adv

Ironia della sorte, nel giorno in cui il Regolamento sulla privacy europeo inizia ad esplicare i suoi effetti, il nuovo sito istituzionale “Impresa in un giorno” creato allo scopo di facilitare le comunicazioni tra imprese e PA, viene messo sotto accusa dal “Fatto Quotidiano” che ha scoperto un data-breach del sistema che permetterebbe di acquisire i dati personali di tutti gli iscritti alla piattaforma.

A cosa serve il portale

Il sito permette agli imprenditori di svolgere tutti gli adempimenti burocratici on-line, come ad es. la richiesta di autorizzazioni, senza doversi recare fisicamente presso gli sportelli delle varie amministrazioni; in ottemperanza dell’obbligo imposto alle PA di dotarsi di uno Sportello unico delle attività produttive (Suap) telematico. La sua creazione è il frutto della collaborazione tra Infocamere, Union Camere e Associazione dei Comuni (Anci). Il Database della piattaforma contiene i dati anagrafici di numerosi imprenditori italiani, i quali dovrebbero essere fortemente tutelati soprattutto alla luce dei nuovi obblighi e sanzioni imposte dal GDPR in tal senso.

Le falle del sistema

L’inchiesta del Fatto Quotidiano ha svelato, attraverso un piccolo test, le carenze strutturali della piattaforma. Il primo punto critico, viene riscontrato al momento della registrazione, secondo il codice dell’amministrazione digitale (CAD), invero, l’accesso ai servizi della PA dovrebbe essere possibile soltanto attraverso l’utilizzo di sistemi di autenticazione, come ad es. SPID, ma il sito in questione, invece, permette l’accesso indiscriminato a chiunque. Difatti, il giornalista che ha condotto l’inchiesta si è registrato utilizzando i dati anagrafici di Edward Snowden (ex tecnico della CIA che svelò l’utilizzo indiscriminato che il Governo americano faceva delle intercettazioni).

Però non è questa la falla del sistema più grave. La piattaforma utilizza un sistema di compilazione automatica dei moduli che consente all’imprenditore di utilizzare semplicemente il codice fiscale dell’azienda per la redazione dei suddetti documenti. La falla più grande del sistema nasce proprio in questo momento, in quanto per legge tutte le aziende sono obbligate a rendere pubblico il proprio codice fiscale, il giornalista utilizzando il codice fiscale di NTV – Italo treno è riuscito ad ottenere facilmente tutti i dati anagrafici di Luca Cordero di Montezemolo. Questo sistema, secondo l’inchiesta, può essere usato all’infinito ottenendo così i dati anagrafici dei maggiori imprenditori italiani. Come se ciò non bastasse la piattaforma istituzionale permette anche di scaricare, copiare ed inoltrare i suddetti dati. UnionCamere responsabile del servizio, è stata prontamente informata delle suddette problematiche, prima dell’uscita dell’inchiesta, in modo da permetterle di effettuare i dovuti interventi di messa in sicurezza della piattaforma.

Il caso della piattaforma “Impresa in un giorno” rappresenta la prima violazione del nuovo principio di accountability, introdotto dal Regolamento europeo in materia di protezione dei dati personali, quest’ultimo impone, a tutti i titolari di trattamento, adottare tutte le misure necessarie affinché i dati personali in loro possesso siano tutelati adeguatamente. La violazione di questo principio comporta l’irrogazione da parte del Garante della privacy di multe salatissime, che possono raggiungere l’importo di 20 milioni di euro, o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente.

Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.