La valutazione d’impatto sulla protezione dei dati personali (DPIA) non è una questione di sicurezza, ma di conformità al GDPR, cioè di protezione dei dati personali, dei diritti e delle libertà delle persone fisiche.
Pertanto, è un tema che non deve essere ridotto a una questione di sicurezza, per il bene di tutti noi come persone e per la sostenibilità del business e del nostro sistema economico, sociale e politico. Lo insegnano, ad esempio, il caso Cambridge Analytica e molti altri passati un po’ troppo in sordina.
Alla luce della crescente importanza e diffusione dei nostri dati, è fondamentale fare chiarezza sul perché assicurare la sicurezza dei dati personali, nell’interesse della persona fisica a cui appartengono, è, certamente, un aspetto della più generale protezione dei dati personali, ma non è l’unico e non è necessariamente il più rilevante: dipende dal caso specifico.
Cos’è il DPIA e il rapporto con la sicurezza dei dati
Il DPIA non fa parte della sezione 2 del Capo IV del GDPR dedicata alla sicurezza dei dati personali che, naturalmente, include l’art. 32 (sicurezza del trattamento) e gli artt. 33 e 34 (Data breach) ma della sezione 3 espressamente dedicata alla “Valutazione d’impatto sulla protezione dei dati e consultazione preventiva”.
Il DPIA è una questione di conformità al GDPR, cioè di protezione dei dati personali, dei diritti e delle libertà delle persone fisiche.
L’adozione, da parte del GDPR, di un approccio risk-based alla tutela dei diritti degli interessati, così come alla sicurezza delle informazioni, può creare qualche confusione ma non cambia la sostanza delle cose.
Il rapporto fra sicurezza e data protection, in effetti, è stato sempre caratterizzato da una certa ambiguità.
E’ importante sottolinearlo perché un DPIA, condotto come strumento di tutela della sicurezza delle informazioni da esperti di cyber security, potrebbe non raggiungere lo scopo e non rilevare aspetti del trattamento assolutamente decisivi ai fini della valutazione.
Il caso Cambridge Analytica
Il caso Cambridge Analytica, ad esempio, ha riguardato la compromissione dei diritti e delle libertà degli interessati ma non la sicurezza dei dati coinvolti: un DPIA centrato sulla sicurezza o affrontato con la cultura della sicurezza in mente, avrebbe potuto non evidenziare alcun problema e, comunque, non quelli che hanno reso il caso così rilevante.
Prima della piena vigenza del GDPR, la verifica preliminare era in capo al Garante stesso e, riguardare oggi quei casi, aiuta a mettere a fuoco quale debba essere l’obiettivo e, conseguentemente, il contenuto di un DPIA: si veda, ad esempio, il provvedimento n. 488 del 24 novembre 2016 che vieta l’attuazione di una piattaforma per la costituzione di un sistema di valutazione della reputazione delle persone fisiche.
In quel caso, un soggetto privato, attraverso un algoritmo brevettato e degli “esperti reputazionali”, intendeva arrogarsi il diritto di attribuire un ranking reputazionale alle persone, offrendo un servizio in tal senso, ai fini di incidere sulle loro relazioni personali e professionali. Questa intenzione è stata considerata in contrasto con i diritti e le libertà degli interessati. Gli aspetti di sicurezza, pur citati nel provvedimento, sono risultati irrilevanti nella motivazione del diniego.
Sicurezza e data protection: intersezioni e conflitti
Sicurezza e data protection sono due discipline distinte con rilevanti intersezioni, talvolta conflittuali: la data protection non contiene la sicurezza e quest’ultima non contiene la prima. Due discipline che fanno riferimento a due culture diverse.
Non per niente, ad esempio, nella gestione dei dati di traffico, tutto il mondo della sicurezza è sempre stato a favore di una conservazione praticamente a tempo indeterminato degli stessi mentre tutto il mondo della Data protection si è battuto per assicurare un limite.
Tra i due mondi, quello della sicurezza delle informazioni ha, però, una storia più lunga e meno controversa: sono almeno vent’anni che si è nei fatti costituito uno specifico segmento d’offerta di prodotti e servizi in questo ambito.
All’inizio era un piccolo segmento ma oggi ha ormai acquisito la piena maturità, ha raggiunto una dimensione importante e, al contempo, si è affermata anche nel grande pubblico la necessità di garantire la sicurezza dell’attività online.
Evolvono le minacce ed evolvono le misure di sicurezza: una rincorsa infinita. E questo richiama investimenti e intelligenze e, dunque, crescita.
Ne deriva che la cultura della sicurezza tende a imporsi in quanto la consapevolezza della relazione esistente fra la nostra attività online e i nostri diritti e le nostre libertà è, viceversa, ancora largamente immatura e, dunque, “commercialmente” debole al confronto.
Consideriamo questa notizia del maggio 2018 che non ha avuto il rilievo che avrebbe meritato (ripresa da ADN Kronos, ma tutti i media l’hanno riportata): “Facebook ha rimosso 837 milioni di contenuti di spam nel primo trimestre del 2018, quasi il 100% dei quali sono stati trovati e contrassegnati prima che qualcuno li segnalasse. E’ quanto emerge dal Report sull’applicazione degli Standard della Comunità del social network in cui si precisa che sempre nel primo trimestre 2018 il social ha disattivato circa 583 milioni di account falsi “la maggior parte dei quali bloccati entro pochi minuti dalla loro creazione. Nel primo trimestre la stima è che fosse ancora falso il 3-4 per cento degli account attivi su Facebook.”
Certamente i fatti descritti hanno implicazioni di sicurezza, ma questo non può oscurare che descrivendo una faccia nascosta del contesto in cui si svolge la nostra vita online, obbligano, o dovrebbero obbligare, a riconsiderare il nostro rapporto con la realtà, la nostra capacità di conoscerla, la nostra possibilità di formarci un giudizio informato e di comportarci di conseguenza: quando compriamo un formaggino, come quando votiamo per un partito. Il riflesso “data protection” della notizia è diverso da quello “security” ed è difficile fare una gerarchia di gravità fra i due.
Ogni azienda che imposta la propria strategia di relazioni con i consumatori sulla rete deve considerare che agirà in questo contesto e proteggere, sé stessa e i propri interlocutori, fin dal primo istante, per non mettere a rischio la fiducia di questi ultimi e, con essa, gli investimenti fatti per ottenerla.
L’esplosione dei dati
Il numero di oggetti connessi alla rete (IoT) che costellano la nostra vita sta esplodendo: frigoriferi, lavatrici, auto, orologi, videocamere, contatori, assistenti digitali, pacemaker, braccialetti. Un elenco sempre più lungo di oggetti, ciascuno dei quali appare del tutto innocuo.
Tutti insieme, però, mettono in rete miliardi dati che prima non c’erano e che descrivono la nostra vita in modo sempre più puntuale e dettagliato: si stima che nel 2016 si siano prodotti più dati che in tutta la storia dell’umanità fino a tutto il 2015!
I servizi di sicurezza USA hanno vietato l’uso di braccialetti per il fitness agli agenti in missione perché ne tracciavano posizione e attività mentre facevano jogging, pubblicandole online, e questo poteva pregiudicare la loro sicurezza: una deriva inattesa per un servizio pensato per consentire la competizione scherzosa fra amici o il controllo della forma fisica di quarantenni con pancetta incipiente.
Le black box che le compagnie di assicurazione ci chiedono di mettere nel bagagliaio dell’auto a fronte di sconti sul premio, certamente consentono di ridurre gli abusi e premiano i comportamenti corretti con reciproco vantaggio. Quelle informazioni, però, descrivono tutto ciò che facciamo e, se conservate, potranno essere utilizzate, ad esempio, in qualsiasi procedimento giudiziario che ci dovesse vedere coinvolti, a nostro favore o meno.
La valutazione preventiva di impatto, il DPIA, dovrebbe aiutare a considerare tutto questo, facendolo prima che il trattamento sia posto in essere: per questo è importantissima e non deve essere ridotta a una questione di sicurezza, per il bene di tutti noi come persone e per la sostenibilità del business e del nostro sistema economico, sociale e politico. E neppure a un dovere burocratico e meccanico: ma questo tema merita un approfondimento specifico.
L’impatto avuto dal GDPR sull’economia e sulla società lascia intravvedere che la consapevolezza, delle imprese e del pubblico, sta aumentando ma tra i due mondi cugini – sicurezza e protezione dei dati personali – la sproporzione è ancora evidente. Per questo è necessario sottolineare i confini fra le rispettive competenze: per evitare che il cugino grosso, la security, si mangi il cugino in culla. Il DPIA è tutto all’interno del campo Data Protection e la cultura che lo sorregge deve essere quest’ultima, nel Titolare che lo promuove come nel DPO che su di essa è chiamato ad esprimersi.
