Osservatorio sulla protezione dei dati – rubrica a cura di ANORC Privacy
L’Italia alle porte del 2020 è ancora quella delle oltre 100.000 leggi stratificate e poco chiare. Alcune abrogate tacitamente, altre perfino inattuate.
Poi ci sono i testi unici e le disposizioni europee. E se in ambito digital il CAD (codice dell’amministrazione digitale) è uno dei testi normativi meno attuati dell’ordinamento italiano, non vorremmo che anche il Regolamento Generale sulla Protezione dei Dati, reg. (UE) 2016/679, ampiamente conosciuto con l’acronimo GDPR, registrasse lo stesso declino, soprattutto quando titolari del trattamento sono enti pubblici, dunque soggetti che riflettono e rappresentano lo Stato.
In uno spirito di collaborazione con gli attori istituzionali, ci piacerebbe allora richiamare l’attenzione sulle mancanze, quantomeno le più vistose, nell’osservanza del GDPR, ben ricordando che esso costituisce strumento di tutela di un diritto che si colloca sul livello più alto di protezione europea, quello della Carta dei diritti fondamentali dell’Unione europea, cfr. ivi art. 8. Per questa ragione, il presidio Anorc Emilia-Romagna ha avviato una rubrica fissa sul tema.
Partiamo dalla Polizia di Stato
Il sito non reca l’informativa ex art. 13 GDPR ed ex art. 13 dir. (UE) 2016/680, per i trattamenti rispettivamente collegati ai due atti normativi citati. Risulta invece fermo all’informativa ex art. 13 d.lgs. 196/03, disposizione com’è noto disapplicata già dal 25 maggio 2018 e formalmente poi abrogata dal 19 settembre 2018 a seguito del d.lgs. 101/18. In altre parole, è un riferimento giuridico che non esiste più.
Ora, il punto è che non si tratta purtroppo di una mera questione formale, ma ha rilevanza sostanziale. Per due ragioni:
1. I contenuti dell’informativa sono parzialmente cambiati nell’evoluzione normativa.
2. Rivela che uno dei portali nazionali più significativi per i diritti dei cittadini non viene sottoposto ad adeguamento privacy da oltre un anno e mezzo.
Lecito domandarsi allora se e fino a che punto siano state svolte, a monte, attività di compliance sul complesso dei trattamenti di Polizia. Una delle prime operazioni che si fa durante un’attività di allineamento alla normativa è infatti proprio quella di mettere in ordine i trattamenti svolti attraverso il sito istituzionale, che peraltro trovandosi in bella vista costituisce una vera e propria “vetrina privacy”.
È naturale pertanto che nel caso in esame, preso atto dell’informativa obsoleta, ci sia chieda se sia stata svolta una qualche attività di revisione su ciò che sta dietro alla “vetrina”, ad es. se si sia proceduto a una mappatura e a un esame delle banche dati (innanzitutto di quelle che contengono dati giudiziari e sensibili), se siano state svolte valutazioni di impatto e più in generale analisi del rischio, se le figure autorizzate al trattamento dei dati personali siano state adeguatamente formate o se sia stato individuato un DPO (ossia il responsabile per la protezione dei dati, figura che nella specie sarebbe da indicare obbligatoriamente nell’informativa presente sul sito web dell’autorità).
Il problema, potenzialmente, è considerevole come si evince immediatamente dal rilievo delle informazioni in esame, e ci sembra corretto metterlo sotto i riflettori affinché si provveda a una correzione nell’interesse generale.
Ministero dell’Interno
Mantenendoci sulla stessa linea di indagine, saliamo di livello e passiamo al sito del Ministero dell’Interno. Ricordiamo che nel corso della commissione di inchiesta sulla digitalizzazione della pubblica amministrazione italiana era emerso che il ministero dell’interno non aveva adempiuto a quanto previsto dall’art 17, comma 1 del CAD, e che questo sollevò il vaso di pandora del digitale nel settore pubblico.
E sul versante GDPR come procedono le cose? Vero che l’informativa qui è stata realizzata ai sensi dell’art. 13 GDPR, sia pure in maniera assai stringata rispetto alla ricchezza di contenuti della disposizione europea, e che il link di contatto al DPO è in effetti presente , ma il punto è che vi si legge, ancora oggi, “in attesa dell’approvazione del decreto legislativo di adeguamento della normativa nazionale al Regolamento previsto dalla legge di delegazione europea 2016-2017“. Ora il decreto in questione è il d.lgs. 10 agosto 2018 n. 101, ed è in vigore dal 19 settembre 2018. Dunque anche qui ci troviamo davanti a un’informativa non oggetto di revisione da oltre un anno, pur essendo intervenuti ulteriori tasselli normativi.
Siti istituzionali che consentono la profilazione a Google con i video postati su YouTube
E il livello delle informative è solo la superficie, perché poi, a fare un’analisi leggermente più sofisticata, dovremmo chiederci come mai entrambi i siti installino sul dispositivo dell’utente cookie di profilazione di terze parti, per esempio di Google (collegati con Youtube): in sostanza, parliamo di siti istituzionali che permettono a una multinazionale la profilazione di chi consulta i siti istituzionali.
Ad essere corretti, va riconosciuto che il problema non è certo limitato ai due esempi fatti, ma riguarda più o meno tutti o comunque la gran parte dei siti istituzionali, il che ne amplifica la portata allarmante. Basterebbe caricare i video in locale sui propri server anziché averli su Youtube. Prima ancora di un problema (non indifferente) di protezione dati personali, qui pare porsi una questione culturale, una difficoltà a separare pubblico e privato. Per inciso, inoltre, quando un soggetto pubblico ha anche un canale Youtube viene da domandarsi per quale ragione dovrebbe apportare traffico alla piattaforma privata anziché massimizzare il traffico sul sito istituzionale, e dunque accrescerne la visibilità.
Sempre in materia di cookie, potremmo anche domandarci, in primo luogo e più a monte, perché mai un sito istituzionale dovrebbe avere un banner cookie (per i cookie tecnici non serve, mentre quelli di profilazione di terze parti private, che richiedono il banner, non dovrebbero proprio trovarsi in un sito pubblico).
In secondo luogo dovremmo domandarci perché tale banner, che conferma la presenza appunto di una profilazione di terze parti, non sia conforme alla normativa, essendo composto come un cookie-wall. In altre parole, è consentita all’utente la sola accettazione in blocco dei cookie e non una selezione granulare. Inoltre, viene resa impossibile la stessa fruizione del sito senza l’accettazione dei cookie: è un prendere o lasciare. In altri termini, si impone al cittadino che voglia semplicemente fruire dei contenuti istituzionali e pubblici presenti sul sito di farsi profilare da terze parti. E i DPO che fanno, stanno a guardare?
Per la prima puntata dell’Osservatorio sulla protezione dei dati del presidio emiliano romagnolo Anorc è tutto, con la speranza che questa segnalazione stimoli un ripensamento in termini correttivi dei trattamenti in essere.
