Codici fiscali, email e numeri di cellulare degli innovation manager, gli esperti per l’innovazione, raccolti in un albo online in chiaro senza protezione. E senza che gli interessati lo sapessero
Il ministero dello Sviluppo economico (Mise) ha di recente pubblicato l’elenco degli innovation manager cui le aziende italiane potranno rivolgersi per il loro percorso di innovazione digitale e la cui consulenza potrà essere pagata tramite voucher. Andando sul sito dedicato, l’azienda può ricercare il profilo di cui ha bisogno (esperto in cyber sicurezza, big data, robotica etc.) nella zona più vicina alla sua sede.
Un’ottima iniziativa se non fosse che i dati di quasi 9.000 professionisti sono tutti in chiaro, senza necessità di accesso ad una piattaforma ad hoc. È possibile vedere nome, cognome, codice fiscale, email, curriculum vitae e, fino al pomeriggio di giovedì 7 novembre, anche il cellulare.
La cosa ha colto di sorpresa gli stessi manager che avevano fatto domanda per essere ammessi all’elenco del Mise. Diversi di loro hanno comunicato sui social network la spiacevole sorpresa mentre altri ci hanno contattato direttamente per segnalarci l’accaduto.
Per quanto sia evidente a tutti la stranezza che questi dati siano accessibili a chiunque, Wired ha cercato di capire se gli stessi manager fossero stati avvisati dal Mise al momento della candidatura. Purtroppo molti di loro, come era scontato, hanno cliccato frettolosamente il consenso della presa visione della privacy policy e quindi non hanno saputo dire se questo avviso ci fosse.
Il link dove gli aspiranti manager potevano fare domanda non rimandava più allo stesso form e quindi non è stato possibile leggere la privacy policy originale che, come da regolamento, dovrebbe indicare la base giuridica e le finalità del trattamento per i dati richiesti.
Secondo il Gdpr, il regolamento generale europeo per la protezione dei dati, il titolare del trattamento dei dati deve indicare nell’informativa quale sia la base giuridica per quel trattamento. Se fosse, come possibile, la legge sulla trasparenza, tale legge dovrebbe essere indicata. Lo stesso vale per le finalità che dovrebbero spiegare come quei dati saranno utilizzati. Gli innovatori sono stati avvisati in modo preciso (non solo) nella privacy policy che i dati sarebbero stati messi in chiaro accessibili a chiunque? Per quello che Wired ha potuto visionare nulla è stato detto in merito nel manuale d’istruzione per la candidatura.
Interpellato in merito, il Mise ha risposto che le base giuridica del trattamento è un decreto dirigenziale del 29 luglio 2019, che specifica quanto anticipato nel decreto ministeriale del 7 maggio 2019, ovvero quello sui voucher per l’innovazione. Il tutto, secondo il Mise, sarebbe confermato dall’informativa sulla privacy che i manager hanno accettato, ma che al momento di scrittura di questo articolo non è stata fornita. Ciò tuttavia non cambia di molto la situazione: se nell’informativa della privacy ci fosse stato scritto di donare il proprio primo figlio a Satana, averla accettata non costituirebbe un vincolo giuridico.
Trasparenza e privacy: non si tratta di un bivio
Se anche il motivo fosse una legge sulla trasparenza della pubblica amministrazione, questa deve essere sempre bilanciata dagli altri diritti fondamentali come quello della protezione dei dati personali. “Questo caso mostra come vi sia nella pubblica amministrazione un alto livello di irresponsabilità in termini tecnici e manchi la consapevolezza che nel fare o non fare un’azione si possano violare una o più leggi. Che una PA non abbia questa consapevolezza è anche un problema etico. Mi rendo conto che non sia semplice capire dove mettere l’asticella tra trasparenza amministrativa e tutela dei dati personali ma il Gdpr menziona tre principi che non vanno dimenticati: la proporzionalità, la finalità e la minimizzazione dei dati”, ha detto Rocco Panetta, titolare dello studio legale Panetta & Associati e responsabile per l’Italia di Iapp, la più grande associazione mondiale di professionisti della privacy.
Lo stesso ha detto Ernesto Belisario dello studio eLex, avvocato che da anni si occupa di privacy e amministrazione digitale: “Le Pa vogliono essere trasparenti ma dobbiamo affermare il principio per cui la privacy non è un limite ma un modo di essere trasparenti. Siamo contenti quando le Pa pubblicano dati ma devono stare attente a non esporre le persone a conseguenze poco piacevoli. Il codice fiscale può essere pubblicato solo in determinati casi visto che può essere usato non solo per email di phishing ma anche per reati di sostituzione di persona”
Per come sono mostrati ora i dati, l’intero data base è facilmente scaricabile in pochi semplici passaggi. In meno di un minuto è possibile avere cellulari, mail, codice fiscale e curriculum di novemila persone. Se poi pensate che le persone per una prassi di venti anni fa ancora indicano la residenza completa di indirizzo nel proprio curriculum, capirete di quale rischio stiamo parlando. Si tratta di dati molto appetibili per qualunque malintenzionato, serviti su un piatto d’argento.
Cosa si poteva fare
Se il servizio è rivolto alle aziende per metterle in contatto con dei professionisti, il Mise dovrebbe agire come piattaforma di intermediazione per tutelare i dati di entrambe le parti. Si dovrebbe poter accedere ai dati personali solo mediante login. Non è il caso.
In chiaro potrebbero esserci il nome e cognome ma non il codice fiscale, che indica data e luogo di nascita ed è usato per diverse operazioni delicate come quelle bancarie. I principi del Gdpr indicano che quando lo stesso risultato si può ottenere potendo rivelare meno dati personali, quella è la via da seguire. E quella via deve essere seguita nel rispetto della privacy by design, che ha lo scopo di limitare i danni in caso di data breach. In parole povere, non si fanno vedere tutti i dati di tutti gli interessati a chiunque.
Il faro del Garante
Wired ha chiesto all’ufficio del Garante della privacy se fossero al corrente del fatto. L’autorità ha fatto sapere che dopo questa segnalazione si è messa al lavoro per approfondire quanto accaduto.
Disclaimer: La redazione di Wired ha riflettuto su come comunicare la notizia, soppesando il dovere di cronaca a quello di tutela dei manager i cui dati sono esposti. La testata ha scelto la linea della piena trasparenza delle informazioni, con l’obiettivo di mettere in guardia i tanti professionisti coinvolti dalla faccenda.
Potrebbe interessarti anche