Italia
Dal Datagate allo strapotere delle multinazionali di internet, passando per i social network, il cyberbullismo senza tralasciare la trasparenza della PA, gli smartphone e i cookie. Questi alcuni degli argomenti affrontati nella Relazione sull’attività svolta nel 2013 dal Garante Privacy (Documento), presentata stamani al Senato. Le tematiche legate a internet hanno occupato un posto fondamentale nel lavoro svolto dall’Autorità, ricordiamo la multa a Google da 1 milione di euro per il servizio Street View, l’azione coordinata con gli altri Garanti europei sulla policy dell’azienda americana in materia di dati personali.
Solo 2013, in totale, sono state 850 le violazioni amministrative contestate e sono state riscosse sanzioni per 4 milioni di euro.
La Relazione illustra i diversi fronti sui quali è stata impegnata l’Autorità nel suo diciassettesimo anno di attività, fa il punto sullo stato di attuazione della legislazione sulla privacy e indica le prospettive di azione verso le quali intende muoversi.
Antonello Soro: ‘Enorme potere politico dei giganti del web’
Nel suo intervento, il presidente dell’Autorità Garante della Privacy, Antonello Soro, non ha nascoso la propria preoccupazione per lo strapotere dei colossi di internet.
“I giganti di internet – ha osservato – tendono a occupare, in modo sempre più esclusivo, ogni spazio di intermediazione tra produttori e consumatori, assumendo un potere che inesorabilmente si traduce anche in un enorme potere politico. Un potere sottratto a qualunque regola democratica”.
“Pensiamo che non sia più rinviabile, da parte di tutte le istituzioni coinvolte, un supplemento di responsabilità“, ha ribadito Soro, riferendosi al provvedimento per la tutela dei cittadini intercettati “che ha registrato qualche incomprensione”.
“Maturano in rete nuove forme di criminalità, dal furto di identità fino alla più organizzata criminalità cibernetica. E’ un’emorragia stimata in 500 miliardi di dollari l’anno – ha detto il Garante – tra identità violate, segreti aziendali razziati, portali messi fuori uso e moneta virtuale sottratta”.
Il Garante non ha nascoso la propria delusione per quanto riguarda il mancato impegno dei governi europei in materia di data protection e nella gestione del Datagate.
Secondo Soro, “Il Datagate ha rappresentato un punto di non ritorno nel rapporto tra privacy e sicurezza. Le vicende internazionali sullo spionaggio informativo e l’indignazione che è seguita alle rivelazioni di Edward Snowden hanno rilanciato l’esigenza di porre la tutela dei dati a fondamento dello statuto di cittadinanza, perché proteggere i nostri dati significa proteggere la nostra vita e la nostra libertà“.
D’altra parte, ha sottolineato, “Non si può tacere la delusione per la scarsa risolutezza mostrata dai governi nell’approvazione del nuovo regolamento europeo in materia di protezione dei dati” e quindi “auspichiamo con forza che l’imminente presidenza italiana del Consiglio dell’Unione possa essere l’occasione per ridare impulso al progetto”.
“Le rivelazioni su Prism hanno dimostrato quanto possa essere rischiosa, per la democrazia, la combinazione in un unico Paese, ancorché democratico, tra concentrazione dei principali provider e leggi emergenziali contro il terrorismo”.
Per quanto riguarda le intercettazioni, Soro ha precisato che sulla decisione dell’Autorità di prescrivere “misure essenziali per la riservatezza dei cittadini a vario titolo intercettati, abbiamo registrato qualche incomprensione ma pensiamo che non sia più rinviabile, da parte di tutte le Istituzioni coinvolte, un supplemento di responsabilità”.
Il Garante chiede anche di potenziare le proprie strutture. “Avvertiamo forte e urgente la
necessità di potenziare la struttura dell’Autorità adeguandola ai nuovi compiti”. “Confidiamo che il Governo e il Parlamento vogliano condividere e sostenere il nostro impegno in questa direzione”, ha indicato Soro, sottolineando che “una grande democrazia, nel tempo della società digitale, ha il dovere di investire con coraggio in protezione dei dati personali, per difendere i diritti dei cittadini e, insieme, la sicurezza dello Stato”.
Intervento di Soro anche sul fronte delle nuove tecnologie. L’Autorità ha informato che “sta già operando sia con autonomi provvedimenti sia concorrendo alla regolamentazione di settore” sul fronte della disciplina relativa all’utilizzo di droni e videocamere. “Il controllo permea ormai ogni aspetto della nostra esistenza e a esso siamo purtroppo assuefatti”, ha evidenziato, citando “i rischi sempre più attuali dei droni per uso civile, dotati di microcamere“, o “ancora alla miriade di videocamere diffuse sul territorio“.
La minaccia cibernetica
La “minaccia cibernetica è oggi la sfida più temibile“, ha avvertito il Garante, ricordando però che “privacy e sicurezza pubblica sono complementari“, quindi proteggendo l’una si salvaguarda anche l’altra e viceversa. “Molto importante” e “senza precedenti in Europa” al riguardo il protocollo siglato dal Garante con il Dis, il Dipartimento delle informazioni per la sicurezza.
“La protezione dei dati presuppone necessariamente la protezione dei sistemi che tali dati conservano, tanto più con riferimento a banche dati strategiche per cui l’autorità ha chiesto più elevati livelli di garanzia, nell’interesse di cittadini e delle stesse esigenze investigative che dovranno essere estesi anche alla nuova banca dati del Dna“, ha detto Soro, sottolineando che “privacy e sicurezza pubblica sono complementari”.
“Una strategia di difesa davvero efficace – ha aggiunto – presuppone un’adeguata selezione degli obiettivi da controllare e dei dati da acquisire, nonché l’adozione di cautele utili e garantire la sicurezza dei sistemi”.
E “ci siamo impegnati per assicurare la nostra funzione anche nel contesto dell’intelligence, tradizionalmente caratterizzato dalla recessività dei diritti individuali rispetto alle esigenze di sicurezza nazionale. Soprattutto alla luce dell’attribuzione ai sevizi di specifiche competenze in queste materie e del contestuale ampliamento dei loro poteri di acceso sistematico a tutti i database pubblici e privati”.
Per questo “il Garante ha siglato con il Dis un protocollo d’intesa per acquisire alcuni elementi informativi su specifici trattamenti che, proprio per la loro potenziale invasività, richiedono adeguate garanzie che spetta anche alle autorità di protezione dati assicurare”. E “questo protocollo non ha precedenti in Europa ed è un fatto in sé molto importante”.
Cyberbullismo e grooming
“Sono sempre più frequenti i casi di incitamento all’odio – ha sottolineato Soro – ma anche fenomeni, quali cyberbullismo e grooming, spesso alimentati dalla logica del branco o dall’infondata presunzione di anonimato, e diretti contro un soggetto vulnerabile doppiamente, perché meno consapevole dei pericoli della Rete e maggiormente esposto al trauma che la violenza determina in personalità ancora in evoluzione“.
Secondo il Garante, “il cyberbullismo non può certo essere affrontato con metodi unicamente repressivi. L’indirizzo da privilegiare deve essere quello di un diritto mite, che pur conservando i presidi di libertà e assenza di censure che connotano la rete, eviti che essa divenga da luogo di promozione delle libertà, uno spazio anomico dove impunemente violare la dignità e i diritti”.
Pietro Grasso: ‘Lotta ai paradisi virtuali’
Di web e criminalità ha parlato anche nel suo intervento il presidente del Senato Pietro Grasso: “Da Procuratore nazionale antimafia ho più volte provato la frustrazione di veder bloccate indagini importanti e ribadito quanto sia necessario procedere con accordi internazionali per facilitare, in caso di reati acclarati, l’individuazione dei colpevoli. Deve valere per internet quanto vale, ad esempio, per il mondo finanziario: come siamo chiamati a contrastare i “paradisi fiscali” e il segreto bancario in caso di reati economici dobbiamo contrastare i “paradisi virtuali”, dove risiedono server che non consentono la rintracciabilità, o la rendono estremamente difficile, di chi ha commesso crimini perseguibili dal nostro ordinamento”.
Grasso è intervenuto anche sullo stretto rapporto tra privatezza e sicurezza pubblica.
“Bisogna ricordare – ha indicato il presidente del Senato – che esistono anche altri diritti, non meno fondamentali e garantiti dalla nostra Carta Costituzionale, che con il diritto alla riservatezza devono essere contemperati e correttamente bilanciati. Possiamo ad esempio citare il delicato rapporto tra la privacy e la tutela della sicurezza pubblica, soprattutto riguardo la videosorveglianza; il tema spinoso del trattamento dei dati personali per finalità di intelligence, salito agli onori delle cronache mondiali a seguito del cosiddetto Datagate americano; il trattamento dei dati sanitari, specialmente in caso di malattie di rilevanza sociale, che non deve ledere mai la dignità del malato“.
Passaggio del presidente del Senato anche su diritto all’informazione e diritto alla privacy.
“Gli operatori dell’informazione – ha osservato – svolgono un ruolo fondamentale di vigilanza sulla vita democratica del Paese. Tuttavia tale compito deve essere svolto in modo responsabile per non ledere il diritto alla riservatezza, la dignità e l’autonomia dei soggetti che ne sono coinvolti”.
“Io stesso – ha informato Grasso – ho dovuto pormi questi interrogativi di fronte a una gran mole di richieste di privati cittadini i cui dati personali sono citati in atti parlamentari disponibili nel nostro archivio online. In questo caso a confrontarsi sono le prerogative parlamentari, il principio costituzionale di pubblicità dei lavori parlamentari e la tutela dei dati personali. Al fine di affrontare e decidere su ciascuna singola richiesta il Consiglio di presidenza ha deliberato la creazione di un apposito Gruppo di lavoro che possa fornire risposte puntuali caso per caso”.
Sintesi degli interventi
Ecco alcuni dei principali campi di intervento del Garante privacy nel 2013: la sorveglianza globale e il Datagate; Internet e il ruolo dei grandi provider; la trasparenza della Pa online e le garanzie da assicurare ai cittadini; i social network e i problemi posti dal cyberbullismo; il fisco e la tutela delle riservatezza dei contribuenti; mobile payment; l’uso dei dati biometrici, anche sul posto di lavoro; la tutela dei minori sui media e sul web; la protezione dei dati usati a fini di giustizia; le telefonate promozionali indesiderate; i diritti dei consumatori; le semplificazioni per le imprese; le banche dati pubbliche e private; il mondo della scuola; i partiti e i movimenti politici; la conservazione dei dati di traffico telefonico e telematico.
Il Garante è intervenuto anche per garantire maggiore trasparenza agli utenti dei servizi di messaggistica, anche vocale. E ha dettato regole per proteggere la privacy su smartphone e tablet. Di recente ha definito un modello di consenso per l’uso dei cookie da parte degli utenti. E’ stato inoltre ulteriormente rafforzato il diritto delle persone interessate a vedere aggiornati gli archivi giornalistici online.
Per garantire un corretto rapporto tra trasparenza della Pa e riservatezza delle persone sono stati presi provvedimenti di divieto nei confronti di decine di Comuni che avevano pubblicato sul web dati sanitari dei cittadini e, di recente, sono state adottate le Linee guida sulla trasparenza online.
L’Autorità ha fissato le regole sull’obbligo per le società di Tlc di comunicare agli utenti e al Garante le violazione subite dai data base in caso di attacchi informatici, eventi avversi o calamità (data breach).
Rilevante anche l’impegno nel dettare regole per la tutela dei cittadini nei confronti dei call center delocalizzati nei Paesi extra Ue; per la tutela degli abbonati telefonici contro il telemarketing aggressivo (con prescrizioni e sanzioni adottate nei confronti di società che operano nel settore) e contro le cosiddette “telefonate mute”.
Sono state adottate le Linee guida in materia di attività promozionale e contrasto allo spam.
Significativi anche gli interventi svolti per regolare l’uso della firma biometrica nelle banche e l’uso delle impronte digitali sul posto di lavoro. Da ricordare, infine, il rinnovo delle autorizzazioni generali sull’uso dei dati sensibili e giudiziari da parte di diverse categorie, dell’autorizzazione generale sull’uso dei genetici e di quella sulla ricerca medico scientifica.
I numeri
Nel 2013 sono stati adottati oltre 606 provvedimenti collegiali. L’Autorità ha fornito riscontro a 4.185 tra quesiti, reclami e segnalazioni con specifico riferimento alle seguenti aree tematiche: telefonia, centrali rischi, centrali rischi, videosorveglianza, rapporti di lavoro, giornalismo.
Sono stati decisi 222 ricorsi, inerenti soprattutto a banche e società finanziarie, datori di lavoro pubblici e privati, attività di marketing, compagnie di assicurazione, operatori telefonici e telematici.
I pareri resi dal Collegio al Governo e Parlamento sono stati 22 ed hanno riguardato, in particolare, l’informatizzazione delle banche dati della Pa, l’attività di polizia e sicurezza nazionale, la formazione.
Sono state effettuate 411 ispezioni (+4% rispetto al 2012), che hanno riguardato diversi settori: call center e telefonate promozionali indesiderate; banche dati del fisco; credito al consumo e “centrali rischi”; sistema informativo dell’Inps; nuovi strumenti di pagamento elettronico gestiti dalle compagnie telefoniche (mobile payment); violazioni delle banche dati dei gestori tlc (data breaches).
Le violazioni amministrative contestate sono state 850, in aumento rispetto all’anno precedente (578). Le sanzioni amministrative riscosse ammontano a oltre 4 milioni di euro.
Le violazioni segnalate all’autorità giudiziaria sono state 71, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati.
L’attività internazionale
Non meno rilevante l’attività del Garante a livello internazionale, a partire da quella svolta nel Gruppo delle Autorità per la privacy europee (Gruppo Articolo 29) riguardo ai numerosi pareri e documenti adottati (cookies, app per telefonia mobile, sistemi di misurazione “intelligenti” nel settore energetico, open data, droni, data breach, anonimizzazione dei dati, cloud computing, clausole contrattuali per le multinazionali, etc.) o alle iniziative assunte, come quella nei confronti di Google.
I Garanti europei si sono occupati del nuovo Regolamento in materia di protezione dati che sostituirà la Direttiva del 1995 e della Direttiva che dovrà disciplinare il trattamento di dati per finalità di giustizia e di polizia.
