“Non importa quanto cambino i tempi o quanto sia progredita una civiltà, in fin dei conti tutto dipende dal carattere delle persone. Le decisioni degli esseri umani determinano il loro destino e quello del resto del mondo.”
Daisaku Ikeda
Con la smaterializzazione di gran parte delle procedure, usiamo più spesso la scansione della nostra carta d’identità che il suo originale cartaceo. Che sia per una domanda di lavoro, per la partecipazione a un corso, per l’iscrizione a una palestra, la copia digitale della nostra carta d’identità, così come altri documenti contenenti informazioni personali, è ormai presente in diversi archivi. Che, anche secondo il Regolamento Europeo per la protezione dei dati personali 2016/679 (“GDPR”), devono essere adeguatamente protetti da sguardi indiscreti. Anche l’eventuale pubblicazione dei dati stessi (ad esempio, un CV o una graduatoria) dovrebbe seguire il principio di minimizzazione per limitare il rischio di utilizzo indebito.
Lascia pertanto perplessi la scoperta, sul web (non sul dark, non sul deep), di decine di documenti d’identità, fotografie correlate di dati personali (numero di cellulare, indirizzo di residenza, casella e-mail…), curriculum vitae, fatture, ordinativi… accessibili attraverso una banale ricerca usando i Google Dorks (ma non darò ulteriori dettagli, almeno non al momento).
Incuriosito da una segnalazione sul blog di Paolo Attivissimo “Il Disinformatico: Dati di avvocati italiani reperibili su Google. Avvisati, non fanno nulla“, ho provato a fare qualche veloce ricerca per avere non solo la conferma su quanto denunciato ma anche la drammatica prova che il problema sembra essere piuttosto diffuso anche su altri siti web, spesso di enti pubblici italiani.
In certi casi, ad es. per i dirigenti pubblici o per alcune cariche elettive, la pubblicazione del curriculum vitae rappresenta un obbligo di trasparenza. Sono infatti di pubblico interesse le informazioni relative alla carriera, i titoli conseguiti e, soprattutto per i politici, le dichiarazioni patrimoniali. Ma certamente non lo sono il numero di cellulare privato, l’indirizzo di casa, la foto e la firma autografa, che possono essere utilizzati indebitamente e che, quindi, dovrebbero essere oscurati prima della pubblicazione sul web, come indicato anche dalle linee guida pubblicate dal Garante della Privacy.
Situazione aggravata, talvolta, anche dalla presenza della copia digitale della carta d’identità.
Qualche consiglio di autodifesa digitale
Difendere la propria identità è difficile ma non impossibile. Anche perché purtroppo, molti motori di ricerca non effettuano l’estrazione del testo dalle immagini e, quindi, questi documenti non sono rilevabili da una ricerca nominale o attraverso un alert (diverso per i PDF, che vengono invece indicizzati). Per le carte d’identità, ad esempio, possiamo adottare qualche accortezza preventiva per evitarne usi indebiti: usando un software di fotoritocco come The Gimp (gratuito e open source), possiamo inserire del testo sulla scansione della nostra carta d’identità. Inserire, ad esempio, il nome dell’azienda/ente a cui lo stiamo inviando. Questa accortezza ha almeno due vantaggi: la prima è evitare che venga usato per altri scopi, la seconda è sapere da dove proviene il nostro documento indebitamente finito sul web.
Come già citato, anche usare uno strumento di alerting automatico può aiutarci a difendere la nostra identità sul web. Il più noto è sicuramente Google Alerts ma esistono anche altre valide (e gratuite) alternative, come ad esempio TalkWalker: queste piattaforme ci avvisano, via mail, se in qualche pagina o sito web compare il termine che abbiamo inserito nell’alert. Ad esempio, creando un alert con il nostro nome e cognome, ogni qualvolta finiamo da qualche parte nel web, veniamo avvisati: strumento indispensabile per proteggere la nostra reputazione online!
Cosa fare se scopriamo che alcuni nostri dati personali sono finiti in Rete?
La prima cosa da fare è individuare il responsabile per la privacy del sito web (DPO) dove sono presenti i nostri dati e inviare via mail (meglio una PEC!) la richiesta di rimozione (ai sensi degli artt. 16-18 del Regolamento (UE) 2016/679). Qui trovate un modulo di richiesta che potete compilare e inviare:
Nel caso, potete aggiungere in copia conoscenza anche il Garante della Privacy (PEC: protocollo@pec.gpdp.it) a cui, in caso di mancato adempimento entro un ragionevole lasso di tempo (15/30 giorni), potete inoltrare formale reclamo. Se ritenete, inoltre, che la pubblicazione possa arrecarvi particolare danno o mettervi in serio pericolo, consiglio di contattare le autorità per un consiglio sul da farsi.
Conclusioni
Scarsa consapevolezza dei rischi e delle normative da parte di alcuni webmaster e gestori di portali e siti web causa, purtroppo, situazioni spiacevoli come quelle evidenziate. L’Unione Europea, con l’emanazione del Regolamento per la Protezione dei Dati Personali (“GDPR”), ha uniformato le normative nazionali e fornito a tutti i cittadini europei importanti diritti e strumenti per la tutela della propria identità digitale, anche con sanzioni pecuniare importanti per chi non si adegua o contravviene alle normative.
Come cittadini, dobbiamo acquisire maggiore consapevolezza dei diritti che possiamo vantare sui nostri dati e l’importanza di tutelare la propria identità digitale: “noi” siamo anche i nostri dati e proteggerli equivale a proteggere la nostra identità. Facciamolo.