{{feedLink}}

Oltre il dovuto

oltre il dovuto Christian Bernieri - Tempo di lettura: 7 min.
(Aggiornato il )
AI generated image

Che periodo!

Settimane molto complicate per chi riveste un ruolo di responsabilità presso gli uffici del Garante Privacy

Settimane infernali per i quattro componenti del Collegio.

Dopo la magistrale overture eseguita dalla trasmissione Report, l’orchestra dell’informazione sta suonando qualcosa che ricorda molto il Bolero di Ravel, in costante crescita verso un inevitabile parossismo. Io so suonare solo il citofono, pertanto non mi cimento e mi limito ad osservare.

Autorità è stata scandagliata a fondo e, anche volendo credere alla sua totale indipendenza, sarebbe difficile superare le imbarazzanti evidenze che con l’indipendenza contrastano.

 

La prima evidenza è talmente palese da sfuggire alle cronache, un po’ come accade con la proverbiale luna, indicata da un dito che cattura tutta l’attenzione, diventato ormai l’unico oggetto del dibattito.

Il Garante non è affatto sotto attacco da parte della stampa, di Report o di qualche professionista professionalmente deluso, come mi è capitato di sentire. Il Garante è attaccato dal Garante stesso: sono i funzionari tecnici, quelle persone vocate alla materia, vincitori di concorsi, lucidi studiosi, raffinate menti operose che, per conto dell’Autorità, gestiscono con passione una incredibile mole di lavoro senza pretendere corone di alloro, senza pubblicare libri, senza mettere in nota spese le braciole o il parrucchiere, senza biglietti in business class, senza occupare l’agenda con ogni genere di comparsata mediatica o convegnistica. I funzionari del Garante, in aperto contrasto con il collegio, esasperati da ciò che il loro osservatorio privilegiato gli consente di constatare, hanno sfiduciato i quattro membri del collegio. L’autorità non sta vivendo, quindi, una crisi mediatica, ma un dramma ben più profondo: uno scollamento interno tra la sua “manovalanza” e la “quota politica”, nominata e appollaiata su alti scranni, inamovibile, ormai percepita come molto distante dalla funzione originaria ed istituzionale dell’ente.

I manovali della Privacy, quei funzionari che diligentemente lavorano nell’ombra, hanno rotto ogni indugio mettendo in luce una situazione che, ora, ciascuno può autonomamente giudicare. 

 

 

La seconda evidenza è legata alla questione dell’indipendenza.

Uno dei membri del Collegio, l'Avvocato Scorza, ha dichiarato in numerose occasioni di aver tagliato tutti i ponti con lo studio legale di provenienza. La stampa si è concentrata molto sulla ricostruzione dei complicati intrecci tra le decisioni dell’Autorità, le consulenze, i ricchi onorari e le miti sanzioni.

L'intricata questione, tuttavia, dovrebbe essere riconsiderata alla luce di un piccolo dettaglio, di quelli marginali, un aspetto insignificante e percepito come un po’ tedioso, uno di quelli che finiscono spesso per essere trascurati: la privacy, appunto.

Ad oggi, l'iscrizione all’albo di Roma dell'Avv. Scorza risulta ancora e, il sito dell'ordine, riporta l’indirizzo email [redacto]@e-lex.it    

Sicuramente una anomalia poiché, con l’ingresso nell’Autorità, dovrebbe essere sospesa l’attività professionale, ma la situazione diventa ancora più anomala alla luce delle dichiarazioni dell’avvocato e della sua presa di distanze dallo studio stesso.

 

Si sa, gli albi sono piuttosto sonnacchiosi e tardano nell’aggiornare i dati. Nonostante esistano regole stringenti che dovrebbero garantire il tempestivo esercizio del diritto alla rettifica dei propri dati personali, la scheda riporta informazioni inesatte. L’avvocato Scorza potrebbe presentare un reclamo, oppure procedere d’ufficio rispetto a questa palese violazione del GDPR. Le regole, in effetti, ci sono, ciò che manca è la loro applicazione, si sa.  I precedenti per l'Albo sono effettivamente sconfortanti.

Tuttavia, ritengo che si potrebbe considerare questo come un mero refuso, un banale mancato aggiornamento, ma sarebbe, di nuovo, guardare il dito e non la luna.

Ciò che perplime, in realtà, non è il refuso, quanto il fatto che l’indirizzo email in questione non sia mai stato effettivamente disabilitato, che sia tuttora attivo, che riceva posta senza dar luogo ad alcun messaggio tecnico di avviso. 

No, la mailbox non è piena, non c’è alcun risponditore automatico che avvisi della sua disattivazione, non viene generato alcun messaggio di errore per mailbox inesistente. La mailbox esiste e continua a ricevere o gestire messaggi sia dall’interno dello studio che dal mondo esterno.

La stessa cosa non accade scrivendo un messaggio di test diretto ad un’altra e-mail inventata, certamente non esistente, come piripicchiopiripacchio@e-lex.it

Il server genera in questo caso un errore simile al seguente:

<piripicchiopiripacchio@e-lex.it>: host aspmx.l.google.com[108.177.14.26]

    said: 550-5.1.1 The email account that you tried to reach does not exist.

    Please try 550-5.1.1 double-checking the recipient's email address for

    typos or 550-5.1.1 unnecessary spaces. For more information, go to 550

    5.1.1  support.google. com/mail/?p= eccetera eccetera.

 

Il fatto che l’email sia attiva ha delle implicazioni abbastanza problematiche:

  1. la mailbox riportata nella scheda dell’albo degli avvocati effettivamente esiste, ha funzionato sino ad oggi e funziona tuttora correttamente come mailbox, come forward o come redirect
  2. pare che i ponti con lo studio professionale non siano stati tutti effettivamente demoliti, come ha perentoriamente chiesto l’Avv Scorza
  3. e-lex non sembra perfettamente allineata con quanto previsto dal GDPR e con le prescrizioni che il Garante stesso ha stabilito, in via generale, per la gestione delle mailbox aziendali.

 

Quest’ultimo punto merita una breve spiegazione perché è meno intuitivo rispetto ai precedenti.

Il GDPR prevede dei principi obbligatori e, tra questi, alcuni assumono qui particolare rilevanza:

  • va garantita la protezione dei dati personali dell’interessato rispetto all’accesso non autorizzato di terzi
  • va assicurata la limitazione dell’accesso ai dati personali alle sole persone che abbiano effettivamente la necessità e il dovere di accedervi

Proprio per tutelare la riservatezza dell’Avv Scorza, dopo la sua uscita dall’associazione professionale, lo studio avrebbe dovuto disattivare la mail nei tempi tecnici necessari per compiere tale operazione. Al contrario, la mailbox ha continuato a funzionare, raccogliendo messaggi a lui diretti o inoltrandoli ad altra casella di posta, senza dare alcun avviso di disattivazione dell’indirizzo. Questi messaggi possono includere informazioni di carattere personale che l’Avv Scorza potrebbe incolpevolmente ricevere. Tutti questi messaggi in arrivo, tra i quali è lecito supporre che ve ne possano essere alcuni con natura riservata ed alcuni collegati al ruolo istituzionale assunto presso l’Autorità Garante, magari erroneamente spediti da incauti mittenti, sono nella piena disponibilità dello studio. Anche solo per ragioni tecniche, lo studio potrebbe accedere alla corrispondenza privata dell’Avv. Scorza e, come ci insegna il Garante, questo non è lecito anche solo in potenza: non occorre che il fatto sia concretamente avvenuto.

I backup proseguono e storicizzano tali messaggi, i sistemi automatizzati, tipici degli applicativi di studio, stanno continuando a utilizzare i messaggi in ingresso per le loro funzioni come l’agenda, i famigerati LOG dei sistemi di posta stanno raccogliendo dati e metadati  con i quali è possibile ricostruire gli intrecci della corrispondenza che interessa l’avv. Scorza, ecc.

Il garante stesso ha vergato rigorose linee guida in materia di posta elettronica, incluso un poderoso documento di indirizzo proprio in materia di log e metadati, e si è più volte espresso sul punto sanzionando numerose aziende per aver mantenuto operative le mailbox di persone che, nel tempo, avevano perso il diritto di accedere alle risorse aziendale, sia in veste di dipendenti, che di collaboratori esterni e o addirittura per le funzioni apicali.

La corrispondenza, peraltro, come il Garante ci insegna, gode di un particolare regime di tutela e commettere un errore nella gestione di una mailbox può comportare gravi illeciti penali come, ad esempio, la violazione della riservatezza della corrispondenza.

L'avvocato Scorza ha il pieno diritto di tutelarsi per ciò che sta accadendo alla sua corrispondenza e perché sullo studio e-lex, gravano gli stessi obblighi che il GDPR mette in capo ad ogni altro titolare del trattamento, tra questi, anche il dovere di disattivare le risorse aziendali, come le email, messe a disposizione di chi non ha più la necessaria legittimazione per accedervi, anche se solo temporaneamente. In situazioni del tutto analoghe, il Garante ha avuto modo di pronunciarsi e sanzionare pesantemente molti enti pubblici e privati.

Lo studio e-lex avrebbe potuto disattivare quell’indirizzo email entro alcune ore o pochi giorni. Anche volendo concedere una tempistica comoda di alcuni mesi, direi che saremmo, comunque, ben oltre il ragionevole, al di là di quanto tecnicamente necessario e, per usare un termine caro al Garante Privacy, decisamente “oltre il dovuto”.

Prosit.

 

 
Restiamo in contatto!
Clicca qui ed iscriviti alla NEWSLETTER

 

 

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Letture totali:  

...