Problemi di privacy nei siti governativi: come vengono trattati i nostri dati?

Problemi di privacy nei siti governativi: come vengono trattati i nostri dati?

10 Marzo 2019 0 Di Samuele Tozzi

Il 5 Marzo è stato pubblicato un video promozionale del dipartimento per le Politiche Giovanili e il Servizio civile universale. Sono state però segnalate alcune lacune riguardanti la privacy, come è successo già per il sito del Reddito di Cittadinanza.

Il Garante della Privacy ha già preso in mano la situazione, evidenziando i problemi dei due siti.

Per capire bene dov’è il problema è necessario fare un passo indietro e vedere quali sono le norme per il trattamento dei dati personali raccolti nei sistemi informatici.

La legge

Dal 25 Maggio 2018 è in vigore un nuovo regolamento europeo: “General Data Protection Regulatione (GDPR) 2016/679”. Esso rimpiazza il precedente “Data Protection Directive”.

L’obiettivo? Dare controllo ai cittadini sui loro dati, anche nel caso in cui questi siano trasferiti fuori dall’UE (per esempio nel caso di Multinazionali come Google, Apple, Facebook etc..).

L’articolo 3 presenta tre attori:

  1. Data owner: come dice il nome è il proprietario dei dati.
  2. Data controller: “controller significa la persona naturale o legale, autorità pubblica, agenzia o chiunque altro che, solo o in compagnia di altri, determina gli obiettivi e i mezzi dell’elaborazione dei dati personali”, traducendo da quanto dice la norma. In sostanza il controller è la persona o l’entità che ha bisogno dei dati.
  3. Data processor: “processor significa la persona naturale o legale, autorità pubblica, agenzia o chiunque altro che elabora i dati con il benestare del controller”. In pratica il processor è la persona o l’entità che elabora i dati.

Oltre a questi tre sono presenti i DPO (Data Protection Officer), che è quello che si occupa della gestione del GDPR nell’azienda. Il suo nome va dato al DPA (Data Protection Authority), il Garante della Privacy.

Funzionamento del GDPR, con riferimento a chi deve trattare i dati. Il dato owner qua è messo fuori come entità, ci sono solo i dati che vengono presi

I diritti

L’utente, quindi il data owner ha dei diritti. i dati raccolti possono essere visualizzati quando egli vuole, possono essere cancellati e spostati in ogni momento e il proprietario deve avere una notifica nel caso in cui i dati siano stati rubati.

Inoltre i dati raccolti:

  • Possono essere sono quelli strettamente necessari allo scopo;
  • Quando non sono più necessari devono essere cancellati o anonimizzati;
  • Devono essere noti all’utente, quindi quest’ultimo deve essere consapevole di quali dati vengono raccolti;
  • Non possono essere usati per altri scopi;

Sanzioni

Se vengono infrante le norme, per esempio se vengono rubati i dati ma è stato fatto il massimo per proteggere i dati (questo chiaramente va dimostrato) può esserci solo un richiamo. Se invece era un’infrazione evitabile si può arrivare fino a 20 milioni di euro o il 4% del giro degli affari mondiale del business.

La vicenda

Uno dei problemi che colpiscono i due casi è il fatto che utilizzano i  Google font ma che questi non vengono dichiarati: per Google, infatti, i Google font funzionano da data controller. In pratica si stanno dando dati a Google quando nell’informativa della privacy non c’è scritto. Nel sito ufficiale è presente pure “Microsoft Azure”, non presente nel trattamento dei dati personali. Lo stesso identico problema si presenta con il sito “www.politichegiovanili.gov.it“. Insomma questi siti regalano i dati degli utenti senza che questi ne siano minimamente consapevoli.

Ci sono anche problemi con la trasmissione in modo non del tutto trasparente di condivisione con terze parti dell’indirizzo IP (ossia l’indirizzo del nostro router o del nostro smartphone).

Infine di seguito è riportato quanto dice il Garante a riguardo della faccenda:

Si segnala, al riguardo, che il sito rivela, già nel suo attuale stato di sviluppo, alcune carenze, in particolare, nell’informativa sul trattamento dei dati e nelle modalità tecniche della sua implementazione (che, ad oggi, comportano un’indebita e non trasparente trasmissione a terzi dei dati di navigazione, quali indirizzi IP e orario di connessione, da parte dei visitatori del medesimo sito). 

E’ necessario che la realizzazione di questo strumento avvenga previa  adozione di misure tecniche idonee ad attuare in modo efficace i principi di protezione dei dati (quello di minimizzazione dei dati in particolare), integrando nel trattamento le necessarie garanzie per ridurne i rischi a tutela dei i diritti dei cittadini.

Tali misure risulteranno ancor più essenziali ove si dovesse fare ricorso – al prospettato fine di incrementare l’efficienza del programma e l’allocazione del lavoro – a strumenti e piattaforme informatici messi a disposizione da enti controllati o vigilati da parte di amministrazioni dello Stato, ovvero da società in house (art. 6, comma 8).