Uno degli aspetti più deteriori della mancanza di una vera cultura digitale in Italia è la tendenza comune a prendere un po’ sottogamba il diritto alla privacy, anzi come sarebbe più corretto dire, diritto alla protezione dei dati personali. Di “privacy” in Italia si parla spesso e tante volte a sproposito, reclamandone la difesa a gran voce quando fa comodo per poi magari, un minuto dopo, bollare come inutili e pedanti le misure obbligatorie che ne dovrebbero consentire la tutela. D’altronde anche i numerosi appelli lanciati dagli esperti per sollecitare i consumatori a essere più attenti nella quotidiana difesa della loro privacy (nella scelta e nell’aggiornamento di una password come nello scaricare un’app gratuita sul proprio cellulare “svendendo” in cambio i dati personali in esso contenuti) rimangono il più delle volte inascoltati.
Non mi riferisco ovviamente all’operato del legislatore italiano né tantomeno a quello del Garante: sotto molti punti di vista il nostro è un Paese all’avanguardia, estremamente attento alla protezione dei dati personali, soprattutto se paragonato con altre realtà, Ue ed extra Ue. Le norme a difesa della nostra privacy, insomma, ci sono e sono piuttosto tutelanti per i cittadini, ma il problema è farle rispettare pienamente, renderle vive e utili, far sì che i cittadini sappiano come difendere i propri dati e che le aziende ne abbiano altrettanta cura. Colpisce molto a tal proposito una vicenda che ha recentemente coinvolto Telecom e che si prefigura come un “data breach” (cioè una violazione della sicurezza che comporta una diffusione di dati personali) dalle enormi proporzioni gestito in modo molto poco accorto dalla principale società telefonica italiana, che è stata per questo motivo oggetto di uno specifico provvedimento del Garante (n. 176/2017).
La vicenda (dettagliatamente raccontata in un recente articolo a firma dell’avv. Pelino, pubblicato sul sito dell’associazione Anorc) è partita dall’iniziativa di un reclamante, che vedendosi contattato continuamente da diverse società di recupero crediti ha scoperto di essere “intestatario a sua insaputa” di ben 826 linee telefoniche fisse.
Già in passato erano emerse delle intestazioni abusive di linee mobili della Telecom, che era stata per questo motivo oggetto di numerose sanzioni da parte del Garante, ma le capillari indagini avviate dall’Autorità in seguito a quest’ultimo reclamo hanno scoperchiato un vero e proprio vaso di Pandora: una violazione dei dati personali che ha interessato “il sistema di gestione della clientela, la banca dati in uso alle Forze di polizia e alla Magistratura (con la possibilità, ad esempio che gli interessati si trovassero ingiustamente coinvolti in procedimenti di natura penale, nda) e il sistema di fatturazione”, coinvolgendo almeno 644 utenti e 7.000 linee telefoniche. Ma a colpire non è solo l’estensione della violazione ma la sua durata: il data breach avrebbe avuto inizio, a quanto pare, tra il 2001 e il 2003, ed è andato avanti finora tra la sostanziale indifferenza della società telefonica che, pur essendo conscia del problema (le segnalazioni e i reclami degli utenti erano stati, infatti, numerosi) non ha approntato le dovute misure per arginare il fenomeno e non ha nemmeno comunicato l’avvenuto data breach al Garante, così come espressamente richiesto dalla normativa in vigore.
Nel provvedimento il Garante ha perciò imposto a Telecom di fare per prima cosa chiarezza sulla violazione, appurando esattamente quali sistemi informatici e quali clienti ne siano stati interessati e rettificando anche le relative comunicazioni dei loro dati a terzi. Inoltre l’Autorità ha disposto che l’azienda si doti di idonee misure organizzative che permettano di far emergere il prima possibile dei segnali sospetti di un funzionamento viziato nella gestione dei dati (es. possibili discordanze nei dati di un utente) e di agire tempestivamente per correggerlo.
Tuttavia non si può non rimanere interdetti nel constatare amaramente la gravità non solo della condotta negligente e omissiva da parte di Telecom, che ovviamente non ha provveduto a porre in essere neppure le misure necessarie che il Garante aveva già prescritto in un suo provvedimento già nel 2006, ma anche dell’inerzia della stessa società a fronte delle numerose segnalazioni degli utenti interessati che si sono susseguite nel corso degli anni. C’è da chiedersi dunque perché una delle principali aziende italiane abbia – per politica aziendale – sottovalutato (o meglio snobbato) la normativa posta a tutela dei dati personali. Si tratta forse della cinica accettazione dei rischi sanzionatori possibili? Se così è stato finora, sulla scorta di quanto previsto dal solo Codice Privacy (D.Lgs. 196/2003) il discorso però cambierà radicalmente in base al nuovo Regolamento europeo 2016/679 in materia di protezione dei dati personali, (obbligatorio dal 25 maggio 2018) in base al quale un illecito trattamento di dati personali di cittadini e utenti potrebbe comportare sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo.
Di certo, somme per cui varrà la pena adottare politiche aziendali che assicurino la compliance alle norme per la protezione dei dati personali. Dobbiamo quindi rassegnarci al fatto che senza sanzioni adeguate in Italia rimane inutile prevedere qualsiasi disposizione normativa anche di buon senso come queste?