Nel teorizzare il concetto di “normalizzazione della devianza”, la sociologa statunitense Diane Vaughan ha definito il processo per cui una pratica, chiaramente non sicura, viene considerata normale se non causa immediatamente una catastrofe nei seguenti termini: “un lungo periodo di incubazione [prima del disastro finale] con segnali di allarme precoci che sono stati mal interpretati, ignorati o mancati del tutto”[1].
Nasce la task force del Garante privacy su data breach
Il Garante privacy ha comunicato di avere istituito una task force interdipartimentale per affrontare i recenti casi di data breach ossia il caso degli accessi non autorizzati ai database della Pubblica amministrazione per l’esfiltrazione di dati.
Coinvolgerà i settori competenti per identificare rapidamente le azioni da intraprendere e garantire la protezione dei dati.
Sono state definite misure di sicurezza tecniche e organizzative adeguate per gli accessi del personale autorizzato e per le operazioni di gestione e manutenzione dei dati. E continuerà le ispezioni verso le società già identificate.
Il Garante sottolinea che il fenomeno degli accessi abusivi ai database è da sempre monitorato. Lo stesso Garante ha adottato misure per migliorarne la sicurezza. Recenti segnalazioni indicano un aumento del fenomeno, legato alla vendita di dati riservati da parte di società private, che utilizzano anche investigazioni private per offrire servizi di informazioni a chi ne è interessato, spesso attraverso metodi poco chiari.
Redazione
L’esempio originale citato da Vaughan è quello del celebre disastro del 1986 del Challenger, in cui l’omonimo space shuttle si è disintegrato nel giro di appena 73 secondi dal lancio dal Kennedy Space Center di Cape Canaveral, in Florida, a oltre 14.000 metri di quota, causando la morte di ben 7 persone a bordo. L’epilogo tragico, fatale di questa vicenda è il risultato di importanti carenze culturali, strutturali e organizzative della NASA che hanno portato a tollerare prassi pericolose – e rischi che altrove sarebbero stati considerati inaccettabili e prontamente prevenuti.
Accesso illecito a banche dati pubbliche: fenomeno radicato
I numerosi episodi di dossieraggio ossia accesso illecito alle nostre più importanti banche dati, pubbliche e private, di cui stiamo leggendo in questi ultimi giorni e mesi nelle cronache è sintomatico di un atteggiamento diffuso e radicato nel dibattito pubblico, culturale e giuridico: la diffidenza, la banalizzazione, la derubricazione del diritto fondamentale alla protezione dei dati personali quale ostacolo burocratico, impedimento all’innovazione, puro formalismo, tecnicismo per pochi addetti ai lavori.
Partecipare a questo tipo di narrativa comporta tuttavia la normalizzazione di una devianza diffusa, ossia la convinzione che la protezione dati personali non sia un valore da proteggere in via sistemica e continuativa per tutelare i diritti e le libertà costituzionali di ogni cittadino e, di conseguenza, la sua esclusione dall’agenda pubblica e dal raggio d’azione degli interventi politici e amministrativi a lungo termine, salvo doversi rendere conto della sua importanza soltanto a fronte di gravi episodi come quelli in commento oggi.
Un mercato di dati
Pur essendo ancora prematuro formulare giudizi conclusivi sulla vicenda “dossieraggio”, se le notizie apparse in questi giorni fossero confermate ci troveremmo di fronte a un vero e proprio “mercato smisurato di dati personali” che coinvolge cittadini e figure istituzionali, compromettendo seriamente i fondamenti del nostro ordinamento democratico.
La presenza di un tale “mercato” di dati personali esfiltrati dalle più grandi banche dati minerebbe le fondamenta del nostro ordinamento democratico, con due principali implicazioni.
Ne deriverebbe infatti una violazione sistematica di diversi diritti e libertà fondamentali, tra cui la riservatezza, la segretezza della corrispondenza e, chiaramente, la protezione dei dati personali di cittadini e rappresentanti pubblici.
Inoltre, entra in gioco l’enorme questione di carattere pubblico riguardante la tutela dello Stato e l’integrità delle sue Istituzioni. Si apprende, infatti, che l’attività di cosiddetto “dossieraggio” potrebbe aver interessato diversi parlamentari e il Presidente del Senato.
Da questa vicenda possiamo trarre un insegnamento fondamentale: la protezione dei dati personali e la sicurezza informatica sono, prima di tutto, questioni di natura umana e di rilevanza costituzionale che toccano e possono scuotere le fondamenta della democrazia.
La rilevanza democratica della vicenda
Difendere i dati personali e le infrastrutture dove sono trattati e conservati è, va ricordato, un valore di portata costituzionale, un interesse a beneficio di tutti. Non è mai stata, né è ora, una questione solo tecnica riservata agli “addetti ai lavori”, bensì un tema di regolazione del potere e di tutela dell’ordinamento democratico. Nell’epoca odierna dobbiamo essere più consapevoli che il potere risiede dove si trovano le informazioni: è necessario proteggere queste ultime per controllare efficacemente l’esercizio del primo.
Come affrontare il problema
La normalizzazione di questa devianza può essere arrestata, attuando misure immediate e di lungo termine per prevenire nuovi episodi di “dossieraggio”. Nel corso degli anni l’Autorità Garante ha già fornito numerose indicazioni per la protezione dei dati personali contenuti nelle grandi banche dati, suggerendo diverse misure di sicurezza tecniche e organizzative e, soprattutto, il periodico monitoraggio della loro efficacia.
Tra le misure consigliate vi sono sistemi di allerta efficaci che rilevino anomalie negli accessi e nelle operazioni, contribuendo a scoprire vulnerabilità potenzialmente sistemiche.
Evitare la duplicazione di banche dati, inoltre, limita il perimetro di vulnerabilità a cui esse sono esposte.
Prevenire violazioni analoghe a quelle recenti, o ai casi di Striano o del bancario che ha visionato i conti corrente di diversi politici, non solo è un’esigenza irrinunciabile, ma un obiettivo conseguibile a lungo termine, a condizione di iniziare a comprendere il valore nevralgico che la protezione dei dati personali riveste per la tenuta del sistema democratico.
- Emerge l’urgenza di agire con interventi e investimenti mirati per rafforzare la consapevolezza sul tema e innalzare la sicurezza delle infrastrutture e dei sistemi dove sono trattati e conservati i dati personali di ciascuno di noi.
- Sarà anche necessario supportare le pubbliche amministrazioni in questo processo, consentendo loro di interiorizzare, soprattutto a livello applicativo, i principi e le regole di protezione dati e cybersecurity, arrestando la normalizzazione di devianze diffuse nella gestione dei dati.
Occorre un cambiamento culturale verso una consapevolezza più profonda della centralità della protezione dei dati nel costituzionalismo odierno. Si tratta di un diritto fondamentale sancito dagli articoli 16 TFUE e 8 CDFUE, la cui tutela richiede un rafforzamento delle Autorità di vigilanza.
L’auspicio è che, prima di un nuovo “disastro finale” nei termini di Vaughan, si comprenda l’urgenza di interventi strutturali che diano la giusta rilevanza alla protezione dei dati personali per la tutela dei diritti e delle libertà fondamentali degli individui e per la tenuta dell’assetto democratico.
Note
[1] Vaughan, Diane (January 4, 2016). The Challenger Launch Decision: Risky Technology, Culture, and Deviance at NASA, Enlarged Edition. University of Chicago Press. pp. 30–1. ISBN 978-0-226-34696-0.