Il tribunale di Milano (forse) mette fuori legge il trashing, ma per le ragioni sbagliate

Frugare nella spazzatura per cercare informazioni su un “bersaglio” è contro la normativa sul trattamento dei dati personali. Ma è veramente così?
di Andrea Monti – PC Professionale novembre 2016

La sentenza emessa il 16 marzo 2016 dalla X sezione del tribunale civile di Milano analizza marginalmente la natura (il)lecita del trashing, il frugare nella spazzatura per acquisire informazioni su un possibile bersaglio, informatico e non, reso famoso nel 1992 dal film Sneakers (in italiano: I signori della truffa) raccontato anche in Spaghetti Hacker.
La sentenza, che ritiene questa pratica contraria alla normativa sul trattamento dei dati personali, è sbagliata perché, come anche fece il Garante dei dati personali quando si occupò di raccolta differenziata, omette di considerare il valore giuridico di “cosa abbandonata” della spazzatura.
Ma andiamo con ordine.
Durante un processo per il risarcimento danni derivante da indagini illecite eseguite dalla funzione security di un’azienda, il tribunale di Milano ha valutato, una per una, la legittimità dei sistemi di investigazione che la security in questione aveva utilizzato (accessi a banche dati pubbliche e, appunto, trashing).
Tralasciando gli altri aspetti del caso, che non riguardano questo articolo, i giudici scrivono a proposito del trashing:

L’attività di recupero dei documenti gettati nei cestini della spazzatura non ha avuto pratica e rilevante diffusione, né concreti sviluppi penali, pur se è giustificabile una preoccupazione … tuttavia qualificabile come un turbamento dello stato d’animo, senza implicazioni psicologiche di importante valenza lesiva, neppure emerse.

In altri termini: in concreto il trashing non ha provocato diffusione di dati personali o danni di altro tipo, e quindi non è rilevante. Ma allora, ragionando al contrario, si può affermare pure che se la diffusione di informazioni ci fosse stata, allora frugare nella spazzatura sarebbe stato un atto in violazione della normativa sul trattamento dei dati personali.
L’approccio del tribunale di Milano è analogo a quello del Garante dei dati personali che nel 2005 si preoccupò nientemeno che dei sacchetti della spazzatura perchè – come dichiarò in un comunicato stampa:

Le lettere d’amore, le bollette, gli estratti conto, le confezioni medicinali che decidiamo di buttare nei nostri rifiuti non devono finire nelle mani di chiunque o essere esposti a sguardi indiscreti – afferma Giuseppe Fortunato, relatore del provvedimento – perché sono tutte informazioni che fanno parte di noi, della nostra identità. Da esse si può capire molto dei nostri gusti, delle nostre preferenze, dei nostri stili di vita, del nostro stato di salute. Quindi, sì ai controlli per sanzionare chi non rispetta la raccolta differenziata, no a indebite invasioni nella nostra privacy.

Benché, intuitivamente, si potrebbe condividere l’approccio delle due autorità, una riflessione più attenta arriva a conclusioni opposte.
Bisogna infatti ricordare, innanzi tutto, l’istituto giuridico della “res derelicta” – la cosa abbandonata – che l’Enciclopedia Treccani definisce come una cosa che sia stata abbandonata dal legittimo proprietario con l’intenzione di rinunciare alla sua proprietà, e possa quindi divenire oggetto di occupazione da parte di terzi.
Bisogna poi tenere in conto che il Codice dei dati personali impone di distruggere i documenti per noi rilevanti e che il Codice della proprietà industriale e intellettuale impone l’adozione di adeguate misure di sicurezza per proteggere segreti aziendali.
Dunque, quando buttiamo un documento senza distruggerlo stiamo esplicitamente rinunciando alla tutela legale delle informazioni che contiene e non possiamo lamentarci se qualcuno se ne impadronisce.
D’altra parte, sia il diritto alla privacy, sia quello al trattamento dei dati personali non sono dei diritti di rango superiore a tutti gli altri. In più occasioni, infatti, la Corte di cassazione ha affermato che in luoghi pubblici non c’è una “reasonable privacy expectation” e il Testo unico delle leggi di pubblica sicurezza vieta da sempre di circolare a volto coperto (come invece dovrebbero fare i “veri” sostenitori della privacy).
Se, poi, analizziamo la “questione trashing” dal punto di vista della sicurezza IT, il fatto di buttare fogli e appunti pieni di password, numeri IP, configurazioni e numeri di telefono ci porta a concludere che – in termini giuridici – è colpevole chi lascia scappare queste informazioni, non chi le raccoglie.
Dobbiamo concludere, allora, che sulla base di questo ragionamento, il trashing sia legale?
La risposta è che il trashing non è nè legale nè illegale. E’ semplicemente un modo di commettere atti illeciti.
Sanzionare il trashing in quanto tale equivale a punire l’uso di una pistola per uccidere una persona, invece dell’omicidio a prescindere dal modo in cui è stato commesso: ennesimo esempio di criminalizzazione del mezzo invece del fine tanto caro a chi teme – o non capisce – la tecnologia.
E’ veramente difficile – concludendo – capire perché, invece di applicare un po’ di sano buon senso e proteggere ciò che si vuole tenere per se stessi, ci si lamenti delle conseguenze della propria superficialità chiedendo l’intervento della Legge.

Possibly Related Posts: