Il 22 settembre 2022, con numerosi giuristi ed esperti del settore, abbiamo presentato al Garante per la protezione dei dati personali (e portato all’attenzione di ANAC) una segnalazione relativa alle azioni di attivismo digitale condotte dal gruppo di attivisti che agiscono nell’ambito del collettivo di hacker denominato “Monitora PA”, ma che possa anche portare l’Authority a operare autorevolmente un’ampia riflessione sui ruoli e responsabilità nell’affidamento di soluzioni verso l’universo “GAFAM”[1].
Abbiamo ritenuto doveroso porre in evidenza i profili di illiceità e i pericoli insiti in tali azioni di “attivismo digitale” pur comprendendone le finalità. Ma il fine non giustifica i mezzi. Spieghiamo qui i motivi della nostra iniziativa e le richieste presentate all’Autorità.
Google Analytics, PA fuori legge? Niente panico: ecco cosa sta succedendo
Trasferimento di dati personali verso gli USA: le azioni di “attivismo digitale” aumentano l’incertezza
In mancanza di una nuova decisione di adeguatezza che renda leciti i trasferimenti di dati personali dall’Unione europea verso gli Stati Uniti, e a cui si auspicava potesse addivenirsi a seguito della sentenza C-311/18 (c.d. Sentenza Schrems II) emanata dalla Corte di giustizia dell’Unione europea, tantissimi professionisti, imprese, enti e organizzazioni italiane pubbliche e private, che intrattengono rapporti con fornitori statunitensi, si trovano oggi ad operare in una situazione di ambiguità, nella quale è percepito il rischio che della citata sentenza venga fornita un’interpretazione pericolosamente estensiva[2].
È in tale situazione di incertezza che mettono radice alcune recenti azioni di “attivisti/hacker” (così si sono definiti) che hanno coinvolto – in maniera automatizzata, indiscriminata e, per i motivi esposti nella segnalazione rivolta al Garante per la protezione dei dati personali e in seguito in parte illustrati, potenzialmente illegittima sotto diversi aspetti – un numero elevatissimo di soggetti, proprio facendo leva su quanto stabilito dalla sentenza Schrems II, proponendone, appunto, un’interpretazione arbitrariamente estensiva e dagli effetti giuridicamente distorsivi, di fatto non ragionevolmente sostenibile.
Nell’ordine, la prima campagna condotta dagli “attivisti” è stata indirizzata nei confronti delle pubbliche amministrazioni colpevoli di integrare nei propri siti istituzionali Google Analytics. Migliaia di enti pubblici sono stati raggiunti da comunicazioni massive, automatizzate e contenenti richieste di rimozione dello strumento con minaccia di segnalazione all’autorità Garante per asserito trattamento illecito.
Tale iniziativa è stata seguita da quella portata avanti da un singolo attivista, il signor Federico Leva, comunque attivo in Monitora PA, e che ha interessato sia soggetti pubblici sia soggetti privati accomunati dall’utilizzo di Google Analytics. Anche in questo caso, sono state inviate massivamente e mediante sistemi automatizzati altrettante segnalazioni ai gestori dei siti internet, contenenti tra l’altro l’avviso della necessità di eliminare Google Analytics e la richiesta di provvedere a un riscontro all’interessato consistente nella cancellazione dei dati personali del segnalante dai server di Google.
A distanza di pochi giorni dal messaggio di Federico Leva, la comunità di attivisti che fa capo a Monitora PA, rappresentata da uno dei suoi esponenti, ha intrapreso una nuova battaglia, inviando a migliaia di enti pubblici un messaggio PEC inteso a segnalare la pretesa illegittimità di Google Fonts, con l’invito a provvedere alla rimozione dello strumento “e di qualsiasi altra risorsa incorporata nel suddetto sito web che produca effetti analoghi”.
In seguito, Monitora PA ha messo in atto una campagna di denuncia nei confronti di oltre 60 partiti politici italiani che incorporano, sui propri siti web, Google Analytics e/o Google Fonts. L’obiettivo, anche in questo caso, è stato quello di intimare l’interruzione di ogni trasferimento di dati personali verso Google LLC “o altra società sottoposta a normative incompatibili con i diritti fondamentali dei cittadini italiani ed europei”.
In tutti i casi, le richieste degli “attivisti” erano seguite dall’avvertimento che, in caso di mancata ottemperanza dei destinatari, sarebbe seguita una segnalazione al Garante per la protezione dei dati personali.
La necessità che il Garante intervenga autorevolmente sulla questione è evidenziata dal numero di azioni condotte sotto il cappello di “attivismo digitale”, che continuano a susseguirsi: è proprio di questi giorni l’ennesima iniziativa resa pubblica da Monitora PA e pure presa in considerazione nella segnalazione. Il riferimento è alle 8254 domande – stando ai dati pubblicati dagli “attivisti” – inviate alle Scuole Italiane, mediante una campagna che però tradisce gli intenti di un controllo generalizzato, che è stigmatizzato dalle Linee guida di ANAC come non idoneo a fondare una legittima richiesta di accesso civico generalizzato. E per tali motivi, intendiamo portare anche all’attenzione di ANAC la vicenda.
Perché la segnalazione
Muovendo da tali considerazioni preliminari, abbiamo sentito l’esigenza di presentare all’Autorità Garante una formale segnalazione, ponendo in rilievo alcune questioni che, a nostro avviso, non possono essere trascurate.
Più precisamente, con la segnalazione intendiamo perseguire un duplice intento.
Ricorso a fornitori statunitensi: qualsiasi iniziativa del Garante non dovrebbe prescindere dall’analisi del contesto
Per quanto riguarda la situazione di incertezza circa il ricorso a fornitori statunitensi, auspichiamo che il Garante agisca con un intervento chiarificatore e generalizzato, che potrebbe ad esempio consistere nella formulazione di indicazioni e linee guida di carattere ampio, a supporto di tanti titolari e responsabili del trattamento.
In ogni caso, qualunque iniziativa voglia intraprendere il Garante sul punto, chiediamo che lo faccia tenendo in debita considerazione anche la reale ed effettiva situazione del contesto di riferimento, dal quale riteniamo di non potersi prescindere in fase di interpretazione e applicazione della sentenza Schrems II, tanto più in una situazione, quale quella attuale, potenzialmente in grado di esplicare impatti devastanti sul piano economico e sociale.
E il contesto di riferimento è palesemente contraddistinto da elementi che hanno un enorme impatto anche sotto il profilo della protezione dei dati personali, e in particolare nella definizione di ruoli e responsabilità tra le parti nel trattamento dei dati, quali: i) lo strapotere contrattuale delle grosse aziende statunitensi e ii) la posizione dominante che tali soggetti hanno nel mercato IT.
Profili di potenziale illiceità e pericoli delle azioni di attivismo digitale
I principi e i diritti riconosciuti dal RGPD sono stati strumentalizzati dagli “attivisti/hacker”, al punto da stravolgerne la natura e la ratio. Da mezzi di tutela dei singoli, sono stati degradati a pretesto per colpire e minacciare, perdendo completamente di vista lo spirito e le ragioni di protezione che ne sono alla base[3].
Sono diversi i profili di illiceità e i pericoli che potrebbero scaturire da tali azioni. Di seguito, proponiamo un quadro di sintesi delle argomentazioni sottoposte al Garante per la protezione dei dati personali, rinviando per ogni approfondimento alla lettura della segnalazione.
Riteniamo che tra le categorie di soggetti esposti ai pericoli derivanti dalle richiamate campagne di attivismo digitale, rientrino gli stessi “attivisti” promotori di tali iniziative. La ragione è basata, principalmente, sulla considerazione che le attività condotte da Monitora PA si traducono in trattamenti sistematici di dati personali su larga scala, riconducibili all’esecuzione metodica e coordinata di verifiche e segnalazioni, ad opera di una comunità che si auto descrive come un “Osservatorio Automatico Distribuito sulla PA”[4]. Riteniamo, quindi, che anche Monitora PA e i suoi componenti siano tenuti agli adempimenti che la normativa in materia di protezione dei dati personali pone in capo al titolare del trattamento, primo fra tutti l’obbligo di rendere l’informativa, che nessuno, tra i destinatari delle comunicazioni in questione, ha mai avuto modo di consultare. Gli autori di queste comunicazioni massive, pertanto, si sono resi responsabili di evidenti violazioni del RGPD, compromettendo al tempo stesso l’intera comunità degli attivisti, che potrebbero subire pregiudizi in termini di immagine e di reputazione, a causa di tali operazioni, non adeguatamente valutate nei dettagli.
Ulteriori pericoli connessi alle iniziative in questione risiedono nelle distorsioni di interpretazione e percezione che possono essere generate nei soggetti raggiunti dalle richieste di Monitora PA. Tali azioni di attivismo digitale, infatti, potrebbero essere confuse con iniziative ufficiali promosse da parte delle istituzioni e delle autorità competenti. Il che è tanto più pericoloso, in quanto i toni perentori impiegati dagli “attivisti”, potrebbero far percepire le richieste formulate come decettive o addirittura “estorsive”, delegittimando sia le autorità Garanti, sia le norme stesse che garantiscono le libertà fondamentali e la protezione dei dati personali.
Per altro verso, riteniamo che uno degli aspetti più criticabili di tali azioni sia quella di colpire i “piccoli” titolari del trattamento, spesso indotti a dare seguito alle intimazioni degli “attivisti” sull’onda della fretta e senza opportuna ponderazione. Non tutti, specialmente le piccole e medie imprese, dispongono di mezzi e risorse – anche economiche – per comprendere e gestire i complessi risvolti di azioni di questo genere. Nessuno, peraltro, si trova nelle condizioni di pretendere che Google (o altri provider, comunemente indicati come GAFAM) adeguino i propri servizi alla normativa europea in materia di protezione dei dati personali, disattendendo eventuali ordini di esibizione provenienti dalle autorità di intelligence statunitensi. Le asimmetrie informative circa le condizioni del servizio e l’assenza di un effettivo potere di controllo sull’eventuale cessione di dati personali ad agenzie di sicurezza straniera, fanno persino dubitare che i GAFAM siano qualificabili come responsabili del trattamento ai sensi dell’art. 28 del RGPD. Il responsabile del trattamento, come noto, svolge un ruolo prettamente esecutivo, dovendosi attenere alle istruzioni fornite dal titolare. Nel momento in cui tali istruzioni non dovessero essere rispettate o, comunque, dovessero essere adottate condotte basate sulla determinazione di finalità e mezzi del trattamento diversi da quelli stabiliti dal titolare, la qualità di responsabile verrebbe meno. Rispetto a tali attività di trattamento, il provider assumerebbe il ruolo di titolare.[5] Anche per questa ragione, sarebbe stato più corretto, a nostro avviso, indirizzare queste azioni di attivismo direttamente e con coraggio nei confronti dei GAFAM, anziché assumere come (più facile) bersaglio i piccoli titolari del trattamento.
Come evidenziato nella nostra segnalazione, peraltro, le modalità con cui sono state formulate le richieste degli “attivisti” presentano i connotati tipici dell’abuso nell’esercizio di un diritto, che si configura quando le finalità del suo esercizio eccedono la ratio legis di tutela, per assumere connotati pretestuosi e nocivi. In tal senso, è sicuramente legittimo esercitare uno dei diritti previsti dagli articoli 15 e ss. del RGPD, ma non quando, come nel caso in oggetto, tali diritti sono esercitati per effettuare un’indebita pressione su altri soggetti, finendo in tal modo per costituire uno strumento ritorsivo o di intimidazione.
Sono gli stessi “attivisti”, anzi, a proclamare il reale interesse che intendono perseguire, ossia l’esercizio di un controllo generalizzato dell’attività della P.A., com’è evidente dallo stesso nome del collettivo, e la correzione di quelle che sono ritenute gravi storture del sistema.
Cosa ci aspettiamo dal Garante
Per le ragioni qui, sinteticamente, richiamate, abbiamo avvertito il dovere di rivolgere una segnalazione all’Autorità Garante, anche in considerazione delle possibili derive che potrebbero assumere tali iniziative.
Auspichiamo, dunque, che il Garante voglia autorevolmente intervenire per porre un freno a questo modus operandi, che svilisce i principi di protezione dei dati personali meri strumento propagandistici.
Sarebbe una buona occasione, come speriamo, per smuovere la situazione di impasse generatasi in seguito alla sentenza Schrems II, senza fare pressione su coloro che, di fatto, ne subiscono le conseguenze.
Note
- Acronimo con cui sono indicati cinque tra i maggiori fornitori di servizi digitali sul mercato mondiale, Google, Apple, Facebook (oggi Meta), Amazon, Microsoft. ↑
- Sul punto, peraltro, si segnala il report reperibile al seguente link:https://d1.awsstatic.com/certifications/Information_Request_Report_H1_2022.pdf, dal quale emergerebbe che nessun documento collocato al di fuori degli Stati Uniti sia stato consegnato al governo statunitense nel periodo intercorrente tra gennaio 2022 e giugno 2022. Tale circostanza, in ottica di accountability, sembra deporre a favore dell’efficacia della misura organizzativa – prevista nelle clausole della documentazione contrattuale del servizio IT scelto dal Titolare del trattamento – che vincola il provider a trattare i dati personali, per conto del Titolare, solo in Paesi UE. ↑
- Come evidenziato nella nostra segnalazione, le azioni portate avanti dal collettivo di hacker sono riconducibili all’allarmante fenomeno c.d. di “weaponization di DSAR” (Data Subject Access Request, richieste di accesso ai dati personali formulate ai sensi dell’art. 15 RGPD), per cui le richieste di accesso ai dati ai sensi dell’art. 15 RGPD, nonché l’esercizio degli altri diritti sanciti dallo stesso Regolamento europeo, sono strumentalmente utilizzati per esercitare pressione sul Titolare del trattamento. ↑
- Questo comporta, come meglio argomentato nella segnalazione, che l’utilizzo dei dati raccolti non rientra nella casistica di cui all’art 2, par. 2, lett. c) del RGPD, il quale prevede la non applicabilità del Regolamento in caso di uso di dati da parte di una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico. ↑
- È quanto previsto dall’articolo 28.10 del RGPD, per cui “se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione”. ↑