La notizia della fuga da Facebook dei dati di oltre mezzo miliardo di persone delle quali circa 36 milioni italiane è ormai nota così come è noto che all’indomani della sua diffusione, al Garante per la protezione dei dati personali, oltre a chiedere informazioni preliminari a Facebook – seppur nel rispetto della leadership dell’Autorità di protezione dei dati personali irlandese avendo Facebook il suo quartier generale europeo a Dublino – e a chiederle se intendesse rendere disponibile un servizio per informare gli interessati dell’avvenuta violazione dei loro dati, abbiamo ritenuto di avvertire quanti avessero frattanto scaricato i dati in questione della circostanza che il loro utilizzo, in qualsiasi forma e per qualsiasi finalità – anche a fin di bene – doveva considerarsi illecito.
C’era e c’è poco da discutere sul punto: i dati provenienti da un trattamento illecito non possono essere di norma ulteriormente trattati (art. 2-decies del Codice Privacy). L’unica eccezione riguarda la loro eventuale utilizzabilità in giudizio che, tuttavia, qui non rilevava e non rileva.
L’adozione di questo provvedimento di avvertimento ha comportato un effetto collaterale che ha fatto comprensibilmente discutere online: la chiusura di un servizio – e, probabilmente, il mancato lancio di altri analoghi servizi – che permetteva a chi lo desiderasse di verificare se un numero di telefono fosse stato o meno interessato dalla violazione.
La pagina del servizio, oggi chiuso, è questa.
Il servizio era stato sviluppato da due ragazzi davvero in gamba (li trovate così su Twitter: @realMarcoBuster e @FumazDev) ed era un bel servizio, ben fatto, facile da usare, utile e intuitivo, sviluppato, peraltro, a tempo di record, utilizzando una serie di accortezze tecniche capaci di ridurre sensibilmente i rischi privacy e, per di più, rilasciato in open source su Github.
Un bell’esempio di quello che è capace di produrre l’italica creatività digitale.
Dopo la chiusura del servizio, in tanti, sui social hanno chiesto, a gran voce, che il Garante lanciasse un analogo servizio perché, in effetti, sapere se si è o meno stati coinvolti nella violazione è informazione utile per molti.
E, in effetti, ci sarebbe piaciuto farlo e in alcuni momenti abbiamo pensato di farlo, di farlo di corsa e di farlo, magari, collaborando proprio con chi quel servizio aveva già realizzato e si era prontamente messo a nostra disposizione perché il risultato delle proprie nottate davanti al pc potesse non andare perduto e tornare utile al proprio Paese.
Non lanceremo però il servizio in questione e questo post serve appunto a spiegarne le ragioni,
E scriverlo mi sembra necessario per un fatto di trasparenza verso la straordinaria comunità di addetti ai lavori e non che, da tempo, ormai, segue #cosedagarante e più in generale le attività del Garante e anche l’unico modo possibile per ringraziare i tanti, a cominciare dagli sviluppatori di haveibeenfacebooked.com che nei giorni scorsi si sono dichiarati disponibili, nel pubblico e nel privato, a darci una mano nell’eventuale impresa.
Il punto è sostanzialmente questo: neppure il Garante per la protezione dei dati personali può, norme alla mano, trattare i dati personali in questione per informare i cittadini italiani dell’eventuale presenza del loro numero di telefono nel database che galleggia online.
Se lo avessimo fatto, se lo facessimo rischieremmo di dare un esempio sbagliato alle altre amministrazioni, inducendole a ritenere che un trattamento di dati personali – specie se comportante la comunicazione o la diffusione al pubblico dei dati – può considerarsi lecito semplicemente perché posto in essere nel perseguimento delle proprie finalità istituzionali mentre non è così.
Confesso che questa conclusione, per ventiquattr’ore, non ha convinto neppure me e confesso che ho a lungo pensato che fosse nostro compito, per non dire nostro dovere, rendere disponibile il servizio in questione.
E continuo a pensare che si sarebbe trattato della cosa giusta da fare.
Ma non sarebbe stato corretto, non avremmo rispettato quei principi e quelle regole che la legge ci chiede di far rispettare a ogni altro titolare del trattamento pubblico e privato e per far bene, in un caso specifico, avremmo, probabilmente, dato un esempio sbagliato.
E il merito di questo difficile dietro-front va alle donne e agli uomini che lavorano negli uffici dell’Autorità che hanno acceso una discussione interna preziosa, ricca, carica di posizioni e punti di vista diversi anche a costo di apparire come quelle e quelli che remavano contro, contro qualcosa di utile, contro qualcosa che ci era richiesto da più parti e che appariva la cosa migliore da fare.
L’Autorità, in effetti, ha il potere di affrontare questioni di questo genere, ha le basi giuridiche che le servono per trattare i dati dei quali parliamo nell’ambito della propria attività di indagine ma non ha la necessaria base giuridica per comunicare o diffondere al pubblico le informazioni in questione o, almeno, non ce l’ha per farlo con la semplicità e l’immediatezza che la situazione avrebbe richiesto e richiederebbe.
Inutile qui scendere nei tecnicismi ma il codice privacy stabilisce che un’amministrazione possa comunicare e diffondere al pubblico dati personali solo laddove espressamente previsto da una norma di legge che, nel nostro caso, non esiste.
Questa conclusione sembra difficilmente superabile ed è la ragione per la quale, alla fine, si è deciso di fermarsi e di rinunciare a renderci utili, per paura che si trattasse di utilità effimera foriera di più problemi futuri che benefici presenti.
Anche perché, in fondo, con oltre 34 milioni di numeri telefonici presenti nel database che galleggia online ovvero un numero quasi sovrapponibile a quello degli utenti italiani su Facebook, forse, si fa prima a considerarci tutti egualmente esposti al rischio che il nostro numero di telefono – se siamo o siamo stati utenti di Facebook e lo abbiamo caricato online – oggi possa averlo chiunque.
Ecco, tutto qui, mi dispiace per la lunghezza del post ma ci tenevo a rispondere pubblicamente alle tante persone che legittimamente mi hanno chiesto conto della situazione.
