Un recente caso giudiziario in Francia ha acceso il dibattito sull’utilizzo di strumenti ICT pensati per uso non professionale (account gratuiti personali).
Un legale francese ha adottato un account Gmail gratuito, e come spesso accade ha finito per usarlo sia a fini personali che professionali (quindi per la sua attività forense).
Nello svolgimento delle sue attività lavorative come penalista, ha pensato bene di usare lo spazio correlato all’account gmail gratuito (Google Drive) per “archiviare” i casi seguiti, tra i quali un procedimento di un suo assistito per pedopornografia; nella cartella dedicata, sono stati caricati anche 77 immagini del procedimenti penale, contenenti immagini di minori a carattere pedopornografico.
Google, attraverso un procedimento di controllo automatizzato, ha rilevato tali contenuti (ovviamente vietati dai termini contrattuali del servizio) e bloccato tutto l’account, compreso posta elettronica e dati corollari del servizio.
Essendo Google basata in USA, e quindi soggetta in primis (anche) alla normativa americana, ha segnalato l’account ed inviato i relativi contenuti all’ente americano NMEC – National Center for Missing and Exploited Children.
Di fronte alla sospensione, l’avvocato ha fatto causa a Google France e Google Ireland, chiedendo la riattivazione del suo account e un risarcimento di 200.000 euro per danni professionali, indicando che tale dossier era da esso detenuto legalmente per l’esercizio del diritto di difesa del suo assistito.
Purtroppo per il legale (ed il suo ordine professionale che lo sosteneva), sia il tribunale parigino che successivamente la Corte d’appello hanno confermato la legittimità delle azioni di Google, stabilendo che:
- Le condizioni d’uso di Google vietano assolutamente il possesso di materiale pedopornografico, anche se legalmente detenuto per motivi professionali.
- Google ha il diritto (ed in alcuni casi il dovere) di segnalare questi contenuti alle autorità competenti americane e/o europee.
- Non è compito di Google verificare se un utente possiede un documento per fini leciti o illeciti.
Inoltre, la Corte d’appello ha parallelamente obbligato Google a restituire solo le email e i contatti del legale, riconoscendo quindi il suo diritto alla portabilità dei dati, garantito dal GDPR.
L’Errore Fondamentale: Usare Google Drive per Dati professionali, specialmente qualora di carattere estremamente sensibile.
Uno degli elementi critici del caso I.B. è il fatto che l’avvocato abbia utilizzato un servizio destinato a usi personali per l’archiviazione di documenti professionali riservati.
Questo solleva diverse problematiche, quali:
- Violazione delle condizioni d’uso: Google Drive e Gmail sono progettati per utenti privati e, anche se portroppo ampiamente utilizzati in ambito professionale, non offrono le garanzie legali e contrattuali necessarie per la gestione di dati sensibili. Un avvocato che archivia su Google Drive un dossier legale contenente prove, testimonianze o documenti confidenziali sta potenzialmente violando le policy del servizio, destinato ad attività personali.
- Assenza di garanzie di riservatezza: Google esegue scansioni automatiche dei contenuti per individuare materiale illecito. Questo significa che i file caricati non sono realmente privati e possono essere soggetti a controlli automatici o manuali, mettendo a rischio il segreto professionale.
- Obblighi deontologici: Gli avvocati hanno il dovere di proteggere la riservatezza dei loro clienti. Affidare dati a un servizio di cloud pubblico senza una solida crittografia o senza un accordo specifico che garantisca il rispetto delle normative europee potrebbe costituire una violazione delle norme deontologiche.
- La questione della portabilità e del controllo sui dati: La sospensione dell’account ha dimostrato che dipendere da un servizio consumer può essere un rischio enorme per un professionista. Un’interruzione arbitraria può tradursi nell’impossibilità di accedere a dati vitali per lo svolgimento della professione.
Inoltre, Il GDPR impone che, quando un titolare del trattamento (Data Controller) affida dati personali a un fornitore di servizi, quest’ultimo deve essere formalmente designato come Responsabile del trattamento (Data Processor) mediante un contratto conforme all’art. 28 GDPR.
Nel caso di I.B., che esercitava la professione di avvocato, è legittimo porsi alcune domande fondamentali:
In assenza di un accordo formale, il trasferimento di dati personali a Google Drive potrebbe costituire una violazione del GDPR?
Google è mai stato formalmente nominato come Responsabile del trattamento?
Per i servizi consumer come Gmail e Google Drive (gratuiti), Google non si qualifica come Responsabile del trattamento perché fornisce il servizio in qualità di Titolare autonomo (Data Controller).
Questo significa che l’avvocato non aveva alcun controllo sui trattamenti effettuati da Google e, quindi, non poteva legittimamente affidare dati personali (ancor più sensibili) alla piattaforma.
Google non accetta di svolgere il ruolo di Data Processor per i suoi servizi consumer, in quanto – nei termini di servizio di Gmail e Google Drive in versione gratuita che nessuno legge – specifica di agire come Titolare autonomo e non fornisce un Data Processing Agreement (DPA) per questi servizi.
Solo con Google Workspace (a pagamento) è possibile stipulare un DPA conforme all’art. 28 GDPR, che garantisce che Google agisca come Responsabile del trattamento.
Quindi, l’avvocato poteva archiviare dati personali e documenti giudiziari su Google Drive senza un DPA?
No. Secondo il GDPR, i dati personali di terzi (clienti, testimoni, minori, ecc.) non possono essere affidati a un fornitore che non è formalmente vincolato da un contratto conforme.
L’avvocato, in qualità di Titolare del trattamento (DATA Controller), aveva l’obbligo di garantire che Google operasse sotto istruzioni precise, cosa impossibile in assenza di un DPA e di un contratto giuridicamente valido (peraltro evidenziato dalla Corte francese).
Ricordiamo ancora una volta che l’utilizzo di strumenti gratuti, riservati a scopi personali, non è compliant alla normativa data-protection.
Anche per questo, i nostri mailserver sono configurati per non ricevere posta elettronica da servizi non professionali o aventi caratteristiche di sicurezza (protocolli crittografici) inadeguate, oppure errate od assenti configurazioni spf – dkim- dmarc.