Banche dati e privacy, tra sciatteria e reati

La vicenda che vede coinvolto il luogotenente della Guardia di Finanza, Pasquale Striano, indagato per accesso abusivo a sistemi informatici, solleva il problema dell’effettiva tutela dei dati personali custoditi in banche dati pubbliche.

Nel caso in questione si tratta di quelle consultabili per approfondire le segnalazioni di operazioni sospette (Sos) da parte del “gruppo Sos”, presso la Direzione nazionale antimafia: da Sidna/Sidda, per verificare le correlazioni tra i soggetti segnalati e i procedimenti giudiziari in corso per criminalità organizzata e terrorismo, a Sdi, banca dati condivisa tra tutte le forze di polizia, a Serpico, dell’Agenzia delle Entrate, e non solo. 

Ma il problema della sicurezza dei nostri dati travalica i confini del caso Striano.

LE REGOLE A TUTELA DEI DATI

Innanzitutto, è necessario tracciare la cornice giuridica nella quale inquadrare il caso in questione. Nel 2018 è stato disciplinato il trattamento dei dati personali per finalità di prevenzione e repressione di reati da parte delle forze di polizia (d.lgs. n. 51/2018). Si prescrive che i dati siano raccolti per finalità determinate, espresse e legittime; che non siano eccedenti rispetto a tali finalità; che siano sottoposti a esame periodico per verificare che serva continuare a conservarli, e che poi siano cancellati. Si prevede pure che sia garantita un’idonea protezione dei dati da trattamenti illeciti, mediante misure tecniche e organizzative. Misure che devono essere adeguate al rischio e alla natura dei dati trattati, cioè quanto più tutelanti in certi contesti. Appare palese come le banche dati coinvolte nel caso Striano fossero tra quelle da blindare in maniera quanto più rigorosa. Ma andiamo oltre.

Sempre del 2018 è il regolamento (Dpr n. 15), attuativo dei principi del Codice in materia di protezione dei dati personali, che disciplina operativamente il trattamento di tali dati per finalità di polizia. Gli accessi e le operazioni (file di log) effettuati dagli operatori abilitati devono essere tracciati in appositi registri, da conservare per cinque anni; e i file di log possono essere usati a fini di controllo interno, per garantire l’integrità e la sicurezza dei dati, nonché per verificare la liceità del loro trattamento. Controllo che, quindi, va messo in atto anche per accertare che non vi siano abusi, cioè che le interrogazioni a banche dati siano sempre proporzionate in relazione a reali esigenze investigative, e mai “a strascico”.

Dunque, in sintesi, a tutela dei dati personali devono essere predisposte non solo misure organizzative interne, che prevedano ex ante quali soggetti siano abilitati a trattarli, a quali fini e secondo quali modalità, tra le altre cose; ma anche accurate verifiche ex post, per appurare che i dati stessi siano “maneggiati” da parte dei singoli operatori entro i limiti previsti. Evidentemente, talora così non è, e i recenti fatti paiono dimostrarlo. La cronaca relativa al caso Striano, e non solo, sembra far emergere carenze negli accertamenti sugli accessi a banche dati.

Ma a chi spetta, in ultima istanza, la responsabilità della gestione di tali banche, dunque anche quella di definire misure di controllo e di verifica su chi maneggia i dati?

LE RESPONSABILITÀ

È competenza dei vertici delle strutture amministrative non solo dettare regole interne per disciplinare ogni attività che riguardi la sfera privata degli individui, quindi i loro dati personali, ma anche apprestare adeguate verifiche su tali attività. Ciò sia per assicurare in via preventiva che gli accessi a banche dati avvengano solo da parte di soggetti autorizzati, con le modalità e per i fini previsti, sia per appurare in via successiva che i limiti prescritti siano stati rispettati.

In altre parole, non basta disporre che l’addetto alla consultazione delle banche dati debba avere certificati di accesso e password da rinnovare ogni tot mesi, né che gli accessi siano tracciati dal sistema informatico – come erano tracciati quelli di Striano – se il sistema poi è lasciato abbandonato, privo di monitoraggio da parte del titolare del trattamento, cioè del vertice della struttura, che è poi il responsabile delle violazioni privacy. 

La vicenda Striano sembra mostrare come, anche a livelli superiori rispetto a quello del singolo addetto alle banche dati, probabilmente talora non ci sia maggiore rispetto delle regole che tutelano la privacy, specie in termini di controllo ex post sugli accessi.

LE FRAGILITÀ DELLE BANCHE DATI

Il problema non riguarda solo il caso concreto da cui si sono prese le mosse, e ciò è emerso nel corso delle audizioni presso la commissione parlamentare antimafia proprio sulla vicenda Striano. «La straordinaria debolezza delle nostre reti informatiche, soprattutto dell’amministrazione della giustizia» è stata rilevata da Giovanni Melillo, procuratore nazionale antimafia. «Il tema delle infrastrutture informatiche evidenzia che ovunque ci sono accessi abusivi», ha confermato il procuratore di Perugia, Raffaele Cantone.

Le parole dei due magistrati sembrano delineare un quadro di sciatteria diffusa nella gestione della privacy. Le misure a garanzia dei dati personali, soprattutto in termini di verifiche sull’attività dei singoli operatori, paiono essere oltremodo carenti.

Al di là del caso Striano, servirebbe accendere un faro sulla sicurezza del complesso delle banche dati pubbliche e su coloro i quali dovrebbero garantirla. Chi ne ha la competenza trovi il coraggio di guardarci dentro e fare luce sulle responsabilità nella tutela della privacy, a tutti i livelli. Anche a quelli di cui nessuno sta parlando. 

Foto di Pexels da Pixabay

Questo articolo è stato pubblicato qui