Caso Google: un primo commento alle motivazioni della sentenza

aprile 14, 2010

Sono state recentemente pubblicate le motivazioni della sentenza “Vividown”, che ha visto condannati tre dirigenti di Google Italia per trattamento illecito di dati personali
Tralascio tutte le altre serie di questioni per cercare di ricostruire la vicenda solo ed esclusivamente dal punto di vista della privacy.
Applicare i dettami del D.Lgs. 196/03 in sostanza, impone di riscostruire una o più attività umane sulla base delle regole peculiari ivi contenute.
Bisogna capire nell’ordine:

  1. se si rientra nell’ambito di applicabilità della norma (art. 5)
  2. se si è in presenza di un trattamento di dati personali
  3. chi sono i soggetti del trattamento, con particolare riferimento a quelli indispensabili, ossia il titolare e l’interessato
  4. quali delle diverse regole si possono/devono applicare al caso concreto

Il Tribunale di Milano ha seguito correttamente questo iter? Leggendo la motivazione, molto semplicemente non lo ha fatto. E neppure, cosa più singolare, lo ha fatto la Difesa degli imputati.
Il Giudice parte dall’articolo 167, che stabilisce cosa è un trattamento illecito di dati personali, saltando a piè pari il punto 3.
E’ il primo grande errore che inficia l’intero ragionamento.
Vediamo nel dettaglio come si sarebbe dovuto procedere.
Diamo per scontato che il D.Lgs. 196 sia applicabile.
Quanto al punto due bisogna capire se l’attività di pubblicare un filmato sia un trattamento di dati personali. Per “trattamento” si intende una qualsiasi operazione che può essere compiuta su quelle particolari informazioni che sono i dati personali: mettere online è sicuramente un’attività ricompresa in questa definizione (diffusione). Le videoriprese di una persona, poi, rientrano senza dubbio alcuno nell’ampio concetto di “dato personale”.
Ma quanto al terzo punto? Secondo la sentenza, Google in questo caso è titolare del trattamento in quanto “hoster attivo”. Ma è davvero così? E’ un punto fondamentale dell’intera vicenda, dato che gli obblighi previsti dalla norma sorgono in capo al Titolare e non ad altri soggetti. La soluzione del Giudice è molto discutibile. Titolare è colui “cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”.
Questa definizione ci fa capire che nel momento in cui qualcuno utilizza una piattaforma come youtube ci si trova in presenza di due distinti trattamenti che fanno capo a due distinti titolari.

1° trattamento: Tizio si registra su Youtube per poter usufruire del servizio. Chi è il titolare? Certamente Google: infatti raccoglie i dati da Tizio (l’interessato) e li tratta per fornire un servizio di cui Google stesso stabilisce le regole e il funzionamento. E’ Google, ad esempio, che è tenuto a far si che i dati personali di Tizio vengano protetti adeguatamente.

2° trattamento: Tizio realizza un filmato e lo carica sulla piattaforma. Ai sensi dell’articolo 5 egli è titolare del trattamento ed è chiamato a rispettare le regole del D.Lgs. 196/03. Deve informare il soggetto ripreso ai sensi dell’articolo 13, deve, qualora sia previsto, ottenerne il consenso informato.

Sono questi due piani ben distinti e che non possono intersecarsi. Per capirsi, Google non ha alcun titolo per chiedere il consenso al soggetto che viene ripreso nel video messo on-line da Tizio perchè non è lui il titolare di quello specifico trattamento, dato che neanche nella più fantasiosa ricostruzione si può sostenere seriamente che la società abbia la possibilità di incidere su tali operazioni. Un punto fermo della vicenda, confermata anche dal Giudice, è che Google non ha alcun controllo delle informazioni caricate tramite le sue piattaforme. Come si può, allora sostenere che possa decidere sulle finalità e modalità di quelle operazioni di trattamento, ossia che svolga quelle attività che identificano chi è il Titolare del trattamento?
Posso decidere le modalità di un’attività che non conosco e su cui non ho alcuna possibilità di incidere? Mi sembra evidente la risposta…

Pensiamo paradossalmente all’ipotesi in cui il video incriminato non fosse stato diffuso tramite Google Video ma utilizzando Gmail, la casella di posta elettronica di Google. Anche in questo caso le informazioni sono conservate sui server di Google, e anche questa è un’operazione che può rientrare nel concetto di trattamento. Se non si opera la distinzione vista sopra tra i due livelli distinti di trattamento, si finisce per ritenere colpevole Google per le mail mandate da un suo utente!

Tornando poi al punto 4 della scaletta, vediamo poi se il giudice ha correttamente interpretato l’articolo 167 che mi dice quando un trattamento illecito viene sanzionato penalmente.
Vediamo l’articolo:

Art. 167. Trattamento illecito di dati
1.Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2.Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

E’ chiaro, quindi, che perchè si possa parlare di trattamenti illeciti è necessario che:
– che esista il fine di trarre profitto o di recare un danno;
– che ci sia la violazione specifica degli articoli indicati.

Anche in questo caso il Giudice si occupa del primo punto ma trascura il secondo: anche dando per scontato una cosa che scontata non è, ossia che Google tragga profitto dall’attività di consentire la pubblicazione del video, bisogna vedere se viola quanto previsto dagli articoli indicati. Nella sentenza il Giudice contesta “il comportamento scorretto” di Google che consiste nel fornire una informativa carente e, comunque, talmente nascosta nelle condizioni generali di contratto da essere inefficace per i fini previsti dalla legge. Non si contesta, si badi bene, il mancato consenso, anzi si stabilisce che Google non aveva alcun obbligo di richiederlo.

Come potete ben notare, però, l’articolo 167 non fa nessun riferimento all’articolo 13, che è quello che definisce l’obbligo di informativa, ma agli articoli 23 e 26 relativi al consenso!
Stando alla norma, se tratto dati personali non fornendo adeguata informativa sarà al limite applicabile l’articolo 161 (omessa o inidonea informativa), che prevede la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro, ma di certo non l’articolo 167!

Tirando le somme, quindi, il problema di questa sentenza non è solo “politico”, ma essenzialmente giuridico. Quello che bisogna chiedersi non è tanto se il provvedimento rispetta la libertà e le peculiarità della Rete, ma, soprattutto, se rispetta la normativa vigente. Cosa su cui, personalmente, ho molti dubbi.

Annunci

Licenziamento illegittimo se il datore di lavoro utilizza sistemi informatici di controllo a distanza

marzo 28, 2010

Pronunciandosi per la prima volta sul tema, la S.C. ha affermato che i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi ad Internet dei dipendenti sono necessariamente apparecchiature di controllo, soggette alle condizioni di cui all’art. 4 dello Statuto dei lavoratori. Con Sentenza depositata il 23 febbraio 2010 la Suprema Corte ha avuto modo di esaminare il caso di una dipendente che è stata licenziata per aver navigato su siti web non pertinenti all’attività lavorativa. Il datore di lavoro aveva effettuato in due momenti diversi dei controlli mediante l’utilizzo di un software apposito (Super Scout) dai quali è emersa una condotta difforme dal Regolamento aziendale che discpilina l’utilizzo di Internet e della posta elettronica. Rimandando alla Sentenza (n° 4375 del 23.2.2010 Sez. lavoro) per l’esposizione completa dei fatti, ciò che merita attenzione in questa sede è il costume diffuso in ambito aziendale privato (ma anche nel settore pubblico) di impiegare strumenti per il monitoraggio della rete ritenendoli legittimi alla stregua dei cd. “controlli difensivi”. In verità, come andiamo dicendo da anni, siamo nell’ambito dell’art. 4 dello Statuto dei Lavoratori e ciò comporta necessariamente il rispetto dei presupposti ivi previsti in tema di utilizzabilità di sistemi di controllo a distanza, ossia particolari esigenze organizzative, produttive o di sicurezza e comunque previo accordo con le rappresentanze sindacali oppure l’autorizzazione del competente Ispettorato provinciale del Lavoro.

La Cassazione, confermando quanto affermato dalla Corte di Appello, ha sostenuto che “i programmi informatici che consentono il monitoraggio della posta elettronica e degi accessi internet sono necessariamente apparecchiature di controllo nel momento in cui, in ragione delle loro caratteristiche, consentono al datore di lavoro di controllare a distanza e in via continuativa durante la prestazione, l’attività lavorativa e se la stessa sia svolta in termini di diligenza e corretto adempimento (nel caso de quo, delle direttive aziendali)“.

La stessa Corte di Appello aveva avuto modo di evidenziare che “ciò è evidente laddove nella lettera di licenziamento i fatti accertati mediante il software sono utilizzati per contestare alla lavoratrice la violazione dell’obbligo di diligenza sub specie di aver utilizzato tempo lavorativo per scopi personali (e non si motiva invece su una particolare pericolosità dell’attività di collegamento in rete rispetto all’esigenza di protezione del patrimonio aziendale)“.

In quest’ultima frase ritengo risieda la chiave di lettura della Sentenza in esame.

Infine va rilevato che i fatti contestati risalgono a diversi anni fa, prima dell’entrata in vigore del D.Lgs. 196/2003 e prima dei numerosi provvedimenti del Garante Privacy, in particolare quello sull’utilizzo di Internet e Posta elettronica nei luoghi di lavoro (doc. web n° 1387522) e sugli Amministratori di Sistema (doc. web n° 1577499).

Viene da chiedersi se attualmente le politiche di sicurezza aziendali siano rispettose della dignità e della riservatezza dei lavoratori, ma soprattutto se questi ultimi ne siano al corrente.


Privacy e Amministratori di Sistema: un aiuto per la gestione dei log (2^ parte)

marzo 22, 2010

Riprendiamo il discorso iniziato la settimana scorsa relativo al Provvedimento sugli Ammministratori di Sistema. Dopo aver brevemente accennato ai punti essenziali dell’intervento del Garante, torniamo all’argomento che mi interessava maggiormente approfondire dato che in rete non si trovano molte notizie.

Esistono, infatti, alcuni sistemi/software che possono aiutare il Titolare a essere in regola con il provvedimento del 27 novembre 2008 senza dover avvalersi della “scappatoia” introdotta dall’authority con le “integrazioni” al provvedimento stesso.

E’ del tutto evidente, infatti, che gli strumenti presenti nei sistemi operativi, checchè ne dica il Garante, non consentono una gestione dei log ottimale. In particolare dalla mia esperienza emerge una quasi impossibilità di trattare separatamente i dati relativi agli accessi (tentati o meno, è bene ricordarlo) degli AdS rispetto a quelli degli altri utenti.

Inoltre è ugualmente difficile poter garantire la conservazione dei log per il periodo richiesto dal Provvedimento, dato che usualmente per i log viene fissata una dimensione massima, che una volta raggiunta comporta la riscrittura di quelli più risalenti. Risulta quindi difficile poter garantire la conservazione per i sei mesi richiesti.

Non occorre neanche ribadire, poi, che i sistemi integrati nei sistemi operativi nulla possono garantire in relazione all’inalterabilità e alla integrità degli stessi.

Vediamo, ora, alcune delle soluzioni che ho potuto esaminare nel corso della mia attività. Premetto che questa elencazione non ha pretesa di essere esauriente e di ricomprendere tutte le possibili soluzioni esistenti sul mercato. Si tratta solo delle possibilità che un mio cliente (un ente formativo di grandi dimensioni) ha preso in considerazione per cercare di adempiere al meglio alle prescrizioni del Garante.

Le soluzioni prese in considerazioni (sono state escluse direttamente quelle che, pur ottimali, comportavano esborsi eccessivi) sono le seguenti:

Legal Logger

Soluzione pensata appositamente per risolvere le problematiche relative al Provvedimento a carattere generale del 27 novembre 2008 (e questo forse è un limite).

Legal Logger è costituito da un sistema hardware /software, permette di poter registrare e conservare i log delle attività degli Amministratori di Sistema e di marcarli con firma digitale e marca temporale.

Il sistema garantisce:

1) raccolta giornaliera dei log di autenticazione utente

2) inserimento di una firma digitale e di una marca temporale

3) trasferimento dei log in un archivio centralizzato dove vengono mantenuti sicuri (backup) per il tempo richiesto dal provvedimento

Per maggiori dettagli si veda il sito www.legallogger.com

Corner Bowl Log Manager

Si tratta di una soluzione nata per la gestione dei log, e non per venire incontro alle richieste del Garante. A differenza di Legal Logger non prevede un sistema di firma digitale, di contro non richiede un apposito hardware per funzionare.

Schermata principale di Corner Bowl


Altro aspetto positivo è quello di essere in grado di registrare gli accessi che gli AdS effettuano non solo sui server, ma anche sui singoli terminali e sui dispositivi di rete, senza che sia necessario installare agent sui terminali.

Per maggiori informazioni potete consultare il sito internet www.diskmonitor.com/Log-Manager


Privacy e Amministratori di Sistema: un aiuto per la gestione dei log (1^ parte)

marzo 18, 2010

Con l’avvicinarsi della fatidica data del 30 marzo torna prepotentemente d’attualità la privacy.

Quello di cui mi voglio brevemente occupare riguarda gli adempiment richiesti dal Provvedimento a carattere generale del 27 novembre 2008, “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema“.

Come è noto questo provvedimento (su cui ritorneremo in un altro intervento) ha reitrodotto la mai troppo rimpianta figura dell’amministratore di sistema (di seguito AdS). Pur partendo da  considerazioni condivisibili,(l’ammministratore di sistema ha pieni poteri sui dati trattati dal titolare), il risultato non è stato quello sperato.

Partendo dal fatto che nel provvedimento non viene data una definizione precisa di chi è questo soggetto (cosa che, pur ammettendo le difficoltà, stride comunque quando si pensa alle definizioni precise contenute nel D.Lgs. 196/03) le misure proposte spaziano dalla (almeno formale…) utilità alla palese inapplicabilità.

Sintetizzando il Provvedimento introduce cinque nuovi adempimenti:

  1. Valutazione delle caratteristiche soggettive degli AdS;
  2. Designazioni individuali degli AdS;
  3. Tenuta di un aggiornato elenco degli AdS;
  4. Verifica delle attività degli AdS;
  5. Registrazione degli accessi.

Qui mi voglio concentrare solo sul punto 5), che, alla luce della mia esperienza, è quello che ha fatto sorgere i problemi maggiori. Il provvedimento stabilisce che:

“Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.”

Come si può ben capire, introdurre l’obbligatorietà di un sistema che registri gli accessi (riusciti  o solo tentati) ai sistemi (sia ai server che ai terminali!) e che conservi tali registrazioni per almeno 6 mesi garantendone la completezza, l’integrità e l’inalterabilità non è questione di poco conto. Anzi, in sincerità, ben poche delle realtà che ho avuto modo di assistere erano in grado (o avevano voglia) di investire le risorse necessarie per mettersi in regola con il Provvedimento. Anche perchè quando si parla di immodificabilità e integrità all’informatico e al giurista cominciano a tremare le gambe, pensando a tutte le problematiche connesse all’uso della firma digitale (che nel nostro ordinamento è lo strumento in grado di garantire quelle caratteristiche) in un sistema di gestione dei log.

Il risultato? Il Garante è dovuto correre ai ripari, “mitigando” questa misura che, diversamente, rischiava di rimanere lettera morta. Tralasciando la forma “curiosa” che è stata utilizzata (il provvedimento non è stato modificato, ma sono state aggiunte in calce delle FAQ contenenti una sorta di “interpretazione autentica” delle disposizioni…), la misura è stata sostanzialmente svuotata del suo contenuto dirompente.

L’integrità, spiega il Garante nella FAQ n° 12, ben può essere garantita dagli strumenti già presenti nei principali sistemi  operativi(!), e lo stesso dicasi per l’inalterabilità (!!!). Si consiglia, eventualmente, la periodica esportazione dei dati di log su supporti di memorizzazione non riscrivibili. Solo nei casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e “certificati”.

Risulta quindi evidente che almeno formalmente tutti i titolari saranno in grado di mettersi in regola in vista di un ipotetico controllo. Quello che è certo, ad ogni modo, è che si è passati da un estremo all’altro: prima un rigore eccessivo, poi, uno svuotamento sostanziale della misura.

Una buona via di mezzo è costituita da quei sistemi che si occupano di gestire i log: senza arrivare all’estremo dei server log certificati, questi strumenti consentono, ad un prezzo ragionevole, una gestione dei log certamente in regola con la ratio del provvedimento e che può anche rivelarsi utile nell’amministrazione delle risorse aziendali.

Di questo mi occuperò nella seconda parte dell’intervento…