Smart working, cybersecurity e minacce digitali: cos’ha detto il garante per la Privacy alla Camera

Alla presentazione della relazione per il 2019, nella Sala della Regina a Montecitorio, è anche emerso il problema del rinnovo del collegio, il cui mandato è scaduto oltre un anno fa. Il presidente Fico: insieme a Casellati faremo tutto quanto rientra nel nostro ruolo per nomina il prima possibile

I diritti fondamentali delle persone nel mondo digitale: è questo il fil rouge della relazione annuale sull’attività svolta nel 2019 dall’Autorità garante per la privacy, presentata ieri alla Camera. Lo scorso anno, ma anche in questo scorcio di 2020 flagellato dalla pandemia per il Covid-19, “la protezione dei dati personali ha dimostrato di essere uno straordinario presupposto di democrazia” ha sottolineato il presidente Antonello Soro che era affiancato dagli altri tre componenti del collegio: Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano.

Un diritto, quello alla privacy, che si dimostra “inquieto perché in costante evoluzione e capace di porsi sempre in equilibrio con gli interessi giuridici che di volta in volta vengano in rilievo” e proprio “l’inattesa accelerazione impressa dalla pandemia alla transizione digitale impone un ripensamento e rende urgente l’esigenza regolatoria”.

I DATI SALIENTI DELLA RELAZIONE 2019

Passando ai numeri, che rappresentano agevolmente l’attività svolta dall’Authority, nel 2019 sono stati notificati 1.443 data breach, ovvero violazioni di regolamento, e adottati 232 provvedimenti collegiali. Inoltre è stato fornito riscontro a oltre 8.000 reclami e segnalazioni riguardanti, tra l’altro, marketing telefonico, sanità, credito al consumo, sicurezza informatica, settore bancario e finanziario, lavoro ed enti locali.

In particolare, per quanto riguarda la tutela dei consumatori, il garante è intervenuto contro il telemarketing aggressivo applicando pesanti sanzioni (una di 27,8 milioni di euro e un’altra di 11,5 milioni di euro) nei confronti di operatori che hanno utilizzato i dati degli abbonati senza il loro consenso. Senza dimenticare le nuove regole che sono state varate a tutela dei consumatori censiti nei sistemi di informazione creditizia, per rispondere alle sfide della digital economy e imporre trasparenza sul funzionamento degli algoritmi.

Lo scorso anno l’Autorità ha poi effettuato 147 ispezioni, svolte anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, che hanno riguardato numerosi settori, in ambito sia pubblico sia privato. In quest’ultimo gli accertamenti si sono rivolti soprattutto ai trattamenti effettuati da società di intermediazione finanziaria, da istituti bancari (con particolare riferimento ai flussi di dati verso l’anagrafe dei conti correnti), da società che svolgono attività di marketing e fidelizzazione (anche con riferimento alla profilazione dei clienti).

IL PROBLEMA DEL RINNOVO DEL COLLEGIO

Durante la presentazione della relazione l’accento è caduto anche sul mandato del garante e degli altri componenti del collegio, scaduto nel 2019 così come per il presidente e i commissari dell’Autorità per le Comunicazioni. “La nostra attività è stata prorogata oltre ogni ragionevole misura – ha esordito Soro -. L’invito che, con rispetto, rivolgo al Parlamento è quello di procedere quanto prima all’elezione del nuovo collegio”. Al suo successore il garante ha indicato la strada: “La sfida sarà vinta solo se e quando la protezione dei dati diverrà, fino in fondo, cultura e sentire diffuso di tutti, affidata non alla deterrenza o alla repressione sanzionatoria ma alla consapevolezza di come la sostenibilità del futuro dipenda, in larga parte, dalla tutela che sapremo accordare ai frammenti del nostro io e del nostro vissuto” e questo “è l’orizzonte che riteniamo di indicare a chi avrà la responsabilità e il privilegio di guidare un’Autorità sempre più centrale per la vita democratica del Paese e sempre più vicina alle persone”.

Fico ha colto il momento per intervenire sull’anomala situazione che si è venuta a creare: “Siamo tutti consapevoli che il Collegio del Garante, eletto nel 2012, avrebbe dovuto esaurire lo svolgimento delle proprie funzioni il 19 giugno 2019 ma è stato prorogato per quattro volte, da ultimo nello scorso marzo, sino a 60 giorni dalla cessazione dello stato di emergenza decretato dal Governo per far fronte all’epidemia Covid”. E ancora: “Siamo molto grati ai componenti del Collegio che hanno continuato in questi mesi la loro intensa e preziosa attività”. Il presidente della Camera ha poi concluso: “Posso assicurarvi che il Presidente Casellati e io faremo tutto quanto rientra nel nostro ruolo affinché la nomina del nuovo Collegio avvenga il prima possibile”.

COS’HA DETTO IL GARANTE

La relazione di Soro ha toccato molti temi tra e molti obiettivi sul fronte privacy nella società attuale. A partire dall’emergenza Covid-19. “Quale contributo utile all’attività di prevenzione sanitaria, abbiamo indicato, al Parlamento e al Governo, i principali criteri da seguire per migliorare l’efficacia delle misure adottate, in particolare rispetto al contact tracing (che si è tradotto nella app Immuni, ndr), che sin da subito abbiamo richiesto tracciasse i contatti, non le persone. Nel rilevare l’importanza dei principi di proporzionalità, necessità, adeguatezza cui devono conformarsi le scelte limitative dei diritti fondamentali – ha proseguito – abbiamo indicato le diverse implicazioni delle varie soluzioni tecniche proposte, preferibili nella misura in cui riescano a minimizzare l’impatto sulla persona e la sua vita privata, pur garantendo l’attendibilità e l’efficacia dei risultati. Analogo bilanciamento tra esigenze di sanità pubblica e tutela individuale abbiamo auspicato in relazione all’indagine di sieroprevalenza prevista rispetto al Covid 19, con indicazioni utili alla più efficace conduzione dello studio. Rispetto alle varie circostanze sottoposteci abbiamo sottolineato la necessità di studiare modalità e ampiezza delle misure da adottare in vista della loro efficacia, gradualità e adeguatezza, senza preclusioni astratte o tantomeno ideologiche, ma anche senza improvvisazioni o velleitarie deleghe, alla sola tecnologia, di attività tanto necessarie quanto complesse”.

Corollario dell’emergenza sanitaria e del lockdown è stato il ricorso allo smart working il cui “diffuso ricorso, generalmente necessitato e improvvisato, ha catapultato una quota significativa della popolazione in una dimensione delle cui implicazioni non sempre si ha piena consapevolezza e di cui va impedito ogni uso improprio”. Su questa modalità di lavoro Soro ha rilevato che, “potendo favorire una nuova articolazione dei processi produttivi in grado di accrescere efficienza e flessibilità, potrebbe ragionevolmente divenire una forma diffusa, effettivamente alternativa, di organizzazione del lavoro. Per questa ragione andranno seriamente affrontati e risolti tutti i problemi emersi in questi mesi: dalle dotazioni strumentali alla garanzia di connettività, alla sicurezza delle piattaforme, all’effettività del diritto alla disconnessione, senza cui si rischia di vanificare la necessaria distinzione tra spazi di vita privata e attività lavorativa: annullando così alcune tra le più antiche conquiste raggiunte per il lavoro tradizionale”. Ma attenzione: “Il ricorso intensivo alle nuove tecnologie per rendere la prestazione lavorativa, non deve rappresentare l’occasione per il monitoraggio sistematico e ubiquitario del lavoratore, ma deve avvenire nel pieno rispetto delle garanzie sancite dallo Statuto a tutela dell’autodeterminazione, che presuppone anzitutto un’adeguata formazione e informazione del lavoratore”. Insomma, è necessario “garantire che le nuove tecnologie rappresentino un fattore di progresso, e non di regressione sociale, valorizzando anziché comprimendo le libertà affermate sul terreno lavoristico, è indispensabile garantirne la sostenibilità sotto il profilo democratico e la conformità ad alcuni irrinunciabili principi”.

Tornando ad argomenti più generali che riguardano la privacy, il garante ha evidenziato che “le implicazioni, in termini di sicurezza nazionale, di alcuni data breach dimostrano come la stretta dipendenza della sicurezza della rete da chi ne gestisca i vari snodi e ‘canali’ induca a ripensare il concetto di sovranità digitale. E di fronte alla delocalizzazione in cloud di attività rilevantissime chiediamo al Parlamento e al Governo se non si debba investire in un’infrastruttura cloud pubblica, con stringenti requisiti di protezione, per riversarvi con adeguata sicurezza dati di tale importanza”. Una proposta che Soro lancia perché “in un contesto in cui le tecnologie Ict sono divenute – sempre più chiaramente con la pandemia – la principale infrastruttura di ciascun Paese assicurarne una regolazione sostenibile e adeguata, tale da garantire sicurezza, indipendenza dai poteri privati, soggezione alla giurisdizione interna, diviene un obiettivo non più eludibile”.

Del resto, ha aggiunto il presidente dell’Autorità, “la contrapposizione, spesso insistita nel dibattito politico, tra protezione dati e interessi generali di varia natura rischia di oscurare, molto più spesso di quanto si creda, virtuose sinergie. È questo il caso della cybersecurity, il cui rapporto con la privacy è tutt’altro che antagonista, come abbiamo dimostrato con la proficua e consolidata collaborazione con il Copasir e con il Dis. Questo perché la sicurezza dello spazio cibernetico implica anzitutto, inevitabilmente, la protezione dei dati e delle infrastrutture di cui è composto l’ecosistema digitale con i suoi vari snodi. E’ la questione che abbiamo posto spesso in sede europea, da ultimo rispetto al social network Tik Tok, promuovendo accertamenti in ordine alle garanzie di sicurezza offerte, anche e soprattutto con riferimento ai dati degli utenti minorenni. Su temi come questi, che toccano profondamente tanto la sicurezza collettiva quanto quella individuale – è il parere del garante -, l’Europa deve infatti saper parlare con una voce sola, riflettendo quell’ambizione, insieme unificante e identitaria sottesa al Regolamento. La fragilità strutturale e la scarsa consapevolezza dei potenziali bersagli di attività massive di malware acuisce, poi, la gravità degli attacchi, già rafforzata dal ricorso ad insidiose tecniche di intelligenza artificiale”.

Tra gli altri spunti che arrivano dalle parole di Soro “la revisione organica della disciplina della conservazione dei dati di traffico” che è “indifferibile”. I suoi termini (sei anni) “appaiono difficilmente compatibili con la necessaria proporzionalità delle limitazioni della privacy rispetto alle esigenze investigative, posta dalla Corte di giustizia a fondamento della declaratoria di illegittimità della direttiva 2006/24/CE (basata su un termine massimo di due anni)” ha sottolineato il garante che ha poi posto l’accento anche sull’uso del trojan. “Abbiamo auspicato un supplemento di riflessione in ordine alla progressiva estensione dell’ambito applicativo – ha detto -, che dovrebbe invece restare circoscritto”. Inoltre, “per quanto concerne le intercettazioni mediante captatori sarebbe stato opportuno cogliere l’occasione del decreto legge per colmare le lacune normative già da noi rilevate rispetto alla riforma Orlando e ribadite con la segnalazione sul caso Exodus. Le straordinarie potenzialità intrusive di tali strumenti impongono garanzie adeguate per impedire che essi, da preziosi ausili degli inquirenti, degenerino in mezzi di sorveglianza massiva o, per converso, in fattori di moltiplicazione esponenziale delle vulnerabilità del compendio probatorio, rendendolo estremamente permeabile se allocato in server non sicuri o, peggio, delocalizzati anche al di fuori dei confini nazionali”.

In conclusione, è evidente che “la devoluzione alla dimensione immateriale di pressoché tutte le nostre attività non è un processo neutro ma comporta, se non assistito da adeguate garanzie, l’esposizione a inattese vulnerabilità in termini non solo di sicurezza informatica ma anche di soggezione a ingerenze e controlli spesso più insidiosi, perché meno percettibili di quelli tradizionali”. Anche la recente esperienza dovuta alla pandemia, del resto, “ha profondamente mutato l’allocazione dei poteri e le loro reciproche relazioni, non solo riarticolando l’equilibrio tra centro e periferia, politica e tecnocrazia, normazione e amministrazione, ma anche tracciando nuove coordinate del rapporto della nostra vita con il digitale e rendendone più urgente l’esigenza regolatoria, anche sotto il profilo della sostenibilità di sempre più incisivi poteri privati”.