Non scherzate col Garante per la Privacy
Hacker’s Dictionary. La protezione dei dati personali non è una fisima. Lo dimostra la multa di 600 mila euro a Unicredit. Il 14 luglio verrà scelto il nuovo collegio dell’Autorità garante di piazza Venezia. Pasquale Stanzione in pole position per sostituire Antonello Soro
di ARTURO DI CORINTO per Il Manifesto del 2 Luglio 2020
Un famoso virologo ha detto su Twitter che la privacy è una fisima. Un manager, altrettanto famoso, che non deve preoccuparsi chi non ha niente da nascondere, e un altro che i discorsi del Garante sulla privacy sono aria fritta.
Ma hanno torto.
Perché la privacy è la precondizione per esercitare altri diritti, come quello alla libertà d’espressione, di associazione, di movimento, alla proprietà.
Una dimostrazione ci viene da un rapporto commissionato da Kaspersky che racconta come il 6% degli italiani abbia avuto difficoltà a ottenere un mutuo a causa di una valutazione finanziaria negativa fatta da sistemi automatizzati che raccolgono le informazioni condivise sui social media.
Barattare la privacy con video di gattini e chiacchiere gratuite sui social implica infatti la cessione dei nostri dati. Le informazioni personali, comprese quelle raccolte dalle attività sui social media, consentono alle aziende di offrire servizi personalizzati ai propri clienti per fornire loro un’esperienza migliore, certo, ma la valutazione comportamentale che ne consegue genera un punteggio di credito sociale nascosto che può incidere sulla vita privata di ciascuno.
Per evitare che la nostra condizione sociale e famigliare venga esposta al pubblico determinando discriminazioni o furti di identità che generano truffe di ogni tipo, bisogna però proteggere i nostri dati anche dopo avere ottenuto un prestito o un mutuo.
A ricordarcelo è l’ingiunzione a Unicredit da parte del Garante Privacy di pagare 600 mila euro per un databreach avvenuto in due momenti distinti, tra aprile 2016 e luglio 2017.
La violazione ha riguardato l’accesso abusivo ai dati personali di 700 mila clienti utilizzando le utenze dei dipendenti di un partner esterno alla banca, Penta Finanziamenti, comprensivi di Iban, dati anagrafici e di contatto, professione, livello di studio e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, e una «approssimazione della classificazione creditizia del cliente».
L’ammontare della sanzione, determinata applicando la disciplina precedente l’entrata in vigore del Gdpr, segue l’accertamento della violazione, da parte dell’istituto bancario, delle misure minime di sicurezza previste dal Codice privacy e delle regole in materia di tracciamento delle operazioni bancarie.
Avrebbe però potuto essere maggiore se Unicredit non avesse adottato successivamente sistemi di allerta, controlli antifrode e il blocco di tutte le credenziali concesse al partner commerciale coinvolto e informato i clienti dell’accaduto.
Pochi giorni fa il Garante della privacy, Antonello Soro, presentando la Relazione 2019 sull’attività dell’Authority ha ribadito che «l’anno scorso abbiamo ricevuto da soggetti pubblici e privati 1.443 notifiche di ‘data breach’», ovvero «tentativi di acquisizione di dati personali (credenziali di accesso, dati di contatto o relativi a strumenti di pagamento), accesso abusivo a mail e pec, perdita di dati per effetto di ransomware».
Un motivo in più per non cedere al mercato delle vacche nella scelta parlamentare dei componenti del nuovo Garante privacy che i capigruppo hanno stabilito per il 14 luglio prossimo.
In «pole position» però ci sono gli stessi di tre mesi fa: Ignazio La Russa per FdI, Pasquale Stanzione per il PD, Oreste Pollicino per i 5Stelle, Ginevra Bruzzone (forse) per la Lega, scelti per motivi politici e regolamentari a dispetto di altre 353 candidature e non esattamente in base all’esperienza nel settore o alla conoscenza delle tecnologie che ci danno e tolgono la privacy.
