Sul caso della tutela e della riservatezza “quasi assenti” per i dati personali di alcuni dei tesserati della Fipav contenuti all’interno del sito della federvolley, che Volley NEWS ha riportato qualche giorno fa (l’articolo completo si può leggere cliccando qui), abbiamo voluto ulteriormente approfondire l’argomento con un avvocato: Marco Maglio*.
Ecco tutto quello che ci ha spiegato: una lettura decisamente interessante e approfondita, da consigliare, che dice tutto sulla “politica” dei dati e chiarisce le responsabilità di chi li gestisce e li dovrebbe proteggere…
Che cosa si intende per dati personali, identificativi o sensibili e giudiziari?
“I dati personali sono tutte le informazioni riferite o riferibili ad una persona fisica. In pratica, ogni elemento riferito o anche solo riferibile ad un nome e cognome è un dato personale. L’indirizzo, la data di nascita, il codice fiscale, il titolo di studio ma anche la squadra di appartenenza per un atleta, la sua carriera o le gare disputate e persino le fotografie o la voce registrata sono dati personali. E la legge da oltre vent’anni in Italia tutela il diritto di ognuno di noi ad esercitare un controllo sulle informazioni che ci riguardano. Poi, ci sono categorie di dati tutelate in modo ancora più intenso dall’ordinamento. Si tratta dei dati sensibili, che sono quelli idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Tutela rafforzata è prevista anche per i dati giudiziari, cioè i dati idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato”.
Perché, oggi, è così importante raccoglierli e, di conseguenza, pensare a proteggerli?
“I dati personali sono sempre stati importanti, perché sono lo strumento attraverso il quale si identificano e si gestiscono le persone. Oggi, però, l’importanza dei dati personali è collegata principalmente al loro valore economico. I dati sono diventati uno strumento fondamentale per conoscere gli interessi e le abitudini dei consumatori e servono, quindi, per entrare in contatto con le persone attraverso messaggi individuali. Si può dire che i dati sono la vera “materia prima” dell’economia della conoscenza, quella che permette ai giganti del web, come Google o Facebook, di generare fatturati miliardari. E le nuove tecnologie hanno moltiplicato i modi attraverso i quali i dati vengono generati e sono raccolti ed elaborati. Un tempo i dati erano solo quelli che venivano inseriti in coupon o moduli da chi li compilava consapevolmente. Oggi, invece, i dati nascono da soli, sono generati dai nostri comportamenti e gli strumenti che utilizziamo quotidianamente li rilevano, li registrano e li trasmettono a chi, poi, li elaborerà. Gli oggetti che usiamo tutti nella vita di tutti i giorni sono diventati una potentissima fonte di produzione di dati: smartphone, tablet e più in generale tutti gli oggetti connessi in rete permettono di raccogliere un’enorme quantità di dati: appunto a questo ci si riferisce quando si parla dei cosiddetti big-data”.
La sensazione è che in merito alla “questione dei dati” ci sia molta ignoranza, sia da parte di chi li comunica che di chi li raccoglie: è qualcosa che nel mondo “informatizzato” di oggi si può ancora accettare?
“E’ vero che spesso le persone sono del tutto inconsapevoli dei rischi che comporta un uso superficiale delle nuove tecnologie e una diffusione non controllata dei propri dati personali. Ognuno di noi, invece, dovrebbe essere garante della propria riservatezza, evitando di diffondere informazioni sulla propria vita senza pensare alle conseguenze che comporta la condivisione pubblica. Ed è altrettanto vero che anche chi raccoglie i dati non è sempre consapevole della responsabilità che si assume chi tratta dati altrui. Gestire un database è un’attività che la legge definisce come pericolosa, nel senso che chi la svolge deve adottare cautele specifiche per prevenire usi impropri dei dati. Chi non organizza la base di dati in modo accurato rischia sanzioni sempre più pesanti e di causare danni con conseguenze spesso gravissime”.
Volley NEWS ha riportato un’importante “scoperta” relativa al portale della federvolley e alla sua “fragile” protezione circa l’accesso ad alcuni dati: che opinione si è fatto della questione?
“E’ sconsolante constatare che il livello di protezione dei dati personali sia ancora così diffusamente basso nel nostro paese. Il fatto che Volley News ha doverosamente segnalato non è purtroppo un caso isolato e sono tanti i siti che commettono grandi leggerezze nel gestire i dati dei propri utenti Eppure, tutti dovrebbero ormai sapere che l’accesso ad un sistema informatico deve basarsi su strumenti di autenticazione informatica. Si tratta, per essere precisi, di una misura minima di sicurezza prevista dalla normativa vigente. Occorre organizzare il trattamento di dati personali con strumenti elettronici in modo che l’accesso ai dati sia consentito solo a chi è dotato di credenziali di autenticazione che consentano l’identificazione univoca dell’utente. Secondo la legge le credenziali di autenticazione consistono in un codice per l’identificazione dell’utente associato a una parola chiave riservata e conosciuta solamente dall’utente stesso. In pratica, si tratta di una user-id e di una password. Usare un codice fiscale come chiave univoca per accedere a dati personali sul web è una leggerezza grave, un sintomo conclamato di analfabetismo informatico. Ogni commento è superfluo di fronte a tanta disinvoltura. Ma volete sapere quale sanzione è prevista per chi tratta dati omettendo di adottare le misure minime di sicurezza? Una sanzione amministrativa fino a 120.000 euro. In più, nei casi più rilevanti, anche tenendo conto del numero di dati oggetto del trattamento, il giudice può applicare una sanzione penale: l’arresto fino a due anni. Credo che questo dia il senso della gravità dei fatti che avete rilevato”.
Come sarebbe, invece, necessario difendere i database con i nostri dati?
“Bisognerebbe impostare il sito con regole di sicurezza effettive: basterebbe far usare chiavi di accesso univoche e non conosciute da altre persone se non dall’utente autorizzato ad accedere ai dati. In pratica, si tratta di dotare tutti gli utenti che vogliono accedere ad un database presente in un sito di una password lunga almeno otto caratteri e da modificare almeno ogni sei mesi. Non mi sembra uno sforzo improbo. Basta pensarci ed avere rispetto per i dati degli altri. E se non si è in grado di gestire adeguatamente i dati personali è doveroso avvalersi delle competenze di chi è esperto del settore e può impostare correttamente la protezione dei dati trattati”.
In ultimo, a chi è possibile rivolgersi per la tutela e il rispetto della corretta normativa sui dati?
“Ognuno di noi può rivolgersi al Garante per la protezione dei dati personali presentando un’istanza circostanziata o un vero e proprio ricorso formale. In alternativa è possibile rivolgersi all’autorità giudiziaria ordinaria, presentando una denuncia oppure chiedendo un risarcimento per il danno non patrimoniale subito a causa della non applicazione delle norme di tutela dei dati personali. Si tratta, quindi, di una tutela molto ampia e piuttosto efficace. E con il nuovo regolamento europeo sui dati personali che sarà pienamente applicabile dal 25 maggio 2018 le sanzioni si moltiplicano e potranno arrivare fino a 20 milioni di euro”.
Ma in un caso come quello riportato da Volley NEWS sarebbe corretto rivolgersi al Garante per la Privacy o agli organi competenti in materia?
“Certamente ci sono gli estremi per contestare un illecito trattamento di dati per omissione delle misure minime di sicurezza. Direi soprattutto che un intervento correttivo da parte dell’autorità sarebbe auspicabile, tenuto conto che il regolamento europeo che prima ho ricordato impone di adottare accurati criteri di analisi del rischio per prevenire illeciti trattamenti di dati. Con queste nuove regole diventa essenziale organizzare bene ogni trattamento di dati personali e chi non lo fa verrà pesantemente sanzionato. Nell’interesse generale dei tesserati e di tutto il settore diventa quindi auspicabile che questo bug di sicurezza rivelato meritoriamente dalla vostra testata non passi sotto silenzio ma sia lo stimolo per avviare una profonda revisione delle politiche di trattamento dei dati personali adottate da chi rappresenta il movimento pallavolistico italiano. Questo è il momento per segnare un deciso cambio di passo nel trattamento dei dati di atleti e tesserati. Il 25 maggio 2018 è sempre più vicino e i dati di chi pratica la pallavolo meritano di essere tutelati secondo lo spirito che anima le nuove norme europee. Si parla infatti di “privacy by design”, cioè di protezione dei dati fin dalla progettazione. Sembra invece che chi ha progettato il portale della Federvolley non abbia proprio tenuto conto della tutela delle informazioni riferite agli atleti, incluse quelli dei minori. Meglio intervenire per tempo, adeguandosi almeno alle nuove norme europee, superando l’eclatante violazione delle norme vigenti che avete coraggiosamente segnalato all’opinione pubblica. Credo proprio che il Garante non mancherà di far sentire la sua voce autorevole a riguardo”.
*MARCO MAGLIO
Avvocato in Milano, abilitato al patrocinio davanti alle Giurisdizioni Superiori. Fondatore di Lucerna Iuris, il primo Network Giuridico Internazionale formato da legali di tutti i paesi dell’Unione Europea specializzati in assistenza legale per le attività compliance, comunicazione commerciale e per il trattamento dei dati personali. Specializzato in Diritto comparato e Analisi economica del diritto presso la University of Berkeley, California. E’ professore a contratto di Diritto della protezione dei dati personali e tiene corsi di specializzazione in Italia e all’estero come docente nelle materie di Data protection e Privacy engineering, Diritto dei consumi e del marketing e Diritto della sicurezza alimentare. E’ presidente dell’Osservatorio Europeo sulla Data protection. Presiede il Giurì per l’Autodisciplina nella comunicazione commerciale diretta e nelle vendite a distanza. E’ membro dell’American Society of International Law e dell’American Society of Comparative Law. E’ membro dell’International Association of Privacy Professionals ed è Senior Auditor per la Privacy Compliance. E’ referente italiano per le attività di ricerca della British Society of Comparative Law per le tematiche della data protection e della privacy. Presiede numerosi Organismi di vigilanza di società quotate e non, nell’ambito della normativa 231/2001. Fa parte del comitato scientifico di pubblicazioni giuridiche ed è editorialista per quotidiani e riviste sui temi della tutela dei dati personali, del diritto del marketing, della sicurezza informatica e della responsabilità organizzativa delle imprese. A partire dal 1996 partecipa in qualità di relatore a convegni nazionali ed internazionali dedicati alla tutela della privacy, al diritto delle telecomunicazioni, al commercio elettronico, al diritto dell’informazione, al diritto dei consumatori, al diritto d’autore. E’ ideatore, curatore e autore del “Manuale di diritto alla protezione dei dati personali” (ed. 2017) edito da Maggioli Editore.
