Emanuele Cherchi, Il Sole 24 Ore 20/9/2010, 20 settembre 2010
È ALLARME PRIVACY PER L’INTERCONNESSIONE DEI «SUPER ARCHIVI»
Il Garante della privacy affida a un provvedimento generale di prossima emanazione l’obiettivo di mettere un po’ d’ordine al proliferare delle banche dati, o meglio alle loro interconnessioni sempre più intricate. E intanto, sollecitata anche dai vertici dell’istituto, prepara l’ispezione degli archivi dell’Inps, una ragnatela di database in cui sono custoditi milioni di informazioni personali.
Verifica che cade nel momento in cui sta muovendo i primi passi il mega-archivio generato dall’intreccio dei dati dell’Agenzia delle entrate, Inps, Inail e ministero del lavoro. Un grande occhio in chiave antievasione, capace di innescare centinaia di migliaia di verifiche. Ma che non è detto abbia tutte le carte in regola per tenere il passo con le esigenze della privacy. Come insegna il caso caso dell’Anagrafe tributaria.
La banca dati fiscale – fulcro del nuovo super-archivio – è ancora impegnata ad adeguarsi a quanto prescritto dal Garante della privacy due anni fa, allorché un’ispezione rivelò un complesso sistema informatico consultabile da un universo indefinito di utenti. Ma ad apparire allarmante fu soprattutto l’indifferenza verso le regole imposte dalle norme sulla riservatezza. I controlli evidenziarono l’assenza di un monitoraggio degli accessi all’Anagrafe, che non venivano documentati, la presenza di informazioni non aggiornate, credenziali di accesso scadute, la mancanza di audit interna.
Il Garante impose al Fisco un calendario serrato di adempimenti, che ancora non è stato portato a termine. Resta, infatti, da mettere in sicurezza uno dei sei canali di accesso esterno all’Anagrafe, quello cosiddetto dei web services, operazione che dovrà essere completata entro il 31 ottobre. Dopodiché la banca dati fiscale potrà dirsi in linea con la privacy?
«Sì, almeno per la parte del database che è stata oggetto della nostra ispezione», risponde il Garante della privacy Francesco Pizzetti. Che aggiunge: «Teniamo però conto che stiamo parlando di fenomeni in continuo divenire, dinamici e non statici. Cambiano le funzioni, i contenuti, i soggetti abilitati ad accedere agli archivi. Mutano gli scenari. Con il federalismo, per esempio, i comuni sono chiamati a interrogare sempre di più i database centrali. Anche un Garante forte, con uffici e personale ben più numerosi dei nostri, non potrebbe star dietro al fenomeno. L’intento che perseguiamo con le ispezioni è, dunque, pedagogico: far penetrare la cultura della privacy, abituare i titolari delle grandi banche dati pubbliche a organizzarsi autonomamente».
Se il pilastro del nuovo grande occhio antievasione ora è in regola, non si può avere la medesima certezza per gli altri soggetti coinvolti. Ma non è solo questo a far riflettere il Garante, preoccupato soprattutto dalla nuova filosofia che sta prendendo piede.
«Non si moltiplicano le banche dati – spiega Pizzetti – e da questo punto di vista vengono rispettate le nostre indicazioni. Fioriscono, però, norme, convenzioni, accordi che interconnettono gli archivi esistenti, così che, di fatto, il database è solo virtuale. Ciò pone una serie di problemi del tutto nuovi, relativi, per esempio, all’individuazione del titolare di questi archivi allargati, all’informativa da dare agli interessati, al diritto di accesso e rettifica da parte dei cittadini. Ecco perché non possiamo rimandare un provvedimento generale che affronti tali questioni e, se necessario, proporre al Governo e al Parlamento modifiche legislative al riguardo. Eppoi ci sarebbe da rimeditare l’introduzione dell’obbligo del privacy office, un ufficio dedicato alla riservatezza da istituire presso le grandi banche dati pubbliche».