Siti web abbandonati: frequenta un corso di shiatsu poi abbandona la professione. 20 anni dopo, trova i propri dati personali pubblicati sul web ma nessuno riesce più ad accedere alla pagina web per rimuoverli. Interviene il Garante, che sanziona l’editore e fa chiudere il sito web. Una decisione molto importante che deve interessare i provider.
I fatti e il ricorso al Garante Privacy
Un signore (chiamiamolo Mario), decide nel lontano 2003 di seguire un corso per operatore shiatsu; forse era solo curiosità o voleva aprire una nuova attività. Dopo il corso sceglie di lasciar perdere la cosa. Tuttavia, dopo quasi venti anni, scopre che il suo nome è incluso in un portale di operatori shiatsu insieme ad altri operatori, con i suoi dati personali. Si tratta d un sito web abbandonato, come se ne trovano a migliaia. Forse la mail, forse l’indirizzo o altro, e non riesce ad ottenere la cancellazione. Telefonate, raccomandate e altre richieste non hanno dato alcun risultato. Da qui la decisione di Mario di rivolgersi al Garante per la tutela dei propri diritti.
Per saperne di più > Richieste degli interessati: conseguenze di omesse e mancate risposte
L’istruttoria del Garante Privacy
All’esito dell’istruttoria il Garante rilevava che sul sito abbadonato si trovavano quasi duemila “operatori qualificati” dello shiatsu. Dal sito si risaliva alla società editrice ed al suo titolare. Dopo tentativi andati a vuoto finalmente il Garante contattava il legale rappresentante della società editrice. Questo riferiva candidamente che
“il signor XX, cui era stata affidata la gestione del sito, non era in grado di apportare modifiche non disponendo più delle credenziali di accesso nonché di non sapere chi fosse il proprietario del dominio”.
Contattato il signor XX niente cambiava, forse perché lo stesso non disponeva delle chiavi di accesso o altro. Addirittura si chiedeva un intervento della polizia postale dopo aver scoperto che il sito non era aggiornato ben dal 2014.
Le risultanze dell’Istruttoria: il sito web è abbandonato
Il Garante, nel corso dell’istruttoria, ha dovuto sottolineare al legale rappresentante della società editrice, di fatto il titolare del trattamento, come non sia opponibile all’Autorità, agli interessati o a terzi, la circostanza che la gestione del sito fosse stata demandata al signor XX. Solo dopo un complicato iter si giungeva all’oscuramento del sito.
Dalla vicenda è emerso che la società beneficiaria del contenuto del sito ha dimostrato l’incapacità di garantire il rispetto delle norme privacy. Tra l’altro, non ha permesso a Mario di vedere la cancellazione dei propri dati dalla pagina. Tutto era stato demandato al creatore del sito che la stessa società ha definito “responsabile del trattamento” senza fornire documenti di nomina. Questi ha, di fatto, “preso in ostaggio” i dati di chi aveva commissionato il sito.
La cancellazione del sito ha portato all’emissione solo di una sanzione pecuniaria e non di misure correttive. Tra le ragioni a base della decisione del Garante anche il lungo tempo di mancato aggiornamento del sito.
La vicenda impone a molti operatori della rete…
… di chiedersi che cosa “abbiano combinato” in passato con i dati dei loro clienti, utenti e, in generale, di coloro che hanno interagito sui loro siti o sistemi.
Internet è stato già definito, nella sua breve eppur importante esistenza, un cimitero di siti web abbandonati, creati e non più aggiornati magari dopo tentativi di renderli funzionali. Questi siti potrebbero contenere dati direttamente sulle pagine online ovvero nei server o cloud che, come nel caso deciso dal Garante, ben potrebbero essere nella disponibilità di qualcuno che ne ha perso il controllo.
Spesso infatti, purtroppo, si è verificato che imprese, anche strutturate, abbiano affidato la gestione dei loro siti a qualche fornitore esterno a cui hanno demandato anche la registrazione del dominio. Oggi si vuole ben sperare che questa malsana abitudine sia sparita ma, come abbiamo appena visto, è possibile che fantasmi del passato possano essere risvegliati. Internet, non dobbiamo dimenticarlo, ha una memoria infinita ed eterna; ciò vuol dire che tutto quanto immesso online prima o poi può tornare a galla quando meno ce lo aspettiamo e vorremmo.
Per saperne di più > Il 97% dei siti web in Europa non rispetta i requisiti del GDPR
L’episodio dovrebbe far riflettere anche in relazione a dati e consensi raccolti prima dell’entrata in vigore del GDPR. Magari con modalità oggi non più legittime che hanno portato alla creazione di database oggi inutilizzabili perchè mancanti del consenso come oggi richiesto. Le sanzioni possono essere anche salate.