Sul pvp, portale delle vendite pubbliche, sono caricati documenti non anonimizzati. Così le informazioni di migliaia di debitori sono disponibili in rete, anche con una banale ricerca su Google

L’analfabetismo digitale delle istituzioni continua a mietere le proprie vittime nel campo della privacy. Migliaia di documenti relativi a procedimenti di espropriazione forzata, non debitamente anonimizzati, sono attualmente pubblici e facilmente esplorabili con una banale ricerca su Google. La mole di fascicoli è ospitata dal portale delle vendite pubbliche (pvp) del ministero della Giustizia, che dà spazio nei propri sistemi ai file relativi alle inserzioni di vendita.

Ma da moltissimi di questi documenti, che vengono caricati su disposizione delle magistrature dopo essere stati esposti nei portali di vendita designati, non sono stati rimossi i dati personali dei cittadini sottoposti a procedura esecutiva.

Al contrario, al fine di nascondere le informazioni sensibili contenute negli atti, in alcuni casi è stato alternatamente impostato il carattere bianco nel testo o è stata utilizzata un’evidenziatura in nero. Peccato si tratti di file digitali: è infatti sufficiente scaricarne uno ed evidenziare con il cursore le parti “nascoste” per conoscere nomi, indirizzi, codici fiscali e recapiti di migliaia di cittadini, come Wired ha potuto verificare in numerose prove da febbraio a oggi.

Dati in chiaro

Naturalmente il trucchetto non inganna neanche i motori di ricerca. In barba alle impostazioni di formattazione, Google è perfettamente in grado di leggere l’intero contenuto del testo – che il carattere sia bianco su sfondo bianco o che sia evidenziato in nero – e quindi di indicizzarlo.

Utilizzando le funzioni di ricerca avanzate del motore di ricerca (sono omessi ulteriori dettagli per rispetto della privacy delle persone coinvolte), è infatti possibile effettuare ricerche generali o specifiche per nominativo, acquisendo informazioni sulla situazione patrimoniale di migliaia di debitori. Circostanza che rende ancora più grave la violazione, dal momento che il Ministero potrebbe in qualunque momento inibire il proprio portale all’indicizzazione da parte dei motori di ricerca.

La denuncia

Wired ha appreso della violazione in seguito alla segnalazione inoltrata all’Autorità garante per la protezione dei dati personali dall’avvocato Enrico Ferraris, a febbraio del 2019. Nella sua comunicazione, il professionista segnalava che “la diffusione è tutt’ora in corso e perdura da alcuni anni, a seconda della data di pubblicazione dei singoli annunci e relativi allegati (i primi presenti sul PVP risalgono alla seconda metà del 2017, mentre sui siti dei Gestori delle Vendite e su quelli autorizzati alla pubblicità si trovano documenti pubblicati antecedentemente)”.

Nel momento in cui è stata data notizia della violazione al garante e al responsabile della protezione dei dati del ministero di Giustizia, la ricerca su Google restituiva “26.200 risultati”. Oggi sono più di 37mila. Al fine di tutelare i diritti degli interessati, per la pubblicazione di questo articolo si è dato al ministero il tempo di intervenire per interrompere la violazione. A oggi, sembra che nulla sia stato fatto.

Le regole del Gdpr

Purtroppo però, il Garante può poco stavolta. Come prescritto dal Regolamento generale sulla protezione dei dati dell’Unione europea (Gdpr), le autorità garanti nazionali non sono competenti per il trattamento di dati effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni. È proprio questo il caso per le migliaia di atti che sono caricati nei portali di vendita su disposizione dei tribunali e per i quali l’ufficio del garante non ha potuto far altro che segnalare la violazione al ministero.

Come precisa Ferraris a Wired, “il ministero non è un’autorità giudiziaria, ed effettua un trattamento di dati che dovrebbe potersi ritenere estraneo ai procedimenti di esecuzione, quindi è possibile che l’esclusione di competenza non si applichi all’indicizzazione sui motori di ricerca dei file presenti sul portale delle vendite pubbliche”. Dunque, chi carica i documenti dovrebbe perfezionarsi nell‘arte dell’anonimizzazione, mentre il ministero potrebbe quantomeno coltivare quella dell’indicizzazione. Tecnica nota a chiunque gestisca un piccolo sito web, che consiste nel configurare il proprio sito in modo che questo non venga preso in considerazione da Google.

Contattato da Wired il ministero non ha voluto fornire un commento. Tuttavia fonti interne a via Arenula riferiscono di disservizi legati al ruolo marginale riservato al Responsabile della protezione dei dati, che sarebbe “sostanzialmente legato alla burocrazia interna, in un ambito nel quale gli interventi dovrebbero essere immediati”. Insomma, una lamentela che siamo abituati a sentire in tutta Italia quando si parla di pubbliche amministrazioni.

Il precedente

Come dice il proverbio, “chi non ha testa, ha gambe”, o quantomeno pazienza e tanti pennarelli neri in questo caso. Apparentemente, l’unico modo per risolvere il problema potrebbe essere quello di stampare tutti i file interessati, per poi anonimizzarli a mano e scannerizzarli nuovamente. Per quanto possa sembrare una soluzione antidiluviana, è proprio quella che adottò la Corte di Cassazione nel 2015, dopo aver pubblicato sul proprio portale cinque anni di sentenze civili e penali, contenenti i dati identificativi di persone offese e vittime di violenza sessuale.

La vicenda è facilmente ricostruibile grazie agli atti dell’Autorità garante, che pur riconoscendo la meritoria iniziativa di voler rendere consultabili gli atti della Suprema Corte, disponeva che i documenti venissero anonimizzati in modo da proteggere l’identità dei cittadini coinvolti.

Sono anni ormai che l’Autorità garante è costretta a intervenire probabilmente anche oltre le sue funzioni, per una maggiore tutela della privacy in Italia. In una lettera dell’ottobre 2014, inviata da Antonello Soro all’allora presidente della Cassazione Giorgio Santacroce, il Garante scriveva: “Al fine di individuare le soluzioni maggiormente idonee a coniugare la più ampia conoscenza delle pronunce giurisdizionali e il diritto alla protezione dei dati personali, questa Autorità si dichiara sin da ora disponibile a ogni utile confronto”.

Anche se il confronto più utile sembra essere oggi quello con le basi dell’informatica da parte di liberi professionisti e pubbliche amministrazioni, nella speranza che nel prossimo decennio non ci sia ancora qualcuno convinto che “evidenziare in nero” equivalga ad anonimizzare una riga di testo.