loaderloading...
Dati sensibili

Il punto della situazione


Il 2019 è stato un anno che ha visto avvicendarsi importanti innovazioni per il diritto alla protezione dei dati personali.

Da un lato, infatti, si sono registrate diverse violazioni della privacy, come nel caso del software-spia utilizzato da molti organi inquirenti per le intercettazioni mediante captatori informatici, che per un errore di programmazione è stato posto sul mercato (in particolare: Google play store) senza restrizioni di accesso ed è quindi stato scaricato liberamente da circa un migliaio di ignari cittadini, i cui telefoni sono stati così infettati e sottoposti a una sorveglianza continuativa per giorni.

Per altro verso, alcune modifiche normative hanno introdotto profonde limitazioni del diritto alla privacy dei cittadini, come nel caso della legge “concretezza” che ha imposto la rilevazione biometrica della presenza in servizio di tutti i lavoratori pubblici. Significativa anche la previsione dell’obbligo di indicazione, nei moduli per il rilascio della carta d’identità a minori, degli esercenti la responsabilità genitoriale come “padre” e “madre” anziché come “genitore 1” e “genitore 2”, come invece precedentemente disposto, per non discriminare i minori appartenenti a nuclei familiari omogenitoriali.

Dall’altro lato, le Corti interne e sovranazionali hanno invece tenuto posizioni assai garantiste in materia, tanto rispetto al rapporto tra privacy e trasparenza amministrativa (Corte costituzionale), quanto rispetto al diritto all’oblio (Corte di giustizia).


C16. Grafico 1 • I primi dieci paesi europei per maggior entità di sanzioni amministrative irrogate ai sensi del

FLUORISH CHART visualisation/1942558 

Trasparenza


Con sentenza 20 del 2019, la Corte costituzionale ha dichiarato illegittima la disciplina della trasparenza amministrativa, nella parte in cui impone la pubblicazione sul web della situazione reddituale e patrimoniale di tutti i dirigenti pubblici, indistintamente, per violazione dei principi di ragionevolezza e proporzionalità. La limitazione così introdotta della privacy dei dirigenti, infatti, secondo la Corte non è proporzionale all’esigenza di trasparenza dell’azione amministrativa perseguita, non essendosi modulati gli obblighi di pubblicità in ragione dell’esposizione al rischio corruttivo delle varie tipologie di figure, delle attribuzioni di cui esse sono titolari.

La Corte, riprendendo quanto affermato anche dal Garante per la protezione dei dati personali in varie occasioni, osserva come tale moltiplicazione degli obblighi di pubblicazione rischi peraltro di determinare, per eterogenesi dei fini, una opacità per confusione dovuta all’eccesso di informazioni, spesso inutili, riversate sul web che ostacolano la ricerca di quelle, invece, realmente rilevanti. In ragione della molteplicità delle scelte astrattamente possibili per una rimodulazione degli obblighi di pubblicità in conformità ai principi di ragionevolezza e proporzionalità, la Corte sottolinea come spetti al Parlamento riformare la materia con urgenza, limitandosi essa a sancire l’illegittimità delle ipotesi di pubblicazione obbligatoria relative a dirigenti non apicali.


Controllo biometrico dei lavoratori


Con la legge 56/19, è stato previsto l’obbligo per tutte le pubbliche amministrazioni (salvo quelle in regime di diritto pubblico e con norme speciali per la scuola) di introdurre misure di rilevazione biometrica della presenza in servizio dei dipendenti pubblici, unitamente alla videoregistrazione degli accessi.

La norma era stata criticata a più riprese dal Garante, nelle varie audizioni tenutesi nel corso dell’esame parlamentare del disegno di legge, perché ritenuta incompatibile con i principi di proporzionalità e necessità delle limitazioni della privacy, non essendo i controlli commisurati alle specificità del contesto di riferimento (e dunque all’effettivo rischio di falsa attestazione della presenza in servizio) e in ragione del previsto concorso tra rilevazione biometrica e videosorveglianza.

Del resto, misure così invasive non parrebbero giustificarsi alla luce delle rilevazioni effettuate nell’ultimo anno nelle pubbliche amministrazioni, che a fronte di circa 3 milioni di dipendenti pubblici, riportano solo 81 casi di licenziamento per falsa attestazione della presenza in servizio. Nonostante le criticità espresse dal Garante, la legge è stata approvata nel testo oggetto di censura.

Le perplessità già rappresentate nel corso dei lavori preparatori, sono poi state ribadite dal Garante con il parere del 19 settembre sullo schema di regolamento attuativo della legge.

Minori e famiglie non tradizionali 


Il 31 ottobre 2018 il Garante per la protezione dei dati personali ha reso un parere su di uno schema di decreto del Ministro dell’interno (poi adottato nel corso del 2019) di disciplina delle modalità di rilascio della carta d’identità elettronica ai minorenni, che ha suscitato aspre polemiche sulla pretesa “politicità” del giudizio espresso.

Il parere reso dal Garante riguardava, in particolare, la nuova disciplina dell’indicazione dei soggetti che possano richiedere, per il minore, il rilascio della carta d’identità elettronica. La disciplina previgente prevedeva che essa riportasse i nominativi dei “genitori” del minore, abilitati come tali a richiederne il rilascio. Il decreto sostituisce invece (tanto nella carta d’identità, quanto nei moduli di richiesta e nella relativa disciplina) il riferimento ai “genitori” con quello al “padre” e alla “madre”.

Il parere del Garante ha, dunque, valutato la compatibilità di tale sostituzione terminologica con la disciplina privacy e, in particolare, con il principio di esattezza dei dati personali, la garanzia della dignità e la tutela dell’identità personale.

Tale modifica introdotta dal decreto si è rivelata inattuabile in alcune ipotesi, con gravi effetti discriminatori per il minore interessato. Ci si riferisce ai casi nei quali il minore affidato non al padre e alla madre biologici, ma a coloro i quali esercitino la responsabilità genitoriale a seguito di trascrizione di atto di nascita formato all’estero, sentenza di adozione in casi particolari o riconoscimento di provvedimento di adozione pronunciato all’estero.

In questi casi, l’inserimento del minore in nuclei familiari omogenitoriali o comunque non costituiti da “padre” e “madre” determina, alla luce delle modifiche introdotte dal decreto, alcuni effetti paradossali. A rigore- come osserva Antonello Soro in replica all’allora Ministro Matteo Salvini - il minore affidato a soggetti che non possano definirsi suo padre e/o sua madre, non potrebbe ottenere mai la carta d’identità elettronica, non avendo appunto egli alcun padre o madre legittimati, essi soli, a richiederne il rilascio.

Per ottenere altrimenti il documento d’identità del minore- continua ancora il Presidente del Garante - i soggetti che ne esercitino la responsabilità genitoriale dovrebbero essere costretti a una falsa dichiarazione, attribuendosi (con la responsabilità penale che ne consegue), identità a loro non appartenenti.

In ogni caso, se anche la carta d’identità fosse rilasciata con indicazione quali padre e madre di chi non rivesta tali qualità, essa recherebbe delle informazioni non veritiere sull’identità dei soggetti richiedenti ed esercenti la responsabilità genitoriale del minore. Il che è naturalmente paradossale per un documento d’identità.

In ragione dell’irragionevolezza del decreto e delle conseguenze che ha determinato nell’ambito delle sue prime applicazioni, esso è stato impugnato dinanzi al Tribunale amministrativo regionale del Lazio, che dovrà pronunciarsi sulla sua legittimità.

Oblio


Con due distinte sentenze del 24 settembre 2019, la Corte di giustizia ha deciso due questioni pregiudiziali sul diritto all’oblio.

Sulla deindicizzazione globale (esercizio del diritto all’oblio su tutte le versioni, anche extraeuropee, dei motori di ricerca), la Corte, nella causa C-507/17 ha escluso che possa ammettersi un obbligo di deindicizzare esteso anche a versioni extraeuropee, benché invece la deindicizzazione dalle versioni corrispondenti a tutti gli Stati membri debba essere efficace.

E tuttavia, pur non imponendo la deindicizzazione globale, la disciplina di protezione dati non vieta che le singole Autorità, all’esito di un bilanciamento in concreto, impongano comunque a Google la deindicizzazione globale. La questione resta, insomma, rimessa alla prudente valutazione, in concreto, delle Autorità di protezione dati.

Decidendo altra questione pregiudiziale (C- 136/17), la Corte ha affermato poi che anche i motori di ricerca soggiacciono (per quanto concerne il trattamento realizzato mediante l’indicizzazione) alla disciplina peculiare prevista per dati sensibili e giudiziari, dovendo dunque valutare, nell’indicizzare i link, se sussistano le deroghe necessarie a superare il divieto di trattamento dei dati sensibili.

Invece, per quanto concerne i dati giudiziari, il motore di ricerca è tenuto a organizzare i link in modo da rendere quelli maggiormente visibili quelli più aggiornati e conformi alla situazione giudiziaria attuale. In sintesi: la notizia dell’arresto o della custodia cautelare va posta in coda a notizie più recenti come quella della definizione della sentenza di primo grado, d’appello o di cassazione, tanto più se vi siano stati sviluppi processuali favorevoli all’imputato.

Intercettazioni di massa (per errore)


A fine marzo del 2019 si è diffusa la notizia relativa a un errore nel funzionamento di un’app-spia utilizzata, per conto di varie Procure, a fini intercettativi, che avrebbe comportato l’acquisizione delle conversazioni di circa un migliaio di cittadini italiani, non indagati.

La vicenda ha dimostrato, ancora una volta – dopo il precedente “Hacking Team” del 2015 - l’intrinseca pericolosità del ricorso, a fini intercettativi, di software potenzialmente capaci di acquisire l’intero contenuto del dispositivo su cui sono installati, di realizzare un controllo ubiquitario sulla persona in quanto capaci di seguirla e registrarne l’attività in ogni luogo e contesto (se installati, come avviene nella maggior parte dei casi, su dispositivi mobili) e in alcuni casi anche di cancellare le tracce delle operazioni svolte, in maniera occulta.

Ma soprattutto, con la recente vicenda “Exodus” si è dimostrata l’ulteriore, estrema pericolosità del ricorso, a fini intercettativi, ai software connessi ad app che, come tali, non siano direttamente inoculati nel solo dispositivo dell’indagato, ma siano posti su piattaforme (come Google play store) accessibili a chiunque.

Lo ha rilevato efficacemente il Garante per la protezione dei dati personali, sottolineando come, qualora queste app-spia siano rese disponibili sul mercato per errore, in assenza dei filtri necessari a limitarne l’acquisizione da parte dei terzi, esse rischino di trasformarsi in pericolosissimi strumenti di sorveglianza massiva.

Pertanto, in una segnalazione al Parlamento e al Governo del 30 aprile 2019, l’Autorità ha invitato il legislatore a valutare l’opportunità di introdurre un espresso divieto di utilizzo di tali software, non contemplato dalla “riforma Orlando” (d.lgs 216/2017) la cui efficacia, del resto, è stata già più volte differita.

Il caso


Un ex diplomatico, condannato per molestie sessuali a un anno e due mesi di reclusione in primo grado nel 2018 con pena sospesa, chiede la deindicizzazione degli articoli inerenti la sua condanna, esercitando così il suo diritto all’oblio.

Google eccepisce che la funzione pubblica svolta dall’interessato fino a pochi anni prima, il breve tempo trascorso dalla condanna in primo grado, (impugnata peraltro dallo stesso imputato) e la gravità dei reati ascritti, ostano all’accoglimento della domanda.

Il Garante, con provvedimento del 28 febbraio 2019, ritiene invece l’istanza fondata e, per l’effetto, impone la deindicizzazione degli articoli, in quanto la non menzione della sentenza di condanna concessa all’imputato unitamente alla sospensione condizionale della pena sarebbe del tutto vanificata dalla pervasività della presenza in rete di notizie sull’imputazione.

In altri termini, il fine di reinserimento sociale cui tendono gli istituti della non menzione e della sospensione condizionale della pena sono inevitabilmente depotenziati in un contesto in cui la notizia della condanna, che si vuole appunto “opacizzare” per impedire all’imputato di intraprendere un nuovo percorso di vita senza lo stigma del reo, è reperibile in ogni momento e luogo, semplicemente digitando il nome dell’interessato, quasi come se il motore di ricerca restituisse a chiunque un certificato del casellario giudiziale di ciascuno.

Di qui l’importante presa di posizione del Garante, che consolida un indirizzo interpretativo già inaugurato da tre anni, estendendolo anche ai casi di condanna non definitiva.


Chelsea Manning

Chelsea Manning

(Crescent (USA), 1987 - )
TORTURE E PRIGIONIA PER AVER VOLUTO DIRE LA VERITÀ SULLE STRAGI DI INNOCENTI IN IRAQ E AFGHANISTAN: LA STORIA DI CHELSEA MANNING

Quanto si paga la verità? Spesso molto, moltissimo, finanche troppo, in questo mondo. E vale a volte anche più della vita stessa. Quanto si è disposti a pagare per la verità come bene ultimo? Chelsea Manning era disposta a pagare tutto. Se tutto quello che subì fu troppo, sta a lei deciderlo. Nata nel 1987 a Crescent, cittadina dell’Oklahoma, trascorre la giovinezza tra gli USA e il Galles, paese di origine della madre. Si arruola nell’esercito USA ancora giovanissima e viene assegnata in Iraq con la funzione di ufficiale di intelligence. 

E se le prime linee mostrano senza filtri l’orrore della guerra, il sangue e il dolore, spesso una posizione come quella di Chelsea mostra invece un’immagine meno cruenta ma forse più crudele. Quella della politica al servizio del conflitto, quella dell’“interesse nazionale” che vale più della vita di una, dieci, cento o mille esseri umani. In questo caso si parla di persone morte - tra le 12 e le 18, di cui 2 giornalisti Reuters - in un attacco condotto da elicotteri AH-64 il 12 luglio del 2007 a Baghdad. Il Pentagono dirà che si è trattato di “un incidente, erano armati e avevano aperto il fuoco!”.

Un massacro immotivato, invece, diranno i video e i rapporti filtrati tramite il portale WikiLeaks, che mostrarono, appunto, un attacco indiscriminato contro civili disarmati, giornalisti, donne e bambini.  “Ahah, colpiti!”, dirà un soldato. “Guarda un po’ quegli st*onzi, morti ammazzati!”, gli risponderà un commilitone.

Questi documenti vennero inviati al portale proprio da Chelsea Manning, insieme a dozzine di altri rapporti compromettenti riguardanti l’esercito statunitense e le sue azioni in Iraq e Afghanistan.

La verità costa troppo. Chelsea lo scoprì sulla sua pelle. Lo scoprì quando venne rinchiusa, nel maggio del 2010, in una cella minuscola in Kuwait. Due metri e mezzo per due metri e mezzo. Poi in una prigione militare a Quantico, Virginia, dove subì privazione del sonno e torture fisiche e psicologiche. “Poteva vedere la luce del sole solo per 20 minuti al giorno”.

Fuori dalla sua cella la guerra continua. Non solo quella sul campo, ma anche quella ancora più violenta e devastante dell’amministrazione e del Pentagono contro coloro che provano a diffondere documenti riservati riguardo le guerre di inizio anni Duemila. WikiLeaks, reso ormai celebre dai documenti trasmessi da Chelsea, e il suo fondatore Julian Assange diventano i nemici pubblici numero uno.

Le condizioni di prigionia di Chelsea, nel frattempo, fanno scalpore, così come la sua condanna, nel 2013, a 35 anni di carcere. Verrà assolta solo dall’accusa di “connivenza col il nemico”, per la quale avrebbe potuto anche ricevere la pena capitale.

“Volevo solo che la gente vedesse ciò che avevo potuto vedere io, e far capire a tutti cosa furono quelle guerre”, dirà in seguito. Nel 2017 Barack Obama le concederà la grazia, ma verrà incarcerata nuovamente nel 2018 per essersi rifiutata di presentarsi di fronte al grand jury. Dopo un tentativo di suicidio in carcere, verrà rilasciata una decina di mesi dopo, il 10 marzo del 2020.