Dichiarazioni dei redditi online, il Garante: stop anche agli utenti

Dopo tante polemiche finalmente è arrivato il parere ufficiale del Garante per la protezione dei dati personali in merito all’iniziativa dell’Agenzia delle entrate la quale ha reso accessibili via internet, sebbene per poche ore, tutti i dati riguardanti le dichiarazioni dei redditi degli italiani per l’anno 2005 comprensive dei nominativi dei contribuenti.

In sintesi, le motivazioni per cui il Garante ha ritenuto illegittima l’attività posta in essere dall’Agenzia delle entrate sono:

a) carenza di potere: al direttore dell’Agenzia delle entrate non spetta la competenza di decidere la modalità di diffusione dei dati, che è invece riservata al Legislatore;

b) mancanza di proporzionalità nel trattamento dei dati: nelle parole del Garante, infatti

L’uso di uno strumento come Internet rende indispensabili rigorose garanzie a tutela dei cittadini. L’immissione in rete generalizzata e non protetta dei dati di tutti i contribuenti italiani (non sono stati previsti “filtri” per la consultazione on line) da parte dell’Agenzia delle entrate ha comportato una serie di conseguenze: la centralizzazione della consultazione a livello nazionale ha consentito, in poche ore, a numerosissimi utenti, non solo in Italia ma in ogni parte del mondo, di accedere a innumerevoli dati, di estrarne copia, di formare archivi, modificare ed elaborare i dati stessi, di creare liste di profilazione e immettere ulteriormente dati in circolazione, ponendo a rischio la loro stessa esattezza. Tale modalità ha, inoltre, dilatato senza limiti il periodo di conoscibilità di dati che la legge stabilisce invece in un anno.

c) mancata richiesta di parere preventivo al Garante;

d) la mancata informativa ai contribuenti sulla modalità di diffusione dei dati, invece, viene anticipata in questo provvedimento ma sarà oggetto di una decisione ad hoc.

Il contenuto del provvedimento non giunge inaspettato, come ho scritto infatti per Apogeo qualche giorno fa proprio in merito alla vicenda in questione, i criteri adottati dal Garante per situazioni di questo tipo si basano sulla verifica dell’effettiva necessità del trattamento (esistenza di una norma di legge che imponga la pubblicazione dei dati su Internet) e proprozionalità del trattamento (mantenimento online dei dati per il solo tempo strettamente necessario al trattamento nonché accorgimenti tecnici per evitare indicizzazione e memorizzazione nella cache da parte dei motori di ricerca al fine di garantire il diritto all’oblio).

Quello che stupisce nel contenuto del provvedimento è l’ulteriore divieto posto ai soggetti che hanno scaricato i dati e ai mezzi di informazione. Si legge nel provvedimento, infatti, che:

L’Autorità ha altresì specificato che va ritenuta illecita anche l’eventuale ulteriore diffusione dei dati dei contribuenti da parte di chiunque li abbia acquisiti, anche indirettamente, dal sito Internet dell’Agenzia. Tale ulteriore diffusione può esporre a conseguenze di carattere civile e penale.

Resta fermo il diritto-dovere dei mezzi di informazione di rendere noti i dati delle posizioni di persone che, per il ruolo svolto, sono o possono essere di sicuro interesse pubblico, purché tali dati vengano estratti secondo le modalità attualmente previste dalla legge.

Come è noto, la modalità di accesso ai dati prescelta dai tecnici dell’Agenzia delle entrate imponeva all’utente di scaricare un file zip sul proprio hard disk. Solo in questo modo si poteva accedere agli elenchi. E’ proprio per questo motivo, per la sfortunata scelta di imporre il salvataggio dei dati per permetterne la visualizzazione, cioè, che essi sono stati salvati e, di conseguenza, potevano potenzialmente essere diffusi.

Una modalità tecnica di consultazione direttamente online senza il bisogno di scaricare alcunché avrebbe certo limitato il danno a cui stiamo assistendo. Senno di poi, comunque.

I file originali dell’Agenzia delle entrate, in ogni modo, sono dei semplici file di testo non dotati di firma elettronica nè semplice nè qualificata. In poche parole, chiunque poteva adulterarli. La domanda, quindi, è: se anche un solo nome o un solo reddito è stato adulterato, si tratta ancora di uno dei file che cade nel divieto di diffusione?

Sui sistemi di file sharing circolano anche molti fake (tra i classici: la dichiarazione dei redditi di Nazareth e quella dei primi 100 bloggers in classifica su Blogbabel), non tutti palesemente tali.

Da notare che le date di salvataggio dei file non sono indicative dell’autenticità degli stessi: lo stesso ministro Visco aveva dichiarato che i file erano pronti da gennaio ma alcuni tra i file scaricati direttamente dal sito dell’Agenzia le date di salvataggio erano posteriori.

Cosa dovrebbero fare le procure, nell’ipotesi in cui volessero effettivamente bloccare la diffusione dei file nei circuiti peer to peer? Analizzare forensicamente gli hash dei file originali dell’Agenzia e paragonarli a quelli in circolo, e in caso di matching risalire agli ip di chi li sta condividendo. Ma ciò non basterebbe, perchè se anche il file è stato semplicemente rinominato, o modificato o cancellato un solo dato (lasciando così potenzialmente immutata l’offensività del resto del contenuti del file) l’hash cambia e tale controllo non è più possibile. E andrebbe rifatto manualmente confrontando i contenuti dei file. Non impossibile, ma un lavoraccio.

Posto che l’avviso del Garante ha l’ovvio e giustificato fine di limitare gli effetti deleteri di un danno ormai fatto a cui neppure un risarcimento forfetario può dare riparo (e i tempi non sono comunque maturi: gli effetti, specie individuali, potrebbero verificarsi in futuro) e consistente – soprattutto – nella diffusione di dati aggregati ordinati per comuni, rimane anche il problema dell’attività dei mezzi di informazione.

E’ o non è coperto dal diritto di cronaca rendere noti quali file stanno ormai circolando e in che forma?

E se si, può il provvedimento del Garante prevalere su tale diritto?

In sintesi, l’illegittimità dell’attività dell’Agenzia delle entrate assume, con il mezzo telematico, una valenza duplice. Da un lato, infatti, ha propagato a macchia d’olio i file rendendo di fatto il fenomeno inarginabile. Dall’altro ha propagato a macchia d’olio l’illegittimità stessa, coinvolgendo nello stato soggettivo di esposizione a conseguenze di legge anche chi quei file li ha scaricati e che, per stare completamente al sicuro e non rispondere eventualmente per omissione di controllo, dovrebbe procedere a cancellarli. Un pò, se mi si consente la metafora e la si prende per quello che è (e cioè solo una metafora narrativa e non una equiparazione fra due diversi istituti giuridici), come i falsari che distribuiscono banconote false e coinvolgono nel reato anche le persone che si trovano loro malgrado e incolpevolmente a maneggiare il denaro falso. Catene inconsapevoli di una circolazione illegale e soggetti responsabili dal momento in cui sono coscienti della falsità della banconota e la mantengono in circolo.

Di certo quello che è successo è un memento importante che dovrà essere oggetto di studio tecnologico e giuridico e ben ponderato per evitare in futuro che l’utilizzo delle nuove tecnologie da parte dello Stato porti a situazioni imbarazzanti come quella che è accaduta.

Una Risposta

  1. […] Dichiarazioni dei redditi online, il Garante: stop anche agli utenti […]

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: