Il GDPR sta riscuotendo, come d’altra parte era previsto, un crescente successo a livello internazionale, proponendosi come standard mondiale per la tutela dei dati delle persone, tanto più che anche il Ceo di Apple, Tim Cook, ha proposto recentemente di adottare a livello federale negli Stati Uniti una normativa sulla privacy simile. È evidente, tuttavia, che la protezione e riservatezza dei dati è ancora affidata al rispetto delle regole da parte dei fornitori di servizi e al controllo degli Stati Membri sul rispetto del regolamento. Oggi però si prospettano almeno due soluzioni tecniche, e non più solo normative, per rivoluzionare la tutela e la sicurezza dei dati personali e garantirne in modo assoluto e definitivo il corretto utilizzo sotto il controllo diretto degli interessati: Information-centric cybersecurity e Usage control cybersecurity.
La proposta di Tim Cook: un Gdpr anche per gli Usa
Per esempio questa linea è stata adottata da Stati come la California, il Giappone, il Brasile, Singapore e la Nuova Zelanda ed altri probabilmente seguiranno. Molto significativo a questo proposito è stato anche l’intervento dell’amministratore delegato di Apple, Tim Cook, alla quarantesima edizione della Conferenza internazionale sulla protezione dei dati dei Garanti della privacy, tenutasi a Bruxelles dal 21 al 26 ottobre, nel quale ha proposto di adottare a livello federale negli Stati Uniti una normativa sulla privacy simile al GDPR. Ecco alcuni dei passaggi più importanti dell’intervento di Tim Cook (fonte Wired.it): “Oggi lo scambio dati/privacy è esploso diventando un’arma dall’efficienza militare. Milioni di decisioni vengono prese in ogni istante in base ai nostri like, alle nostre conversazioni, ai nostri desideri e paure. I dati vengono assemblati e venduti. La conseguenza estrema è che le aziende conoscono i cittadini meglio di loro stessi. Questa sorveglianza di massa serve solo ad arricchire poche aziende che collezionano i dati”, e ancora “Alcune grandi aziende tecnologiche si oppongono a ogni progetto di legislazione sulla privacy. Altre si dicono favorevoli in pubblico ma hanno un’idea diversa quando le porte sono chiuse. Alcuni dicono che con troppa privacy non ci sarebbe sviluppo tecnologico. Ma questa idea è falsa. È vero il contrario, non svilupperemo il pieno potenziale della tecnologia senza la piena fiducia delle persone che la usano” e ha concluso “Per questo supportiamo appieno una legge federale sulla privacy negli Stati Uniti, una legge che dovrebbe garantire quattro diritti fondamentali”, che ha indicato nella minimizzazione dei dati, nel diritto alla conoscenza dei dati in possesso di un’azienda e per quali fini, nel diritto di accesso e di cancellazione e nel diritto alla sicurezza.
L’importanza del consenso
Il GDPR, come è noto, impone a qualunque ente o azienda, anche con sede legale fuori dalla UE, che comunque fornisca servizi a cittadini della UE, di osservare e garantire regole stringenti per la protezione e l’utilizzo dei dati forniti dagli interessati per il servizio richiesto e di vigilare con opportune strutture operative responsabili del rispetto delle regole e della tempestiva informazione agli interessati delle eventuali violazioni. Una delle regole più significative è quella relativa alle caratteristiche del consenso degli interessati all’accesso e all’utilizzo dei propri dati: il consenso deve essere libero, specifico per il servizio richiesto (non generico), consapevole e inequivocabile. Inoltre non può essere dato una volta per sempre, ma rinnovato esplicitamente ogni volta che i dati personali sono utilizzati per scopi diversi da quelli autorizzati inizialmente. È evidente che la protezione e riservatezza dei dati è affidata al rispetto delle regole da parte dei fornitori di servizi e al controllo degli Stati Membri sul rispetto del regolamento.
Due soluzioni tecniche per la tutela dei dati
Oggi però si prospettano almeno due soluzioni tecniche, e non più solo normative, per rivoluzionare la tutela e la sicurezza dei dati personali.
- “Information-centric cybersecurity”[1] propone per la sicurezza una modifica concettuale dell’attuale architettura hardware e software dei calcolatori. Il dato definisce la sua “politica di uso”, non è più un’entità (stringa di bit) passiva, ma incorpora una forma di intelligenza per la sua auto protezione; il microprocessore del calcolatore e il sistema operativo progettati ex novo ‘by design’ accedono alla politica di uso del dato e lo utilizzano e elaborano in accordo ad essa.
- “Usage control cybersecurity”[2], non richiede una modifica alla architettura dei microprocessori, ingloba il dato e la sua “politica di uso” in una entità criptata e un SW autorizzato alla sua decrittazione utilizza il dato in accordo alla sua politica di uso. Politica di uso che può anche essere variata nel tempo.
Entrambe queste tecniche hanno la potenzialità rivoluzionaria di garantire in modo assoluto e definitivo il corretto utilizzo dei dati personali sotto il controllo diretto degli interessati, però con una sostanziale differenza.
La prima richiede un cambio di paradigma nella progettazione e realizzazione dei microprocessori e dei sistemi operativi e quindi, se e quando disponibile, necessita un accordo globale a livello internazionale, cioè uno standard, per i futuri sistemi di elaborazione. La seconda richiede solo l’implementazione, anche nei sistemi attuali, dello specifico SW e della crittazione dei dati inclusiva della politica di uso.
L’orizzonte di disponibilità effettiva è quindi molto più ravvicinato per quest’ultima. Entrambe le tecniche, al momento, sono proponibili per sistemi dotati di sufficienti risorse di elaborazione e non adatte per una utilizzazione nella futura Internet of Things, che consisterà di moltissimi oggetti in rete con ridotta o scarsissima capacità elaborativa. Poiché la Internet of Things è il futuro della acquisizione di enormi moli di dati, anche e soprattutto personali, occorre trovare soluzioni, in particolare per la seconda tecnica, che siano applicabili in questo contesto.
NOTE DI BIBLIOGRAFIA
- R. Chow, et al., Controlling Data in the Cloud: Outsourcing Computation without Outsourcing Control, ACM CCSW’09, 2009R.B Lee, Rethinking computers for cybersecurity, IEEE Computer, 2015 ↑
- E. Carniani, D. D’Arenzo, A. Lazouski, F. Martinelli, P. Mori, Usage Control on Cloud systems, Future Generation Computer Systems, 2016 ↑
