“La gestione della posta elettronica istituzionale del Comune di Aprilia è al vaglio del garante della Privacy e l’amministrazione comunale dovrà fornire entro il 31 ottobre prossimo spiegazioni all’Autorità competente sulle modalità di assegnazione delle credenziali di autenticazione per l’accesso alla posta elettronica, ovvero la password. Evidentemente la mia segnalazione non era proprio campata in aria. Il Comune di Aprilia provveda piuttosto ad adeguarsi alle norme che disciplinano il Codice di protezione dei dati personali e a gestire con professionalità la comunicazione e il sito istituzionale dell’ente.”
La consigliera comunale di Sel, Rifondazione e Primavera Apriliana Carmen Porcelli ha ricevuto ieri pomeriggio per conoscenza la comunicazione di richiesta informazioni dal Garante per la Privacy per la Procedura di gestione delle credenziali di autenticazione alla casella di posta elettronica istituzionale. L’autorità che interviene sul rispetto della privacy dei cittadini ha infatti accolto la segnalazione dell’esponente del centrosinistra ed ha avviato la procedura di accertamento.
“Qui parliamo del mancato rispetto di una norma – ha esordito il consigliere di Sel – che può avere ripercussioni più ampie di quel che si pensa, poiché in questa maniera non solo viene violata la privacy del consigliere comunale, il quale volesse gestire la propria corrispondenza in maniera anche impropria avrebbe comunque a disposizione un account privato personale con altro diverso da aruba, ma anche quella di un cittadino che volesse segnalare ad un amministratore un disservizio, una notizia: chiunque può entrare nel mio indirizzo di posta elettronica. Allora che senso ha averne uno personale? Non voglio credere che ci sia il dolo, sarebbe davvero deprimente, ma molta improvvisazione sì, questo sì.
“Ben due segnalazioni, la prima ad ottobre 2013 inviata per conoscenza anche in Procura e la seconda a febbraio di quest’anno – scrive in una nota la consigliera comunale di Sel, Rifondazione e Primavera Apriliana Carmen Porcelli – per segnalare quello che a mio avviso, ma perché lo dicono le norme che disciplinano la materia, era un abuso della segretezza e della privacy dei consiglieri. Ciascun consigliere comunale ha a disposizione un indirizzo di posta elettronica con il proprio nome per ricevere comunicazioni istituzionali, come le convocazioni dei consigli comunali e delle commissioni, oppure inviti per eventi istituzionali (a dire il vero pochi). L’indirizzo di posta elettronica è personale, è composto dal nome del consigliere comunale, ed è pertanto necessario che ciascuno inserisca una password – modificandola con frequenza – personale. A me è stato invece comunicato che la password non è possibile modificarla, tanto che è stata la società che gestisce il sito, a comunicare al presidente del consiglio – a me per conoscenza – la nuova password di accesso dopo che avevo inutilmente cercato di cambiarla. Ho anche chiesto ad un esperto ma lo stesso mi ha comunicato, cosa confermata dagli uffici comunali, che era impossibile modificarla.”
“Nessuno in questi mesi dal comune, pur essendo nota la mia informativa al Garante – dice ancora la consigliera comunale del centrosinistra – mi ha chiamata per avere chiarimenti, anche perché paradossalmente non esiste un amministratore, un responsabile della gestione del servizio; ma neanche la parte politica. La reazione alla mia nota è stata quella di fare spallucce. Non ci si può arrogare la presunzione di rappresentare la legalità e la trasparenza quando si ignorano le norme. Questa è appunto solo presunzione.”
Altro nodo da sciogliere questo da parte dell’Amministrazione, la quale entro il 31 Ottobre è chiamata a rispondere obbligatoriamente ad una richiesta di informazione pervenuta da parte del Garante della Privacy, che ha valutato la segnalazione del consigliere Carmen Porcelli sulla presunta violazione del “Codice in materia di protezione dei dati personali”.
Secondo i dettami del Disciplinare Tecnico in materia di misure di sicurezza infatti: “Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l’autenticazione. Inoltre agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato.
La parola chiave, infine, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.” (Disciplinare Tecnico in materia di misure di sicurezza, Allegato B al Codice).
Melania Orazi