Dubbi deontologici del nuovo millennio: non sei l’unico ad avere accesso alla tua casella di posta elettronica!

Chi di noi non si è indignato a scoprire che i genitori avevano letto il nostro diario segreto? Chi non si altera quando la dolce metà osa sbloccare il nostro cellulare e spulciarne il contenuto? Chi non grida allo scandalo e alla violazione dei nostri diritti quando salta fuori che agenzie governative ci spiano senza l’autorizzazione di un giudice? Eppure, nessuno sembra aver niente da ridire sul fatto che la nostra posta elettronica o i nostri messaggi istantanei siano letti dal destinatario e da un numero non ben specificato di altri occhi. Se ci prendessimo il tempo di leggere le condizioni generali di contratto e/o le informative della privacy forse non saremmo così pronti ad acconsentire senza riserve.

Siamo abituati a pensare che la nostra corrispondenza sia protetta. In effetti, la legge regolamenta l’accesso non espressamente autorizzato alla corrispondenza epistolare o telefonica da parte di soggetti terzi. Per esempio, la magistratura protegge il cittadino dalle intrusioni degli organi statali e il datore di lavoro può accedere alle email dei dipendenti solo in determinate circostanze. Ma nessuna legge impedisce che i nostri messaggi elettronici possano essere controllati dai prestatori del servizio.

Alcuni servizi di posta elettronica, in primis quelli gratuiti, leggono il contenuto delle email per migliorare propri prodotti, o per proteggerci da pishing, malware e tutte le altre minacce della navigazione su internet. In alcuni casi le informazioni vengono raccolte per definire meglio il nostro profilo utente e inviarci pubblicità che, secondo il prestatore del servizio, sono più attinenti ai nostri interessi, oppure per inviarci dei promemoria o inserire appuntamenti nei nostri calendari. I nostri dati possono essere scambiati con partner terzi, come gli sviluppatori di App. Sono oggetto di scrutinio anche i documenti che salviamo su servizi come GoogleDrive o Dropbox.* 

La stragrande maggioranza di noi non pensa minimamente alle conseguenze che questa costante sorveglianza da parte di società private può avere nella nostra vita quotidiana. A meno di star commettendo qualche crimine, perché dovrebbe causarci un danno il fatto che la società di turno ficchi il naso nei nostri affari?

Intanto, le informazioni che scambiamo in contesti che siamo abituati a ritenere privati vanno ad aggiungersi alla mole di dati che le società archiviano ed elaborano su di noi per conoscerci meglio e offrirci quel servizio che secondo loro meritiamo (per approfondire leggi qui).

Ma il fatto che la nostra corrispondenza non sia privata come pensiamo è rilevante soprattutto da un punto di vista professionale. E non solo perché occhi non autorizzati possono avere libero accesso a segreti industriali.

Innanzitutto, il GDPR impone che i dati raccolti dai professionisti siano sufficientemente protetti contro l’accesso da parte di persone non autorizzate. L’obbligo di protezione delle informazioni è previsto anche dalle norme deontologiche a cui sottostanno alcune professioni. Penso in primis ai principi deontologici (e alle leggi) che obbligano gli avvocati a mantenere il segreto professionale e a rispettare l’obbligo di riservatezza, non solo in sede processuale, ma anche al di fuori dei Tribunali.

Il GDPR  prevede, in linea con gli obblighi deontologici, che l’avvocato protegga adeguatamente i dati degli assistiti per garantirne la confidenzialità, integrità e disponibilità. Gli avvocati sono obbligati a fornire l’informativa ai sensi dell’articolo 13 del GDPR che elenca quali dati il professionista raccoglie, le modalità di trattamento e i diritti di cui gode il soggetto interessato. Ciò implica che nell’informativa l’avvocato dichiari anche i terzi destinatari dei dati (vedi uffici giudiziari o consulenti esterni) e eventuali flussi trasfrontalieri. I dati non possono essere accessibili a persone non abilitate, siano esse soggetti interni o esterni allo studio. Meritano protezione sia i dati in forma cartacea, che quindi devono essere archiviati in locali sufficientemente sicuri (per esempio perché accessibili attraverso un badge), ma anche quelli in forma digitale, che devono essere protetti da un adeguato sistema di sicurezza informatica (firewall, password, antivirus, mezzi di crittografia, etc.).

Il Codice deontologico obbliga gli avvocati a rispettare il segreto professionale e a tenere il massimo riservo sui fatti e le circostanze di cui vengono a conoscenza per ragioni professionali (articoli 13 e 28). L’avvocato è perfino obbligato  a tenere riservata l’esistenza del rapporto professionale (C.N.F., sent. n. 130/2013). Il Codice Penale e le norme procedurali complementano e rinforzano il rispetto dei principi deontologici (articolo 622 cp; articoli 200, 256, 362 cpp; 249 cpc).

Il fatto che i vari Google, Yahoo, o Libero abbiano politiche per la protezione dei dati in linea con il GDPR non implica che il professionista che utilizza i loro servizi rispetti egli stesso le disposizioni del Regolamento in via automatica. E ancor meno implica che rispetti i suoi obblighi deontologici.

Semplificando, il professionista legale ottiene il consenso al trattamento dei dati dei clienti, ai sensi dell’articolo 6 del GDPR, per espletare il proprio mandato giudiziale o per fornire assistenza stragiudiziale. Solo i collaboratori del professionista, che per ragione dei loro compiti e per assicurare il corretto espletamento dell’incarico professionale hanno necessità di accedere a tali dati, sono legalmente autorizzati a prenderne visione. Onestamente sembra insensato ritenere che il prestatore del servizio di posta elettronica o di archiviazione digitale abbia legalmente accesso ai dati dei clienti del suo utente. L’accesso del soggetto terzo non è assolutamente necessario ad espletare il mandato.

Sembra ancora più assurdo pensare che l’avvocato non infranga il segreto professionale e l’obbligo di riservatezza quando utilizza servizi di posta elettronica o di archiviazione digitale che dichiarano espressamente di controllare e raccogliere il contenuto dei messaggi e dei documenti dei loro utenti e che danno accesso a tali dati anche a parti terze.

In occasione dell’attacco di Anonymus di poche settimane fa ai danni delle caselle di posta elettronica certificata degli avvocati degli ordini di Roma, Piacenza, Matera e Caltagirone, il Presidente dell’Ordine romano ha dichiarato quanto segue:

L’attacco informatico subito dall’Ordine degli Avvocati di Roma rappresenta una gravissima violazione non solo della privacy degli iscritti e dell’integrità dell’Istituzione forense, ma anche una violazione penalmente rilevante di un diritto costituzionalmente garantito, quale quello dell’inviolabilità della corrispondenza. In questo momento, i tecnici della azienda di software che fornisce l’infrastruttura tecnologica all’Ordine forense romano sono al lavoro insieme ai funzionari della polizia postale per verificare l’entità del danno e chiudere la falla. Secondo le verifiche dell’azienda, le caselle di posta violate sono quelle i cui titolari non hanno cambiato la password iniziale assegnata dal fornitore. Tutti i responsabili saranno naturalmente denunciati all’autorità giudiziaria“ (vedi qui).

Parole giustissime. Ma oltre ad indignarci quando accadono episodi del genere è forse il caso di ripensare il nostro rapporto con le nuove tecnologie e iniziare ad usarle in maniera consona piuttosto che lasciarci abusare dalle stesse.

 

***

* Ad esempio, la politica della protezione dei dati personali di Google recita: “[…] Inoltre, raccogliamo i contenuti che crei, carichi o ricevi da altri quando utilizzi i nostri servizi. Ciò include ad esempio le email che scrivi e ricevi, le foto e i video che salvi, Idocumenti e i fogli di lavoro che crei e i commenti che lasci sui video di YouTube. […] Consentiamo l’accesso alle informazioni personali soltanto a dipendenti, terzisti e agenti Google che necessitano di tali informazioni per poterle elaborare. Tutti coloro cui viene concesso tale accesso devono rispettare rigidi obblighi contrattuali in merito alla riservatezza e potrebbero essere soggetti a sanzioni o risoluzione del contratto qualora non rispettassero tali obblighi.[…]” (vedi qui).

Yahoo legge le email anche per inviare pubblicità basate sugli interessi, così come raccoglie informazioni se utilizziamo Yahoo Messenger: “[…] nostri sistemi possono analizzare tutti i contenuti delle comunicazioni (come Mail, Gruppi, Calendario, Rubrica e Messenger, inclusi i messaggi istantanei ed SMS) per gli scopi descritti nella pagina della nostra Informativa sulla privacy. […] Quando utilizzi Yahoo Messenger, raccogliamo informazioni su di te. Raccogliamo informazioni in modo diretto, ad esempio il numero di telefono, l’indirizzo e-mail, le foto e, con il tuo consenso, i contatti presenti sul dispositivo. Quando utilizzi Yahoo Messenger, raccogliamo informazioni anche in modo automatico, ad esempio l’indirizzo IP, la tua posizione, i dati analitici sull’utilizzo dell’app, l’ID e il tipo di dispositivo, nonché l’operatore di rete mobile.” (vedi qui). Riguardo all’uso dei dati: ” […] Fornire, mantenere, migliorare e sviluppare funzioni, contenuti e Servizi pertinenti.  Analizzare i tuoi contenuti e altre informazioni (tra cui email in arrivo e in uscita, messaggi istantanei, post , foto, allegati e altre comunicazioni) per garantire la sicurezza dei nostri Servizi. Questa analisi ci aiuta inoltre a personalizzare i contenuti, i Servizi e gli annunci che ti forniamo (eccetto in BT | Yahoo Mail).  Puoi esaminare e controllare alcuni tipi di informazioni collegate al tuo account Oath utilizzando le Impostazioni per la privacy. Soddisfare le tue richieste se autorizzati da te. Aiutare gli inserzionisti e i publisher a connettersi per offrire annunci pertinenti nelle loro app e siti Web. Abbinare e mostrare annunci mirati (tra dispositivi e all’interno e all’esterno dei nostri Servizi) e offrire annunci pubblicitari pertinenti in base alla tua attività sul dispositivo, agli interessi ipotizzati e ai dati di posizione.[…]

La politica della protezione dei dati personali di Dropbox recita: “[…] Informazioni sull’utilizzo. Raccogliamo informazioni relative al modo in cui utilizzi i Servizi, comprese le azioni intraprese nell’account (come condivisione, modifica, visualizzazione e spostamento di file o cartelle). Queste informazioni ci aiutano a migliorare i nostri Servizi, sviluppare nuovi servizi e funzionalità e proteggere gli utenti di Dropbox. […] Ci riserviamo inoltre di raccogliere dati provenienti da e riguardanti i dispositivi che utilizzi per accedere ai Servizi. Sono inclusi dati quali l’indirizzo IP, il tipo di browser e il dispositivo utilizzato, la pagina web visitata prima di accedere ai nostri siti e gli identificatori associati al tuo dispositivo. I tuoi dispositivi (a seconda delle loro impostazioni) potrebbero trasmettere ai Servizi anche dati sulla posizione. […] Ci riserviamo il diritto di condividere i dati come descritto sopra, ma questi non saranno venduti a inserzionisti o ad altre terze parti. Altre persone che lavorano per Dropbox. […] Altri utenti.[…] Altre applicazioni […] Amministratori di team Dropbox. […] Ordine pubblico e interesse pubblico. ” (vedi qui).

Facebook dichiara: “Usiamo le informazioni in nostro possesso per offrire i nostri Prodotti, ad esempio per personalizzare le funzioni e i contenuti (fra cui la sezione Notizie, il feed di Instagram, le storie di Instagram e le inserzioni) e per fornirti suggerimenti (ad es. gruppi o eventi che ti potrebbero interessare o argomenti che potresti voler seguire) all’interno e all’esterno dei nostri Prodotti. Per creare Prodotti personalizzati, esclusivi e pertinenti per te, usiamo le connessioni, le preferenze, gli interessi e le attività in base ai dati raccolti e forniti da te e da altre persone (compresi eventuali dati sottoposti a protezione speciale che scegli di fornire nei casi in cui ci hai fornito il tuo esplicito consenso), il modo in cui usi e interagisci con i nostri Prodotti e le persone, i luoghi o gli elementi con cui ti connetti o che ti interessano, all’interno e all’esterno dei nostri Prodotti.[…]” (vedi qui)

Piccola nota a margine riguardo Whatsapp (di cui Facebook è proprietario): l’informativa dichiara “ crittografia end-to-end significa che i messaggi degli utenti sono criptati per impedire a WhatsApp e a terzi di leggerli.” Nonostante ciò: “Fornitori di servizi terzi Lavoriamo con fornitori di servizi terzi e con le aziende di Facebook per rendere disponibili, fornire, migliorare, capire, personalizzare, supportare, e commercializzare i Servizi. Quando condividiamo informazioni con fornitori terzi e aziende di Facebook in questo ambito, richiediamo che questi utilizzino le informazioni dell’utente in conformità con le nostre istruzioni e le condizioni indicate.” Nel 2017, l’Autorità della Concorrenza italiana ha multato Facebook perché aveva indotto gli utenti ad accettare che i loro dati venissero condivisi con Facebook, pena la non utilizzabilità del servizio [qui]. La Commissione Europea ha multato Facebook per la stessa condotta, ma su basi giuridiche differenti, in quanto durante il procedimento di approvazione dell’acquisizione aveva dichiarato che non sarebbe stato possibile combinare i dati delle due application [qui]. Per concludere: “Is Facebook reading my ‘encrypted’ WhatsApp conversations?

 

 

 

 

 

2 comments

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s