BIG DATA E PRIVACY – IL NUOVO GDPR

BIG DATA E PRIVACY – IL NUOVO GDPR

Il 30 gennaio scorso il garante per la protezione dei dati personali ha organizzato una giornata europea sui big data e il loro impatto sulla privacy. I temi che sono stati dibattuti dopo la presentazione e le considerazioni avanzate dal professor Soro, attuale presidente dell’autorità garante, hanno riguardato la nuova economia che si fonderà sul trattamento dei dati , come essa li utilizzerà, profilando gli usi e le abitudini dei consumatori e dei cittadini, quali mutazioni e rischiosità potrà indurre la disponibilità di una grande massa di dati sui diversi campi della vita pubblica e privata.

Sono passati 30 anni dal primo impianto normativo rivolto alla tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, la ben nota legge 675 del 31 dicembre 1996. Essa concretizzava, sul piano legislativo, la direttiva europea del 1995 sulla protezione dei dati.

A vigilare sull’impianto della legge e sul rispetto di tale normativa venne costituita un apposita Autorità di carattere costituzionale nominata garante per la protezione dei dati personali. La normativa, così come è stata concepita in prima stesura, trovava spesso difficoltà di applicazione in alcuni settori imprenditoriali e finanziari. L’autorità impiegò i primi anni di funzionamento ad adattare alla realtà del mondo commerciale, finanziario, privato e pubblico tale normativa; infatti la schematicità della legge mal si conciliava, ad esempio, con l’organizzazione complessa del mondo finanziario ed in particolare dei sistemi di pagamento basati su carte bancomat o di credito e sulla circolazione degli assegni. Vennero allora concepite ulteriori figure organizzative che si integravano con le denominazioni più semplicistiche di titolare, incaricato, responsabile del trattamento dei dati personali.

In molti altri settori del trattamento dei dati, sia in applicazioni pubbliche che private, fu necessario adeguare o implementare la normativa e questo fu il massimo impegno dell’autorità garante nel suo primo quinquennio di vita. A questi adeguamenti si aggiungevano anche le deliberazioni dell’autorità su specifici argomenti e avvenimenti che, anche tenendo conto del costante processo di innovazione dell’ICT nel trattamento dei dati, richiedevano interventi di chiarimento dell’Autorità che di conseguenza costituivano nuovi elementi di normativa. Nel 2003 l’Autorità decise di unificare in un corpo unico tutto il complesso della normativa esistente e produsse il codice per il trattamento dei dati personali, legge 196 / 2003 che sostituì la legge originaria.

Ma dal 2003 ad oggi molta evoluzione è stata compiuta grazie alla costante convergenza delle diverse tecnologie attraverso i nuovi protocolli di rete, sino a prefigurare un nuovo e prossimo scenario denominato IoT: Internet delle cose.

La telefonia mobile si è nel frattempo fusa con l’elaborazione dei dati portatile e con la capacità di gestire media (Filmati, voce, dati). Con lo smartphone e il tablet ogni individuo ha capacità di muoversi sul territorio portandosi dietro la potenza di calcolo e di comunicazione che un tempo era caratteristica dei soli grandi computers. Quindi una sorta di terminale in grado non solo di ricevere informazioni in ogni formato ma anche di trasmetterle; a volte anche senza che il suo portatore se ne renda conto. Il must dell’individuo moderno risponde all’obbligo dell’essere connesso: “to be connected”.

Nella citata giornata europea sulla protezione dei dati personali, l’attuale presidente dell’autorità, professor Antonello Soro, ha messo in guardia sulla capacità degli strumenti ai quali affidiamo il nostro bisogno di essere informati, di stare connessi, di condividere con gli altri; ma “la libertà di ciascuno è insidiata da forme sottili e pervasive di controllo, che noi stessi, più o meno consapevolmente alimentiamo per l’incontenibile desiderio di continua connessione e condivisione “. ha detto il professor Soro.

La produzione di auto moderne si preoccupa di montare a bordo del veicolo dispositivi in grado di colloquiare sia Bluetooth con il telefonino del conducente che sistemi in grado di connettersi ai più diffusi browser e alle centrali di controllo e di allarme per il traffico, nonché alle centrali di gestione dei sistemi di navigazione. I telefonini, gli attuali smartphone, sono sempre dotati di cosiddette procedure di assistenza, come ad esempio Siri, che se non attentamente impostate sono in grado sempre di trasferire i movimenti e la posizione sul territorio del loro proprietario. Nell’ultima conferenza annuale sulla sicurezza che si tiene negli USA, denominata black hat, è anche stato riferito che attraverso le TV smart dotate di micro webcam incorporata è possibile catturare dati personali riguardanti lo stile di vita delle famiglie che utilizzano quei tipi di televisore: in effetti la Samsung che dal 2012 produce questo tipo di televisori lavora costantemente attraverso adeguamenti del firmware per superare i buchi dello stesso attraverso i quali gli intrusi possono catturare le informazioni.   Il produttore coreano suggerisce alla propria clientela gli eventuali rimedi da prendere per evitare intrusioni nella privacy: ad esempio coprire la webcam quando non è in uso; disconnettere il televisore dalla rete Internet; addirittura staccare l’alimentazione dal televisore. Ma allora c’è da chiedersi qual è il motivo che spinge il consumatore a tuffarsi a pesce nelle innovazioni tecnologiche salvo poi dolersi degli inconvenienti derivanti dal loro uso.

La costante crescita delle capacità di memorizzazione e delle potenze di elaborazione spinge le organizzazioni pubbliche e private a ricercare soluzioni sempre più complesse, atte ad esaltare la competenza, l’efficacia, l’economicità e la sicurezza nelle loro azioni verso il mercato cui si riferiscono.

Al bisogno di sicurezza che sempre più pervade la società le pubbliche amministrazioni centrali e locali rispondono con una capillare diffusione di sistemi di prevenzione attraverso videosorveglianza, identificazione digitale e biometrica, sino ad arrivare a metodi di intercettazione delle comunicazioni e di interpretazione e di correlazione della grande massa di dati raccolti.

Il concetto di privacy e della protezione dei dati personali che tanta enfasi aveva conseguito con la nascita della normativa vent’anni fa, ha dovuto retrocedere sotto la spinta delle soluzioni per garantire sicurezza e i bisogni degli operatori sul mercato consumer. A questo proposito la primitiva soluzione di opting in, cioè iscriversi in una lista di disponibilità ad essere contattati per fini commerciali, è stata tramutata con un colpo di mano di un ministro, in soluzione di opting out e cioè iscriversi in un registro di opposizione per non essere disturbati. Purtroppo questo registro di opposizioni non sembra funzionare e i nostri telefoni fissi e mobili sono costantemente subissati di telefonate e di chiamate da parte di call center spesso dislocati all’estero.

Frattanto l’occhiuto Grande Fratello, voyeur del nostro stile di vita, prosegue nella puntigliosa ricerca di nuove soluzioni tecnologiche per schedarci, classificarci, disturbarci, a volte spinto dal bisogno di maggior sicurezza sociale ma più spesso in preda alla smania di potenziare le proprie capacità di mercato.

Si è fatto prima cenno dell’orientamento ad estendere alle cose che usiamo tutti i giorni la possibilità di connetterle tramite la rete: attraverso la connettività 5G si sta aprendo il mercato dell’IoT (Internet delle cose). Secondo un rapporto di Aruba, questo mercato sta espandendosi sul larga scala: l’85% di aziende che operano a livello globale, e il 92% italiani, intendono implementare questo mercato entro il 2019, sia per innovare che per rendere più efficienti i loro affari. Si apre quindi un grave quanto grande problema: la sicurezza delle cose stesse.

Falle nel loro software o nel loro firmware renderanno le cose stesse aggredibili da malintenzionati che non solo potranno entrare in possesso di dati personali o aziendali ma anche ritorcere il funzionamento di queste contro il sistema. La cosiddetta Cyber sicurezza diverrà un tema importante e figure professionali capaci di assicurare la massima protezione ai sistemi saranno fondamentali per la vita pubblica e privata.

La sicurezza diviene sempre più un must, ma non solo a casa dell’utente finale ma anche presso i fornitori di servizi e di connettività. Va quindi potenziata la Cyber security ma c’è anche l’evidente rischio di una convergenza tra le imprese e “intelligence” per fare della rete un sistema di sorveglianza di massa.

La Cyber security deve preoccuparsi essenzialmente del dato, sia esso personale che aziendale, della sua riservatezza, della sua correttezza, della non eccedenza ai fini del trattamento, difendendone la vulnerabilità e la non accessibilità da parte di non autorizzati.

Lo scenario che si sta così delineando è quello di una concentrazione sempre maggiore presso poche realtà globali e multinazionali di banche dati che contengono profilazioni di tutta la clientela e della maggior parte dei cittadini. Su questa concentrazione, definita big data, il presidente dell’autorità garante al lanciato l’allarme sottolineando che questo nuovo enorme potere mette a rischio non solo la privacy ma anche la democrazia.

Il parlamento europeo, consapevole della necessità di adeguare le norme di protezione dei dati ai cambiamenti determinati dall’incessante evoluzione delle tecnologie, ha approvato in via definitiva un nuovo regolamento di protezione dei dati che si pone anche l’obiettivo di assicurare una disciplina uniforme ed armonizzata tra tutti gli Stati membri, eliminando le numerose asimmetrie che nel tempo si erano create.   Questo regolamento è entrato ufficialmente in vigore il 24 maggio 2016 e diverrà definitivamente applicabile in tutti i paesi UE a partire dal 25 maggio 2018.

Questo regolamento introduce significative variazioni a quelle che erano le regole e dei limiti di trattamento di dati personali da parte delle imprese. Introduce inoltre una nuova figura professionale: il responsabile incaricato del trattamento dei dati, denominato nel regolamento, “data protection officer“.

E’ quindi necessario che organizzazioni e imprese adeguino i loro modelli organizzativi alle nuove regole e sull’argomento sono disponibili appositi cicli formativi .

C. Manganelli

Condividi questo post