Attivismo digitale: il fine non giustifica i mezzi
Trasferimento di dati personali verso gli USA: Cosa sta accadendo?
In mancanza di una nuova decisione di adeguatezza che renda leciti i trasferimenti di dati personali dall’Unione europea verso gli Stati uniti, professionisti, imprese, enti e organizzazioni pubbliche e private, che intrattengo rapporti con fornitori statunitensi, si trovano ad operare in una situazione di ambiguità.
È in questo clima di incertezza che trovano spazio le azioni di “attivisti/hacker” che hanno coinvolto un numero elevato di soggetti proponendo un’interpretazione estensiva della sentenza Schrems II (C-311/18) emanata dalla Corte di Giustizia dell’Unione Europea, di fatto non sostenibile.
Tramite sistemi automatizzati veniva inviato l’avviso di eliminare Google Analytics. Questo è il contenuto della prima campagna condotta dagli "attivisti" e indirizzata alle publiche amministrazioni che integravano nei propri siti Google Analytics.
Dopo pochi giorni, arriva la seconda richiesta: eliminare Google Fonts, in quanto veniva segnalata la sua illegittimità. Con un messaggio PEC inviato a migliaia di enti pubblici si invitava a provvedere alla rimozione dello strumento “e di qualsiasi altra risorsa incorporata nel suddetto sito web che produca effetti analoghi”.
Entrambe le richieste erano seguite dall’avvertimento che, in caso di mancata ottemperanza da parte dei destinatari, sarebbe seguita una segnalazione al Garante per la protezione dei dati personali.
Ma non si sono fermati qui, è proprio di questi giorni l’ennesima iniziativa resa pubblica da questi “attivisti” (trattasi di Monitora PA, ora possiamo dirlo). 8254 domande - stando ai dati pubblicati nel loro sito - inviate alle Scuole Italiane, mediante una campagna che però tradisce gli intenti di controllo generalizzato, che è stigmatizzato dalle Linee guida di ANAC come non idoneo a fondare una legittima richiesta di accesso civico generalizzato.
La segnalazione
Queste attività non sono passate inosservate e anzi hanno indignato un gruppo di giuristi ed esperti del settore che ha presentato all’Autorità Garante una formale segnalazione.
Questi accusano gli attivisti di aver strumentalizzato i diritti e i principi riconosciuti dal GDPR a tal punto da stravolgerne la ratio. Affermano che le attività condotte da Monitora PA, si traducono in trattamenti sistematici di dati personali su larga scala, riconducibili all’esecuzione coordinata di verifica e segnalazioni.
Ritengono, quindi, che anche Monitora PA sia tenuta agli adempimenti che la normativa in materia di protezione dei dati personali pone in capo al titolare del trattamento. Primo fra tutti, l’obbligo di rendere l’informativa, che nessuno, tra i destinatari delle comunicazioni, ha mai avuto modo di consultare. Pertanto, gli autori di queste comunicazioni hanno violato l’GDPR.
Ulteriori pericoli connessi alle iniziative sono legati alle distorsioni di interpretazione che possono nascere nei soggetti raggiunti dalle richieste di Monitora PA. Tali azioni potrebbero essere confuse con iniziative ufficiali promosse da istituzioni e autorità competenti. I toni perentori, poi, con i quali queste richieste vengono fatte potrebbero far percepire queste richieste addirittura come estorsive, delegittimando sia le autorità Garanti, sia le norme stesse che garantiscono le libertà fondamentali e la protezione dei dati personali.
Uno degli aspetti più criticabili è che tali azioni colpiscono i “piccoli” titolari del trattamento, spesso portati a dare seguito alle intimazioni degli attivisti trascinati dalla fretta e senza opportuna ponderazione.
Infatti, non tutti, specialmente piccole e medie imprese dispongono di mezzi e risorse per gestire i complessi risvolti di tali azioni.
In attesa che il Garante si esprima in merito, se anche tu hai ricevuto queste comunicazioni e hai dubbi o hai bisogno di supporto, non esitare a contattarci.