Dettaglio news
Il GDPR come possibile barriera al furto di identità


venerdì 20 marzo 2020
Avv. Gianni Dell’Aiuto





E’ stato ormai detto a più riprese ed è ormai una certezza assoluta: i dati personali sono il bene più prezioso e ricercato su tutti i mercati mondiali e il loro valore è nettamente superiore a quello dell’oro e del petrolio: sono la benzina del mercato on line, quello che già è e sarà ancor di più, il motore trainante. Pertanto, come tutti i beni importanti, devono essere oggetto di tutela e protezione; ovviamente ognuno deve proteggere i propri dati, ma chi riceve dati altrui e ne è depositario, a causa del proprio lavoro o dovere istituzionale, deve farsi carico di questa protezione

Potremmo dire che è questo uno dei principi e corollari che hanno portato il legislatore europeo ad emanare il GDPR che, perlomeno nelle intenzioni, dovrebbe essere uno degli strumenti che servono ad impedire il furto di dati che, spesso, si sostanzia in un successivo furto di identità. Già il legislatore del 1930 aveva previsto come reato la sostituzione di persona, punita con la reclusione fino ad un anno. Chissà cosa avrebbe fatto, chi ha scritto il codice, se fosse stato nella possibilità di vedere i futuri metodi invasivi per sostituire qualcuno.

La giurisprudenza si è già pronunciata: ad esempio è stata ritenuta colpevole di sostituzione di persona una donna che aveva inserito le iniziali del nome ed il numero di telefono della ex datrice di lavoro in una chat erotica, facendole ricevere, anche in ore notturne, chiamate e messaggi provenienti da utenti interessati ad incontri. I giudici hanno ravvisato in questo comportamento inganni relativi alla vera essenza di una persona, la sua identità e attributi reali che, oltretutto, hanno oltrepassato la cerchia di uno specifico destinatario, ledendo addirittura la pubblica fede. Ma questo è solo uno degli innumerevoli esempi ravvisabili nella casistica. Sono state emesse condanne per lo stesso reato nei confronti di chi aveva aperto falsi account per effettuare acquisti online o farli porre a carico di un’altra persona. E questo è stato solo l’inizio.

Da qui le considerazioni che, inserite nelle premesse del GDPR, hanno portato all’emanazione di una disciplina che ha come sua ragione principale quella di offrire una forma di protezione dei dati omogenea per l’intera Unione Europea. In Italia ce ne eravamo comunque già occupati nel 2010 quando, nell’attuare la direttiva CEE per il credito al consumo, si definiva furto di identità l’impersonificazione totale o occultamento totale della propria identità mediante utilizzo indebito di dati relativi all’identità e al reddito di un altro soggetto. Si definiva anche l’impersonificazione parziale come l’occultamento parziale della propria identità mediante l’impiego, in forma combinata, di dati relativi alla propria persona e l’utilizzo indebito di dati relativi ad un altro soggetto. IL tutto era limitato all’ambito di una specifica normativa, ma il dato appare esaustivo e significativo.

Esistono altre fattispecie, come nel caso del Cyberbullismo: in questa sede si intende evidenziare il fenomeno “furto d’identità” nella sua correlazione con il tema della protezione dei dati personali, anche perché il furto di questi ultimi è sempre conseguenza di un data breach. 

Ecco quindi che, nei suoi considerata iniziali, il GDPR precisa che tra le ragioni alla sua base sono considerati i rischi per i diritti e le libertà delle persone che possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale. In particolare nei casi in cui il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo. E’ del resto chiaro e intuitivo come una violazione dei dati personali possa provocare danni fisici, materiali o immateriali alle persone fisiche, con riferimento proprio a furto o usurpazione d’identità. Ne possono derivare perdite finanziarie, pregiudizio alla reputazione, perdita di dati protetti da segreto professionale nonché ogni altro danno economico o sociale alla persona interessata.

Ecco quindi che la normativa europea, imponendo ai Titolari, detentori dei dati, i doveri di protezione e tutela, di fatto si occupa della salvaguardia e della sicurezza dei singoli. Le conseguenze di perdite di dati li abbiamo già visti, ad esempio, nei casi di Cambridge Analytica, ma immaginiamo che cosa potrebbe fare, con i nostri dati, e potendo sostituirsi a milioni di persone, un hacker veramente malintenzionato. 




CONDIVIDI QUESTA PAGINA!