di Renato Napoli
GARANTE DELLA PRIVCY: IN TRE ATTI
– Un Buracrate In Burocratese –
Vi è mai capitato di ricevere sul vostro “astuto telefono” (cfr. smartphone) telefonate, messaggi, fastidiosi e indesiderati?
Avete mai provato a porre reclamo per tali fatti all’autorità GDPD la quale dovrebbe garantire la vostra vita privata (crf. privacy), (acronimo di Garante per la Protezione dei Dati Personali)?
Avete fatto richiesta di essere inseriti nel Registro Pubblico delle Opposizioni (RPO)?
ATTO PRIMO.
Partiamo da quest’ultimo: Registro Pubblico delle Opposizioni.
RPO è il registro che, in origine, era riservato alle sole utenze presenti negli elenchi telefonici pubblici; ora è stato esteso a tutti i numeri nazionali riservati, inclusi i cellulari. Per coloro che non lo avessero ancora fatto, dal 16 ottobre 2022, è possibile iscrivere al servizio tutti i numeri per cui non si intende ricevere proposte di telemarketing (DPR n.26 del 27 gennaio 2022).
Se non lo avete fatto fatelo. Quanto vi consigliamo, è di non farlo! Il motivo è abbastanza semplice: se prima ricevevate qualche sporadica telefonata o messaggio, dal momento in cui vi iscrivete ne riceverete molte di più.
Tramite questo link potrete leggere la loro campagna informativa.
Sul loro sito (RPO), diverso dal GDPD (ricordiamo che fino a poco tempo fa faceva parte integrante del sito del Garante), il motivo lo leggerete di seguito: «Il Registro pubblico delle opposizioni esteso a tutti i numeri telefonici nazionali, fissi e cellulari, consente al CITTADINO di opporsi alle chiamate di telemarketing indesiderate. L’iscrizione annulla anche i consensi precedentemente rilasciati, tranne quelli che saranno autorizzati dopo l’iscrizione e quelli con i soggetti con cui si ha un contratto (per esempio i gestori delle utenze). Con il nuovo servizio l’OPERATORE deve consultare mensilmente il RPO e comunque prima di svolgere le campagne pubblicitarie tramite telefono. L’opposizione può riferirsi anche alla pubblicità cartacea, nel caso l’indirizzo sia presente negli elenchi telefonici pubblici».
Per segnalare un illecito [qui il link: https://registrodelleopposizioni.it/segnala-un-illecito-2/] dovrete fare un click, su un apposito pulsante del sito per accedere al servizio. A quel punto verrete indirizzati su una nuova pagina web riferita alla Fondazione Ugo Bordoni, ricerca e innovazione (FUB)
Cosa possa entrarci una fondazione nel trattamento dei dati personali, i quali dovrebbero essere garantiti dal Garante per la Protezione dei Dati Personali, o comunque dal RPO, ci pare un mistero, tuttavia risulta essere il gestore del servizio.
Quali telefoni invadenti vengono bloccati se si continuano ad avere dalle 5 alle 10 telefonate promozionali al giorno?
Ciò nonostante se avete l’interesse a iscrivervi, con un po’ di pazienza e tempo (ndr alla portata di tutti?), al servizio con la speranza che prima o poi possa funzionare per non ricevere più le telefonate indesiderate.
L’augurio è che alla fine il servizio possa prendere a funzionare. E’ nostro parere è che più segnalazioni di telefonate indesiderate arrivano al RPO prima il servizio potrà dare i risultati sperati. Per agevolarvi nella segnalazione potete partire da qui.
Grazie ad alcune informazioni avute, abbiamo saputo che il registro delle opposizioni ha subito un attacco hacker e i dati contenuti sono stati tutti violati consentendo, pertanto, di avere ancora più informazioni di quante ne potessero avere prima.
Ne abbiamo parlato con Nicola Tarlini, esperto in sicurezza informatica, il quale ringraziamo per la sua disponibilità a fornirci alcune indicazioni riguardo il Registro Pubblico delle Opposizioni?
L’obiettivo di tale strumento, fin dalla sua nascita, è stato duplice:
1. Rendere più semplice e definitiva l’opposizione da parte dei cittadini alla diffusione dei propri dati personali e di contatto ad agenzie di telemarketing, marketing diretto e aziende terze;
2. Rendere per gli operatori in tali settori più semplice il filtro da applicare all’interno dei loro processi di contatto, sia manuali che automatizzati.
Già dalla sua nascita sono stati rilevati dei problemi operativi che hanno portato al fallimento dell’RPO. Nel 2017, il Garante Privacy italiano e il Governo Italiano hanno intensificato gli sforzi burocratici ed economici per permettere l’evoluzione nel nuovo RPO attualmente conosciuto e uscito ufficialmente nel Luglio 2022. Questa evoluzione ha portato ad includere la possibilità da parte del cittadino di aggiungere anche i propri numeri di telefono mobile, oltre al fisso e alle mail (già previste nella versione precedente). Per evitare un altro flop, è stata avviata una grande campagna pubblicitaria sull’RPO attraverso le reti Rai (spot tv e radio), il web e i social media.
Ci potrebbe offrire qualche indicazione su cosa sia successo a coloro che si sono iscritti subitanei al RPO?
Secondo un sondaggio pubblicato da FederConsumatori della Toscana, solo il 2% degli intervistati ha notato una diminuzione delle chiamate e mail invasive pubblicitarie. Il restante 98% dei cittadini iscritti all’RPO ha dichiarato di non aver notato differenze tra prima e dopo la registrazione. Anzi, in alcuni casi, gli intervistati hanno dichiarato di aver notato un aumento di tali pubblicità. Molte di queste chiamate provengono da call center stranieri, ai quali non si applica la normativa italiana in tema di telemarketing, e da sistemi automatizzati che usano numeri fittizi così da non essere rintracciati e non incorrere nelle sanzioni di legge. Inoltre, l’operatore fa leva sulla scarsa attenzione al tema da parte del suo interlocutore fingendo, talvolta, di non sapere dell’esistenza del registro oppure interrompendo bruscamente la chiamata.
Ci sono poi altri casi in cui, malgrado l’iscrizione al registro pubblico delle opposizioni, si possano ricevere delle telefonate a scopo promozionale. Più nello specifico si tratta delle situazioni in cui viene dato il consenso da parte del consumatore stesso. L’esempio tipico si verifica quando il cittadino effettua un acquisto e, in base ad un consenso prestato, acconsente al trattamento dei suoi dati a fini commerciali. La telefonata promozionale è dunque da considerarsi come legittima. Se, invece, la chiamata arriva da aziende terze alle quali si è certi di non aver fornito i propri dati, si avrà diritto a manifestare il proprio dissenso.
Ci conferma che è un’azienda privata che gestisce il “possibile” servizio?
Secondo alcune nostre informazioni siamo a conoscenza che c’è stata una violazione dei dati contenuti, può confermare?
[Fondazione Ugo Bordoni]
La società che gestisce tale servizio, appunto la Fondazione Ugo Bordoni (https://www.fub.it/), è una realtà ormai consolidata nel mondo della Pubblica Amministrazione e in prima linea per la diffusione e la ricerca in temi quali il 5G, le Blockchain e l’identità digitale nazionale. Questa società collabora attualmente con Poste Italiane, AGCOM, AGID (Agenzia per l’Italia Digitale), Autostrade per l’Italia spa, ESA (European Space Agency), Presidenza del Consiglio, RAI, Regione Toscana, Rete Ferroviaria Italiana, ed altre ancora. Il suo obiettivo principale, che si dichiara “senza scopo di lucro”, è quello di assistere la pubblica amministrazione nell’evoluzione tecnologica e di rafforzare con impegno tutte le tecnologie utili allo Stato per «rendere sicura la nostra nazione».
Al momento, Fondazione Ugo Bordoni non ha rilasciato alcuna notizia di possibili attacchi informatici sui sistemi da essa messi in piedi per il Registro. Risultano solo le evidenze di un totale fallimento nell’intento iniziale, anche se non vi sono dichiarazioni nemmeno in tal senso da parte loro. All’interno del DarkWeb, però, è stato dichiarato su più forum la notizia da voi conosciuta. Infatti, in alcuni di questi, sono state messe all’asta o in vendita degli elenchi telefonici che venivano fatti passare come risultato di furto di dati proprio dall’RPO. Non si ha la totale certezza che siano informazioni autentiche e che i dati fossero provenienti dall’RPO piuttosto che da altre fonti.
Come potrebbe essere possibile che venga violata la piattaforma in questione, specialmente se ha come compito principale la protezione dei dati personali?
Tale registro è violabile come qualsiasi sistema informatico o insieme di sistemi informatici. Nel mondo, e in Italia, ci sono molte persone specializzate in temi di sicurezza informatica e di hacking in grado di rubare dati senza farsi notare. Infatti, molti attacchi informatici non vengono mai scoperti per svariati motivi, tra cui:
• Mancato monitoraggio da parte del gestore dei sistemi attaccati;
• Hacker abbastanza abili da non farsi scoprire;
• Sistemi di monitoraggio e difesa da attacchi informatici obsoleti;
Le società pubblicitarie che non hanno intenzione di diminuire il loro perimetro di azione, possono:
• Utilizzare call center stranieri per non essere sottoposti a controlli in merito;
• Utilizzare SIM false o virtuali per effettuare telefonate da numeri usa-e-getta e non rintracciabili
• Puntare sull’ignoranza dell’utente in materia;
• Accettare il rischio di ricevere multe, visti i guadagni nettamente superiori.
• Convincere l’utente a dare consensi attraverso contratti che prevedono il consenso per finalità di marketing da terze parti.
Infatti, come spiegato nelle FAQ del RPO, “Dopo l’iscrizione al servizio potrai ricevere solo le chiamate pubblicitarie dalle aziende con cui hai contratti continuativi (per esempio dai gestori delle tue utenze telefoniche ed energetiche) e quelle che autorizzerai in modo volontario successivamente”. Quindi, il registro (ammesso che funzioni) lavora solo sui contratti o consensi dati in passato e in Italia.
Secondo la sua conoscenza e esperienza l’Agenzia per la cybersicurezza italiana è in grado di garantire la tutela dei dati personali dei cittadini italiani? [https://www.acn.gov.it]
L’ACN è un’agenzia all’avanguardia e punto di riferimento in Europa per le tutele che promette di offrire ai cittadini e alle imprese in temi di sicurezza informatica e protezione del perimetro nazionale digitale. L’agenzia punta, infatti, a creare standard da seguire, digitalizzare le identità e il denaro, proteggere ciò che ancora non siamo in grado di gestire appieno.
Nel concreto, però, il risultato attuale di tale “sicurezza” che dovrebbe essere garantita è insufficiente. I dati dei cittadini non vengono protetti a sufficienza ed è documentato in tanti report indipendenti.
Lo stesso CNAIPIC (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche) dichiara in un report rivolto all’anno 2021 che ci sono stati 5.434 attacchi informatici, con una media di 15 eventi al giorno a danno di servizi informatici di istituzioni, di infrastrutture critiche di interesse nazionale o regionale e di grandi imprese del settore privato. [https://42lf.it/report-del-centro-nazionale-per-anticrimine-informatico-per-la-protezione-delle- infrastrutture-critiche-c-n-a-i-p-i-c/]
Ad aggiungersi a questo report, abbiamo il rapporto CLUSIT 2022 che dichiara quanto segue:
«In Italia, nel 2021, il SOC (Security Operation Center) di FASTWEB ha registrato oltre 42 milioni di eventi di sicurezza, con un aumento del 16% rispetto a quelli segnalati nel 2020». Lo stesso report segnala anche l’aumento drastico di botnet e di server compromessi (+58%) e un aumento significativo di infezioni su dispositivi mobili. L’analisi ha evidenziato un costante trend di crescita della gravità degli incidenti, con il 32% caratterizzato da una gravità “critica” ed il 47% “alta”. [https://clusit.it/wp-content/uploads/download/Rapporto-Clusit-ottobre-2022_web.pdf
[https://clusit.it/wp-content/uploads/download/Rapporto-Clusit-marzo-2022_web.pdf]
Persino il Garante della Privacy italiano ha dichiarato pubblicamente: «Nel settore pubblico (31,2% dei casi), le violazioni hanno riguardato soprattutto comuni, istituti scolastici e strutture sanitarie, nel settore privato (68,8% dei casi) sono stati coinvolte sia PMI e professionisti. I numeri della relazione annuale 2022.»
[https://www.cybersecitalia.it/in-italia-nel-2022-rilevati-1351-data-breach-stanzione-garante- privacy-il-nostro-paese-tra-i-piu-colpiti-da-attacchi/25643/)]
Quali possibili indicazioni potrebbe fornire ad un inesperto cittadino per avere garantita, almeno dalla parte del Garante (non nella persona che pro-tempore ma da parte dell’Istituto) che le informazioni in suo possesso rimangano tali garantendo la privacy che desidereremmo?
Ad oggi, il Garante italiano per la Protezione dei Dati Personali ha creato un modulo elettronico al seguente link per poter segnalare liberamente quei numeri di telefono o le mail che ci tartassano di pubblicità o che tentano di truffarci. [https://servizi.gpdp.it/diritti/s/segnalazione-telefonate- indesiderate]
Sullo stesso sito web [https://servizi.gpdp.it/] si possono trovare anche le istruzioni per inviare reclami via mail o via moduli precompilati riguardo a possibili illeciti in materia di privacy e protezione dei dati personali.
Queste procedure, però, sono molto lunghe e, spesso, senza un riscontro. Il Garante, infatti, riceve migliaia di segnalazioni ogni mese e non ha i fondi e le risorse per gestirle tutte. Percui, il consiglio migliore che mi sento di dare è quello di avvalersi alle proprie capacità e, quando necessario, provare con i metodi istituzionali. Al momento, non ci sono migliori soluzioni se non una auto- formazione in tema di diritti sulla privacy e sulla protezione dei dati personali: la conoscenza è potere.
Segnalo, però, un progetto interessante e potenzialmente utile per tutti: “Programma il Futuro” [https://programmailfuturo.it/]. Questa iniziativa, per quanto poco pratica e potenzialmente sopporifera ai molti, ha come obiettivo quello di formare la persona media in temi sempre più utili per poter aumentare la propria capacità di decidere in autonomia riguardo l’utilizzo di sistemi digitali.
Ricordiamoci, però, che le informazioni all’interno di qualsiasi percorso di formazione pre- confezionato va preso con le pinze e messo sempre in dubbio dove abbia senso farlo. Prendendo tutto per buono, si rischia solo di crearci una struttura di conoscenze limitata e di perdere la cosa più importante: il pensiero critico. Infatti, non è sufficiente ad una completa comprensione in materia e per rendersi indipendenti. Può, comunque, essere utilizzato come trampolino di lancio per un percorso più approfondito con professionisti che lo fanno in modo indipendente e gratuito.
Secondo lei il cittadino fa bene a fidarsi delle Istituzioni che dovrebbero garantire la sicurezza informatica? Leggendo e sentendo spesso di attacchi hacker, alle stesse istituzioni, dai quali non si sa mai quali dati effetti possano scaturire? Ci verrebbe da dire di no.
Lei lei ha qualche suggerimento in merito?
Nessuna azienda, istituzione o organizzazione può definirsi intoccabile da attacchi hacker. Nel caso delle istituzioni governative italiane, specialmente i comuni, ci sono molte carenze in fatto di sicurezza informatica che ricade sui cittadini.
In Italia, il problema principale (secondo il mio punto di vista) è, e rimane, la mancanza di consapevolezza del singolo cittadino sull’importanza della privacy e della protezione dei propri dati. Senza tale conoscenza e presa di responsabilità rispetto ai propri consensi e i propri dati, non ci sarà mai l’interesse a capire come difenderci in autonomia (per quanto possibile).
I principali consigli che posso dare sono i seguenti:
• Limitare i propri consensi (per qualsiasi cosa) al minimo indispensabile per il funzionamento o la fruizione dei servizi;
• Scegliere SEMPRE e per qualsiasi cosa delle password forti (minimo 10 caratteri casuali, di cui lettere maiuscole, minuscole, numeri e punteggiature o caratteri speciali;
• Utilizzare un sistema di gestione delle password che non si colleghi online e che permetta la cifratura dell’elenco delle password;
• Utilizzare password di alto livello (minimo 20 caratteri) per la mail che permette di resettare le password di altri servizi;
• Attivare l’NFC del telefono (per i pagamenti da telefono in “contactless”) solo quando serve e disabilitarlo quando non utilizzato.
Possiamo affidarci alla validità di strumenti come SPID, CIE o altri metodi di Identità Digitale?
Il mondo digitale cambia di anno in anno a velocità quasi esponenziale. Ogni anno vengono trovate centinaia di vulnerabilità in sistemi di sicurezza e tecnologie all’avanguardia. Attualmente, il modo migliore per proteggere i propri dati, è quello di affidarsi a degli esperti che hanno la volontà di insegnare! Imparando a dare priorità e ad utilizzare sistemi non comuni ma efficaci, si può diminuire di molto la possibilità di essere vittime.
Purtroppo non abbiamo facoltà di decidere se usare o meno questi sistemi che il Governo ci obbliga ad usare. Quello che possiamo fare, però, è limitare al minimo indispensabile le autorizzazioni e i consensi per l’utilizzo di questi strumenti.
La ringraziamo per la disponibilità e speriamo che possa essere ancora con noi per chiarirci su temi di sicurezza informatica o su temi inerenti.
ATTO SECONDO
Tornando alle prime due domande, poste all’inizio dell’articolo, vi accorgerete quanto la burocrazia e il burocratese sia un male infinito il quale vi porterà, cosa che sempre più spesso capita, a tralasciare qualsiasi azione per far valere i vostri diritti dovuta al tempo occorrente a concludere l’operazione.
A questo proposito c’è da ricordare che nel maggio del 2022, nella seduta della conferenza unificata, il Ministero per la Pubblica Amministrazione ha approvato l’Agenda per la Semplificazione.
Dal sito istituzionale del MPA riportiamo: «la Conferenza unificata ha sancito l’Intesa tra Governo, Regioni, Province autonome ed Enti locali sull’aggiornamento dell’Agenda per la semplificazione 2020-2026. Il nuovo testo allinea l’Agenda al Piano nazionale di ripresa e resilienza (PNRR), per massimizzare gli interventi e facilitare la messa a terra delle linee di attività già individuate nell’ambito del PNRR stesso».
Sul sito della MPA si legge:
«Semplificare per crescere e liberare risorse per lo sviluppo del paese.
Semplificare per dare certezza ai diritti dei cittadini.
Semplificare per un’amministrazione che funzioni meglio e costi meno.
… La semplificazione (politica che ha l’obiettivo di semplificare le norme e le procedure e di ridurre gli oneri burocratici a carico dei cittadini e delle imprese. L’obiettivo si raggiunge attraverso l’utilizzo di molteplici strumenti: innovazione normativa, organizzativa e tecnologica) si realizza attraverso interventi normativi, amministrativi, organizzativi e tecnologici finalizzati a ridurre il peso della burocrazia su cittadini e imprese.»
L’agenda per la semplificazione è stata approvata nella seduta dell’11 maggio 2022 della «Conferenza unificata ha sancito l’Intesa tra Governo, Regioni, Province autonome ed Enti locali sull’aggiornamento dell’Agenda per la semplificazione 2020-2026 http://www.italiasemplice.gov.it
Il nuovo testo allinea l’Agenda al Piano nazionale di ripresa e resilienza (PNRR), per massimizzare gli interventi e facilitare la “messa a terra” delle linee di attività già individuate nell’ambito del PNRR stesso. (Intesa in Conferenza Unificata» [http://www.regioni.it/conferenze/idconf-648210/]
In questo link [https://partecipa.gov.it/uploads/decidim/attachment/file/6/Semplifichiamo_Report_29giugno2020_DEF.pdf]
potrete leggere il report sugli esiti della consultazione pubblica semplifichiamo!
Da quanto è stato possibile appurare l’Agenda di superare il burocratese (vedi Governo, vedi Istituzioni), ovvero far capire bene al cittadino cose deve fare per far valere i propri diritti, ma anche operare nei doveri, pare nn ne abbia interesse.
ATTO TERZO
E ora un piccolo sguardo su Garante per la Protezione dei Dati Personali.
Perché esercitare un nostro diritto per essere informato, per il diritto di opposizione, per il diritto di accesso e di rettifica?
Sul sito del Garante leggiamo (burocratese? Ndr):
«Il diritto alla protezione dei dati personali è un diritto fondamentale dell’individuo ai sensi della Carta dei diritti fondamentali dell’Unione europea (art. 8). Oggi è tutelato, in particolare, dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), oltre che da vari altri atti normativi italiani e internazionali e dal Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), adeguato alle disposizioni del Regolamento (UE) 2016/679 tramite il Decreto legislativo 10 agosto 2018, n. 101. In particolare, il Regolamento (UE) 2016/679 disciplina il trattamento dei dati personali indipendentemente dal fatto che questo sia effettuato o meno nell’Unione europea».
Nel caso ritenessimo il trattamento dei dati che ci riguardano, non conformi alle disposizioni vigenti ovvero nel caso in cui la risposta ad un’istanza, con cui esercitano uno o più dei diritti previsti dagli artt. 15-22, del sopra menzionato Regolamento UE, oppure, ancora, non pervenisse nei tempi indicati o non sia soddisfacente, ci si può rivolgere al Garante per la Protezione dei Dati Personali, in quest’ultimo caso mediante un reclamo, ai sensi dell’articolo art. 77 sempre del citato regolamento.
Trovandoci nel caso menzionato nell’atto primo, dovremmo procedere ad effettuare un reclamo il quale consenta l’opposizione ad una violazione alla disciplina che regola la protezione dei dati personali e di richiederne la verifica. Tutto questo appare disciplinato in modo diverso da un semplice reclamo per chiedere un blocco alle attività di telemarketing, phonemarketing, mailmarketing, citato in precedenza, che riguardi la vendita di prodotti di non interesse.
Risulta chiaro che per ognuna di queste violazioni ci dobbiamo rivolgere a enti, istituzioni, sempre diverse … ma non doveva essere semplificata la procedura nella Pubblica Amministrazione?
E la semplificazione delle procedure?
Esaminiamo ora come opporre reclamo al GDPD.
Il reclamo agli uffici del Garante dei dati personali, se siamo privati cittadini, dovremmo sottoscriverlo direttamente, e qui ci può stare, oppure per nostro conto, tramite procura, da un avvocato, un procuratore, un organismo, un’organizzazione o associazione senza scopo di lucro. Il reclamo dovrà presentato presso gli uffici del Garante con tutta la documentazione utile.
Il reclamo dovrà essere con firma autenticata con digitale ovvero con firma autografa con allegato un documento di riconoscimento in corso di validità, dell’interessato o interessata.
Per recapitare il reclamo tuttavia abbiamo diverse possibilità: recarci direttamente presso gli Uffici del Garante per la Protezione dei Dati Personali di Roma, oppure fare una comoda ed economica raccomandata con ricevuta di ritorno, oppure, infine, un messaggio di posta elettronica certificata (PEC). L’indirizzo PEC è configurato solo per ricevere tramite posta elettronica certificata, ogni altra e-mail non potrà essere presa in considerazione; come dire: evitate di fare segnalazioni.
Altra domanda è quanti lettori, privati cittadini, sono in possesso di PEC. Nel caso in cui se ne abbia avuta necessità, o si sia provato a richiederla, ci si sarà accorti che per averla il servizio è a pagamento, o comunque in pochi e rari casi sarà gratuita, sempre che si conoscano alcune procedure informatiche.
Per non riportare altri dettami di seguito potrete trovare le procedure (se avete tempo e voglia) per porre reclamo al Garante
https://www.garanteprivacy.it/diritti/come-agire-per-tutelare-i-tuoi-dati-personali/reclamo
https://www.garanteprivacy.it/home/modulistica-e-servizi-online
E’ evidente che anche negli uffici del Garante amino ancora il burocratese e le sue procedure.
Come cittadini votanti, che tralasciano di porre in atto i propri doveri e diritti, dovremmo, al di fuori di ogni pensiero politico-partitico, anche per questo tema dovremmo scendere in piazza e dire:
BASTA!
Commenta per primo