Ho sentito Davide Casaleggio tuonare contro Antonello Soro. Non riesco a fare a meno di strillare anch’io contro il Presidente dell’Autorità Garante per la protezione dei dati personali.
Ma c’è una differenza. E nemmeno trascurabile. Mentre Casaleggio echeggia l’immancabile complotto, io invece sono indeciso se accusare Soro di eccessiva bontà o di munificente favoritismo.
La sanzione di 50 mila euro che è stata affibbiata dal Garante per la privacy non è affatto piovuta dal cielo, come qualcuno ha pensato di far credere a simpatizzanti ed accoliti.
A chi è afflitto dalle scie chimiche, non crede allo sbarco sulla Luna, ipotizza accoppiamenti multispecie (forse per non dimenticare che il cane è il miglior “amico” dell’uomo…), teme gli alieni o – così a seguire – è turbato da chissà quale altra preoccupazione, viene spontaneo suggerire di approfondire quel che è successo e scoprirne l’antefatto.
La storia della “super multa” (che di super non ha davvero nulla, né nell’entità finanziaria, né nella fattispecie considerata) ha radici lontane e bisogna raggiungere l’agosto del 2017, quando la celeberrima piattaforma informatica Rousseau (tessuto connettivo digitale) finisce sotto attacco degli hacker.
La non trascurabile violazione dei dati – fortunatamente non sottaciuta dai mezzi di informazione, spesso presi da più scottanti temi – ha inevitabilmente innescato l’attivazione di un procedimento da parte del Garante per la privacy. La disciplina vigente, infatti, parla chiaro e sottolinea che incidenti del genere non danneggiano tanto chi gestisce i dati ma piuttosto i soggetti cui quelle informazioni personali si riferiscono.
I pirati informatici hanno beffato, sì, la Casaleggio & Associati e il relativo entourage tecnico, ma hanno recato pregiudizio ad una platea di “innocenti”, colpevoli solo di aver affidato alla piattaforma Rousseau i propri dati immaginando che questi fossero adeguatamente protetti.
Il 21 dicembre 2017 arriva il provvedimento n° 548: l’Autorità, a conclusione dell’istruttoria relativa alla violazione dei sistemi informatici riferiti alla Piattaforma Rousseau e ad altri siti connessi al Movimento 5 Stelle, ha prescritto nei confronti dei relativi titolari del trattamento l’adozione di misure necessarie e opportune al fine di rendere i trattamenti dei dati personali degli utenti dei predetti siti web conformi ai principi della disciplina in materia di protezione dei dati personali.
Il secondo step di questo contenzioso è datato 16 maggio 2018 e segnato dal provvedimento n° 289. Il Garante, paziente più di Giobbe, dopo aver ricevuto informazioni, documentazione e un approfondimento tecnico (testualmente “dal quale sono emersi alcuni profili di criticità nelle misure di sicurezza fino ad allora adottate”), ha concesso una proroga dei termini precedentemente stabiliti per l’adempimento delle prescrizioni impartite con il provvedimento del 21 dicembre 2017.
Casaleggio & Associati – pur non avendo soddisfatto gli standard auspicati da Soro e peraltro stabiliti dalla legge – ottengono così una dilazione di tempo potendo mettersi in regola entro il 30 settembre 2018. Per chi avesse scarsa confidenza con il calendario, alla piattaforma Rousseau viene permesso di essere sicura entro un anno dalla devastante breccia aperta nel perimetro dei propri forzieri informatici.
Davide Casaleggio, in qualità di legale rappresentante pro-tempore dell’Associazione Rousseau, risponde in anticipo rispetto il termine accordato, comunicando l’avvenuta adozione di ulteriori accorgimenti assunti al fine di porre rimedio alle criticità rappresentate dall’Autorità con il provvedimento del 16 maggio 2018 e trasmettendo al Garante i report tecnici delle due società incaricate di effettuare i “penetration test”.
Il successivo 7 agosto 2018 l’Autorità si trova costretta a rilevare – proprio dalla documentazione trasmessa ed in particolare dalle risultanze dei security assessment – la presenza di debolezze strutturali degli applicativi testati con conseguente necessità dell’adozione di adeguate contromisure. Il Garante chiede quindi di far pervenire, entro il già concesso termine del 30 settembre 2018 ogni ulteriore elemento di valutazione in ordine alle misure e alle iniziative assunte a tutela dei dati personali degli utenti.
Il 4 ottobre 2018 Soro e gli altri componenti dell’Autorità concedono una ulteriore proroga a Casaleggio per allineare la piattaforma Rousseau alle prescrizioni sancite dalla normativa in vigore e per tutelare finalmente gli utenti che si servono del sito e dei relativi servizi. Il termine ultimo per “dare completo adempimento alle prescrizioni contenute nel paragrafo 7 del provvedimento n. 548 del 21 dicembre 2017” viene così fissato al 15 ottobre 2018.
L’Ufficio del Garante informa in anticipo i predetti responsabili che nei giorni 12 e 13 novembre 2018 sarebbe stato effettuato un accertamento ispettivo di natura prettamente tecnica avente lo scopo di verificare in concreto – attraverso una serie di accessi ai sistemi informatici svolti in presenza di tutte le professionalità necessarie – la robustezza dei sistemi di sicurezza adottati rispetto alle criticità rappresentate dall’Autorità.
Questo l’iter, lungo e travagliato, che si profila ben diverso da una coltellata a tradimento – Bruto docet – tipica di una congiura.
Non va sottovalutato che il Garante già nel suo primo provvedimento aveva suggerito “la cancellazione o la trasformazione in forma anonima dei dati personali trattati, una volta terminate le operazioni di voto, nonché il disaccoppiamento del numero telefonico del votante (dato personale particolarmente identificativo) dal voto espresso, allo scopo di rendere i dati relativi alle votazioni meno direttamente riconducibili ai votanti o, addirittura, del tutto anonimi”.
A questo proposito non può passare inosservato che (come si legge nel punto 2.2 del tanto vituperato provvedimento sanzionatorio) il Garante ha «constatato che la tabella di database contenente le informazioni relative alle operazioni di e-voting effettuate nelle settimane e mesi precedenti l’accertamento ispettivo (ultimi dati relativi alla votazione online del 12 settembre 2018) “non contiene [più] il numero di cellulare del soggetto votante” e che la medesima tabella “contiene un ID utente [che] permette indirettamente di risalire [al] soggetto votante”». Ogni considerazione qui la lasciamo a chi – tra i lettori – è appassionato di democrazia diretta e di segretezza del voto.
Al punto 3.4 del provvedimento del Garante si legge poi, sempre a proposito della piattaforma Rouseeau, che “La stessa, infatti, non appare in grado, tra l’altro, né di prevenire gli eventuali abusi commessi da addetti interni, non essendo stati in essa previsti accorgimenti per partizionare il loro dominio d’azione (in particolare, degli amministratori di sistema e dei DBA – data base administrators), né di consentire l’accertamento a posteriori dei comportamenti da questi tenuti, stante la limitata efficacia degli strumenti di tracciamento delle attività”.
Potrei continuare in un impietoso “taglie e incolla” dei brani del provvedimento n° 83 che il 4 aprile scorso l’Autorità Garante ha emesso comminando la contestata sanzione.
Il provvedimento è a disposizione di chi vuole prenderne visione e, consideratane l’estrema leggibilità, può soddisfare chi intende sapere la verità sulla vicenda e fare le proprie valutazioni sull’intera architettura della piattaforma da molti identificata come il Paradiso terrestre della democrazia partecipativa.
Alla fine della storia quei cinquantamila euro sono l’equivalente di un divieto di sosta a chi per strada, forse, ha commesso ben più imperdonabili infrazioni in danno ai cittadini e ai loro diritti civili.
Rimuovere Soro (magari per mettere al suo posto l’ex avvocato di Facebook, nota realtà in cui la privacy è calpestata quotidianamente) sarebbe un evidente segnale di ingratitudine. Forse addirittura un indizio della sindrome rancorosa del beneficato.
Articoli correlati
De-escalation in corso fra Israele e Iran? Analisi e commenti
La sbandata di Cybertruck: cosa è successo al fuoristrada di Tesla
Ecco la carica degli abbonati di Netflix (celata dall’anno prossimo)
Cosa non va con Tsmc
