Garante Privacy, elezioni in arrivo e captatori informatici

Nelle scorse settimane il Garante italiano per la Protezione dei Dati è intervenuto, in maniera abbastanza netta e precisa, su due aspetti cruciali della società dell’informazione: l’uso dei dati dei cittadini in contesti elettorali e l’uso, da parte della magistratura e delle Forze dell'Ordine, del cosiddetto “captatore informatico” o, comunque, di App e sistemi evoluti (e segreti) per l’intercettazione dei dati digitali.

Il primo intervento, quello sul trattamento dei dati “sotto elezioni”, ha preso la forma di un vero e proprio provvedimento (datato 19 aprile 2019) e, quindi, può apparire, soprattutto al lettore non giurista, molto tecnico.

Semplificando, il Garante sembra che si sia deciso a intervenire sul punto per tre motivi:

i) l’avvicinarsi delle elezioni europee (e, quindi, la previsione di un uso "selvaggio" dei dati dei cittadini: è noto come nelle settimane prima dell’election day il traffico di spam elettorale aumenti sensibilmente),

ii) il "cambio di regime" con l’avvento del GDPR, che in Italia sta ancora “scaldando i motori” ma che richiede inevitabilmente di essere esteso, da un punto di vista interpretativo, anche a questi fenomeni superando le disposizioni del Codice Privacy precedente, e

iii) una serie di "precedenti" che il Garante italiano già aveva dovuto affrontare in passato (invii di SMS elettorali, uso illegittimo di mailing list da parte di consiglieri comunali, e simili) e che avevano evidenziato la criticità di questo periodo anche in un'ottica di protezione dei dati.

Il documento cerca di fissare alcune regole per un corretto uso dei dati degli elettori e dei cittadini da parte dei partiti politici ma, anche, da parte di comitati promotori, di piccoli gruppi di sostenitori, di singoli candidati e di chiunque, in sintesi, si appresti a fare, in un modo o in un altro, campagna elettorale.

Mi sembra interessante (forse perché poco noto ai non addetti) l’attenzione specifica al punto dei messaggi veicolati sui social network e via Skype, WhatsApp o Messenger ("territori" che di solito vengono considerati come un Far West ma che in realtà sono anch'essi puntualmente regolamentati) e alla possibilità, per i partiti, di usare i dati contenuti nelle liste elettorali dei Comuni, nei vari elenchi e registri pubblici in materia di elettorato attivo e passivo e, soprattutto, i dati degli aderenti a partiti o movimenti politici, senza bisogno del consenso dell’interessato.

Sono, poi, evidenziati quei dati che, invece, necessitano del consenso informato per inviare SMS o e-mail elettorali: si pensi ai dati contenuti negli elenchi telefonici, quelli reperibili sui social network e nei sistemi di messaggistica, quelli ricavati da forum e blog, quelli raccolti automaticamente con specifici tipi di software che fanno lo scraping del web o di archivi, quelli raccolti nell’esercizio quotidiano di una professione o i dati di persone contattate in occasione di specifiche iniziative (petizioni, raccolta firme, cene elettorali e simili).

La prima attenzione che domanda il Garante, allora, è di comprendere, prima di inviare qualsiasi tipo di messaggio elettorale, se si ricada nel "gruppo" che consente di operare senza la previa raccolta del consenso, o se sia invece necessario i) fornire l'informativa e ii) raccogliere il consenso (anche se, ad onor del vero, viene data la possibilità di evitare l’informativa ai cittadini nel caso tale azione richieda al partito, al candidato o all'organizzazione sforzi troppo gravosi).

Vi è, infine, un interessante divieto esplicito di usare a fini elettorali dati raccolti per lo svolgimento di attività istituzionali.

Ricordo come, alcuni mesi fa, anche ENISA, l’agenzia di cybersecurity dell’Unione Europea, avesse pubblicato un breve report sulla cybersecurity in vista delle imminenti elezioni europee, evidenziando il pericolo (anche) di attacchi di disinformazione.

L’attenzione del Garante italiano, quindi, non è puramente tecnica o normativa, con una fredda indicazione dell’obbligo di rispetto delle regole.

È, anche, un intervento che mira a evidenziare i pericoli di “distorsione” del pluralismo, della libertà elettorale (e di convincimento dell'elettore) e degli equilibri democratici che può essere portata da un certo tipo di comunicazione effettuato in un momento delicato quale quello delle competizioni elettorali.

Il secondo intervento interessante del Garante è stato una lettera – o, meglio, una “segnalazione” – al Parlamento e al Governo, dopo il caso “Exodus”, sulle problematiche connesse alla disciplina delle intercettazioni mediante captatore informatico.

Noto, nella lettera, espliciti suggerimenti di modifica di una disciplina che, a detta del Garante, non è rispettosa dei diritti di libertà, evidenziando i rischi del ricorso a captatori a fini investigativi e, soprattutto, dell'utilizzo di società esterne per la gestione dell'intero "processo informatico".

Il Garante sembra particolarmente interessato, nelle sue righe, a captatori che possano essere inoculati nel dispositivo dell’indagato sotto forma di App, soprattutto se tali App vengono distribuite (anche) su piattaforme accessibili a tutti (Google Play, o altri store ufficiali), sino a disegnare un preoccupante quadro di sorveglianza massiva che potrebbe coinvolgere, a questo punto, tutti i "clienti" di tali store.

Evidente è, poi, il timore di un controllo unilaterale della procedura, senza possibilità di una verifica o controllo esterno né prima, né durante, né dopo.

Sono dispositivi, si ricordi, usati solo dalla magistratura/polizia giudiziaria, con una possibilità incredibile, nota il Garante, non solo di concentrare più strumenti investigativi "tradizionali" in uno (sino a diventare, così, lo strumento più potente e invasivo disponibile per le indagini) ma, anche, di eliminare le tracce delle operazioni effettuate alterando i dati acquisiti. Tutela dell’indagato e parità delle armi tra accusa e difesa sarebbero, così, a rischio o, comunque, fortemente depotenziate.

Il Garante suggerisce una modularità d'azione quale strumento di tutela maggiore dei diritti (la possibilità di attivare singoli "moduli" di intercettazione a seconda del caso), una attivazione differita (un conto, dice il Garante, è inoculare - o "posizionare" -  il dispositivo, un conto è attivarlo e iniziare le procedure di intercettazione), un maggior controllo spazio/tempo (perchè interccettare tutto e in ogni momento, quando il captatore è attivato?) e una particolare cura delle misure di sicurezza (dove saranno custoditi, e con quali modalità di protezione, questi preziosi dati oggetto di intercettazione?).

Ultimo ma non ultimo, viene evidenziato il fondamentale punto delle modalità di accesso, da parte degli operatori autorizzati, al materiale intercettato (chi, quando e come può accedere? Le attività di accesso sono loggate?) e al fatto che alcuni captatori  possano violare le misure di sicurezza del dispositivo e del suo sistema operativo rischiando, così, di renderlo vulnerabile a successivi attacchi. Ciò può mettere a rischio interi sistemi e infrastrutture e, a salire, l’intera società dell’informazione.

Ci sembra che, sintetizzando, la degenerazione di questi captatori in strumenti massivi di sorveglianza e di controllo sia visto, in questo documento, come il pericolo più grande, così come il fatto che il compendio probatorio sia delocalizzato su server, anche all’estero, poco sicuri (in altre parole: l'intera vita digitale di una persona viene intercettata e trasferita su spazi di storage potenzialmente non sicuri o, comunque, non nella disponibilità diretta della magistratura).

Del resto, il timore fondato di errori, di "contaminazione di massa" e di uso di servizi cloud non sicuri incide direttamente sul problema della integrità, della sicurezza e dell’autenticità dei dati captati, soprattutto in mancanza di un unico protocollo condiviso, approvato e testato che garantisca quantomeno omogeneità tra le Procure circa gli standard di sicurezza da adottare per gestire al meglio simili procedure talmente invasive.