Il Garante Privacy Italiano, con comunicato del 6 aprile 2021 pubblicato sul proprio sito web, si è espresso in relazione al furto di dati da Facebook, dichiarando che l’eventuale utilizzo dei dati personali oggetto di tale violazione, anche se per fini positivi, è vietato dalla normativa in materia di privacy, essendo tali informazioni frutto di un trattamento illecito. A conferma di tale orientamento, emerge un ulteriore comunicato dell’Autorità, datato 8 aprile 2021, riferito ad un caso analogo di furto di dati che ha, però, coinvolto la piattaforma LinkedIn.
Il fatto
È ormai noto che la piattaforma di social network più utilizzata al mondo, Facebook, è stata vittima di un data breach di rilevante entità. La causa di tale violazione è ravvisabile in un attacco Hacker che ha comportato il furto dei dati personali di circa 533 milioni di utenti in 106 paesi diversi. In particolare la mole di utenti italiani coinvolti in tale violazione sembrerebbe superare i 36 milioni.
Il Policy Communications Manager di Facebook, Andy Stone, ha affermato alla CNN che la fuga di dati avrebbe origine da una precedente violazione risalente al 2019 e che il problema era già stato risolto nell'agosto dello stesso anno, eliminando la possibilità di rintracciare gli utenti tramite il numero di telefono. Ed infatti, tra le informazioni rubate dai pirati informatici ci sarebbero prevalentemente numeri di telefono, generalità, spostamenti, indirizzi mail e relazioni personali.
Ad accendere i riflettori è stata, dunque, la recente pubblicazione di tali informazioni online e la preoccupazione di un possibile utilizzo finalizzato ad attività fraudolente come il furto di identità.
L’intervento del Garante Privacy
La notizia non è certamente sfuggita al vaglio dell’Autorità Garante per la tutela dei dati personali, la quale ha analizzato le criticità del caso attraverso un comunicato pubblicato sul proprio sito web. In tal senso, il Garante, nell’avvertire la collettività che l’utilizzo dei dati provenienti dalla violazione risulta costituire un illecito ai sensi della disciplina in materia di privacy, ha rivolto direttamente nei confronti del colosso social un’espressa richiesta di adozione di misure idonee a limitare i rischi connessi alla perdita dei dati personali degli interessati. In particolare, ha invitato il social network a rendere immediatamente disponibile un servizio che consenta a tutti gli utenti italiani di verificare se la propria numerazione telefonica o il proprio indirizzo mail siano stati interessati dalla violazione.
Criticità: qual è la strategia da adottare per mettere al sicuro la privacy degli utenti interessati?
Nell’opinabile tentativo di offrire una risposta a tale quesito va fatta una premessa. Da anni ormai le “big” dell’online, tra cui Facebook, raccolgono enormi quantità di dati personali, dalla cui commercializzazione traggono considerevoli profitti economici. La gestione ed il controllo di una tale mole di dati e informazioni, attraverso un ecosistema chiuso, tecnicamente conosciuto come “Walled Garden”, ha facilmente indotto alla creazione di un vero e proprio oligopolio nel settore dell’Adtech (advertising technology).
Risulta, dunque, agevole comprendere che i benefici economici frutto del controllo della quasi totalità delle operazioni del marketing digitale, rendono i dati trattati a tal fine estremamente vulnerabili ai tentativi di appropriazione indebita dei pirati informatici.
Basterà quindi l’adozione di misure di sicurezza da parte degli operatori del mercato a tutelare la privacy degli utenti? Certamente rafforzare i sistemi digitali attraverso cui naviga l’enorme quantità di dati, rendendoli il più possibile impermeabili agli illeciti tentativi di accesso da parte dei cyber-criminali, costituirà il punto di partenza per raggiungere l’arduo proposito.
Ma a dire il vero, non sarà sufficiente fare affidamento soltanto sulle valutazioni dei rischi e misure di sicurezza tecniche ed organizzative poste in essere dall’azienda-tech, in questo caso Facebook, volte a prevenire gli attacchi informatici. Oltre, quindi, alla fiducia da riporre in un’auspicata buona fede del colosso social circa il trattamento dei dati in questione, occorrerà intensificare la consapevolezza degli utenti circa l’utilizzo dei servizi digitali.
L’intervento di Guido Scorza
Ed è proprio sulla menzionata consapevolezza che è imperniato l’intervento del componente del Garante per la protezione dei dati personali, Avvocato Guido Scorza, rilasciato lo scorso 8 aprile 2021 e finalizzato ad orientare i circa 36 milioni di italiani coinvolti nel breach di Facebook, su come limitarne i danni.
L’esponente dell’Authority, nel sottolineare che il “boom” del digitale, avallato dalla pandemia, non ha certo agevolato un adeguato processo di alfabetizzazione digitale del paese, ha focalizzato il proprio pensiero sulla necessità di intervenire per incentivare l’educazione alla privacy al fine di sensibilizzare i cittadini sul valore dei dati personali e sull'importanza di non condividerli in assenza di consapevolezza, a fortiori sulle piattaforme online, dove spesso si verificano criticità che, come nel caso di specie, in virtù degli alti interessi in gioco, sono di non felice risoluzione.
Avv. Vincenzo Colarocco e Dott. Pietro Vitucci