stata nella sfera giuridica delle persone, dicendo che comunque esse cedono quotidianamente dati ad applicazioni informatiche, e si spacciavano come legittimi certi sistemi di controllo in stile cinese.
Le critiche di alcuni esperti, ma soprattutto la barra dritta tenuta dal Garante per la protezione dei dati personali, consentirono di contrastare la pandemia attraverso soluzioni rispettose dei principi di trasparenza, proporzionalità e coerenza tra obiettivi perseguiti e strumenti usati.
Il caso Equalize
Quasi cinque anni dopo lo scoppio della pandemia, oggi emergono casi di accessi illeciti a banche dati, perché qualcuno evidentemente reputa che ci siano ottimi motivi - sentimentali o lavorativi, personali o politici, oppure altri - per superare i paletti posti dalla legge a tutela della privacy. Ma forse la vicenda Equalize sta consentendo a molte persone di rendersi finalmente conto del valore dei propri dati e del fatto che, quanto più essi circolano tanto più aumenta il rischio di violazioni. Vale a dire il rischio che qualcuno possa “spiare” la vita degli altri.
È evidente la necessità che esistano banche dati che consentono, ad esempio, di scovare evasori o tutelare la sicurezza pubblica. Forse meno evidente è stata finora l’esigenza che queste miniere di dati fossero protette da solide infrastrutture informatiche e da controlli adeguati. In altre parole, l’esigenza che la privacy non fosse considerata una fisima.
Le norme
La normativa in tema di dati personali, in primis il Regolamento europeo per la loro protezione (GDPR), richiede che essi siano raccolti per finalità determinate, espresse e legittime; che non siano eccedenti rispetto a tali finalità; che siano sottoposti a esame periodico per verificare che serva continuare a conservarli, e che poi siano cancellati. Dev’essere, inoltre, predisposta un’idonea tutela rispetto a trattamenti illeciti, mediante adeguate misure tecniche e organizzative.
Non basta prevedere che gli addetti alle banche dati abbiano certificati di autenticazione e password, né che i loro accessi siano tracciati dal sistema informatico, se poi quest’ultimo è lasciato privo di un monitoraggio (ad esempio, con alert in caso di consultazioni anomale). Monitoraggio teso ad accertare che i trattamenti effettuati non esondino dai limiti previsti, configurandosi come illeciti pur se effettuati da soggetti legittimamente autorizzati. Responsabile ultimo delle violazioni privacy è il titolare del trattamento, cioè il vertice della struttura, anche se nella vicenda Equalize questo profilo sta passando quasi sotto silenzio.
Le soluzioni
Secondo il sottosegretario alla Presidenza del Consiglio con delega all’innovazione tecnologica, Alessio Butti, servirebbe istituire una «agenzia del dato», per assicurare che esso «non possa essere sottratto o non possa essere indagato da soggetti che non hanno alcuna competenza». Premesso che quest’ennesimo ente di emanazione governativa non potrebbe essere operativo in tempi brevi, ci si chiede quali sarebbero i limiti del suo potere – i dati sono potere – e, soprattutto, se alcune sue competenze non finirebbero per sovrapporsi rispetto a quelle del Garante Privacy, generando rischi di divergenze, oltre a burocrazia operativa.
Più agevole sembra invece la soluzione adottata dal Garante stesso, che ha creato «una task force interdipartimentale» al fine di «individuare prontamente», tra l’altro, «misure di sicurezza, tecniche e organizzative, adeguate riguardo agli accessi da parte del personale autorizzato, ma anche al complesso delle operazioni svolte dagli incaricati della loro gestione e manutenzione».
Di certo non servono ulteriori norme o inasprimenti di pene, se la privacy continua a essere considerata da alcuni come un fastidioso adempimento burocratico o una spesa su cui risparmiare. Insomma, la privacy non è una fisima, sempre lì si torna. Ma molti di coloro i quali, a ogni livello, avevano la responsabilità di garantire la sicurezza di banche dati contenenti informazioni cruciali per la vita delle persone e la democrazia del Paese forse non l’avevano ancora capito.
© Riproduzione riservata