Il parere del Garante Privacy pubblicato sul sito istituzionale
La notizia è stata rilanciata diffusamente sugli organi di informazione e sui social, ma a causa della brevità, la si è rilanciata ponendo soprattutto l’accento sull’impatto censorio e schizzinoso del Garante. Non si tratta di una novità, dal momento che si è imposta ormai una “narrazione facile” nella quale, a un Governo innovativo che progredisce, si oppone puntualmente un Garante conservatore che frena, ma non possiamo notare che in tutti titoli manchi la parola più importante, ossia “Governo”.
La parola mancante? Governo
Il titolo giusto? “Referendum on-line: il governo dimentica la privacy”
Sembra infatti assurdo pensare che un provvedimento di tale impatto sull’unico vero istituto di democrazia diretta costituzionalmente garantito sia stato stilato con una tale approssimazione riguardo alla normativa sulla tutela dei dati personali.
Stiamo parlando inoltre di processi introdotti da quella che è stata forse la rivoluzione politica dal basso più importante dai tempi del referendum sul divorzio, promossa da una parte della politica e della società civile che ha visto il contributo di ONG come l’Associazione Luca Coscioni e EUMANS e di personalità quali Mario Staderini (che nel novembre del 2019 ha fatto condannare l’Italia dal Comitato diritti umani dell’ONU a causa degli “ostacoli irragionevoli” imposti dalla legge ai promotori di referendum), Riccardo Magi, Marco Cappato, Virginia Fiume che, in tempi diversi, hanno ottenuto la condanna dell’Italia in sede internazionale, costretto il Parlamento a legiferare e infine fatto pressione sul governo per anticipare l’implementazione del referendum on-line.
Ma benché il governo sapesse di essersi impegnato per rendere possibile (solo formalmente, dal momento che di qui alla fine della legislatura non sarà possibile di fatto presentare nuovi referendum) la raccolta on line attraverso una piattaforma nazionale, lo schema di dpcm che fissa le regole della piattaforma per la raccolta delle firme per referendum e progetti di legge non appare in linea con le doverose precauzioni che devono essere implementate quando si ha a che fare con i dati personali di milioni di cittadini in frangenti dal forte impatto politico e istituzionale.
L’Autorità presieduta dal prof. Stanzione infatti non è affatto contraria all’implementazione della piattaforma:
Appare opportuno premettere che sul piano dei principi e in relazione ai profili di competenza in materia di protezione dei dati personali, non vi sono ostacoli da parte di questa Autorità all’’introduzione di strumenti – come quello configurato di una piattaforma per la raccolta delle firme da remoto degli elettori a fini referendari, recanti modalità di trattamento volte a agevolare lo sviluppo equilibrato e sostenibile dei servizi offerti ai cittadini in una società democratica, la cui prospettiva sia un rafforzamento della tutela dei diritti fondamentali dell’individuo alla luce della evoluzione della società, del progresso sociale e degli sviluppi scientifici e tecnologici.
Il problema nasce da come queste soluzioni sarebbero state implementate:
Le carenze che, tuttavia, il decreto in esame presenta nel disciplinare la piattaforma per la raccolta delle firme degli elettori necessarie per i referendum, sono assai significative…
…Non si rinviene, tuttavia, in tale documento una adeguata valutazione degli specifici rischi per i diritti e le libertà costituzionali degli interessati che i trattamenti di dati personali, effettuati mediante la piattaforma in questione, possono presentare. Più precisamente, l’Autorità ha rilevato che la titolarità della piattaforma è affidata in gestione ad un soggetto terzo, ancora da individuare, a cui è rimesso l’intero sviluppo tecnologico dell’infrastruttura stessa mediante la definizione dei profili tecnici che saranno contenuti in un manuale operativo, peraltro da redigersi da parte del futuro gestore e sottratti all’esame di questa Autorità, nonché del Ministero della giustizia quale amministrazione concertante.
Sembra che il Governo abbia quindi dimenticato che i dati dei cittadini che sottoscrivono una proposta di referendum (o di un progetto di legge di iniziativa popolare) riguardano aspetti significativi e delicatissimi come la implicita partecipazione e preferenza referendaria, ossia in breve le opinioni politiche: categoria di dati tutelata specificatamente dagli articoli del GDPR che hanno meglio definito quelli che una volta si chiamavano dati sensibilissimi.
Referendum e dati personali: le vulnerabilità riscontrate a settembre 2021
A rendere estremamente ipersensibile l’opinione pubblica, dovrebbe servire anche ricordare la vulnerabilità riscontrata dalla piattaforma di raccolta firme autoprodotta dal comitato promotore del referendum sulla cannabis e segnalata il 15 settembre 2021: un attaccante sarebbe infatti stato in grado di lanciare una query al server che gestiva i dati della raccolta firme e ricavando dal solo indirizzo e-mail di un firmatario, dati come Codice Fiscale, Nome, Cognome, Provincia, Comune, Regione, dettagli sullo SPID utilizzato, data di nascita!
Su questa vicenda purtroppo attendiamo ancora un comunicato ufficiale di chiarimento da parte dell’Associazione Luca Coscioni e del fornitore Itagile che, ahimé, non si sono dimostrati affatto trasparenti nella gestione della criticità.
Giusto. Quello del #referendum con firma digitale è stato un balzo evolutivo che ha fatto la storia: un comunicato di chiarimento sull'articolo di @nuke86 non toglie valore all'impresa, ma anzi le dà ancora più credibilità
— Informa Pirata #WeAreAllAssange #PiratesForAssange (@informapirata) September 22, 2021
Sebbene la vulnerabilità sia comunque stata corretta dopo la segnalazione con tempi di reazione quasi immediati, non sappiamo ancora se sia stata sfruttata prima della correzione.
Appare chiaro pertanto quali siano le preoccupazioni del Garante Privacy nel momento in cui emergono problemi bloccanti come:
la mancanza di una chiara definizione dei ruoli dei vari soggetti coinvolti nei trattamenti di dati personali
l’identità oggi sconosciuta del gestore della piattaforma
delle valutazioni di impatto e misure di mitigazione basate non solo sul rischio informatico, ma anche su quello sociale e politico
la descrizione insufficiente delle funzionalità specifiche della piattaforma, oggi ricondotte al “futuro” manuale che verrà stilato da un soggetto ancora da identificare e la cui valutazione sarà sottratta all’Autorità Garante per la Protezione dei Dati Personali
la durata eccessiva e sproporzionata (5 anni) della conservazione dei dati specifici
la mancanza di una specifica previsione di segregazione e protezione dei dati conservati
la mancanza di differenziazione delle utenze del personale della Corte di Cassazione dedicate alla verifica
la presenza di processi non previsti e non necessari quali quello della verifica delle banche dati ANPR/liste elettorali
la mancanza di una vera e circostanziata valutazione di impatto (art. 35 del GDPR)
la presenza di clausole standard assolutamente non consone al tipo di piattaforma e alla delicatezza dei dati erogati (nello schema di decreto si legge: “Il gestore, previa aggregazione, può utilizzare i dati acquisiti per finalità di miglioramento del servizio erogato, nonché per lo sviluppo della piattaforma”).
Il Garante la pagherà!
Concludiamo questo post con una amara riflessione sul peggioramento progressivo delle capacità legislative e regolatorie del governo che, tuttavia, emergono provvidenzialmente solo quando funziona il sistema dei contrappesi istituzionali previsti.
Il Governo sa bene che la presenza e la funzionalità di questi contrappesi può costituire un grave pericolo per l’integrità della narrazione di un Palazzo Chigi oggi pregno di competenza e colante efficienza. Il varo del Decreto Capienze, inizialmente presentato con un blitz (poi frtunatamente sventato) che ne avrebbe opportunamente evitato il vaglio del Parlamento, è stato solo la prima bordata di artiglieria contro il Garante Privacy.
Purtroppo anche noi sappiamo bene che questa ultima umiliante tirata d’orecchie del Garante al Governo sullo schema di decreto per i referendum on line, non rimarrà impunita.
Edit (h.18.30)
La risposta di Marco Cappato dell’Associazione Luca Coscioni
“Non entriamo nel merito dei rilievi mossi dal Garante privacy relativi alla proposta di DPCM … Si tratta di rilievi che devono quanto prima esser affrontati e risolti grazie agli strumenti tecnologici e giuridici a disposizione delle istituzioni.
Ci appelliamo dunque al Governo, e in particolare al Ministro Colao che lavora a progetto da quasi un anno, affinché risolva con la massima celerità le obiezioni mosse dal Garante privacy”
Dall’appello di Marco Cappato al Min. Vittorio Colao
Riteniamo doveroso precisare che il titolo del comunicato “La #privacy non può impedire la firma online” non va letto come uno sfogo “à la Calende” (“maledetta privacy!“) ma riassume esattamente le parole dello stesso Garante nel già citato passaggio, quando afferma che
“…non vi sono ostacoli da parte di questa Autorità all’’introduzione di strumenti – come quello configurato di una piattaforma per la raccolta delle firme da remoto degli elettori a fini referendari, recanti modalità di trattamento volte a agevolare lo sviluppo equilibrato e sostenibile dei servizi offerti ai cittadini in una società democratica, la cui prospettiva sia un rafforzamento della tutela dei diritti fondamentali dell’individuo alla luce della evoluzione della società, del progresso sociale e degli sviluppi scientifici e tecnologici”
Il 12 aprile è stato pubblicato il parere reso al Ministero per l’innovazione tecnologica dall’Autorità Garante per la Protezione dei Dati Personali, nel quale si sollevano delle obiezioni forti sullo schema di dpcm che fissa le regole della piattaforma per la raccolta delle firme per referendum e progetti di legge.
La notizia è stata rilanciata diffusamente sugli organi di informazione e sui social, ma a causa della brevità, la si è rilanciata ponendo soprattutto l’accento sull’impatto censorio e schizzinoso del Garante. Non si tratta di una novità, dal momento che si è imposta ormai una “narrazione facile” nella quale, a un Governo innovativo che progredisce, si oppone puntualmente un Garante conservatore che frena, ma non possiamo notare che in tutti titoli manchi la parola più importante, ossia “Governo”.
Il titolo giusto? “Referendum on-line: il governo dimentica la privacy”
Sembra infatti assurdo pensare che un provvedimento di tale impatto sull’unico vero istituto di democrazia diretta costituzionalmente garantito sia stato stilato con una tale approssimazione riguardo alla normativa sulla tutela dei dati personali.
Stiamo parlando inoltre di processi introdotti da quella che è stata forse la rivoluzione politica dal basso più importante dai tempi del referendum sul divorzio, promossa da una parte della politica e della società civile che ha visto il contributo di ONG come l’Associazione Luca Coscioni e EUMANS e di personalità quali Mario Staderini (che nel novembre del 2019 ha fatto condannare l’Italia dal Comitato diritti umani dell’ONU a causa degli “ostacoli irragionevoli” imposti dalla legge ai promotori di referendum), Riccardo Magi, Marco Cappato, Virginia Fiume che, in tempi diversi, hanno ottenuto la condanna dell’Italia in sede internazionale, costretto il Parlamento a legiferare e infine fatto pressione sul governo per anticipare l’implementazione del referendum on-line.
Ma benché il governo sapesse di essersi impegnato per rendere possibile (solo formalmente, dal momento che di qui alla fine della legislatura non sarà possibile di fatto presentare nuovi referendum) la raccolta on line attraverso una piattaforma nazionale, lo schema di dpcm che fissa le regole della piattaforma per la raccolta delle firme per referendum e progetti di legge non appare in linea con le doverose precauzioni che devono essere implementate quando si ha a che fare con i dati personali di milioni di cittadini in frangenti dal forte impatto politico e istituzionale.
L’Autorità presieduta dal prof. Stanzione infatti non è affatto contraria all’implementazione della piattaforma:
Il problema nasce da come queste soluzioni sarebbero state implementate:
Sembra che il Governo abbia quindi dimenticato che i dati dei cittadini che sottoscrivono una proposta di referendum (o di un progetto di legge di iniziativa popolare) riguardano aspetti significativi e delicatissimi come la implicita partecipazione e preferenza referendaria, ossia in breve le opinioni politiche: categoria di dati tutelata specificatamente dagli articoli del GDPR che hanno meglio definito quelli che una volta si chiamavano dati sensibilissimi.
Referendum e dati personali: le vulnerabilità riscontrate a settembre 2021
A rendere estremamente ipersensibile l’opinione pubblica, dovrebbe servire anche ricordare la vulnerabilità riscontrata dalla piattaforma di raccolta firme autoprodotta dal comitato promotore del referendum sulla cannabis e segnalata il 15 settembre 2021: un attaccante sarebbe infatti stato in grado di lanciare una query al server che gestiva i dati della raccolta firme e ricavando dal solo indirizzo e-mail di un firmatario, dati come Codice Fiscale, Nome, Cognome, Provincia, Comune, Regione, dettagli sullo SPID utilizzato, data di nascita!
Su questa vicenda purtroppo attendiamo ancora un comunicato ufficiale di chiarimento da parte dell’Associazione Luca Coscioni e del fornitore Itagile che, ahimé, non si sono dimostrati affatto trasparenti nella gestione della criticità.
Sebbene la vulnerabilità sia comunque stata corretta dopo la segnalazione con tempi di reazione quasi immediati, non sappiamo ancora se sia stata sfruttata prima della correzione.
Le cautele del Garante
Appare chiaro pertanto quali siano le preoccupazioni del Garante Privacy nel momento in cui emergono problemi bloccanti come:
Il Garante la pagherà!
Concludiamo questo post con una amara riflessione sul peggioramento progressivo delle capacità legislative e regolatorie del governo che, tuttavia, emergono provvidenzialmente solo quando funziona il sistema dei contrappesi istituzionali previsti.
Il Governo sa bene che la presenza e la funzionalità di questi contrappesi può costituire un grave pericolo per l’integrità della narrazione di un Palazzo Chigi oggi pregno di competenza e colante efficienza. Il varo del Decreto Capienze, inizialmente presentato con un blitz (poi frtunatamente sventato) che ne avrebbe opportunamente evitato il vaglio del Parlamento, è stato solo la prima bordata di artiglieria contro il Garante Privacy.
Edit (h.18.30)
La risposta di Marco Cappato dell’Associazione Luca Coscioni
Questo è uno stralcio del comunicato di Marco Cappato dell’ass. Luca Coscioni sui rilievi del Garante allo schema di DPCM sulla firma online dei Referendum (qui il link al testo completo).
Riteniamo doveroso precisare che il titolo del comunicato “La #privacy non può impedire la firma online” non va letto come uno sfogo “à la Calende” (“maledetta privacy!“) ma riassume esattamente le parole dello stesso Garante nel già citato passaggio, quando afferma che