Gli utenti che si registrano sul sito del Comune di Messina per l’attraversamento dello Stretto vengono dirottati su un sito allocato in California. Chi è il responsabile del trattamento di questi dati? Esistono livelli di sicurezza adeguati? Un soggetto terzo non governativo può immagazzinare dati sensibili?
Chi si collega sul sito istituzionale del Comune di Messina per registrarsi al link “si passa a condizione” ritiene di affidare i propri dati sensibili al gestore governativo, deputato al trattamento dei dati personali. Invece, ciò non accade probabilmente in violazione delle stringenti normative comunitarie. Non appena l’utente clicca sul link indicato, viene subito reindirizzato – a sua insaputa – al sito emergenzacovid19.force.com, che risulta essere registrato a nome di una multinazionale che ha sede a San Francisco, in California.
Per scoprirlo non bisogna essere un genio dell’informatica. Tuttavia, il particolare di non poco conto non è passato inosservato all’esperto di informatica messinese, Peppe Ammendola, il quale ha tentato di effettuare una registrazione, prima di abbandonare le pagine allocate su un server d’oltreoceano perché incerto sul trattamento dei dati sensibili.
Ammendola per oltre dieci anni è stato consulente del “Settore virtualizzazione” per conto del colosso finanziario Intesa San Paolo, ci spiega alcuni aspetti di una vicenda che ha portato il sindaco Cateno De Luca ad ingaggiare un conflitto istituzionale con il ministro Luciana Lamorgese per l’ormai famigerato database, necessario per l’attraversamento dello Stretto. L’ordinanza sindacale, ancora oggi in vigore, è destinata ad essere revocata, sulla base di un parere del Consiglio di Stato che ha definito il provvedimento di De Luca contrario all’ordinamento giuridico nazionale. I rilievi mossi dal Supremo organo giurisdizionale riguardano proprio il trattamento dei dati personali.
Ammendola apre il campo ad alcuni inquietanti interrogativi sulla gestione dei “dati sensibili” dei soggetti che hanno effettuato la registrazione sulla piattaforma “donata” al Comune di Messina da una multinazionale.
“Intanto, mi preme sottolineare che la Salesforce è una multinazionale con succursale in Italia, attiva nell’immagazzinamento dei dati. Ho avuto riscontro anche da colleghi informatici che operano al Nord”.
Ma che interesse avrebbe questa azienda per offrire gratuitamente tale piattaforma?
“Una multinazionale non offre gratuitamente proprio nulla, sappiamo che le grosse aziende puntano al profitto. Apparentemente offre il servizio a titolo gratuito ma non escludo vi possano essere fini esclusivamente commerciali. Basti pensare al flusso di utenti che vengono dirottati dal sito del Comune di Messina sul loro dominio. E soprattutto l’immagazzinamento di dati sensibili il cui uso potrebbe essere diverso da quello dichiarato per l’attraversamento dello Stretto”.
Potrebbe avere interesse a trattare questi dati personali?
“Questo non sta a me dirlo, di sicuro ne vengono in possesso. Rimango allibito del fatto che non vi è alcuna indicazione su chi sia il responsabile del trattamento dei dati personali. Ciò è previsto dalla normativa europea”.
E quindi questi dati violano le normative europee?
“Non sta a me dirlo, ma il GDPR del 2016 sulla tutela dei dati personali parla in maniera chiara. Intanto, manca l’indicazione di chi tratta questi dati, poi un sito riconducibile ad un ente governativo deve essere allocato in Europa. Tranne in alcune occasioni, ma non mi pare che il caso del database famigerato rientri in questa casistica. I siti cui gli utenti che intendono registrarsi vengono reindirizzati a San Franciso, in California”.
Insomma, chi si registra rischia di affidare i propri dati sensibili a enti non governativi italiani?
“Così sembrerebbe, chi si registra non si accorge nemmeno di essere dirottato su un server diverso da quello del Comune di Messina, che dovrebbe essere responsabile del trattamento dei dati personali inseriti”
Quindi c’è il rischio che questi dati possano finire in mani non governative?
“Sembrerebbe proprio di sì. Se fosse così sarebbero violate le più elementari norme sulla tutela dei dati personali. Mi auguro di sbagliarmi”.
E i dati potrebbero essere utilizzati per fini diversi….
“Non sappiamo dove realmente finiscano, di sicuro non sul server istituzionale del Comune di Messina. Che utilizzo potrebbero farne non lo possiamo sapere, ma il rischio, purtroppo, c’è. E poi c’è un altro tema che riguarda i livelli di controllo dei dati stessi. Chi lo garantisce?”.
Davide Gambale