In un contesto sociale in cui la nostra identità assume una connotazione sempre più fluida e complessa a causa degli innumerevoli e continui passi avanti della tecnologia e dei mezzi di comunicazione (social media, smartphone ecc.) una completa e profonda comprensione dei meccanismi e delle possibili implicazioni del trattamento dei dati personali diventa essenziale al fine di assumere i comportamenti più opportuni per la nostra sicurezza.
Se, infatti, in passato l’identità di un cittadino era univocamente attribuita ad ogni singolo individuo rispetto a pochi contesti della vita quotidiana (ad esempio, nazionale, politico, economico) nei tempi moderni proprio questa fluidità e complessità ci consentono di vivere in numerosi contesti digitali e reali, ma nello stesso tempo rendono le nostre molteplici identità sempre più attaccabili da nuove e complesse minacce.
Identità digitali e dinamiche sociali
Come primo passo, cercheremo di definire l’identità digitale con rimandi continui al GDPR, regolamento europeo (e legge italiana) per la protezione dei dati personali, per tentare di acquisire maggiore consapevolezza delle tutele poste in essere dalla legge e delle nostre reali necessità rispetto ad esse.
Le organizzazioni statali e private tendono a conservare informazioni affidabili atte a determinare univocamente l’identità di un individuo per erogare servizi tradizionali: sanità, anagrafe, scuola, trasporti, utilities.
Le informazioni usate per accedere ai servizi più innovativi (ad esempio i social media), invece, spesso sono più di quelle strettamente necessarie al loro uso, esponendoci a minacce di impiego illegittimo dei nostri dati. Nonostante il principio fondamentale a cui si ispira il legislatore sia la salvaguardia dei diritti e delle libertà delle persone, attraverso la protezione ti tutti i dati personali (associati o associabili all’individuo), la superfice attaccabile risulta comunque troppo ampia.
Di sicuro la sociologia ci può aiutare a comprendere dinamiche complesse correlate all’identità digitale, intesa non solo come insieme ben definito di informazioni di identificazione della persona fisica in un determinato contesto digitale (ad esempio ID, username, e-mail, nickname ecc.), ma anche come insieme di informazioni che ne caratterizzano il comportamento (cronologia delle azioni, gusti dichiarati e non, media pubblicati ecc.). Queste ultime possono essere anche aggregate, elaborate e anonimizzate, ma non per questo il loro impatto sociale è ridotto e deve essere sottovalutato.
Le tutele di legge
Il GDPR (Art. 5) afferma che “i dati personali sono raccolti per finalità determinate, esplicite e legittime”. Inoltre i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”). Nel contempo si afferma (Art. 6) la legittimità degli interessi del titolare del trattamento, tra cui campagne di marketing, analisi statistiche, campagne politiche e raccolta fondi. Sembra quasi una coperta troppo corta da gestire a priori con regole rigide.
Il problema della sicurezza
Il problema della sicurezza diventa: avere il controllo sul trattamento dei dati personali che idealmente dovrebbe essere limitato a quanto strettamente necessario all’uso di servizi specifici da parte dell’utente.
Tali restrizioni ridurrebbero la probabilità che si verifichino minacce alla sicurezza delle persone fisiche e gli eventuali danni che tali minacce possono causare (principio basilare dell’ingegneria della sicurezza).
In realtà, il trattamento viene delimitato considerando tutte le finalità di impiego dei dati considerate legittime. Tali finalità sono definite di volta in volta e tengono conto di diversi e numerosi interessi legittimi (GDPR, Art. 6), compresi quelli del titolare del trattamento che in genere coincidono con interessi specifici del business in questione.
- Lato utente / interessato al trattamento. La trasparenza e la consapevolezza dell’impiego dei dati è solo un primo passo. Ogni utente dovrà decidere se usare un determinato servizio in base ad una propria valutazione del rischio. Ma non tutti gli utenti hanno le capacità tecniche per determinare il livello di rischio reale, ad es. il miraggio di poter usufruire di servizi gratuiti, di larga diffusione e popolarità (social media) aumenta la tolleranza del rischio e ne cambia la percezione.
- Lato gestore del servizio / titolare del trattamento. Occorre una valutazione del rischio rispetto alla dimensione del problema e alle nuove minacce, per soddisfare compliance a leggi e normative, garantire la sicurezza degli utenti e salvaguardare gli obiettivi di business.
Coesistono, quindi, almeno due parti (possono intervenire anche terze parti a cui sono comunicati i dati) con diversi tipi di “risk appetite” o, meglio, diversi criteri per valutare il rischio e l’impatto del verificarsi di eventuali minacce.
Prosegui la lettura su cybersecurity360.it
