Il 13 ottobre scorso la Gazzetta Ufficiale ha reso pubblico il “Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale“, che a seguito di una lunga vicenda e di numerosi interventi del Garante, nonchè alcuni contenziosi, dovrebbe stabilizzare e armonizzare un settore di grande complessità e rilevanza, che è fondamentale, da un lato, per garantire la correttezza delle relazioni commerciali e proteggere gli operatori economici dal rischio di truffe, insolvenze o inadempimenti ma che, dall’altro, ha dato luogo a non pochi abusi o comportamenti scorretti.

Diciamo subito che, nell’insieme, l’articolato del Codice ci soddisfa, anche se ci sono alcuni aspetti tecnici sui quali torneremo, se possibile, in futuro.

Va però detto che non è forse chiaro al pubblico quale enorme mole di dati vengono acquisiti, processati e conservati dalle società di informazione commerciale, soprattutto da parte dei colossi del settore.

Non abbiamo paura di dire che queste informazioni, ancorchè pubbliche, associate o incrociate tra di loro, costituiscono un enorme patrimonio conoscitivo che influisce pesantemente nella vita delle persone, che sotto alcuni punti di vista può essere considerato addirittura superiore a quello degli archivi di Polizia, perchè ha a che fare con la valutazione sull’onorabilità di una persona.

Va aggiunto che, all’epoca, ci sembrò poco corretto (anzi, concorrenzialmente sleale) vincolare all’iscrizione all’ANCIC le agevolazioni sulla esenzione dall’obbligo di fornire l’informativa personalizzata a tutti gli interessati. Questo, perchè tale associazione di categoria, che era stata autorizzata a pubblicare sul suo sito una informativa generalizzata e valida per tutti, praticava tariffe comparativamente molto elevate soprattutto per i più piccoli.

Ora tale situazione sembrerebbe essere rientrata, con la previsione di “apposite comunicazioni sul portale Internet costituito, anche a tal fine, dai fornitori di informazioni commerciali” (art. 4 del Codice di deontologia) e cioè non solo dall’ANCIC (ma la cosa non è chiara), nonchè l’esenzione per i soggetti con un fatturato inferiore ad € 300.000,00, ma non ci sembra che tale soluzione abbia risolto definitivamente la questione.

Ma ci sono due punti, ancora, sui quali si è discusso a lungo, in passato, in AIPROS e che intendiamo sottoporre all’attenzione dei lettori.

Il primo punto riguarda la conservazione dei dati.

Questo è da mettere in connessione al fatto che il Codice di deontologia ha aperto ad alcune categorie di informazioni liberamente reperibili su internet. Questo è comprensibile, perchè non si poteva proseguire col paradosso secondo il quale quanto rintracciabile nelle banche dati di informazioni commerciali (a pagamento) potesse risultare meno rilevante di una semplice interrogazione su Google (per ora gratis, ma in futuro si vedrà).

Però tale impostazione allarga a dismisura l’ambito delle informazioni recuperabili sul web. Allora, perchè non delimitare precisamente il tempo di conservazione dei dati da “fonti pubblicamente e generalmente accessibili da chiunque” (in pratica, dai siti web), come si è fatto, invece, per le fonti pubbliche, ossia “i pubblici registri, gli elenchi, gli atti o i documenti conoscibili da chiunque in base alla vigente normativa di riferimento” (art. 3, c. 2, del Codice deontologico)?

La formulazione adottata, infatti, è incerta e non chiarisce per quanto tempo potranno essere conservate le informazioni provenienti dal web.

Il secondo punto riguarda le misure di sicurezza da adottare per proteggere questa immensa mole di dati.

Infatti l’art. 10 del Codice di deontologia se l’è cavata con un generico richiamo all’obbligo di applicare le opportune misure di sicurezza e questo ci sembra francamente inammissibile.

Non occorre, infatti, ricordare quali e quante misure di sicurezza il Garante abbia introdotto in casistiche di ogni genere, sia pubbliche che private. Perchè, in questo caso, non si è spesa mezza riga?

Si dirà, certamente, che il Codice di deontologia è scritto dalle parti e non dall’Autorità. Ma questa risposta equivarrebbe a nascondersi dietro un dito.

Infatti, è noto come sia l’Autorità a governare (e spesso imporre) l’agenda per la redazione dei codici deontologici. Ma ancora, è sempre il Collegio del Garante a valutarne la conformità, che altrimenti non sarebbe stata valutata positivamente. Infine, l’Autorità poteva comunque accompagnare il Codice di deontologia con un Provvedimento generale sulla materia, ma questo non è avvenuto.

Allo stato, quindi, la situazione è che informazioni molto delicate, relative a molti milioni di persone, sono protette da userid, password, antivirus e poco di più, cioè le misure obbligatorie stabilite Disciplinare sulle misure minime di sicurezza, mentre le altre sono lasciate alla valutazione dei titolari del trattamento.

Se non bastasse, va sottolineato che la quasi totalità dei servizi offerti sono su web e, spesso, anche online, cioè con una necessaria interazione tra gli accont degli utenti e i data base dove si pescano le informazioni, quandi con elevati rischi di “accesso non autorizzato o di trattamento non consentito”, come recita l’art. 31 del Codice della Privacy.

Se non si è ritenuto di richiedere (ed era il caso di farlo) l’obbligo di adottare un ISMS (Information Security Management System) in conformità con la ISO 27001, questa ci sembra, francamente, una grave mancanza. Era almeno necessario prevedere l’obbligo di adottare e tenere aggiornata una analisi dei rischi con l’adozione delle relative contromisure, auditata dall’esterno.

Invece non è stato così, speriamo di non fare pentire milioni di persone.

I consulenti e i tecnici di Adeia Consulting restano a disposizione per ogni chiarimento