Protezione dei dati personali: c’è ancora tanto da fare
Un recente provvedimento del Garante, che ha esaminato le modalità con cui una associazione raccoglieva e gestiva dati personali degli iscritti, costituisce un prezioso documento per mettere in luce quanti e quali possano essere le anomalie e le insufficienze, che ancora affliggono il trattamento di dati personali.
Le cronache quotidiane hanno dato ampio risalto ad un intervento che l’autorità Garante ha effettuato, nei confronti di una associazione politica, che fa ampio riferimento alla rete come strumento di dialogo con i propri associati. Questo articolo prescinde totalmente da considerazioni legate ad aspetti politici, ma è dedicato alla attenta analisi del provvedimento del Garante, che è riportato in allegato, che mette in evidenza quanti e quali errori si possano fare nel trattamento di dati personali.
Pubblicità
Materiale didattico per tenere corsi sul regolamento europeo protezione dati (RIF. NORMA UNI 11697:2017) |
Credo valga la pena di illustrare in profondità questo provvedimento, cui i quotidiani hanno solo fatto riferimento, ma non hanno pubblicato per l’elevato tecnicismo del provvedimento stesso, perché molte delle carenze messe in evidenza potrebbero essere presenti anche nei trattamenti che svolgono i nostri lettori.
Intendo pertanto prendere in esame i vari aspetti del provvedimento per consentire ai lettori di trasferire certe considerazioni nelle proprie modalità di trattamento e vedere se, per caso o per trascuratezza, alcune considerazioni, anche costruttive, fatte dall’autorità Garante possano essere calate nella loro realtà.
Un altro aspetto che ho apprezzato, in questo provvedimento del Garante, è legato all’approccio costruttivo, laddove non solo gli esperti del Garante hanno messo in evidenza le numerose anomalie connesse al trattamento, ma hanno anche offerto preziose indicazioni per rimettere la situazione sotto controllo.
L’informativa che viene offerta ai navigatori
La prima anomalia messa in evidenza riguarda l’informativa che viene offerta ai navigatori, che si collegano al sito. È un’informativa che presenta numerose anomalie, che non è il caso di elencare in dettaglio, ma non v’è dubbio che il biglietto da visita non è particolarmente incoraggiante. In particolare, una grave anomalia è legata al fatto che i dati personali, che vengono inseriti dal navigatore o dal socio, vengono comunicati ad enti terzi, senza che di tale fatto sia stata data comunicazione all’interessato. Ricordo, al proposito, che la mancata comunicazione può essere accettabile sono nel caso che questi enti terzi siano designati responsabili del trattamento e quindi ricadano sotto l’autorità di controllo del titolare. In ogni altro caso, questi nomi devono essere chiaramente individuati.
La raccolta del consenso
La seconda anomalia messa in evidenza riguarda le modalità di raccolta del consenso, che non sono sufficientemente trasparenti. In altre parole, i dati inseriti dal socio o dal navigatore vengono anche utilizzati per finalità di promozione commerciale pubblicitaria, senza che in relazione a questo specifico utilizzo sia stato chiesto uno specifico consenso.
La comunicazione a soggetti terzi dei dati personali rilasciati dall’interessato, senza che esso sia stato debitamente dotto di questo fatto, rappresenta una grave violazione delle prescrizioni sia dell’attuale decreto legislativo 196/2003, sia del regolamento europeo 679/2016. Si tratta di violazioni per le quali si possono applicare sanzioni estremamente elevate.
Ad oggi, per fortuna, la inidoneità dell’informativa comporta sanzioni di qualche migliaio di euro, come sanno bene i titolari di impianti di video registrazione, che hanno “dimenticato” di affiggere gli appositi cartelli di informativa, prima che l’interessato ripreso entri nel campo delle telecamere.
Ma gli ispettori dell’autorità Garante sono dati ancora più in là, perché hanno esaminato con molta attenzione la piattaforma su cui gira l’applicativo di gestione di tutto il sistema di contatto con i soci e raccolta di eventuali voti.
Si tratta di una piattaforma per cui la software house produttrice ha sospeso dalla fine del 2013 ogni supporto e quindi è del tutto probabile che la piattaforma possa presentare dei buchi significativi, in termini di sicurezza della piattaforma stessa.
Le modalità per esprimere il voto dell'interessato
Un altro aspetto assai interessante, che ha attirato l’attenzione degli ispettori del Garante, riguarda le modalità con cui un interessato può esprimere un voto.
Ci hanno sempre detto, fin da quando eravamo bambini, che il voto è segreto, ma ciò non è vero in questa piattaforma. Coloro che l’hanno progettata infatti hanno voluto accertarsi che chi esprimeva un voto fosse soggetto autorizzato ad esprimerlo e a questo fine hanno abbinato il numero di telefono cellulare al voto e all’identità del votante. Da un lato, si può capire che, senza adottare questa precauzione, chiunque potrebbe inserirsi nella piattaforma e votare, anche se non fa parte della rosa dei soci autorizzati. D’altro canto gli ispettori hanno messo chiaramente in evidenza che esistono tecniche, che dovrebbero essere ben note a chiunque opera nel mondo dell’informatica e del trattamento dei dati personali, che permettono di accertare la validità di un voto, senza collegarlo necessariamente uno specifico soggetto. Queste tecniche sono chiaramente illustrate nel nuovo regolamento generale europeo, sotto la dizione di pseudonimizzazione. Con l’applicazione di tecniche di pseudonimizzazione, il collegamento fra il votante e il voto può essere disponibile solo con particolari garanzie; è così possibile accertarsi che una persona che abbia votato abbia titolo a farlo, senza necessariamente sapere chi sia la persona che ha votato, se non a fronte di contestazioni o altre situazioni affatto peculiari.
Ancora una volta, raccomando di leggere attentamente il provvedimento del Garante, dimenticando il destinatario del provvedimento stesso, ma estrapolando invece tutte le debolezze del trattamento, che potrebbero essere presenti anche in trattamenti gestiti dal lettore.
Adalberto Biasiotti
Scarica la normativa di riferimento:
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.