Autore: wp_6910267

In un bellissimo articolo apparso qualche giorno fa su helpnetsecurity.com, Gary Chitan afferma che nel Regno Unito molte organizzazioni si stanno accorgendo che la protezione dei dati personali non si esaurisce in un progetto di adeguamento al GDPR da fare una volta per tutte. Quindi, i conseguenti investimenti, sebbene di notevole entità in fase di start‑up, devono continuare in maniera significativa anche negli anni successivi.

Per fortuna, quindi, qualcuno comincia a capire il vero spirito del GDPR. Succederà anche in Italia, prima o poi. Nel frattempo, è utile riassumere i cinque elementi che Chitan ritiene fondamentali per ogni organizzazione che intenda seriamente proteggere i dati personali:

• investire nella giusta tecnologia; oggi non ci si può più affidare ai fogli elettronici ma è opportuno che i meccanismi di riduzione del rischio siano basati su sistemi di intelligenza artificiale che riescano ad analizzare milioni di comportamenti sospetti ed a neutralizzarli;
• governare i trattamenti di dati personali effettuati manualmente; in ogni organizzazione ci sono trattamenti basati ancora su documenti cartacei e che costituiscono l’anello debole nella catena di protezione; per questi trattamenti, bisogna investire in consapevolezza degli addetti;
• comprendere a fondo l’albero genealogico di ogni dato; questo per garantire che i trattamenti dei dati ascendenti e discendenti rispettino i principi dell’art. 5 del GDPR e siano conformi alle previsioni degli artt. 6, 9 e 10 del GDPR;
• privilegiare la qualità dei dati rispetto alla quantità;
• trattenere solo i dati che possono creare valore per l’organizzazione senza lasciarsi andare al solito ritornello “questo dato mi può servire domani”.

Buoni consigli per chi vuol intendere.

L’8 gennaio scorso la Corte di Cassazione (sentenza 372/2019) ha, contemporaneamente, condannato ed assolto un uomo per lo stesso (apparente) vizietto: effettuare riprese video di donne poco vestite. Apparentemente contraddittoria, la sentenza spiega perfettamente la differenza tra le due fattispecie; l’uomo, nel primo caso, aveva ripreso tre sue dipendenti intente a cambiarsi d’abito in un locale dell’azienda mentre, nel secondo caso, aveva realizzato un video di una sua vicina di casa intenta a farsi la doccia.

Il reato contestato, per entrambe le circostanze, era quello previsto dall’art. 615‑bis del Codice Penale che, al primo comma, recita così “Chiunque, mediante l’uso di strumenti di ripresa visiva o sonora, si procura indebitamente notizie o immagini attinenti alla vita privata svolgentesi nei luoghi indicati nell’articolo 614, è punito con la reclusione da sei mesi a quattro anni.”

È l’avverbio indebitamente che, per la Suprema Corte, fa la differenza. Nel primo caso, le riprese sono state effettuate in un luogo che sistematicamente veniva utilizzato come spogliatoio e che le dipendenti ritenevano chiuso rispetto ad occhi indiscreti. Quindi, condanna perché il guardone ha violato questa consapevolezza di riservatezza maturata, per prassi, nelle dipendenti. Nel secondo caso, invece, la donna faceva la doccia in un luogo privo di protezioni e che, senza ostacoli, poteva essere osservato da chiunque visto che la finestra era sprovvista di tende. Indebitamente, secondo la Corte, significa che “la condotta deve avvenire il contrasto o eludendo, clandestinamente o con inganno, la volontà di chi abbia il diritto di escludere dal luogo l’autore delle riprese”. Quindi, assoluzione perché il guardone non ha utilizzato alcun espediente particolare per effettuare le riprese e non ha violato un luogo ritenuto e praticato concretamente come riservato.

Naturalmente, questo è solo l’aspetto penale. Il Presidente del Garante per la Protezione dei Dati Personali ha rilasciato, infatti, un commento molto severo nei confronti di tali comportamenti affermando che:

• l’interpretazione dell’art. 615‑bis dovrebbe adeguarsi all’evoluzione tecnologica; in passato, le foto ed i video, infatti, non godevano della facilità di diffusione che si configura oggi tramite Internet e, quindi, la probabilità di ledere i diritti e le libertà delle persone era molto più bassa;
• la fattispecie in questione può avere esiti diversi in sede di giustizia civile o in sede di valutazione del Garante visto che può configurarsi un danno per le persone come conseguenza della lesione dei loro diritti e libertà.