L’anonimizzazione fai da te: quando il GDPR incontra il Ministero della Giustizia

La cultura digitale va dall’alto verso il basso o dal basso verso l’alto? A vedere quello che è accaduto qualche giorno fa verrebbe da dire che sono in molti ad essere rimasti nella caverna ad osservare le ombre, indistinguibili, che si muovono all’esterno.

Eppure, stiamo parlando dei vertici della pubblica amministrazione, la più alta espressione della tecnica amministrativa e organizzativa: sul portale delle vendite pubbliche (pvp) del Ministero della Giustizia sono stati pubblicati migliaia di documenti relativi a procedimenti di espropriazione forzata, con i dati anagrafici dei debitori esecutati, compresi i codici fiscali e gli indirizzi, oscurati, si fa per dire, impostando il carattere bianco nel testo o utilizzando un’evidenziatura in nero.

Sarebbe stato uno stratagemma efficace se si fosse trattato di documenti cartacei, ma il dato digitale è facilmente manipolabile ed è bastato scaricare una copia del documento, ricercare le “cancellature” e correggerle per far riemergere tutti i dati “anonimizzati”, con grave violazione dei diritti e delle libertà degli interessati.

Il “trucchetto” non è servito nemmeno ad evitare l’indicizzazione da parte di Google, che dispone di algoritmi tali da aggirare facilmente i tentavi maldestri dei Tribunali di “coprire” i dati personali dei debitori sottoposti a misure espropriative: una semplice ricerca sul web ha permesso di reperire i dati relativi a suddetti debitori (si parla di 37.000 risultati).

Il Garante, purtroppo, non può fare molto. L’art. 55, c. 3, GDPR, infatti, esclude la sua competenza sui controlli dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni. Certo, il Ministero della Giustizia non è un’autorità giurisdizionale e dovrebbe, quindi, adoperarsi per evitare quantomeno la indicizzazione dei dati contenuti sul pvp.

Se questo è il livello di competenza e consapevolezza digitale dei componenti dell’alta amministrazione, c’è da chiedersi come si possa ostacolare la compravendita di dati personali sensibili in atto fra titolari e terzi, specie in ambito sanitario, reso ancora più insidioso dall’utilizzo di Intelligenze Artificiali in simbiosi con sistemi automatizzati di elaborazione e profilazione. Si fornisce, anzi, una vasta banca dati a cui attingere per ricavare dati preziosi a istituti finanziari, bancari, assicurativi o a datori di lavoro, affinché possano decidere se concedere o meno un prestito, aumentare un premio o assumere un lavoratore e senza scomodare intermediari del dark web: sono tutti lì, a disposizione di chiunque, esposti alla pubblica gogna.

Il precedente della Corte di Cassazione del 2015 è servito alla stessa Corte a ripensare alle pubblicazioni delle proprie sentenze, stampando tutti i documenti, operando l’anonimizzazione manualmente e, quindi, acquisendo le copie informatiche dei documenti analogici cosi modificati.

Ad oggi non risulta che il Ministero della Giustizia sia corso ai ripari e abbia impedito quantomeno l’indicizzazione dei contenuti.

Se si vuole trasmettere ad un intero Paese la cultura del rispetto delle regole sul trattamento dei dati personali, non c’è nulla di meglio del buon esempio di chi partecipa alla stesura delle regole stesse.

Dimmelo e lo dimenticherò, insegnamelo e lo ricorderò, coinvolgimi e lo imparerò” (Benjamin Franklin).