DOPO IL "DATAGATE"

Il furto massiccio di dati? Occhio ai ritardi sulla privacy

Il Garante, Antonello Soro, nella relazione annuale, evocando il recente scandalo “Prism” che sta scuotendo gli Stati Uniti, ricorda come non sia stata ancora data completa attuazione al Codice della privacy

Lo scandalo "Prism" che sta scuotendo l’America in Italia non sarebbe potuto accadere. La raccolta di dati dai movimenti online degli utenti, infatti, nel nostro Paese è considerato un reato. "Una raccolta di tale portata, così indiscriminata e generalizzata, al di fuori di qualunque indizio di reato, non sarebbe lecita. Ove mai accadesse, sarebbe contraria ai principi della nostra legislazione e rappresenterebbe una violazione gravissima", dice Antonello Soro, presidente del Garante della privacy. Ne ha parlato oggi alla Camera dei Deputati per la relazione di bilancio di un anno di attività. "Vicende come questa degli Usa – ha spiegato Soro – possono servire a spiegare perché è indispensabile e urgente dare completa attuazione al nostro Codice della privacy (il decreto legislativo 196 del 2003) in materia di banche dati costituite per finalità di sicurezza. Un intervento che il Garante ha sollecitato più volte". Un anno fa il Garante della privacy aveva anche pubblicato un volumetto informativo sui rischi del "cloud computing", quel sistema che permette di memorizzare "online" informazioni e dati riservati per poterli poi utilizzare in qualsiasi momento.

La guida del Garante della privacy pubblicata un anno fa. "Le soluzioni offerte dal cloud generalmente possono essere più flessibili, efficienti, adattabili ed economiche di quelle sviluppate in-house (in casa propria). Ma possono comportare il rischio di una potenziale perdita di controllo sui propri dati". Così il Garante aveva messo in guardia gli italiani esattamente un anno fa in una guida intitolata "Cloud Computing – Proteggere i dati per non cadere dalle nuvole. La guida del Garante della Privacy per imprese e pubblica amministrazione". Secondo gli esperti informatici dell’ufficio del Garante, infatti, "spesso utilizziamo tecnologie cloud senza neppure saperlo. Alcuni dei più diffusi servizi di posta elettronica o di elaborazione testi sono ‘sulle nuvole’. Anche molte delle funzioni offerte dai cellulari di nuova generazione (i cosiddetti smartphone) sono basate sul cloud: ad esempio, quelle che sfruttano la geolocalizzazione consigliandoci i locali o gli esercizi commerciali più vicini, che consentono di ascoltare musica o di accedere a giochi online, nonché tante altre funzioni e ‘app’ (applicazioni)".

Il quadro normativo è complesso ma ancora insufficiente. Il quadro giuridico di riferimento, però, è molto complesso, sia in Italia sia nel resto del mondo. "La tecnologia cloud – avevano spiegato un anno fa gli esperti del Garante – procede molto più velocemente dell’attività del legislatore. Manca ancora un quadro normativo aggiornato – in tema di privacy, ma anche in ambito civile e penale – che tenga conto di tutte le novità introdotte dal cloud computing e sia in grado di offrire adeguate tutele nei riguardi delle fattispecie giuridiche connesse all’adozione di servizi distribuiti di elaborazione e di conservazione dati. Basti pensare, ad esempio, che la normativa europea sulla protezione dei dati risale al 1995. Alcune utili novità per il settore delle telecomunicazioni sono state introdotte dalla direttiva 136/2009 che modifica la direttiva sulla privacy nelle comunicazioni elettroniche del 2002. Fra le misure che entreranno in vigore con il nuovo quadro giuridico è previsto anche l’obbligo per le società telefoniche e gli Internet provider di notificare alle competenti Autorità nazionali e, in determinati casi, agli utenti, tutte le violazioni di sicurezza che comportino la distruzione, la perdita o la diffusione indebita di dati personali trattati nell’ambito della fornitura del servizio. Un ulteriore importante cambiamento per tutto il settore delle comunicazioni elettroniche, e del cloud computing in particolare, dovrebbe avvenire entro il 2014, con l’approvazione del nuovo Regolamento generale sulla protezione dei dati (Com 2012 11 def) proposto dalla Commissione Europea. Una delle importanti innovazioni di questa riforma riguarderà l’estensione dell’obbligo di notifica delle violazioni di sicurezza che riguardino dati personali a tutti i titolari del trattamento dati come, ad esempio, banche, assicurazioni, Asl, enti locali. Quando previsto, le persone interessate saranno quindi informate senza ritardo della perdita o del furto dei loro dati".