L’evoluzione tecnologica ha modificato i classici metodi di comunicazione e interazione sociale, che ad oggi risultano caratterizzati da un’estrema facilità di scambio di informazioni in tempo reale e permettono di essere sempre “connessi”, grazie ai diversi dispositivi elettronici che fanno ormai parte della nostra quotidianità.
Quello che viene definito “l’accesso alla rete” non soltanto garantisce la possibilità di comunicare a grandi distanze, ma rende al contempo i nostri dati personali estremamente vulnerabili, con la conseguenza di poter essere controllati virtualmente in ogni istante o, ancor peggio, subire importanti violazioni della privacy: tale possibile minaccia ha allarmato sia la società civile che le Istituzioni politiche di tutti gli Stati del sistema internazionale, che hanno – di conseguenza – sentito il bisogno di attuare delle politiche di protezione ed al contempo di contrasto ad eventuali lesioni del diritto alla riservatezza dei dati personali.
Nasce così la Cyber Security (la sicurezza informatica) volta a proteggere tanto il singolo individuo quanto le grandi realtà, dalle imprese ai governi mondiali, tra le cui strategie d’azione di sicurezza virtuale fa parte il cosiddetto “Captatore informatico” o “Trojan di Stato”, un malware (programma informatico usato per disturbare le operazioni svolte da un computer) che viene inserito in dispositivi quali tablet, pc e cellulari per monitorare le informazioni contenute al loro interno e svelare presunti reati di estrema gravità.
Nel caso italiano, il Trojan di Stato viene identificato quale mezzo di ricerca della prova, utilizzato per la prima volta dai carabinieri di Palermo nel 2004 e che si distingue dagli altri strumenti di sorveglianza poiché, da un lato, può essere installato ed attivato su un qualsiasi dispositivo così da intercettare in modo occulto, dall’altro permette di svolgere una serie di azioni altamente intrusive come la copia dei dati registrati, la registrazione di telefonate e videochiamate, l’attivazione di telecamera e microfono in modo autonomo rispetto all’effettivo titolare.
Il captatore sfrutta i cosiddetti 0day, ovvero le vulnerabilità non pubblicamente note, inserendosi all’interno di software cifrati presenti nei dispositivi informatici; alcuni fra tali captatori si autodistruggono mentre altri rimangono nel dispositivo, senza però destare alcun sospetto circa la loro presenza.
Nel campo della legislazione italiana, l’uso di un tale strumento di captazione viene garantito dall’art. 234 bis del Codice di Procedura Penale in tema di prova documentale, ai sensi del quale «è sempre consentita l’acquisizione di documenti e dati informatici conservati all’estero, anche diversi da quelli disponibili al pubblico, previo consenso, in quest’ultimo caso, del legittimo titolare».
In ambito europeo ed interstatale, invece, la necessità di garantire una cooperazione internazionale relativa allo scambio di dati informatici ha portato l’Unione Europea ad elaborare dei regolamenti specifici cui gli Stati membri devono adeguare le loro normative nazionali per il contrasto alle attività di matrice terroristica come di criminalità organizzata.
In tal senso, gli sforzi raggiunti a livello comunitario sono rappresentati dal Regolamento UE 2016/679, il GDPR (General Data Protection Regulation), la cui particolarità sta nel fatto che la sua applicazione non riguarderà esclusivamente i cittadini dei Paesi europei, ma anche gli enti che risiedono al di fuori di questi; al fine di garantirne una corretta applicazione, il testo normativo predispone innanzitutto una ben specifica definizione del Dato personale, inteso come “qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale che pubblica … come nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer”.
Il GDPR del 2016 è stato poi modificato dal Regolamento Europeo Privacy UE 2017/679, in vigore dal prossimo 25 maggio 2018 – GDPR/18 -, data a partire dalla quale le imprese e le amministrazioni pubbliche dovranno adeguarsi alle disposizioni previste per il rispetto del Codice della Privacy.
Il nuovo testo descrive nel dettaglio il processo di data protection, nonché il modo in cui i dati personali di ogni soggetto debbano essere trattati e protetti. Nello specifico, il trattamento dei dati dovrà seguire uno schema chiamato “trattamento by design” in base al quale i diritti dei soggetti interessati dovranno essere gestibili in ogni fase del ciclo di trattamento dei Dati personali online e nei sistemi informatici (diritto all’oblio delle informazioni personali su internet, diritto alla cancellazione delle stesse informazioni personali).
Il controllo dell’applicazione delle nuove regole informatiche verrà garantito dall’introduzione di nuovi obblighi, fra cui il DPIA (Data Protection Impact Assessment) che monitorerà in modo sistematico il trattamento dei dati sensibili e ad elevato rischio.
Il GDPR in Italia sostituisce l’attuale Codice della Privacy (D.Lgs. n. 196/2003) ed entro il 25 maggio 2018 tutti gli Stati membri dovranno essere conformi a quanto disposto dal testo, pena forti sanzioni. Per adeguarsi alle disposizioni del Regolamento Europeo, lo Stato Italiano e segnatamente l’Autorità Garante per la protezione dei dati personali hanno predisposto una vera e propria guida alla sua applicazione (da sottolineare il fatto che questa è e sarà soggetta a mutamenti, viste le ulteriori modifiche che probabilmente verranno apportate al Regolamento stesso fino alla data della sua futura entrata in vigore) per i soggetti pubblici e privati cui il Regolamento è rivolto.