Venti anni di legge sulla privacy: il Garante attacca la geografia dei poteri nel web e la disattenzione alla cybersecurity

Alla relazione annuale, Antonello Soro illustra le attività dell’Autorità per la Protezione dei dati personali e invita la politica a intervenire per non lasciare il campo a Google, Facebook e Co. E avverte: le aziende investano in cybersecurity

“Internet è la nuova dimensione entro cui si svolge la personalità di ciascuno e il luogo dove i diritti si esercitano o possono essere negati.” “Internet è il luogo dove le libertà si dispiegano e possono essere violate.” Per questo i nostri dati vanno tutelati e con essi la nostra dignità e autonomia. Per questo non possiamo lasciare in mano ai giganti del web la decisione di intervenire per assicurare rispetto, dignità e privacy dei cittadini in rete visto che il loro business è fondato sulla commercializzazione dei dati personali dei loro utenti.

È questa in sintesi la principale raccomandazione fatta oggi dal  Garante Privacy Antonello Soro durante la relazione annuale dell’Autorità per la protezione dei dati personali da lui presieduta.


Un invito alla politica, più che un allarme, a occuparsi della tutela dei dati personali “che costituiscono ormai la proiezione della nostra vita in rete e ne manifestano tutta la vulnerabilità”, un fatto che il Garante ribadisce forte e chiaro in occasione proprio del ventennale della legge italiana sulla privacy,

Venti anni di Legge sulla privacy non sono bastati

Era infatti l’8 maggio del 1997 quanto la legge italiana sulla privacy è entrata in vigore. Sono passati vent’anni e, a dispetto del lavoro pionieristico del Garante italiano, la protezione dei dati personali nel nostro paese arranca ancora. Colpa delle mutate geografie dei poteri del web che trattano i nostri dati come merce ma anche di un processo di involuzione culturale che negli ultimi anni ha messo in profonda crisi la consapevolezza della privacy come diritto costituzionalmente garantito.

Privacy shield, Jobs Act, furti d’identità

Fra i tanti numeri snocciolati nella relazione del Garante – nel 2016 ha risposto a 24 mila quesiti, avviato 282 ispezioni, e riscosso oltre 3 milioni di euro di multe – diversi sono gli esempi dell’attività del Garante che obbligano a una riflessione.

La prima: Il Privacy shield che doveva uniformare e garantire la tutela dello scambio dei dati fra Usa e Europa non appare più adeguato alla luce delle nuove inclinazioni degli Usa rispetto alle quali secondo il garante occorre effettuare delle verifiche sulla correttezza delle operazioni realizzate.
La seconda: nonostante le leggi e le garanzie del Jobs act, i lavoratori vengono ancora spiati dalle aziende. Il garante cita un provvedimento in cui un ente verificava illecitamente e in maniera indiscriminata gli accessi del personale alla rete e alle email utilizzando software operanti con modalità “non percepibli dall’utente”. Quanti casi simili si sono verificati?
La terza: la sottrazione dei dati personali sul web ha raggiunto livelli allarmanti. Nel dark web si comprano e si vendono le foto dei bambini che i genitori postano online. A farla da padrone è il furto di identità. Soro cita un’operazione di riciclaggio nel settore del money transfer, le irregolarità di un operatore telefonico incapace di garantire l’integrità del database aziendale e di un altro che ha consentito l’accesso abusivo con relativa copia alle credenziali di autenticazione ai profili di 5000 dei propri clienti.

Fake news, cyberbullismo, telemarketing: i grandi temi

Tra i grandi temi sollevati dal Garante, oltre alle fake news e al cyberbullismo, ci sono state l’inefficacia della regolamentazione del telemarketing a tutela dei possessori di un numero telefonico, l’idoneità delle procedure di attribuzione dell’identità digitale attraverso lo SPID, il sistema pubblico con cui accedere a tutti i servizi online della Pubblica amministrazione, e l’attenzione alle banche dati sanitarie necessaria alla tutela dei diritti dei pazienti. Proprio quest’ultimo un tema che obbliga il Garante a porre sotto osservazione proprio l’accordo tra IBM e Regione Lombardia di cedere all’azienda americana i dati sanitari dei lombardi, genoma compreso, all’interno degli accordi per lo sviluppo di un centro di ricerca presso lo Human Technopole di Milano.

Privacy e cybersecurity

Riguardo alla cybersecurity, l’Autorità ha proseguito anche nel 2016 l’attività di vigilanza procedendo sia d’ufficio che in seguito a specifiche segnalazioni o comunicazioni relative a violazioni di dati personali (data breach). Quelle inviate da soggetti pubblici sono state 15. Nel settore privato il 2016 vede confermata la tendenza rilevata nell’anno precedente: sono state infatti 43 le comunicazioni di violazioni pervenute da parte dei più importanti fornitori di servizi di comunicazione elettronica stabiliti sul territorio nazionale.

La mancata tutela dei dati personali è alla base di molti tipi di attacchi informatici. Secondo Antonello Soro le infrastrutture critiche italiane hanno visto un incremento degli attacchi del 15% nello scorso anno e del 117% l’incremento delle attività di cyberwarfare (la guerra elettronica). Inoltre, nel 2016 gli attacchi informatici avrebbero causato danni per 9 miliardi di euro ma l’80% delle aziende non investe in cybersecurity. Per questo Soro ha invitato le istituzioni all’unificazione dei centri di responsabilità, a una centralizzazione delle competenze, a un’organica razionalizzazione del patrimonio informativo, anzitutto pubblico.

Last but not least, il Garante ha ricordato che l’uso dei captatori informatici va regolamentato in maniera stringente definendo con attenzione il perimetro delle garanzie di chi viene intercettato e di controllare meglio i fonritori di servizi di intercettazione e le procedure di esternalizzazione delle attività investigative.

Basta questo per dire che anche dopo venti anni non è possibile abbassare la guardia?