La rete, i cookie, la privacy

Con l’ennesimo provvedimento generale – pubblicato l’8 maggio 2014 e più volte richiamato da successivi comunicati stampa e chiarimenti – il Garante Privacy ha tracciato le linee guida per una corretta informazione agli utenti sull’uso che ciascun sito Web fa dei cookie e per la contestuale acquisizione del consenso al trattamento dei dati personali eventualmente gestiti durante la navigazione.

Chi naviga abitualmente nel Web internazionale, distingue chiaramente i siti italiani da quelli degli altri paesi europei, non per la presenza del tricolore ma per la visualizzazione di banner multicolore che ostacolano la navigazione per mostrare “’informativa semplificata” e acquisire un consenso (il più delle volte obbligatorio, salvo voler rinunciare a visitare il sito) che ha fatto crollare sensibilmente gli accessi degli utenti, infastiditi da tale avviso.

Ce n’era davvero bisogno? La normativa italiana prende spunto da quella europea, alla quale evidentemente gli altri paesi non si sono adeguati, oppure, come al solito, è l’Italia ad essersi adeguata in malo modo, considerando in suoi utenti non sufficientemente alfabetizzati, dal punto di vista informatico, da comprendere l’uso dei cookie e da scegliere consapevolmente se mantenerli o cancellarli dopo aver visitato un sito Web.

Le norme europee auspicano un “consenso informato”. Esaminando il provvedimento, si nota immediatamente un’incongruenza dei contenuti rispetto alle premesse, che si manifesta poi nel Web con l’apposizione dei banner, come già detto, solo sui siti italiani: le norme europee non obbligano gli utilizzatori di cookie a manifestare in modo così evidente l’informativa semplificata e la richiesta di consenso al trattamento ma auspicano, invece, un consenso informato, che presuppone una cultura dell’informazione e dell’informatica.

Solo a titolo d’esempio, la Direttiva Europea 2002/58/CE, relativa alle modalità di accesso ai servizi telefonici e telematici, utilizza il condizionale per evidenziare la necessità di informare e rendere edotto il consumatore circa la possibilità di proteggere le informazioni che lo riguardano, anche attraverso tecniche di cifratura dei dati.

A carico del fornitore di servizi pone, invece, l’obbligo di garantire la sicurezza dei dati trasmessi in rete dalla cognizione non autorizzata da parte di terzi.

Al punto 25, la Direttiva tratta esplicitamente dei cookie, indicandoli uno strumento legittimo di analisi del funzionamento dei siti Web ed evidenziando che l’utente dovrebbe essere informato del loro utilizzo, anche al fine di negare il consenso alla loro installazione.

La Direttiva 2009/136/CE, richiamando al punto 51 la già citata Direttiva 2002/58/CE, da un lato ribadisce la necessità di tutela dei dati personali degli utenti dei servizi di comunicazione elettronica rispetto al trattamento da parte di terzi, dall’altro evidenzia l’opportunità di creare una cultura della sicurezza incentrata sulla valutazione e catalogazione degli incidenti, al fine di formare e informare i cittadini, diffondendo le buone prassi che hanno consentito di ottenere i migliori risultati nella pratica quotidiana.

La minaccia? I software che registrano azioni e abitudini.  Punta il dito, l’Unione Europea, non tanto sulla possibilità che, attraverso i cookie, possano lasciarsi tracce sul computer dell’utente – che qualcun altro, successivamente, potrebbe leggere, anche per fini di profilazione – quanto sulla minaccia costituita dai software che registrano le azioni e le abitudini degli utenti a loro insaputa.

In relazione ai cookie, anche la seconda Direttiva ricorda che possono verificarsi tentativi, da parte di terzi, di archiviare informazioni sull’apparecchiatura di un utente o di ottenere l’accesso a notizie già archiviate da altri, ma ribadisce, innanzitutto, che non è necessario alcun consenso nelle ipotesi di memorizzazione di informazioni di natura tecnica, necessarie per il funzionamento di un sito o di un servizio al quale l’utente ha chiesto di poter accedere (richiesta che è insita nella chiamata al sito) e che, in ogni caso, il consenso dell’utente al trattamento può essere espresso mediante l’uso delle opportune impostazioni di un motore di ricerca o di un’altra applicazione. La Direttiva presuppone, cioè, che per l’utente sia normale configurare il suo browser per accettare, filtrare o rifiutare i cookie.

Il Legislatore Europeo sembra quindi voler affermare che è necessaria una cultura della sicurezza delle informazioni e della prevenzione degli incidenti informatici, che non può essere garantita da un banner proiettato ad ogni primo accesso a un determinato sito Web, ma che deve costituire il risultato di un lungo percorso di alfabetizzazione informatica, fin dai primi anni di scuola.

Utente avveduto e utente disattento. Un utente avveduto sa come configurare il proprio browser per accettare solo determinate categorie di cookie o per non accettarne affatto, sa come proteggersi da virus e malware, sa come rimuovere le informazioni che reputa riservate al termine della navigazione (password e user id memorizzate nell’accesso ai vari servizi), sa come ripristinare il programma che utilizza per consultare Internet al fine di cancellare la cronologia e la cache, che possono risultare ben più invasive del semplice cookie.

Un utente disattento o semplicemente ignorante (nel senso che ignora le più elementari cautele) cederà volontariamente quanto inconsapevolmente molte più informazioni di quante possa acquisirne un eventuale malintenzionato semplicemente utilizzando i cookie.

Che molte aziende utilizzino i cosiddetti “biscottini” per profilare gli utenti e adeguare le offerte commerciali alle ricerche effettuate su Internet, è circostanza della quale un navigatore dovrebbe accorgersi semplicemente notando che Facebook propone, a margine del diario, prodotti analoghi a quelli cercati o consultati su Amazon qualche istante prima. Ripristinando le impostazioni di default del programma di navigazione e tornando a utilizzare Facebook, la pubblicità torna a essere casuale.

Da tale analisi, si può dedurre che il trattamento si svolge in forma anonima, altrimenti al successivo accesso tramite Facebook, il sistema dovrebbe associare nuovamente i dati dell’utente a quelli registrati in precedenza; si può dedurre anche che il cliente ha il controllo della situazione, poiché potrebbe anche cancellare tutti i dati a ogni utilizzo o impostare il browser per farlo automaticamente.

Un disclaimer, ancorché dotato di richiesta di consenso al trattamento, nulla aggiunge alla sicurezza del navigatore avveduto, sia perché l’accesso alla maggior parte dei siti è sempre condizionato al deposito del cookie, sia perché sa già in precedenza come tutelarsi.

Viceversa, è l’utente ignorante che deve preoccupare il Legislatore, poiché, al soggetto che ignora perfino cosa siano i cookie, sia l’informativa semplificata che il consenso al trattamento risulteranno talmente ostici e incomprensibili da essere inutili e comunque superflui rispetto all’obiettivo da raggiungere, dato che sarà già stato profilato abbondantemente da servizi ai quali egli stesso ha chiesto di accedere.

Nel tornare all’oggetto della dissertazione, occorre ricordare che la profilazione degli utenti era soggetta all’acquisizione del consenso degli interessati e alla notifica al Garante, ex art. 37, D.Lgs. 196/2003, a prescindere dal provvedimento di carattere generale emesso nel mese di giugno 2014, il quale, peraltro, costituisce comunque un documento con delle linee guida, vincolante per i destinatari solo nella misura in cui, osservandolo pedissequamente, subiscono un sinistro e possono dimostrare di aver adempiuto correttamente alle indicazioni dell’Autorità. Al contrario, discostarsi dalla prassi indicata dal Garante non comporta automaticamente l’irrogazione della sanzione ma la necessità di spiegare i motivi della diversa interpretazione data alla norma di riferimento, che resta il Codice della Privacy.

Adempimenti a carico dei gestori italiani di siti Web. Dopo tale lunga premessa, è opportuno delineare brevemente quali adempimenti sono effettivamente a carico dei gestori italiani di siti Web che utilizzano cookie tecnici, di profilazione, di terze parti.

Il cookie tecnico, necessario per migliorare l’esperienza di navigazione e attivare programmi e opzioni, senza trattamento dei dati personali dell’utente o con trattamento in forma anonima, non necessita di alcun banner e di alcun consenso preventivo da parte dell’utente, potendosi ritenere assolto ogni obbligo informativo con la privacy policy del sito.

I cookie che eseguono l’analisi della navigazione e dei comportamenti degli utenti sono assimilati a quelli tecnici (nessun banner, nessun consenso), anche se forniti da terze parti, quando si limitano migliorare la fruibilità del sito per caricare più velocemente le informazioni e utilizzano tecniche di anonimizzazione, anche parziale, che impediscono il trattamento dei dati dell’utente anche ai fini della connessione con altri dati.

I collegamenti a risorse esterne – tramite link, banner pubblicitari, collegamenti a social network – non sono soggetti all’obbligo di informazione e acquisizione del consenso nell’ipotesi in cui non richiedano l’installazione di cookie di profilazione.

In sostanza, l’obbligo di utilizzare un banner informativo, che avverta l’utente dell’installazione di cookie di profilazione, evidenziando che qualsiasi attività di prosecuzione della navigazione diversa dalla chiusura del browser comporterà consenso esplicito al trattamento, esiste solo nei confronti dei soggetti che, dichiaratamente, trattano i dati dell’utente per tracciarne i comportamenti e rilevarne le abitudini, al fine di costruirne un profilo dettagliato da utilizzare per ragioni commerciali.

In tal caso, il consenso potrà essere richiesto anche per singole categorie di dati e sarà comunque necessario procedere alla notifica del trattamento all’Autorità Garante per la Privacy, ai sensi dell’art. 37, D.Lgs. 196/2003 (come del resto era necessario fare anche in precedenza).

Un chiarimento opportuno, anche se non necessario, riguarda la possibilità di effettuare una sola notifica per tutti i siti Web gestiti nell’ambito dello stesso dominio (all’evidente fine di limitare il versamento dei diritti di segreteria).

Qualche perplessità, invece, desta l’obbligo di ottemperare per quei soggetti che, pur non avendo sede in Italia, sono tecnicamente in grado di scaricare cookie sui computer degli utenti italiani, sia per la difficoltà di pretendere un simile adempimento da parte di soggetti estranei alla giurisdizione italiana, sia per l’oggettiva difficoltà di procedere con l’irrogazione delle eventuali sanzioni.

Fonte: Sicurezza magazine

iOS vs Android

Con il potenziamento delle capacità di elaborazione e di comunicazione interattiva, per gli smartphone di ultima generazione sono aumentati i problemi legati alla difficoltà di mantenere sotto controllo migliaia di righe di codice e alla maggiore esposizione agli attacchi esterni.

Sophos, azienda specializzata nella sicurezza delle informazioni, in un recente comunicato ha marcato la differenza tra i dispositivi iOS e Android, soffermandosi sulle cause della maggiore vulnerabilità del sistema operativo di Google.

Tra queste, la maggiore diffusione di Android rispetto ai concorrenti (circa il 59% del mercato mondiale), il che espone il sistema operativo a un maggior interesse da parte dei produttori di mobile malware, concentrati sull’obiettivo di infettare il maggior numero di dispositivi nel minor tempo possibile.

I criminali informatici sono soliti nascondere nelle applicazioni il codice malevolo da distribuire, al fine di eludere i meccanismi di controllo dei produttori. E ciò espone maggiormente – com’è comprensibile – quei sistemi operativi che hanno una politica di diffusione basata sull’installazione di software di terze parti senza controlli preventivi.

La politica di chiusura dell’App Store – in cui le applicazioni sono sottoposte a severi controlli prima di essere diffuse e le API non vengono messe a disposizione degli sviluppatori – definisce un diverso livello di protezione delle funzioni del sistema operativo e, soprattutto, dei dati personali degli utenti.

Ciò non significa che il sistema operativo dei dispositivi mobili di Apple sia inattaccabile (come ha dimostrato un ricercatore statunitense, realizzando un’applicazione che ha rivelato surrettiziamente l’esistenza di un bug nell’App Store), ma garantisce un maggior livello di protezione.

E’ anche vero che tale “chiusura” è la ragione per la quale molti utenti preferiscono la versatilità di Android rispetto alla rigidità di iOS, che impedisce ancora oggi, ad esempio, la registrazione delle chiamate in entrata e in uscita dal dispositivo, per una discutibile politica di salvaguardia della riservatezza.

Attenzione all’installazione di applicazioni di terze parti. Uno dei principali problemi di vulnerabilità riscontrati nella politica di gestione dei contenuti di Android, è la possibilità di installare applicazioni provenienti da terze parti, diverse e non certificate da Google, che espone gli utenti all’installazione di malware e applicazioni che riducono la sicurezza del dispositivo.

Se la fonte non è conosciuta e di ottima reputazione, c’è il rischio di installare sul telefono un’applicazione apparentemente proveniente da un produttore affidabile,ma in realtà modificata da criminali informatici per veicolare virus e trojan con i quali compromettere il sistema e acquisire le informazioni personali del malcapitato utente.

Fino a quando le applicazioni vengono modificate al solo fine di introdurre pubblicità ed estendere le potenzialità dello spamming, il fastidio può essere eliminato rimuovendo l’applicazione ma, dato che raramente un criminale informatico rinuncia ad acquisire dati che gli potranno essere utili successivamente, la possibilità che applicazioni scaricate da mercati alternativi contengano funzionalità malevole è molto elevata.

I punti di accesso pubblici? Poco sicuri. Anche il collegamento ai punti di accesso pubblici presenti sul territorio non è una buona idea. Sebbene faccia risparmiare traffico telefonico, è sufficiente l’uso di un tool come DroidSheep su una rete non sicura, per appropriarsi delle credenziali di autenticazione dei principali social network e sostituirsi ai titolari dei profili, pubblicando a loro nome messaggi e contenuti.

Neppure il noto Instagram è al sicuro da attacchi portati a termine con applicazioni come Boxer che, sfruttando le vulnerabilità dei sistema operativo Android, copiano i contenuti del profilo social dell’utente oggetto di attacco e ne creano uno identico, finalizzato a diffondere ulteriormente il contagio.

Scopo dell’applicazione malevola è l’invio di messaggi sms a tariffazione differenziata, verso paesi dell’est europeo, per alimentare servizi telefonici a pagamento offerti dagli stessi criminali informatici che hanno creato l’applicazione e che, in tal modo, incrementano i loro guadagni. Una versione moderna dei dialer telefonici che affliggevano il mercato italiano delle comunicazioni una decina di anni fa.

Potenziare i controlli per contrastare i malware. Tra il 2011 e il 2012, i Sophos Labs hanno rilevato un incremento del malware per sistemi operativi mobili del 10.000% rispetto al 2010. Una crescita esponenziale e preoccupante, che ha indotto le aziende a potenziare i controlli e che dovrebbe indurre gli utenti a rispettare alcuni principi fondamentali per la sicurezza dei dati.

Primo tra tutti, il concetto che un dispositivo mobile è ormai identico, per potenza e criticità, a un dispositivo fisso, per cui le stesse cautele adottate per il computer di casa o dell’ufficio devono essere trasferite allo smartphone e al tablet. Ogni dispositivo deve essere munito di credenziali che ne consentono l’attivazione al solo proprietario o legittimo utilizzatore e l’uso di dispositivi biometrici, sebbene crei altri problemi di riservatezza, può essere un’ottima soluzione.

Se un’applicazione, durante l’installazione, chiede più informazioni di quante siano necessarie al suo funzionamento, probabilmente contiene codice malevolo o viene utilizzata anche per la profilazione degli utenti.

E’ opportuno evitarne l’installazione, se possibile. Le reti wireless sono intrinsecamente insicure e tale vulnerabilità aumenta esponenzialmente quando si tratta di reti ad accesso libero, alle quali chiunque può collegarsi e che, pertanto, non vengono considerate – dal soggetto che offre il servizio di connessione – meritevoli di particolari attenzioni (quantomeno non le stesse che riserverebbe alla sua rete interna). Inoltre, c’è sempre il rischio che sia lo stesso proprietario della rete a violare gli account degli utenti per fini di profilazione e marketing).

Utilizzare sempre una Virtual Private Network. Le aziende e gli studi professionali dovrebbero sempre utilizzare una VPN – Virtual Private Network – per consentire a dipendenti e collaboratori di collegarsi ai server interni, al fine di proteggere i dati aziendali. E dovrebbero anche impedire il collegamento a dispositivi che sono stati oggetto di jailbreaking, il procedimento di rimozione delle misure di sicurezza imposte dal produttore, che determina il pieno accesso alle funzionalità del sistema operativo (rooting).

Tale procedimento, consentendo l’accesso delle applicazioni al cuore del sistema operativo, permette anche l’esecuzione di operazioni di esportazione e cancellazione dei dati (inclusi i file di sistema), determinando, in caso di malware installato, non solo la potenziale perdita di informazioni importanti, ma anche l’eliminazione degli elementi che potrebbero consentire di accertare quanto accaduto e individuare i responsabili dell’attacco.

Un aspetto solitamente sottovalutato – e spesso considerato fastidioso – è l’aggiornamento dei sistemi operativi e delle applicazioni che, tuttavia, è il miglior amico della sicurezza dei dati, perché la maggior parte degli upgrade riguarda proprio le vulnerabilità.

Anche le politiche commerciali non sempre coincidono con le policy di sicurezza, atteso che gli aggiornamenti possono essere bloccati o omessi dal produttore del software (per la difficoltà di garantirne la compatibilità con tutti i modelli di smartphone in circolazione o per problemi di potenza dei modelli più datati), dal produttore del telefono, che potrebbe non avere interesse a supportare ulteriormente determinati modelli, o dall’operatore telefonico, che potrebbe intercettare l’impegno di banda e ridurlo o impedirlo, per non intasare la rete, demandando l’operazione al collegamento con una rete wifi.

Cifrare i dati ed eseguire backup. Cifrare i dati ed eseguire backup periodici sono operazioni che l’utente medio non esegue normalmente sui dispositivi fissi, figurarsi su quelli che considera, con superficialità, dei telefoni evoluti.

In realtà, il rischio di perdita o di sottrazione dei dati su apparati molto più esposti del desktop al furto, allo smarrimento o all’intrusione (per il costante collegamento a una rete radio o wifi e per la presenza del Bluetooth) dovrebbe indurre a un atteggiamento completamente diverso.

La caduta dello smartphone è un evento assolutamente normale nella vita del dispositivo ed è altrettanto prevedibile la conseguente perdita dei dati, il cui recupero, in assenza di un backup o di un servizio Cloud, diventa oneroso sia in termini di tempo che dal punto di vista economico.

Lo smarrimento – o il furto – del dispositivo (evento il cui rischio è pari o superiore a quello di contrarre un infezione da malware), in assenza di credenziali di accesso e di cifratura, oltre che alla perdita dei dati, espone il proprietario all’indebita cognizione delle informazioni da parte di terzi, per non parlare della possibilità di accesso remoto anche al server aziendale e ai profili dei servizi on line (dato che la memorizzazione delle credenziali nei browser è ormai una prassi), con ogni prevedibile conseguenza in termini di riservatezza e di danno – con conseguente risarcimento – ai clienti.

Policy aziendali. Anche dal lato aziendale, deve essere garantito un equilibrio tra libertà di accesso, disponibilità di funzioni e sicurezza. Se un dispositivo non rispetta le policy di sicurezza, non dovrebbe essergli concesso alcun accesso al sistema e le policy di sicurezza, soprattutto per quanto riguarda i comportamenti corretti che i dipendenti devono osservare, dovrebbero essere costantemente aggiornate e diffuse tra gli addetti ai lavori.

Una soluzione per prevenire possibili contaminazioni potrebbe anche essere quella di strutturare l’azienda con un server per applicazioni interno, analogo ad un wiki per le policy e la documentazione, al quale fare accedere i dispositivi per gli aggiornamenti e le applicazioni. Il sistemista provvederebbe a scaricare le App solo da aziende affidabili e certificate e a metterle a disposizione degli utenti aziendali.

Anche per quanto riguarda i sistemi Cloud,è opportuno che le politiche aziendali siano rispettate e che ogni dispositivo sia configurato e messo in sicurezza dal responsabile IT, prevenendo ed evitando installazioni “fai da te” che, per quanto realizzate da utenti esperti, non potranno mai essere di livello tale da poter essere equiparate a quelle poste in essere dal sistemista.

Quasi superfluo ricordare che software di sicurezza, antivirus e antimalware, sono ormai disponibili per tutte le piattaforme mobili, sia in versioni gratuita (meno performanti) che a pagamento. Dotarsene è sempre un buon investimento.

Fonte: Sicurezza magazine

Web reputation

Da diversi anni, ormai, alcuni crimini tradizionali hanno trovato una nuova forma di espressione attraverso gli strumenti informatici (Internet e social network in particolare), determinando una nuova categoria di casi giudiziari che preoccupa gli addetti ai lavori, per la difficoltà di reperire le prove, di individuare i responsabili e, soprattutto, di eliminare le conseguenze del reato per la vittima.
E’ in rapida crescita il fenomeno delle vendette e delle estorsioni commesse tramite Internet. La Polizia Postale raccoglie ormai quotidianamente denunce relative alla diffusione non autorizzata di dati personali di natura sensibile tramite siti web e circuiti di file sharing, nella forma di foto e video di soggetti nudi o impegnati in atti sessuali, normalmente diffusi da un partner tradito o che non accetta la fine di una relazione.
Nel mondo del file sharing, in particolare, il potere lesivo della diffusione viene incrementato in modo esponenziale dalla difficoltà di individuare il responsabile dell’originario inserimento in rete e dall’impossibilità di avere certezza della definitiva rimozione dei dati dal circuito. Per sua natura, infatti, il meccanismo della condivisione tra privati comporta la detenzione del materiale sui personal computer e non sui server di rete; ad ogni collegamento, pertanto, i file tornano ad essere disponibili per gli altri utenti del circuito ma solo durante la sessione di lavoro (eMule o BitTorrent ne sono un valido esempio).
Anche ammettendo che si possano individuare tutti i soggetti collegati in un determinato momento, non si avrà mai la certezza che non esistono altre copie dei file, che potrebbero tornare in circolazione anche a distanza di anni dall’evento.
In rapida crescita anche i casi di estorsione ai danni di utenti contattati attraverso servizi di messaggistica, social network, siti web di incontri, ecc., e indotti a scambiare video e immagini espliciti (o addirittura a spogliarsi dinanzi la telecamera) relazionandosi con l’occasionale corrispondente, per poi vedersi ricattati con la minaccia di diffusione del materiale o di invio al coniuge. Le minacce vengono solitamente rinforzate dal caricamento di immagini e filmati su un sito web o una pagina social, non ancora resi pubblici ma raggiungibili dal malcapitato tramite un link inviato insieme alla richiesta di denaro.
Il pagamento, ovviamente, non garantisce la rimozione nè la distruzione del materiale ed anzi induce solitamente i criminali a chiedere nuovi versamenti. L’unica vera forma di tutela, in questi casi, è la prevenzione.
Di minore impatto ma ugualmente preoccupante è il crescente fenomeno della pubblicazione sui social network, da parte dei adolescenti di ogni estrazione, di foto e filmati di natura sessuale o comunque imbarazzanti per il futuro. Anche la partecipazione ad una festa particolare o la documentazione di una serata da leoni, documentati dagli onnipresenti smartphone, una volta immessi in rete sono difficilmente rimovibili. Occorre poi valutare le implicazioni risarcitorie della condotta del soggetto, solitamente il compagno di scuola o di giochi, che dopo aver effettuato le riprese o le foto le introduce in rete senza il consenso dell’interessato.
Non a caso sono rapidamente in crescita le richieste, a professionisti ed aziende, di servizi di “pulizia” e tutela della reputazione on-line, che vanno ad affiancarsi a quelli di promozione e controllo già erogati dalle agenzie di marketing e comunicazione.

Fonte: Italia Oggi

Diffusione di foto private su Internet

Recentemente ho seguito un caso di diffusione di foto private su Internet, che mi ha fatto riflettere non poco sull’esigenza di trovare una nuova dimensione alla disciplina della riservatezza dei dati personali; non perchè il D.Lgs. 196/2003 non sia sufficientemente articolato, ma in quanto praticamente sconosciuto alla Magistratura.

Con una querela, la Signora Maria (il nome è ovviamente di fantasia) chiedeva all’Autorità Giudiziaria di perseguire e punire il proprio ex fidanzato, ritenuto responsabile di aver immesso su Internet alcune foto che la ritraevano durante l’intimità, scattate, pur con il consenso della vittima, durante i loro rapporti.

Al termine della relazione, anzichè provvedere alla loro cancellazione, Mario (anche qui un nome di fantasia) li memorizzava su un cd, che successivamente smarriva, ma del quale non denunciava la scomparsa (queste, almeno, le sue dichiarazioni durante il dibattimento).

Le indagini non consentivano di accertare la fonte dell’immissione in rete del materiale fotografico, e la Procura decideva comunque di procedere nei confronti di Mario, ritenuto l’unico soggetto sospettabile.

Maria si sarebbe aspettata una condanna, che invece non c’è stata, per un’errata impostazione del capo di imputazione da parte del Pubblico Ministero.

L’aver contestato il solo reato di interferenze illecite nella vita privata non ha permesso di pervenire ad una condanna nei confronti di Mario, sostanzialmente per due motivi: il primo, a causa del metodo di diffusione delle foto, tramite un circuito di file sharing, che non consente di risalire ali autori della prima condivisione; il secondo, per il consenso di Maria alla realizzazione delle foto.

Se la Procura avesse correttamente impostato il processo sul trattamento illecito di dati personali, certamente il processo si sarebbe concluso con la dichiarazione della penale responsabilità di Mario, perchè la violazione della norma sarebbe stata parte integrante della condotta di aver conservato le foto senza custodirle adeguatamente.

La legge sulla privacy, infatti, pur non essendo applicabile all’uso esclusivamente personale dei dati, fa salva l’eccezione della comunicazione e diffusione, nel qual caso il titolare del trattamento (Mario, in questo caso) ha comunque l’obbligo di osservare le misure di sicurezza prescritte dal Codice.

Per sua stessa ammissione, Mario aveva smarrito il cd contenente le foto di Maria, e non l’aveva cifrato (la cifratura è obbligatoria per i dati sensibili, come quelli attinenti la sfera sessuale della persona).

Era quindi responsabile dell’omessa adozione delle misure di sicurezza previste dal Codice a prescindere da una sua responsabilità per la materiale diffusione delle foto. La sola circostanza che la diffusione fosse avvenuta comportava la sua responsabilità.

Per motivi che non è dato conoscere, nonostante le insistenze della difesa, il Pubblico Ministero (di fresca nomina e troppo presuntuoso per accettare consigli) ha tratto a giudizio Mario solo per le interferenze illecite nella vita privata, con il bel risultato di non soddisfare la legittima richiesta di Maria, rimasta sola con i suoi problemi e la sua vergogna.

Casi analoghi accadono quotidianamente su Facebook, su MySpace, su YouTube, su eMule e su altri sistemi di condivisione delle informazioni; ma ad essere impreparata, sempre più spesso, non è la legge, anzi, fin troppo articolata, bensì gli operatori del diritto che dovrebbero applicarla.

Viene spontaneo chiedersi se non sarebbe ora, tra le tante riforme preannunciate, di pensare ad una specializzazione dei Tribunali per sezioni, onde evitare che sul tavolo dello stesso Giudice, nella stessa giornata, arrivino fascicoli relativi al pascolo abusivo, alle frodi informatiche, alla rapina e alla violazione urbanistica.

Fonte: Leggi Oggi