Da diversi mesi a questa parte è attivo nel nostro Paese un “collettivo” che si definisce “una delle tante comunità hacker italiane, composta da attiviste e attivisti, cittadine e cittadini attenti alla riservatezza delle nostre vite ed alla libertà dei nostri concittadini” che si fa chiamare Monitora PA.
Monitora PA, periodicamente, lancia campagne di attivismo digitale che coinvolgono, in maniera automatizzata e indiscriminata, un numero elevatissimo di pubbliche amministrazioni, segnalando presunte irregolarità nell’applicazione del Regolamento Europeo sulla protezione dei dati personali (GDPR, Reg. 679/2016), e sostanzialmente paventando segnalazioni al Garante se la PA in questione non si attiverà ad ottemperare alle varie richieste contenute nelle e-mail.
La prima campagna condotta dagli attivisti di Monitora PA è stata indirizzata nei confronti delle pubbliche amministrazioni colpevoli di integrare nei propri siti istituzionali Google Analytics, poco dopo il provvedimento del Garante nei confronti di Caffeina Media, che riguardava proprio l’utilizzo del cookie di tracciamento di Google. Migliaia di Enti pubblici sono stati raggiunti da comunicazioni massive, automatizzate e contenenti richieste di rimozione dello strumento con minaccia di segnalazione all’autorità Garante per asserito trattamento illecito. Poco dopo, è stata la volta della battaglia tesa a segnalare la pretesa illegittimità di Google Fonts, con l’invito a provvedere alla rimozione dello strumento da tutti i siti istituzionali “e di qualsiasi altra risorsa incorporata nel suddetto sito web che produca effetti analoghi”. In seguito, sono stati colpiti i partiti politici (una sessantina in tutto) e le scuole di tutta Italia (ben 8.254, in una azione di “accesso civico generalizzato”), ree anch’esse di utilizzare come strumenti di didattica (a distanza e non) la suite messa a disposizione da Google.
L’ultima, in ordine di tempo, è la segnalazione pervenuta la scorsa settimana, a firma di tal Giacomo Tesio, afferente al gruppo Monitora PA (altre segnalazioni erano giunte dal signor Federico Leva, anch’egli del gruppo).
L’e-mail contesta il trasferimento indebito di dati verso Amazon Web Services, dovuto all’utilizzo di Web Analytics Italia, di cui AgID, Agenzia per l’Italia Digitale, ha recentemente affidato l’esecuzione ai server di Amazon Web Service, Inc.
L’elenco di richieste del Tesio agli Enti destinatari della sua comunicazione è il seguente:
– imporre ad AgID la sostituzione del servizio in questione con altro fornitore, non sottoposto a normative incompatibili con i diritti fondamentali dei cittadini europei, entro 15 giorni dalla ricezione della comunicazione;
– in alternativa, sempre entro 15 giorni, sostituire il servizio in questione con altro fornitore conforme o adottare misure tecniche supplementari efficaci a protezione dei dati personali tali che nessun dato (o insieme di dati), raggiungendo i server di Amazon, possa permettere di identificare i visitatori del sito con probabilità non trascurabile.
La comunicazione termina con il solito avvertimento che, in mancanza di pronto riscontro e di “obbedienza” della PA, il collettivo degli sceriffi del web segnalerà l’ente in questione al Garante della Privacy per gli opportuni provvedimenti.
Qual è la questione che disturba Monitora PA?
La questione giuridica che sta alla base delle azioni intraprese da Monitora PA e dai suoi attivisti è quella riguardante il trasferimento dei dati dei cittadini europei verso gli Stati Uniti d’America. Come noto, la Corte di giustizia dell’Unione europea, con la sentenza C-311/18 (c.d. Sentenza Schrems II), ha invalidato la decisione di adeguatezza relativa allo “scudo privacy” (privacy shield), sulla quale si fondava la liceità dei trasferimenti di dati personali dai Paesi membri dell’UE verso gli Stati Uniti. Ad avviso della Corte, la normativa interna degli Stati Uniti non presenta un livello adeguato di protezione dei dati personali, poiché rende possibile l’accesso da parte delle autorità pubbliche statunitensi, per finalità di sicurezza nazionale (concetto molto ondivago, più politico che giuridico), ai dati personali trasferiti dall’Unione europea agli Stati Uniti. Il quadro diviene più complesso ove si consideri che, in base al combinato disposto di specifiche norme, potrebbero risultare oggetto di potenziale accesso da parte delle autorità pubbliche statunitensi anche i dati detenuti da soggetti controllati da società con sede negli Stati Uniti, seppur archiviati su server localizzati su territorio UE.
Tuttavia, occorre necessariamente considerare che l’applicazione pedissequa di detto provvedimento, senza aver correttamente analizzato tutti gli elementi, potrebbe comportare il rischio di porre milioni di professionisti, imprese, enti e organizzazioni operanti sul territorio nazionale ed europeo di fronte a problematiche di fatto irrisolvibili, se non mediante azioni drastiche e intransigenti, consistenti a ben vedere nella rinuncia all’utilizzo di servizi IT – difficilmente sostituibili – forniti da società con sede legale negli Stati Uniti o anche semplicemente controllate da società statunitensi, con conseguenti pregiudizi che simili azioni comporterebbero in termini di libera circolazione dei dati e delle informazioni, quindi dello sviluppo del mercato in termini di competitività su scala globale.
Queste e altre considerazioni sono state oggetto di una segnalazione presentata al Garante della Privacy da un cospicuo numero di professionisti del settore nel settembre 2022 (tra cui la scrivente), che ad oggi non ha ancora ottenuto risposta. È chiaro che la questione è complessa ed esula dai rapporti tra Monitora PA e le singole amministrazioni: solo con un accordo politico UE-USA (accordo che al momento sembra ancora lontano, visto che la Commissione ha bocciato la decisione di adeguatezza presentata in primavera) l’annoso problema del trasferimento dei dati negli Stati Uniti troverà finalmente una soluzione.
Ma nel frattempo, che fare? Come rispondere a Monitora PA?
A parere di chi scrive, non è vero che il fine giustifica i mezzi e queste azioni di attivismo massive, evidentemente frutto di un copia-incolla, peraltro non precedute da alcuna informativa, non circostanziate, per nulla specifiche e fatte senza minimamente entrare nel merito delle singole situazioni non hanno alcun pregio né valore giuridico. Né è vero, come sostiene qualcuno, che servono per fare percepire almeno l’importanza del tema della protezione dei dati. Non basta che se ne parli, per fare in modo che un tema acquisisca importanza, occorre parlarne con competenza e cognizione di causa.
Detto questo, che già di per sé basterebbe a propendere per cestinare la comunicazione di Monitora PA senza perdere tempo, ecco i miei consigli pratici per gestire la situazione:
- Informare immediatamente il DPO dell’ente della ricezione della comunicazione, per acquisire un suo parere scritto.
- Se si decide di non dare alcuna risposta alla e-mail, farsi scrivere dal DPO la spiegazione per cui non è necessario rispondere, motivando brevemente.
- Se si decide di rispondere, invitare il soggetto a presentare la sua richiesta in maniera precisa e puntuale, utilizzando la procedura per l’esercizio dei diritti degli interessati e specificando con chiarezza quali sono i diritti che si assumono violati, data e ora della violazione: in particolare, in merito al presunto trasferimento dei dati verso gli USA, chiedere come e quando si sarebbe verificata, invitando a fornire l’indirizzo IP e il browser utilizzato.
- Non inviare alcun documento, ma anzi chiedere a Monitora PA di fornire la loro informativa sul trattamento dei dati personali.
- Nel caso di questa ultima segnalazione, che coinvolge direttamente AgID, per mero scrupolo, inviare la comunicazione ricevuta alla PEC di AgID stessa, per opportuna conoscenza.
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento