Dataroom è una rubrica gestita dalla nota giornalista Milena Gabanelli sul sito internet del Corriere della Sera, che si occupa di portare alla luce fatti poco noti. Nella edizione del 14 luglio 2019 replicata la sera successiva nel corso del Tg La7, ha affrontato l’argomento intercettazioni, sotto il profilo della sicurezza e riservatezza dei dati raccolti .
Quando si parla di intercettazioni viene in mente l’immagine del carabiniere o della guardia di finanza, magari in camice bianco, come negli sceneggiati della serie Commissario Montalbano, con le cuffie alle orecchie ed il monitor davanti sul quale scorre l’oscillogramma delle voci registrate.
Risulta, invece, che, incredibilmente, non è così. Non solo lo Stato “esternalizza” questa attività destinata a maneggiare materiale “ad altissimo tasso di riservatezza” ma consente che venga affidata ad imprese non soggette ad alcun controllo, “talvolta con un management di livello, ma anche senza dipendenti, proprietarie dei software oppure solo locatarie, con azionisti noti o con prestanome” la cui scelta è affidata alla prudenza degli organi giudiziari che dispongono le indagini, sempre alle prese con disponibilità finanziarie.
Le Procure della Repubblica che dispongono le intercettazioni si affidano ad aziende private per le quali il Ministero della Giustizia non ha un albo nel quale iscrivere quelle che offrono adeguate garanzie di competenza, affidabilità e riservatezza, come invano “chiedono da anni i capi delle Procure”, ma non definisce nemmeno criteri di scelta tra quelle presenti sul mercato, salvo uno: spendere il meno possibile. Cosicché le Procure più grandi stabiliscono ognuna per conto proprio requisiti minimi, le altre si accontentano di quello che trovano affidandosi all’unico requisito del minor costo.
Di nuovo il sistema del massimo ribasso da tutti denunciato come propiziatore di danni spesso irreparabili (opere non finite, manufatti che crollano, servizi scadenti) e adesso anche violazione della riservatezza di persone non indiziate, non indagate, come ci ha spiegato Milena Gabanelli.
Emblematico il caso del software Exodus mediante il quale due sconosciuti signori “gabbando le Procure di mezza Italia che utilizzavano il software della loro società … e, bucando i sistemi di sicurezza di Google con app camuffate e pubblicamente disponibili, hanno infettato migliaia di telefoni e computer, risucchiando 80 terabyte di dati riservatissimi (soprattutto intercettazioni giudiziarie) parcheggiandoli su un cloud di Amazon nell’Oregon accessibile dall’esterno con una password.”
È incedibile come questo possa avvenire anche dopo l’entrata in vigore del Regolamento Europeo sul trattamento dei dati personali (GDPR) che ha sanzionato le relative violazioni con multe da capogiro e costretto anche piccole associazioni come la nostra (che tratta solo i dati dei propri iscritti: nome, cognome ed indirizzo) a nominare un responsabile della protezione dei dati, un designato al trattamento dei dati, due responsabili esterni del trattamento dei dati ed un sub resposabile, solo perchè, essendo una associazione sindacale è a conoscenza della “appartenenza sindacale” (!!!) dato particolarmente sensibile (art. 9 comma 1, GDPR) e gestisce questo portale internet ed un Notiziario cartaceo.
Da parte dell’Autorità Garante della privacy sono stati adottati provvedimenti sanzionatori? Sono state predisposte delle linee guida per i soggetti che esercitano l’attività di intercettazione? La giornalista non ce lo dice e, quindi, vista la completezza delle sue informazioni, è lecito supporre la risposta negativa.