Nuove sfide di protezione

I social networks costituiscono un’applicazione web di recente sviluppo che ha ormai rivoluzionato il modo di comunicare e muoversi nel mondo digitale. Indubbiamente di grande utilità, ma progettata valorizzando un unico aspetto, la facilità di immissione e condivisione delle informazioni sulla rete, comprimendo al massimo quel diritto fondamentale che è il controllo dei propri dati.

Quando si parla di protezione dei dati personali nell’era digitale, si fa riferimento ad un concetto ben più esteso ed articolato della semplice tutela della privacy. Proteggere i dati personali, in un mondo caratterizzato da un’impensabile capacità di raccolta, elaborazione e conservazione di informazioni di qualunque genere, è un compito delicato che ha assunto un’importanza strategica in tutti i Paesi. Tale compito, pur basandosi sulla tutela di un bene intangibile ed immateriale quale l’informazione, ha assunto ormai un ruolo di tutela dell’individuo in quanto “essere”: sempre più spesso, le informazioni del mondo digitale rivelano implicazioni nel mondo reale, con ripercussioni sulla vita delle persone e sui comportamenti della società. L’evoluzione delle tecnologie informatiche e le innovazioni nel settore delle telecomunicazioni hanno sicuramente apportato grandi benefici al genere umano. Nello stesso tempo, hanno però ampliato in modo vertiginoso la quantità di informazioni amministrate dai calcolatori e trasmesse sulle reti, senza che mai fosse affiancata a questo processo un’adeguata cultura della protezione e della sicurezza e senza che venissero poste quelle domande e quei dubbi sollevati oggi dalle Autorità di protezione dei dati di molti Paesi. Efficace è il paragone del moderno settore delle telecomunicazioni con gli albori dell’industria automobilistica. Le prime auto messe in circolazione erano state infatti progettate senza riflettere su aspetti importanti, non ritenuti fondamentali in principio, come la sicurezza ed il consumo.

Oggi sarebbe impensabile circolare su un’auto sprovvista di airbag o senza meccanismi di frenata sicura. Allo stesso modo, si può notare come molte delle più famose applicazioni web progettate finora abbiano largamente (o, in alcuni casi, volutamente) ignorato molti aspetti importanti legati alla protezione dei dati personali. La tutela dei dati sulla rete Internet dipende oggi da due fattori cruciali: controllo e sicurezza. Il controllo è legato alla possibilità di immettere informazioni in rete (attraverso un canale qualsiasi, come siti web, blog, social networks) mantenendo la capacità di gestire le informazioni e la facoltà di modificarle, cancellarle, diffonderle o, al contrario, limitarne la diffusione secondo regole certe e stabilite a priori. La sicurezza è invece legata a tutte le misure e le cautele previste per scongiurare eventi avversi che possano mettere a rischio i dati personali. Purtroppo, molti servizi ed applicazioni della rete Internet non hanno pienamente valutato l’importanza di questi due elementi. Le garanzie di controllo e sicurezza dei dati personali in rete non sono quindi sempre certe ed omogenee.

Il futuro della protezione dei dati dovrà quindi svilupparsi su due aspetti fondamentali: la sicurezza delle infrastrutture della rete, che devono essere protette e poste al riparo dagli attacchi e, parallelamente, la necessità di regolare l’uso dei vari applicativi supportati dalla connettività. Prendiamo ad esempio i servizi di on-line banking, nati per consentire la fruizione agevolata dei servizi bancari da remoto, abbattendo così i costi di gestione di filiali e sportelli. Nella sua concezione originaria, il servizio ha largamente sottovalutato il fattore sicurezza. L’errore ha condotto all’esplosione di fenomeni quali il phishing, la crescita dei furti d’identità e le frodi telematiche legate al trasferimento illecito di fondi. In questo caso, l’errore iniziale è stato quello di concepire un’applicazione attraverso la rete Internet priva di adeguate misure di sicurezza, decidendo di equiparare e porre sullo stesso piano il personal computer domestico degli utenti con il terminale della filiale di una banca. Il terminale di una filiale è da sempre tutelato da elevate misure di sicurezza, logica e fisica (che vanno dalla guardia all’ingresso a reti informatiche blindate e segregate). Al contrario, un personal computer domestico non offre la stessa affidabilità e le stesse protezioni, essendo esposto ai rischi di una rete aperta come Internet. La mancata riflessione iniziale sull’importanza di allestire connessioni sicure e computer protetti nello sviluppo dell’on-line banking ha causato i problemi menzionati, che potevano essere evitati attribuendo il giusto peso al fattore sicurezza ab origine. Solo in tempi recenti l’importanza delle misure di sicurezza nell’on-line banking è stata rivalutata col giusto peso, spingendo le banche ad investire sull’uso di tecnologie più sicure (come l’autenticazione “two-factor”, mediante cellulare o token) e sull’educazione degli utenti per un uso prudente dei servizi (cambio forzato delle password, uso di software antivirus, protezione del personal computer, ecc.). In modo simile, si potrebbe affiancare a questo esempio il caso dei social networks rispetto alla facoltà di controllo sui dati personali. I social networks costituiscono un’applicazione web di recente sviluppo che ha ormai rivoluzionato il modo di comunicare e muoversi nel mondo digitale.

Ma è ancora troppo presto per valutarne a fondo effetti e conseguenze. Si tratta di un servizio di connettività sociale tra persone. Indubbiamente di grande utilità, ma progettato valorizzando un unico aspetto, la facilità di immissione e condivisione delle informazioni sulla rete, comprimendo al massimo quel diritto fondamentale che è il controllo dei propri dati. La cancellazione dei dati immessi su un social network, la limitazione della diffusione, la possibilità di decidere da chi e come debbano essere trattate le informazioni inserite sono facoltà inconsapevolmente (o volutamente) limitate dai gestori delle piattaforme dei social networks nella fase di lancio dei loro servizi. Ancora una volta, e solo recentemente, si corre ai ripari con l’aggiunta continua, all’interno delle piattaforme di social networks, di quelle opzioni di controllo sui dati e di tutela della privacy che nella fase iniziale erano sembrate superflue. Si può quindi affermare che lo scenario di riferimento in cui si muove la protezione dei dati sia un terreno insidioso ed in continuo movimento. Vi è un’incessante evoluzione delle tecnologie, le quali hanno in breve tempo messo in crisi l’impianto della direttiva europea, spingendo il legislatore a creare una normativa maggiormente dettagliata, com’è avvenuto, ad esempio, per disciplinare la conservazione delle comunicazioni elettroniche. Come si fa a parlare di “consenso informato” rispetto a fenomeni complessi ed in divenire come Facebook? Fornire un’informazione adeguata su Facebook richiede modalità più complesse rispetto a quanto poteva immaginare chi ha scritto la direttiva senza pensare ai social networks. Allo stesso modo, non si può pensare di fronteggiare i problemi di cyber-security senza la creazione di meccanismi automatici e mutuamente riconosciuti tra i diversi Paesi, i quali consentano di reagire in modo celere ed efficace ad eventuali attacchi informatici di vasta portata. Serve quindi una regolamentazione internazionale, un Wto della protezione dei dati. Un organismo sovranazionale che vigili sulla rete, altrimenti in futuro non saremo in grado di garantire la protezione dei dati.

È infine opportuno proporre una considerazione sul recente fenomeno di “WikiLeaks” e sul proliferare di siti web dedicati alla pubblicazione di materiale riservato appartenente a governi ed aziende (il cosiddetto fenomeno del “whistlebowling”). In questo caso, il problema non ha nulla a che vedere con la sicurezza della rete. Evidenzia, semmai, una carenza di misure di sicurezza alla fonte, nei luoghi in cui le informazioni ritenute segrete vengono prodotte, memorizzate e poi trafugate. Uno dei massimi esperti di cyber-security americano ha recentemente fatto notare che i governi stanno imparando ciò che l’industria musicale e quella del cinema hanno già sperimentato da molto tempo: copiare e distribuire documenti digitali in rete è terribilmente facile perché richiede poco tempo e pochissime risorse. I governi si trovano ad affrontare ora il problema WikiLeaks e la pubblicazione di file riservati proprio come l’industria musicale, molti anni fa, si è trovata a fronteggiare il problema del peer-to-peer e della condivisione dei brani musicali in rete. L’industria musicale e quella del cinema hanno già compreso che per sopravvivere sarà necessario modificare il proprio modello di business. Allo stesso modo, i governi dovranno persuadersi che il cuore del problema non è WikiLeaks, ma il modello di protezione dei dati da adottare per le informazioni segrete: questo dovrà evolvere per cercare di essere efficace anche nella nuova era digitale.

Francesco Pizzetti
Presidente dell’Autorità garante per la protezione dei dati personali

Massimiliano Fanni Canelles

Viceprimario al reparto di Accettazione ed Emergenza dell'Ospedale ¨Franz Tappeiner¨di Merano nella Südtiroler Sanitätsbetrieb – Azienda sanitaria dell'Alto Adige – da giugno 2019. Attualmente in prima linea nella gestione clinica e nell'organizzazione per l'emergenza Coronavirus. In particolare responsabile del reparto di infettivi e semi – intensiva del Pronto Soccorso dell'ospedale di Merano. 

Rispondi