Sim Swap Fraud: una frode telematica bancaria estremamente insidiosa
12 Maggio 2020
Edge Computing, 5G e aspetti di vulnerabilità delle nuove architetture di rete
14 Maggio 2020

Tutela dei dati personali: tornare ai fondamentali

In questo periodo di clausura, ahimè, la mente continua a pensare in maniera sregolata.

Si naviga in internet, sui social e mi sono accorto di quante cose vengono dette solo per il gusto di farsi notare o di parlare.

In questi giorni pullulano gli esperti e tutti sono diventati conoscitori approfonditi della materia “privacy”: vorrei, allora, condividere il mio modesto contributo per riportare alla consapevolezza dei punti fondamentali che regolano la materia.

Il momento permette di giocare in famiglia con molte cose.
Avete mai giocato con i mattoncini Lego®? (Io tanto; e adesso, chiuso in casa, molto di più).
Avete mai giocato con Minecraft®?

Cos’hanno in comune queste cose? Forse il fatto che, per fare una costruzione Lego® o per superare un livello di Minecraft®, dobbiamo partire dalle basi.

Nell’ambito della tutela dei dati personali, le basi sono sintetizzabili come segue.

Riferimenti normativi e costituzionali

Partiamo dalla Carta dei diritti fondamentali dell’Unione europea. L’articolo 7, Rispetto della vita privata e della vita familiare, recita:
“Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni”.  

Mentre l’art. 8 – Protezione dei dati di carattere personale – prevede che:

  1. “Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.
  2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.
  3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente”.

Secondo l’art. 2 della Costituzione italiana:
La Repubblica riconosce e garantisce i diritti inviolabili dell’uomo, sia come singolo, sia nelle formazioni sociali ove si svolge la sua personalità, e richiede l’adempimento dei doveri inderogabili di solidarietà politica, economica e sociale”.

Ecco i famosi mattoncini che servono per le costruzioni. Ma facciamo un passo avanti: tentiamo un approccio diverso, partendo non dalla base ma dal vertice. Possiamo anche chiamare in causa il metodo scientifico di Galileo o il problema sottoposto a Fibonacci.

Immaginiamo un cono e non una piramide, in quanto il percorso sui lati è formato da una linea spezzata chiusa, mentre in un cono è una curva senza soluzione di continuità.

Sul vertice poniamo gli assunti base che sono degli assiomi e non dei teoremi (i teoremi devono essere dimostrati, gli assiomi no).

Gli assunti sono gli articoli citati sopra: tutti noi abbiamo diritto alla tutela dei nostri dati personali, i dati sono la proiezione del nostro essere, della nostra immagine, delle nostre attività, del nostro io e, talvolta, anche un’appendicite che deve essere rimossa (cancellazione, diritto all’oblio).

Se avessimo vinto il primo premio milionario ad una lotteria, terremmo nascosta l’informazione, magari per paura, per non farla conoscere ad altri (lo Stato, gli amici o i parenti). Invece non ci preoccupiamo se qualcuno viene a conoscenza dei nostri dati sanitari.

Proviamo allora a ragionare partendo dal vertice del cono e quindi utilizzare i mattoncini dall’alto verso il basso.

Il vertice è l’assioma; scendendo, il cono si allarga (come la serie di Fibonacci), vengono quindi introdotte altri parametri che possiamo definire giuridici e tecnici.

Questi tutelano la nostra persona ma devono essere figli dell’assioma precedente. A loro volta questi due parametri si dividono in altre strade.

Ad esempio, la parte giuridica apre le strade alle leggi, decreti, regolamenti (GDPR), normative che traducono (non sempre correttamente) gli assunti base; la parte tecnica supporta la sicurezza delle azioni derivanti dagli assiomi, attraverso l’implementazione tecnologica e il rispetto della riservatezza, disponibilità e integrità delle informazioni.

Tutte e due si dividono ancora in molteplici stradine (un po’ come i capillari del nostro corpo) per arrivare al più fine dettaglio.

Ma è pericoloso partire dalla base perché, essendo il percorso lungo, si rischia di dimenticare quale è il vero spirito che ci sta guidando, che sono sempre gli assunti fondamentali. Se guardiamo la microparte del capillare del nostro corpo e ci focalizziamo solo su quella zona, rischiamo di dimenticarci che il sangue va ossigenato (tramite i polmoni) e che deve circolare (tramite il cuore) con la completa interazione di tutto il sistema corpo umano. È necessario un approccio etico e olistico.

Vorrei allora invitare a riflettere sul fatto che tutte le attività possono essere lodevoli ma non si deve mai dimenticare lo scopo, il perché, il come (rispetto normativo, adozione misure di sicurezza), che deve soddisfare i principi sopra enunciati; si rischia di cadere in un attivismo che aumenta l’entropia senza avere basi, o nel nostro caso senza un vertice solido.

L’importanza della consapevolezza

In tutto ciò non bisogna dimenticare un altro elemento di fondamentale importanza, e non solo quando si discute della tutela dei dati personali, che può ben essere rappresentato da una di quelle linee che scorrono lungo il cono di cui sopra. Mi riferisco alla consapevolezza, termine troppo spesso dimenticato e sottovalutato. In psicologia, la consapevolezza (awareness in inglese) intende la capacità di essere a conoscenza di ciò che viene percepito e delle proprie risposte comportamentali. Si tratta di un processo cognitivo distinto da sensazione e percezione che può assumere molte sfaccettature a seconda dei termini, modi e contesti in cui viene utilizzato.

Inoltre, il concetto di consapevolezza è relativo e individuale; per meglio esprimere questi ulteriori concetti voglio parafrasare la mia riflessione con il seguente esempio. Il titolare del trattamento è obbligato a informare l’interessato in merito ai termini e modalità del trattamento a cui i dati personali saranno sottoposti. Supponiamo una informativa neutrale, né troppo specifica né troppo superficiale; che in pratica comunica il minimo indispensabile senza tralasciare alcun aspetto primario ma altresì senza entrare nello specifico del trattamento. La mia consapevolezza può valutare, in base a queste informazioni, il rischio intrinseco in una certa maniera, su una scala da 1 a 10, con il valore di 4. Nel momento in cui però l’informazione perdesse di valore, la mia consapevolezza che i dati in possesso del titolare possano subire una violazione aumenterebbe. Allo stesso modo, se l’informazione fosse più dettagliata, il grado di soglia del pericolo percepito diminuirebbe ulteriormente.

Questi due principi, pertanto, esplicano ulteriormente i concetti qui esposti. Tutte le norme, le leggi e i regolamenti che possono essere emanati con il nobile scopo di tutelare i diritti dell’interessato non riescono a raggiungere pienamente l’obiettivo prefisso se non riescono a risvegliare la consapevolezza nel singolo individuo. Come fare a ottenere questo semplice ma fondamentale risultato? Semplicissimo, informando!

L’esempio di cui sopra ha semplificato quanto un alto livello di informazione possa fare spostare, anche pesantemente, l’ago della bilancia della consapevolezza.

In questo senso, il suggerimento indirizzato a entrambe le parti coinvolte è quello di redigere note informative che tali siano nei contenuti e nei modi, che per una volta ci si dimentichi del copia/incolla e che si comunichi in maniera semplice, chiara e concisa il trattamento e le peculiarità a cui i dati personali saranno sottoposti. Come consigliato anche dal legislatore, tenere ad esempio conto delle caratteristiche delle utenze che andranno a leggere la nota informativa: per cui anche grandezza del carattere, stile, utilizzo di icone sono elementi importanti.
Questo suggerimento è particolarmente rilevante in caso di comunicazioni indirizzate a giovani o ad anziani.

La clientela di un ottico ha già di per sé problemi di vista, per cui utilizzare una nota informativa e la raccolta dei consensi a trattamenti particolari scritta con carattere “8” potrebbe non invogliare il cliente alla lettura, con la conseguenza che il livello di consapevolezza si abbasserebbe nettamente. Un negozio che vende apparecchi acustici ha una clientela per lo più anziana, per cui sarebbe etico scegliere, oltre al carattere, anche uno stile piuttosto semplice e scorrevole, magari corredato da icone semplificative.

Gli esempi potrebbero continuare all’infinito ma questo importante messaggio dovrebbe partire proprio dai consulenti, che giocano un ruolo fondamentale in questa fase di sensibilizzazione del titolare del trattamento.

L’ augurio è pertanto che una nota informativa redatta in base ai canoni sopra esposti possa invogliare una più attenta lettura, affinché il grado di consapevolezza metta gli interessati in condizione di prendere una decisione obiettiva.

Conclusioni

In questo ultimo periodo il rapporto consapevolezza/informazione è stato all’ordine del giorno, da quando in molti si sono sbizzarriti in indagini di mercato sulla volontà di “rinunciare alla privacy” pur di riuscire a contenere la pandemia da COVID-19.

Innanzitutto, mi chiedo di quale privacy si stia parlando: il discorso verte su un trattamento automatizzato e su larga scala di categorie di dati particolari, non proprio cosa da poco conto.

Inoltre, se non è stata fornita un’informativa in merito al trattamento a cui i dati saranno sottoposti, come posso decidere se sarei pronto a “rinunciare alla privacy”? Con quale grado di informazione e consapevolezza prenderei la mia decisione?

L’informazione va a braccetto con la consapevolezza e, fintantoché le parti coinvolte non percepiranno fino in fondo questo semplice ma fondamentale principio – che mi piace definire un assioma del trattamento e tutela dei dati personali –, si continuerà a parlare di “rinuncia alla privacy”.

 

Articolo a cura di Stefano Gorla e Augusto Bernardi

Stefano Gorla è nato a Milano, si è laureato in fisica nucleare presso l’Università di Padova. Ha insegnato per qualche anno Matematica e Fisica presso alcuni licei.

Da anni si occupa di privacy e sicurezza dei dati attraverso un approccio sistemico e olistico.
Consulente e formatore in ambito sicurezza e tutela dei dati e delle informazioni e relatore in numerosi convegni.

Auditor ISO 27001, DPO Certificato FAC Certifica, NIST Specialist Certificato Fac Certifica, Certificato COBIT5 ISACA, Master EQFM.
Ha maturato notevoli esperienze come Referente Privacy (DPO) e consulente in tali ambiti.
È autore di varie pubblicazioni sul tema.

Augusto Bernardi, nato a Bressanone (BZ), ha seguito un ciclo di studi in giurisprudenza e diritto internazionale presso l’Università di Innsbruck (A). Dopo un'esperienza nel modo assicurativo e finanziario si è dedicato alla consulenza normativa, giuridica e di protezione dei dati delle cooperative di distribuzione elettrica e centrali di teleriscaldamento della Provincia di Bolzano.

Negli ultimi anni si è dedicato all’approfondimento delle conoscenze della nuova regolamentazione europea in materia di protezione dei dati e opera come consulente privacy e responsabile per la protezione dei dati per numerose aziende dell’Alto Adige.

Formatore e relatore in ambito sicurezza e tutela dei dati per le aziende e organizzazioni pubbliche, è DPO Certificato UNI 11697 da FAC Certifica.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy