Monitora PA, se l’attivismo fa danni: intervenga il Garante privacy

Trasferimento di dati personali verso gli USA: le azioni di “attivismo digitale” aumentano l’incertezza

In mancanza di una nuova decisione di adeguatezza che renda leciti i trasferimenti di dati personali dall’Unione europea verso gli Stati Uniti, e a cui si auspicava potesse addivenirsi a seguito della sentenza C-311/18 (c.d. Sentenza Schrems II) emanata dalla Corte di giustizia dell’Unione europea, tantissimi professionisti, imprese, enti e organizzazioni italiane pubbliche e private, che intrattengono rapporti con fornitori statunitensi, si trovano oggi ad operare in una situazione di ambiguità, nella quale è percepito il rischio che della citata sentenza venga fornita un’interpretazione pericolosamente estensiva.

È in tale situazione di incertezza che mettono radice alcune recenti azioni di “attivisti/hacker” (così si sono definiti) che hanno coinvolto – in maniera automatizzata, indiscriminata e, per i motivi esposti nella segnalazione rivolta al Garante per la protezione dei dati personali e in seguito in parte illustrati, potenzialmente illegittima sotto diversi aspetti – un numero elevatissimo di soggetti, proprio facendo leva su quanto stabilito dalla sentenza Schrems II, proponendone, appunto, un’interpretazione arbitrariamente estensiva e dagli effetti giuridicamente distorsivi, di fatto non ragionevolmente sostenibile.

Nell’ordine, la prima campagna condotta dagli “attivisti” è stata indirizzata nei confronti delle pubbliche amministrazioni colpevoli di integrare nei propri siti istituzionali Google Analytics. Migliaia di enti pubblici sono stati raggiunti da comunicazioni massive, automatizzate e contenenti richieste di rimozione dello strumento con minaccia di segnalazione all’autorità Garante per asserito trattamento illecito.

Tale iniziativa è stata seguita da quella portata avanti da un singolo attivista, il signor Federico Leva, comunque attivo in Monitora PA, e che ha interessato sia soggetti pubblici sia soggetti privati accomunati dall’utilizzo di Google Analytics. Anche in questo caso, sono state inviate massivamente e mediante sistemi automatizzati altrettante segnalazioni ai gestori dei siti internet, contenenti tra l’altro l’avviso della necessità di eliminare Google Analytics e la richiesta di provvedere a un riscontro all’interessato consistente nella cancellazione dei dati personali del segnalante dai server di Google.

A distanza di pochi giorni dal messaggio di Federico Leva, la comunità di attivisti che fa capo a Monitora PA, rappresentata da uno dei suoi esponenti, ha intrapreso una nuova battaglia, inviando a migliaia di enti pubblici un messaggio PEC inteso a segnalare la pretesa illegittimità di Google Fonts, con l’invito a provvedere alla rimozione dello strumento “e di qualsiasi altra risorsa incorporata nel suddetto sito web che produca effetti analoghi”.

In seguito, Monitora PA ha messo in atto una campagna di denuncia nei confronti di oltre 60 partiti politici italiani che incorporano, sui propri siti web, Google Analytics e/o Google Fonts. L’obiettivo, anche in questo caso, è stato quello di intimare l’interruzione di ogni trasferimento di dati personali verso Google LLC “o altra società sottoposta a normative incompatibili con i diritti fondamentali dei cittadini italiani ed europei”.

In tutti i casi, le richieste degli “attivisti” erano seguite dall’avvertimento che, in caso di mancata ottemperanza dei destinatari, sarebbe seguita una segnalazione al Garante per la protezione dei dati personali.

La necessità che il Garante intervenga autorevolmente sulla questione è evidenziata dal numero di azioni condotte sotto il cappello di “attivismo digitale”, che continuano a susseguirsi: è proprio di questi giorni l’ennesima iniziativa resa pubblica da Monitora PA e pure presa in considerazione nella segnalazione. Il riferimento è alle 8254 domande – stando ai dati pubblicati dagli “attivisti” – inviate alle Scuole Italiane, mediante una campagna che però tradisce gli intenti di un controllo generalizzato, che è stigmatizzato dalle Linee guida di ANAC come non idoneo a fondare una legittima richiesta di accesso civico generalizzato. E per tali motivi, intendiamo portare anche all’attenzione di ANAC la vicenda.

 

Perché la segnalazione

Muovendo da tali considerazioni preliminari, abbiamo sentito l’esigenza di presentare all’Autorità Garante una formale segnalazione, ponendo in rilievo alcune questioni che, a nostro avviso, non possono essere trascurate.

Più precisamente, con la segnalazione intendiamo perseguire un duplice intento.

Ricorso a fornitori statunitensi: qualsiasi iniziativa del Garante non dovrebbe prescindere dall’analisi del contesto

Per quanto riguarda la situazione di incertezza circa il ricorso a fornitori statunitensi, auspichiamo che il Garante agisca con un intervento chiarificatore e generalizzato, che potrebbe ad esempio consistere nella formulazione di indicazioni e linee guida di carattere ampio, a supporto di tanti titolari e responsabili del trattamento.

In ogni caso, qualunque iniziativa voglia intraprendere il Garante sul punto, chiediamo che lo faccia tenendo in debita considerazione anche la reale ed effettiva situazione del contesto di riferimento, dal quale riteniamo di non potersi prescindere in fase di interpretazione e applicazione della sentenza Schrems II, tanto più in una situazione, quale quella attuale, potenzialmente in grado di esplicare impatti devastanti sul piano economico e sociale.

E il contesto di riferimento è palesemente contraddistinto da elementi che hanno un enorme impatto anche sotto il profilo della protezione dei dati personali, e in particolare nella definizione di ruoli e responsabilità tra le parti nel trattamento dei dati, quali: i) lo strapotere contrattuale delle grosse aziende statunitensi e ii) la posizione dominante che tali soggetti hanno nel mercato IT.

 

Profili di potenziale illiceità e pericoli delle azioni di attivismo digitale

I principi e i diritti riconosciuti dal RGPD sono stati strumentalizzati dagli “attivisti/hacker”, al punto da stravolgerne la natura e la ratio. Da mezzi di tutela dei singoli, sono stati degradati a pretesto per colpire e minacciare, perdendo completamente di vista lo spirito e le ragioni di protezione che ne sono alla base.

Sono diversi i profili di illiceità e i pericoli che potrebbero scaturire da tali azioni. Di seguito, proponiamo un quadro di sintesi delle argomentazioni sottoposte al Garante per la protezione dei dati personali, rinviando per ogni approfondimento alla lettura della segnalazione.

Riteniamo che tra le categorie di soggetti esposti ai pericoli derivanti dalle richiamate campagne di attivismo digitale, rientrino gli stessi “attivisti” promotori di tali iniziative. La ragione è basata, principalmente, sulla considerazione che le attività condotte da Monitora PA si traducono in trattamenti sistematici di dati personali su larga scala, riconducibili all’esecuzione metodica e coordinata di verifiche e segnalazioni, ad opera di una comunità che si auto descrive come un “Osservatorio Automatico Distribuito sulla PA”. Riteniamo, quindi, che anche Monitora PA e i suoi componenti siano tenuti agli adempimenti che la normativa in materia di protezione dei dati personali pone in capo al titolare del trattamento, primo fra tutti l’obbligo di rendere l’informativa, che nessuno, tra i destinatari delle comunicazioni in questione, ha mai avuto modo di consultare. Gli autori di queste comunicazioni massive, pertanto, si sono resi responsabili di evidenti violazioni del RGPD, compromettendo al tempo stesso l’intera comunità degli attivisti, che potrebbero subire pregiudizi in termini di immagine e di reputazione, a causa di tali operazioni, non adeguatamente valutate nei dettagli.

Ulteriori pericoli connessi alle iniziative in questione risiedono nelle distorsioni di interpretazione e percezione che possono essere generate nei soggetti raggiunti dalle richieste di Monitora PA. Tali azioni di attivismo digitale, infatti, potrebbero essere confuse con iniziative ufficiali promosse da parte delle istituzioni e delle autorità competenti. Il che è tanto più pericoloso, in quanto i toni perentori impiegati dagli “attivisti”, potrebbero far percepire le richieste formulate come decettive o addirittura “estorsive”, delegittimando sia le autorità Garanti, sia le norme stesse che garantiscono le libertà fondamentali e la protezione dei dati personali.

Per altro verso, riteniamo che uno degli aspetti più criticabili di tali azioni sia quella di colpire i “piccoli” titolari del trattamento, spesso indotti a dare seguito alle intimazioni degli “attivisti” sull’onda della fretta e senza opportuna ponderazione. Non tutti, specialmente le piccole e medie imprese, dispongono di mezzi e risorse – anche economiche – per comprendere e gestire i complessi risvolti di azioni di questo genere. Nessuno, peraltro, si trova nelle condizioni di pretendere che Google (o altri provider, comunemente indicati come GAFAM) adeguino i propri servizi alla normativa europea in materia di protezione dei dati personali, disattendendo eventuali ordini di esibizione provenienti dalle autorità di intelligence statunitensi. Le asimmetrie informative circa le condizioni del servizio e l’assenza di un effettivo potere di controllo sull’eventuale cessione di dati personali ad agenzie di sicurezza straniera, fanno persino dubitare che i GAFAM siano qualificabili come responsabili del trattamento ai sensi dell’art. 28 del RGPD. Il responsabile del trattamento, come noto, svolge un ruolo prettamente esecutivo, dovendosi attenere alle istruzioni fornite dal titolare. Nel momento in cui tali istruzioni non dovessero essere rispettate o, comunque, dovessero essere adottate condotte basate sulla determinazione di finalità e mezzi del trattamento diversi da quelli stabiliti dal titolare, la qualità di responsabile verrebbe meno. Rispetto a tali attività di trattamento, il provider assumerebbe il ruolo di titolare. Anche per questa ragione, sarebbe stato più corretto, a nostro avviso, indirizzare queste azioni di attivismo direttamente e con coraggio nei confronti dei GAFAM, anziché assumere come (più facile) bersaglio i piccoli titolari del trattamento.

Come evidenziato nella nostra segnalazione, peraltro, le modalità con cui sono state formulate le richieste degli “attivisti” presentano i connotati tipici dell’abuso nell’esercizio di un diritto, che si configura quando le finalità del suo esercizio eccedono la ratio legis di tutela, per assumere connotati pretestuosi e nocivi. In tal senso, è sicuramente legittimo esercitare uno dei diritti previsti dagli articoli 15 e ss. del RGPD, ma non quando, come nel caso in oggetto, tali diritti sono esercitati per effettuare un’indebita pressione su altri soggetti, finendo in tal modo per costituire uno strumento ritorsivo o di intimidazione.

Sono gli stessi “attivisti”, anzi, a proclamare il reale interesse che intendono perseguire, ossia l’esercizio di un controllo generalizzato dell’attività della P.A., com’è evidente dallo stesso nome del collettivo, e la correzione di quelle che sono ritenute gravi storture del sistema.