.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

10 ottobre 2018

Chi ci da una mano?

Sono stato colpito da due notizie di cronaca che mi hanno fatto riflettere in modo nuovo sul GDPR e alle sue implicazioni.

PRIMA NOTIZIA- ieri si è verificato un fatto assurdo: un agente di polizia è stato ferito esaminando una pendrive, una chiavetta di memoria USB che da due anni giaceva nell'ambito di un indagine. Poichè sospetta e segnalata dall'avvocato destinatario e dall'ordine degli avvocati che era indicato falsamente come mittente, è stata acquisita per essere poi analizzata.
La chiavetta è rimasta due anni in attesa e, nel momento in cui è stata presa in considerazione per svolgere l'indagine, è stata inserita in un PC ed è esplosa. Si trattava di un dispositivo modificato e fatto apposta per esplodere, dotato di una carica che ha detonato grazie alla tensione fornita dal PC in cui è stata inserita.
Assurdo, criminale, folle... ma anche evitabile.

SECONDA NOTIZIA- oggi, su diverse testate, leggo di un europarlamentare che ha dichiarato di aver dovuto condividere le sue password dei social media account con la segreteria del proprio partito. Che ciò sia vero o falso, quasi non conta. Si tratta di una notizia grave, preoccupante e angosciante, che mette in luce risvolti spaventosi di pratiche antiche ma che, con la tecnologia, diventano decisamente più efficaci, complesse da gestire e problematiche.

Entrambi questi fatti hanno un denominatore comune: il GDPR e i suoi principi fondamentali.

Il regolamento europeo richiede di elevare gli standard di sicurezza in funzione dei rischi che ciascuno deve individuare e valutare. L'uso di una pendrive, ad esempio per una copisteria, può avere un livello di rischio medio ed è lecito pensare alla sola presenza di virus o programmi dannosi. Al contrario, un computer di una banca deve essere protetto anche rispetto ad attacchi più sofisticati e deve considerare la porta USB come una grave vulnerabilità, fino al punto di bloccarne l'uso. La gestione dei dispositivi deve essere pertanto adeguata e rafforzata. Il reparto indagini forensi, al quale la procura può aver affidato l'esame della chiavetta modificata, ha certamente necessità di applicare lo stesso principio di proporzionalità e di valutazione del rischio, di individuare rischi ben maggiori di quelli meramente informatici, strutturarsi per prevenirli e addirittura per proteggersi da essi. Nel caso specifico, il laboratorio non è tenuto ad applicare il GDPR ai sensi dell'art. 2, comma 2 lett.D del Regolamento. tuttavia, applicarne le logiche, i principi e considerarlo una best-practice da seguire anche se non specificamente obbligati, avrebbe certamente comportato un esito differente per il malcapitato agente che è rimasto danneggiato dalla bomba che stava per analizzare.

Il regolamento, se correttamente applicato, garantisce a tutte le persone libertà di pensiero e di comportamento, fa sì che ciascuno possa esprimersi o non esprimersi e che sia sempre libero di comportarsi a suo piacimento e in piena libertà, senza vincoli o paure. Se si pensa ad un europarlamentare, ad un senatore, un presidente, un funzionario, un sindaco o chiunque sia chiamato ad esercitare un dovere pubblico o a guidare l'amministrazione dello stato, la libertà e l'indipendenza diventano essenziali e necessari anche per garantire una effettiva democrazia. Da sempre si raffinano sottili tecniche per condizionare l'esercizio del potere: penso all'uso distorto del denaro e mi tornano alla memoria famose inchieste giudiziarie su "fogli firmati in bianco" che i militanti dovevano rilasciare al proprio partito alcune decine di anni fa e che altro scopo non avevano se non condizionarne l'operato e ridurre la loro libertà di agire, decidere, parlare. Oggi, complice la tecnologia, diventa decisamente semplice ottenere questo scopo in modo economico ed infallibile. Oggi, i dati sono il nuovo denaro. Oggi, le password sono i nuovi fogli in bianco.
Nel caso dell'europarlamentare, la libertà e la tutela della riservatezza e dei suoi dati personali, diventa il baluardo della libertà di tutti.
Il GDPR, assieme ad una lunga serie di norme penali, impedisce in modo energico e tassativo che si possa verificare uno scenario come quello descritto dai giornali di oggi e che un esponente politico debba condividere password con il suo partito o fogli firmati in bianco.

Il GDPR ci può aiutare, se solo siamo disposti a vedere quante implicazioni e quanta protezione sia annidata tra le pieghe dei suoi articoli, dei suoi considerando, dei suoi principi.

CB




26 settembre 2018

GDPR e Blockchain. Facciamo la pace?

Grazie al CNIL, il GDPR e la  Blockchain fanno la pace.

Chi gestisce la privacy si trova oggi a confronto con la BLOCKCHAIN, una fantastica tecnologia, dalle caratteristiche uniche, che risolve una lunga serie di antichi problemi del mondo dell'informatica.
Il GDPR a prima vista non va molto d'accordo con la blockchain e da più parti sono state sollevate perplessità e difficoltà di applicazione della norma. Più d'un interprete sostiene che la Blockchain "non sia a norma" con il GDPR e altrettanti sostengono che il GDPR sia obsoleto perchè non tiene conto della Blockchain.

Oggi, grazie al Garante francese, possiamo contare su un'indicazione autorevole. Una interpretazione autentica che rasserena gli animi e ci permette di guardare avanti, superando l'empasse.

Ecco il parere del CNIL:

Il TITOLARE DEL TRATTAMENTO è il soggetto che partecipa alla blockchain e presenta un dato da convalidare e integrare nella catena.

Quindi, i titolari sono molti. Il garante non si esprime in termini di contitolarità.
Ricordo per completezza che il "titolare del trattamento" in inglese si chiama "data controller" e in francese risponde al nome di "responsable de traitement".

Non tutti quelli che interagiscono con la blockchain sono titolari. Chi semplicemente mina,  non lo è affatto poichè non intervenire sull'oggetto delle transazioni: non determinano quindi le finalità e i mezzi del trattamento.

Quando l'uso della blockchain avviene per volontà di più soggetti, è bene che questi individuino preventivamente chi agisce nella veste di titolare. In mancanza, sono tutti considerati co-titolari (art. 26) e destinatari singolarmente degli obblighi di legge che gravano sul titolare.

Negli SMART CONTRACTS, come per qualsiasi altro software, il programmatore può essere un semplice fornitore software oppure, quando partecipa al trattamento, può essere qualificato come un responsabile del trattamento (data processor / sous-traitant) o addirittura come titolare a seconda del suo ruolo nella determinazione delle finalità.


Esistono dei responsabili del trattamento (data processor) nella blockchain?
Si, per esempio uno sviluppatore di smart contracts per conto di un titolare.
Si, anche i miners possono essere responsabili del trattamento in alcuni casi in cui chi convalida i dati verifica che la transazione rispetti dei criteri tecnici per conto del titolare.
Anche in questi casi è opportuno che i soggetti coinvolti definiscano prima i reciproci ruoli con un contratto.

Il CNIL riconosce che su questo particolare aspetto, in particolare per le blockchain pubbliche, ci siano delle difficoltà applicative del GDPR e consiglia di adottare soluzioni innovative, al momento in fase di studio.

Come possono essere ridotti i rischi per gli interessati?
Innanzitutto occorre che il titolare valuti se è opportuno ricorrere alla blockchain per effettuare il trattamento o se, al contrario, vi sono tecnologie preferibili che comportano meno rischi per l'interessato.

Il titolare potrebbe preferire altri strumenti, anche solo per non dover gestire gli adempimenti relativi al trasferimento dei dati in paesi terzi, scenario praticamente certo in caso di uso di blockchain pubbliche.
Se il titolare scegli una blockchain pubblica per trattare dati personali, deve occuparsi della gestione del consenso al trasferimento in paesi terzi e deve gestire contrattualmente la protezione offerta dai miners fuori dalla UE, con gli strumenti che il GDPR ammette. Questo livello di complicazione è notevole e potrebbe disincentivare la scelta.


I dati
Pare difficile rispettare il principio della minimizzazione del dato e anche il principio della limitazione della conservazione del dato.
Per definizione, nella Blockchain alcuni dati sono necessari e sono conservati senza un termine.
Il CNIL non si esprime e richiama la necessità di una riflessione e una indicazione ufficiale dell'UE per armonizzare il GDPR con le caratteristiche intrinseche della Blockchain.

Nella Blochchain sono presenti i dati identificativi dei miners e di chi ha registrato dei blocchi. Questi identificatori saranno sempre validi. Il CNIL chiarisce che questi dati non sono minimizzabili ulteriormente e saranno trattati per tutta la durata della blockchain, cioè in modo indefinito.

Il Cnil da una preziosa indicazione anche sui dati registrati nel blocco (payload). Questi dati dovrebbero essere non comprensibili ai miners e ad altri soggetti e dovrebbero essere registrati con funzioni crittografiche evolute (impegno crittografico a due fasi), oppure potrebbe essere registrato il solo hash dei dati o, ancora, dati con cifratura forte.
Solo se la valutazione preliminare ha evidenziato un basso impatto o un rischio assente, allora è possibile registrare dati in chiaro o con cifratura debole. Questo è il caso dei soggetti legalmente obbligati alla pubblicazione di dati ed informazioni che, in quanto tali, possono essere registrai in blockchain in un formato leggibile da chiunque.


Esercizio dei diritti dell'interessato
Il diritto alla corretta informativa non pone problemi con la Blockchain. resta a carico del titolare o del responsabile ed è compatibile. Anche il diritto di accesso e alla portabilità sono compatibili con la blockchain.

Sono problematici i diritti relativi alla cancellazione, alla rettifica e di opposizione.

La cancellazione non è possibile per definizione. Tuttavia il titolare può registrare solo l'hash dei dati o ricorrere a impegno crittografico a due fasi e quindi, in caso di necessità, è nella condizione di cancellare i dati (chiave segreta di hashing) che possono essere associati a quel determinato hash o la fase dell'impegno crittografico non registrata in blockchain. Non si tratta di una cancellazione in senso tecnico ma il procedimento si avvicina molto al risultato desiderato, rendendo praticamente impossibile ricostruire il dato.
Questi sistemi possono essere valutati dal titolare come equivalenti alla cancellazione in senso tecnico e, di conseguenza, adottati.

Rimane impossibile eseguire una cancellazione di dati registrati in chiaro nella blockchain e questo dovrebbe quindi essere sempre evitato.

La rettifica è possibile solo mediante la registrazione di un nuovo dato, correttivo, in un blocco successivo della blockchain. Chiaramente, il dato sarà visibile sia nella versione originaria che nella versione corretta. Potrebbero essere valutate le medesime soluzioni tecniche applicabili alla cancellazione, anche per la rettifica, in modo da rendere non ricostruibile il dato originariamente registrato che si deve andare a modificare con una nuova iscrizione nella blockchain.

La limitazione del trattamento può essere prevista originariamente in uno smartcontract e risultare, dunque, possibile.
Gli smartcontract pongono interessanti quesiti anche con riferimento all'opposizione rispetto alle decisioni automatizzate. Questi contratti si eseguono in automatico se si realizzano determinate condizioni. Se opportunamente realizzati, possono integrare l'esercizio dei diritti previsti dal GDPR e diventa possibile richiedere l'intervento umano nella decisione.


La protezione dei dati

Le caratteristiche della blockchain sono la trasparenza, la decentralizzazione, la non falsificabilità, la disintermediazione. Queste sono punti di forza della tecnologia e sono garantiti fondamentalmente da: la partecipazione di molti partecipanti e miners e le funzioni crittografiche

Il CNIL suggerisce di prevedere anticipatamente cosa debba accadere in caso di collisioni o malfunzionamenti degli algoritmi utilizzati e di includere una procedura di emergenza per la sostituzione di un algoritmo qualora se ne riscontrasse la vulnerabilità o la fallacia.

I software per minare o per effettuare transazioni devono essere documentati e la fase di sviluppo deve essere governata.

Se la blockchain non è pubblica, le protezioni per garantire la sua riservatezza e confidenzialità devono essere adeguate.

Tutti i titolari del trattamento che utilizza la blockchain deve garantire la protezione e la confidenzialità delle chiavi o degli impegni crittografici curandone l'archiviazione su supporti sicuri.



Chiaramente, tutto ciò non vale per chi utilizza la blockchain per registrare dati di persone giuridiche, che non sono quindi dati personali e non riguarda nemmeno chi utilizza la blockchain per scopi personali e non professionali o per conto di terzi.

CB.

06 settembre 2018

Quella sottile differenza... nell'applicazione della legge di Murphy

Il 24 maggio, un giorno prima dell'entrate in vigore del GDPR, il sito dell'autorità Garante per la Privacy Inglese (ICO) si è sconnesso dalla rete per più di due ore. Poco male, certamente un guasto tecnico gestito in un tempo tecnico. Si può dire che il guaio sia capitato nel giorno sbagliato ed all'ente sbagliato, ma chi frequenta i sistemi informatici è abituato a gestire la loro perfidia e conosce alla perfezione la legge di Murphy, inclusi corollari e postulati.

Purtroppo, il 22 agosto, il medesimo sito dell'ICO è stato afflitto dalla peggiore disgrazia che possa colpire un sito web: un devastante crash informatico che ha comportato il malfunzionamento del sito per oltre 2 giorni. Due giorni, senza prospettive sui tempi di ripristino e senza la possibilità di accedere ai materiali pubblicati, senza poter inviare le notifiche all'autorità, senza accedere alle registrazioni dei titolari del trattamento (in Inghilterra è un adempimento previsto in modo generalizzato), ecc.

Murply non perdona!

In questi giorni, anche il nostro Garante Privacy sta subendo la stessa sorte e vive le impietose conseguenze della immutabile regola aurea.

Murphy non perdona!

Su suolo Italico, il 25 maggio, sicuramente per un eccessivo lavoro del server e delle linee, il sito del nostro Garante è risultato irraggiungibile per ore... effettivamente il tamtam mediatico ha portato molta più gente del previsto ad occuparsi di una materia che, generalmente, è frequentata da 4 gatti spelacchiati e 4 minions.

Ripenso all'antico adagio letto tante volte in tribunale: "la legge è uguale per tutti"...e poi ripenso alla legge di Murphy!

Il 4 Settembre, dopo una lunga e ansiosa attesa, è stato pubblicato il D.Lgs 101/2018 che modifica e armonizza il D.Lgs 196/03 al GDPR. Una giornata campale, densa di emozioni per tutti i gatti spelacchiati e i minions che di privacy sono appassionati.

Purtroppo... Murphy non perdona!

Il 5 settembre, all'alba della pubblicazione dell'importante nuova legge, il sito del Garante Privacy va offline, si scollega dal mondo: irraggiungibile... muto e sordo ad ogni tentativo di accesso!
E pensare che non si tratta di un sito vetrina, statico e immutabile. Garanteprivacy.it è un sito molto frequentato, ricco di contenuti, magari non paragonabile ai siti di alcune Autority gemelle in altri stati d'Europa, ma pur sempre punto di riferimento per i cultori della protezione dei dati personali.

In effetti, oltre ad essere il faro che traccia la rotta per il corretto adempimento della norma, è anche un portale per una serie di "servizi": attraverso il sito è gestito il registro delle notifiche del trattamento per chi era tenuto ad effettuarla (in effetti è un obbligo tutt'ora vigente), è l'interfaccia di invio dei dati di contatto del DPO nominato presso gli enti che debbono dotarsi del responsabile della protezione, è il punto di contatto per ricorsi e segnalazioni.

Un evento, insomma, che mortifica il requisito della disponibilità del dato personale previsto dall'articolo 32 del GDPR!

Potrebbe andare peggio? Beh, si... sul sito del garante si dovrebbero notificare i Data breach...  Opps! Come fa ora il Garante a notificare il suo stesso Data Breach?

Murphy non perdona!

Probabilmente questa autodenuncia circolare di data breach non avverrà e non è previsto debba avvenire, anche se mi sembra tutto abbastanza ridicolo.

Amaramente, smetto però di ridere se penso che noi gatti spelacchiati e noi minions, se subiamo un evento del genere, dobbiamo autodenunciarci al Garante e saremo chiamati a dare prova di aver fatto tutto il necessario per scongiurare l'inaccessibilità dei dati e garantire il requisito della disponibilità, di aver garantito la continuità dei servizi, di aver escluso la possibile perdita di dati, di aver impedito accessi non autorizzati e di aver organizzato la resilienza del sistema.

Noi dobbiamo dotarci di efficaci procedure di disaster recovery e di business continuity. Noi dobbiamo vincolare i nostri processor a standard analoghi di protezione dei dati e, se non facciamo tutto questo, veniamo sanzionati, incriminati e dobbiamo risarcire i danni causati.

...e tutto questo accadrà, è una certezza: Murphy non perdona!

CB




04 settembre 2018

Una telefonata che non poteva finire bene.

A volte rispondere ad una telefonata é un'esperienza surreale:

Ring ring...
Io: pronto chi parla? Lei: buongiorno, chiamo dall'editrice xyz, la contatto per informarla sul nostro nuovo manuale su come applicare il gdpr e la normativa privacy. Si tratta di un testo di 520 pagine con esempi e schemi che l'aiuteranno ad applicare correttamente il gdpr...
(La interrompo)
Io: mi scusi, ma io non vi conosco, come mai mi sta chiamando sul cellulare?
Lei: beh, si, abbiamo trovato il suo numero di cellulare nel suo cv su internet in una pagina di esperti di privacy e dpo.
Io: guardi che é illegale fare una cosa simile. Dovreste leggere un buon libro su come applicare il gdpr.
(Silenzio)
Io: penso che nessuno vi comprerà il libro sul gdpr se lo proponete così, violando il gdpr...
Lei: ma si, era solo per aggiornarla, comunque non faccia cosi,  se proprio non le interessa cercheremo di non chiamarla piu.
Io: speriamo!
Click.

30 agosto 2018

Che la giustizia trionfi!

Che rarità!
Dopo alcuni giorni di schermaglia telefonica e postale, dopo aver interessato diversi uffici e aver gettato nello sconforto numerose segretarie, ce l'abbiamo fatta!  Esiste! Esiste qualcuno diposto a mettere il cervello in ciò che fa! Esiste qualcuno che sa ascoltare, valuta, capisce e, se ha sbagliato, si corregge!

Perchè questo mi stupisce? Perchè non è sempre così? 
Nel mio piccolo mi capita, a volte sbaglio, me ne accorgo e mi correggo. A dire il vero capita anche abbastanza spesso! Perchè capita solo a me?

Ecco un luminoso esempio di email che ti può risollevare la giornata:

Buonasera,
con riferimento a precedenti relative all’oggetto  siamo con la presente a comunicare che concordiamo pienamente con quanto da Lei affermato: invitiamo pertanto a non tener conto degli atti di designazione a responsabile del trattamento inviati dalla scrivente alla vostra spettabile azienda, riferiti, in seguito a non corretta interpretazione da parte nostra, al trattamento dei dati personali della clientela acquisiti nell’adesione al programma di fidelizzazione XYZ, dei quali voi siete il TITOLARE del trattamento , che ha già nominato la scrivente  RESPONSABILI del trattamento dei dati relativi ai clienti che si sono registrati presso le i nostri store.

Con i migliori saluti

29 agosto 2018

Il dubbio non è piacevole, ma la certezza è ridicola. Solo gli imbecilli son sicuri di ciò che dicono. (Voltaire)


Le aziende stanno adottando in GDPR in modi che travalicano anche la più fervida fantasia.


Ho sempre trovato uno specifico aspetto del GDPR critico e temo che ora sia visto come cruciale anche dalla gran parte delle aziende: il rapporto tra titolare e fornitore (data owner - data processor) presenta uno scenario estremamente variopinto e poliedrico. In tutta questa varietà, non si può fare a meno di lasciarsi sfuggire un sorriso.

Ecco un caso concreto, che coinvolge nomi blasonati ed importanti firme legali, che mi ha lasciato senza parole:

- Attore principale: azienda titanica, enorme, con migliaia di dipendenti e centinaia di collaborazioni...
- Comparsa: un servizio esternalizzato di formazione in materia di sicurezza del lavoro.

Come noto, la formazione in materia di sicurezza del lavoro è un adempimento a cui deve pensare il datore di lavoro (che è anche il titolare del trattamento) e che lui deve gestire. Ovviamente, ogni datore di lavoro affida ad altri questo compito, in alcuni casi a funzioni interne, in altri casi in outsourcing. In ogni caso, la formazione che viene erogata riporta al datore di lavoro e, chiunque sia coinvolto,  opera sempre in nome di costui che, peraltro, finanzia le attività di formazione.

Date queste premesse, il GDPR non riserva troppe sorprese perchè l'azienda esterna che eroga la formazione lo fa PER CONTO del datore di lavoro originario. Da costui riceve le liste dei lavoratori, riceve il dettaglio di quale formazione effettuare ecc. Chiaramente, il lavoratore è informato dal  proprio datore di lavoro circa questo trattamento e non ha bisogno di alcuna autorizzazione o consenso per trasferire, ad esempio, le liste dei dati dei lavoratori all'ente che eroga la formazione. E' il datore di lavoro che determina le FINALITA' di questo trattamento e questo elemento è dirimente per applicare il GDPR e attribuire il corretto ruolo ai soggetti coinvolti.

Ci si aseptterebbe che il Protagonista, l'azienda datore di lavoro, in qualità di TITOLARE DEL TRATTAMENTO, provveda a nominare il fornitore quale responsabile del trattamento.

Eppure...   eppure in alcuni casi ci sono delle sorprese.

Dopo aver chiesto di ricevere una nomina a responsabile del trattamento, dando forse per scontato troppo,  mi vedo inviare questa illuminante risposta dal Protagonista:

Riscontro la Vs. cortese richiesta al fine di rilevare che nessuna nomina quale di Responsabile del Trattamento dovrà essere predisposta in favore Christian Bernieri e ciò in ragione del servizio (formazione on line del personale) che egli andrà ad erogare in favore della scrivente.
Tale categoria di soggetti, infatti, come espressamente indicato all'interno dell'informativa resa ai lavoratori, è stata fatta rientrare nel novero dei Terzi Titolari Autonomi (e non dei Responsabili), affinchè l’Interessato nel caso di errato o non conforme trattamento dei suoi dati personali o in ipotesi di “data breach” nulla possa rivendicare nei confronti della scrivente.

Chiaramente, come fornitore, sono ben lieto di accettare questo parere, per me autorevole, sul quale posso solo meglio riflettere, nella speranza di imparare i fini meccanismi delle politiche di attuazione del GDPR.

Uscendo però dalla logica cliente-fornitore e ragionando da consulente privacy, non posso fare a meno di pensare che, al posto della applicazione di una norma, siamo di fronte alla personalizzazione della norma stessa, al suo allontanamento dalla realtà e del suo assoggettamento ad interessi di parte o a politiche aziendali accuratamente studiate. Leggere termini come "è stata fatta rientrare" mi fa pensare ad una azione deliberata, una lettura appositamente orientata piuttosto che alla descrizione di una realtà fattuale.

Penso che sia difficile sostenere una posizione simile.

Dal canto mio, ho la ferma intenzione di trattare i dati che mi verranno consegnati con la massima diligenza, proteggerli, ed utilizzarli unicamente per le finalità per le quali mi sono stati consegnati. Chiaramente ora dovrò pensare all'informativa che devo dare ai lavoratori coinvolti, ma questo è marginale: avevo già predisposto una informativa integrativa, a beneficio dell'azienda mia cliente.

Tuttavia, forse con eccesso di zelo, mi sorge un dubbio e inizio a scavare su un aspetto particolare: se è vera la posizione sostenuta del mio cliente, in ragione dell'informativa citata, quei dati sono, di fatto, usciti dal controllo del titolare originario e sono oggetto di un data breach che si è consumato nel momento stesso in cui mi sono stati consegnati. Io sono libero come l'aria rispetto al titolare originario, sono svincolato da ogni dovere nei confronti degli interessati e posso trattare quei dati senza alcun ulteriore preoccupazione, se non il mero adempimento dei miei obblighi di legge in materia di protezione dei dati... un fosco scenario!



Forse il GDPR non permette una simile interpretazione, una così estrema applicazione... mi sembra di poterla definire addirittura una manipolazione.
Forse, questa applicazione della norma, è in realtà una violazione della norma stessa. Un data Breach in termini.
Forse, l'azienda ha incontrato il proprio destino proprio sulla strada presa per evitarlo...

Speriamo di no.

CB

  

21 agosto 2018

"Quanti siete, cosa trasportate, un fiorino". One stop shop e il turismo dei garanti privacy

Un unica norma: il GDPR
Un unico territorio: UE
28 paesi differenti autorità garanti... e 28 differenti "stili" tra cui scegliere.

Leggo oggi un interessante e piccata analisi relativa alla strategia di Google rispetto ad uno dei tanti temi aperti relativi in tema di privacy.

Gia in passato per uno stesso evento che ha coinvolto una singola impresa, ancorché di livello internazionale,  le autorità garanti si sono espresse e comportate in modo differente. L'autorità Spagnola ha sanzionato pesantemente l'azienda, mentre l'autorità garante Inglese ha solamente richiesto delle misure di protezione senza provvedere ad alcun atto sanzionatorio.

Oggi emerge con chiarezza un altro elemento su cui riflettere: una singola azienda può (o meglio, deve) scegliere a quale autorità essere soggetta, eleggendo la  propria "residenza privacy" in uno dei 28 paesi a disposizione.
Lo prevede il GDPR stesso e prende il nome di "One Stop Shop".

Certamente, la norma è unica, certamente tutte le autorità garanti hanno il medesimo livello di competenza, sono soggette alle stesse regole, hanno un coordinamento centrale e diversi punti di incontro e di contatto... ma, di fatto, se scegli il paese giusto, la difesa diventa più semplice, il dialogo possibile, la responsabilizzazione del titolare può essere valutata e apprezzata con occhio più favorevole e le attività ispettive possono addirittura diventare benevole.
In effetti, la norma non è proprio identica tra le diverse nazioni d'europa. Il GDPR è il medesimo, ma sono presenti differenti normative integrative e di recepimento o armonizzazione che a volte possono risultare particolarmente scomode o particolarmente favorevoli.

In fondo non è uno scenario nè nuovo nè ingiusto: da sempre le aziende stabiliscono i propri centri di interesse in modo oculato. Da sempre la residenza fiscale viene scelta sulla base della tassazione applicata e le automobili o le barche sono immatricolate nel paese meno ostile. 
Perchè la "residenza privacy" dovrebbe rispondere a criteri differenti?

Forse la cosa sorprendente è che si possa scegliere su vari fronti in modo disgiunto: la residenza fiscale in Irlanda, la residenza privacy in Romania, in Lettonia, in Lituania o a Cipro.
Anche l'Italia può partecipare a questa sorta di competizione e potrebbe trovarsi a diventare un polo attraente per la localizzazione di molte imprese, almeno sotto il profilo della "Residenza Privacy".
Sarà interessante fare una statistica delle scelte delle imprese che, sono certo, non sarà dettata da ragioni di comodità ma di convenienza. Prima però è necessario che le imprese si accorgano di quanto sia rilevante questa scelta e di quanto impatto possano avere le conseguenze.

Mi ricordo un interessante incontro con l'intero CDA di una startup operante nel settore del data management puro, un'impresa forse estrema, o forse pionieristica, estremamente abile e attrezzata nella gestione di enormi quantità di dati, nella loro interconnessione e trasformazione. Un'ente pulito, desideroso di fare le cose nel modo giusto, al quale però ho dovuto dire che la loro idee anon era nuova e che il terreno su cui volevano giocare era in realtà un campo minato.
A quest'azienda (extraeuropea) ho consigliato di fare uno studio e un'attenta valutazione della loro "residenza privacy" e scegliere oculatamente dove piantare la loro bandierina. In quel momento l'idea non è stata compresa ed è stata scartata. Oggi più che mai darei lo stesso identico consiglio: studiare, analizzare e valutare la geografia politica delle autorità garanti è necessario.

CB


17 agosto 2018

Legal Design: quell'irrefrenabile voglia di leggere l'informativa privacy...

Cos'è il design? probabilmente chiunque vorrebbe rivolgere questa domanda ad un architetto, ad uno stilista, ad un esteta, ad un grafico o ad un artista.
Oggi, questa domanda può e deve essere rivolta anche a chi cura la protezione di dati personali e i temi legali in azienda.

Tutti hanno letto e sentito il termine PRIVACY BY DESIGN ma comprenderne la portata richiede un approccio molto ampio alla materia e una pluralità di prospettive differenti.

Uno degli aspetti più interessanti e meno visibili è la necessità di applicare i concetti di privacy by design in modo ampio anche alle privacy policy e, più in generale, ai termini legali.
Per non generare confusione, è bene chiamre questa applicazione LEGAL DESIGN. Il concetto si è sviluppato in ambito accademico ed è la risposta ad una crescente necessità, sia legale che sociale.

Parlare di Legal Design significa ribaltare il procedimento classico delle funzioni legali: occorre privilegiare e partire dalla PERSONA che dovrà fruire delle informazioni e non dalla norma o dall'elaborato che, di solito, è percepito come punto di partenza e di arrivo, con un'ottica autoreferenziale e indifferente all'utente finale.
Forse nel solco dell'antico adagio "la legge non ammette ignoranza" ci si è spesso arroccati su posizioni formali, asettiche, complicate, tecniche e distanti dalla funzione reale dei testi legali. Le ambiguità hanno bisogno di questo approccio.

Il Legal Design  introduce una prospettiva opposta che privilegia la funzione, l'utente, la persona.

Applicando il design al diritto occorre umiltà: la competenza legale non basta più e non si può pensare di essere autonomi per realizzare un prodotto legale (che sia una lettera di incarico al trattamento, una nomina a responsabile del trattamento, un contratto, una licenza d'uso, una privacy policy, TeC, o anche solo una risposta ad una richiesta di accesso ai dati).
Occorre applicare concretamente il DESIGN THINKING e avere un approccio centrato sull'utente, sulle sue caratteristiche, le sue competenze, i suoi limiti, le sue aspettative, i suoi bisogni.
Occorre accettare il rischio di essere più trasparenti, più comprensibili, meno tecnici, meno ambigui. Occorre differenziare il lavoro sulla base di una moltitudine di elementi che richiedono differenti prospettive e differenti competenze.
Anche il procedimento di scrittura cambia radicalmente. Non è pensabile che il prodotto legale possa essere completato unicamente sul PC dell'esperto legale e inviato direttamente al destinatario o immediatamente applicato. Occorre cercare la collaborazione di esperti di altre materie, grafici, designer, mediatori culturali, sociologi, tecnici informatici, persino degli utenti!
Il prodotto legale, alla luce del design, del Legal Design, si sviluppa con un percorso in fasi distinte:
- richiede una fase di progettazione e ideazione,
- una fase di prova o prototipizzazione,
- una fase di test per la verifica dell'efficacia, della comprensibilità, della trasparenza e della funzionalità del prodotto.
Solo alla fine di un processo complesso si potrà considerare il prodotto legale completo e pronto per essere utulizzato.

Il design riporta a leggi universali e a concetti inusuali in contesti legali:

occorre ricercare il massimo risultato con il minimo sforzo
che porta a compattezza ed essenzialità delle informazioni

occorre agilità e completezza
che porta a sviluppo stratificato (layered)

occorre comprensibilità e semplicità
che porta alla trasparenza totale

Il design costa molto, non in termini economici, ma di scelta. Il design può vincolare radicalmente ciò che si intende fare. Se il focus è l'utente e l'imperativo è la trasparenza, diventa molto difficile riuscire a nascondere un rapporto di forze sbilanciato, un uso anomalo o eccessivo dei dati, diventa pericoloso mistificare una finalità in modo da edulcorarne la reale portata e i rischi conseguenti. Se al centro c'è l'utente, le ambiguità diventano un nemico da combattere ed eliminare.
Il design può essere imbarazzante perchè mette in evidenza tutte quelle ambiguità che, nei testi legali classici, sono abilmente mimetizzate nei testi eccessivamente lunghi e verbosi, nelle formule di stile, nelle locuzioni tecniche, nei riferimenti normativi oscuri e complicati e che vivono in un ecosistema fatto di stratagemmi esoterici del diritto.

Senza Design, senza Legal Design, un normale testo legale, come i Termini e Condizioni di uso di un social network, può diventare un mostro. Che senso può avere chiedere ad un utente di leggere e acconsentire ad un testo che richiede almeno 60 minuti per un lettore allenato... e che, con le complicazioni legali, richiederebbe una rilettura e una riflessione attenta su molti punti, allungandone ulteriormente il tempo di lettura? Quanti lo hanno fatto realmente? Si può pensare che questo approccio sia coerente con il GDPR?

Direi proprio di no e il rischio legale per il titolare del trattamento di sottoporre testi privi di Legal Design all'utente è reale.
L'art. 12 del GDPR impone che le privacy policy siano scritte in "forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro".
Le linee guida sul consenso del WP29 sono ancora più esplicite: "Controllers cannot use long privacy policies that are difficult to understand or statements full of legal jargon.". I garanti si stanno esprimendo in modo coerente e uniforme con provvedimenti e indicazioni chiarissime ed esplicite. Talmente esplicite da sembrare punitive, ostili, inapplicabili. Cambiando prospettiva però, le stesse indicazioni sono condivisibili, giuste, logiche, coerenti e necessarie.

Il Design nella comunicazione tra titolare del trattamento ed interessato è un requisito fondamentale di legittimità del trattamento perchè da questo dipende la validità al consenso.

Il GDPR impone che l'utente possa leggere ciò a cui deve acconsentire ed è onere del titolare del trattamento rendere leggibile il testo.
Ricordiamolo,  l'art 4 del GDPR è prescrittivo: certamente definisce i termini ma ne detta anche i requisiti di esistenza.  E' qui che si definisce il principio secondo cui il consenso, per esistere, deve corrispondere ad una manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. In mancanza, non è un consenso.

La maggior parte delle informative sono validate sulla base di una domanda errata: i riferimenti legali sono aggiornati al GDPR? Qualsiasi risposta è sbagliata perchè è sbagliata la domanda. Aggiornare i riferimenti non mette a norma nulla.
paradossalmente, togliere tutti i riferimenti a leggi, articoli e commi è un buon indizio del fatto che la privacy policy sia aggiornata e conforme al GDPR.

Quali domande bisogna porsi per validare l'informativa?
Ogni titolare potrebbe provare a considerare domande nuove:

- la Privacy Policy è molto lunga?
(deve essere breve e non demotivante)

- la Privacy Policy è comprensibile solo all'utente medio o all'utente evoluto?
(deve essere leggibile e comprensibile anche dall'utente più svantaggiato e limitato)

- la Privacy Policy è ricca di termini legali o riferimenti complicati?
(deve essere chiara e non ambigua)

Allo stato attuale, sono ancora poche le privacy policy che possano superare questo semplice test e che, quindi, non richiedano un intervento "estetico" di modifica, una rivisitazione in chiave Legal Design.
Preservare il significato legale e associare ad esso una forma comprensibile e chiara non è una sfida impossibile, anzi, è tecnicamente fattibile e spesso molto divertente, ma richiede un cambiamento di mentalità abbastanza radicale. Con la diffusione di questo approccio, aumenterà il numero delle Privacy Policy  conformi al GDPR.

L'obbiettivo classico nella stesura dei testi legali era, magari in modo indiretto, disincentivarne la lettura da parte dei destinatari e minimizzare il numero degli utenti consapevoli dei contenuti, annoiandoli.
Il nuovo obbiettivo è far si che ogni utente abbia voglia di leggere e capire il testo legale,  divertendosi.

... potrebbe essere necessario farsi un'ultima domanda prima di pubblicare una informativa privacy:  la mia privacy policy è bella?

CB.




11 agosto 2018

Mantenere il controllo 2: la situazione si complica...



Riprendo un pensiero che avevo in qualche modo archiviato. Proprio sulla base delle riflessioni sull'esigenza di mantenere il controllo, voglio ripensare in modo critico ad un altro oggetto tecnologico che, a prima vista ha caratteristiche analoghe alla videocamera, ma che si differenzia in modo radicale per il tipo di rischio che comporta.

La frontiera degli apparati Always-on ha fatto un balzo in avanti e si potrebbe pensare ad un balzo evoluzionistico.
La telecamera sempre accesa, intelligente, che decide cosa è rilevante e manda nel cloud frammenti della mia vita, è pur sempre un oggetto che richiede una facoltà attiva: devo ricordare di prenderla, caricarla, metterla in tasca, attaccarla da qualche parte in modo che possa seguirmi. Magari posso dimenticarmi di averla addosso, ma effettivamente un margine di controllo lo mantengo e se la lascio scaricare, o se la chiudo nel cassetto, quell'oggetto invadente smette di essere un pensiero o un problema.

Questo limite mi piace, mi serve. Non rende l'oggetto più umano, ma rende l'umano a proprio agio con l'oggetto.

Oggi però lo scenario si è complicato e, di colpo, mi trovo a pensare all'oggetto che, più di ogni altro, ci mette a proprio agio, che ti guarda mentre sei indifeso, ti veglia nel sonno, non si muove mai e che trovi sempre lì, tutte le sere e tutte le mattine: un oggetto così comune che smette di essere notato e, discretamente, ti accompagna ogni giorno... la radiosveglia.

Ricordo ancora ogni singola volta che sono andato a comprare una radiosveglia nuova. Quella con i numeretti rotanti a caduta che faceva "Flip" ogni minuto, quella con le lancette silenziose a movimento continuo, una con numeri rossi luminosi, una che proiettava sul soffitto l'orario, un'altra bellissima, gialla, dotata di rumorosi campanacci e martelletto che mia moglie ha odiato ma che era l'unica in grado di svegliarmi, una da viaggio che avevo vinto ad un concorso fotografico, e tante altre. 
Tutte loro mi hanno accompagnato per anni e sono diventate una defilata e discreta tessera del mosaico di uno sfondo permanente e immutabile nelle mie giornate. Molto rassicurante in effetti!

La mia sveglia non ha mai risposto ai tanti insulti che le ho rivolto al risveglio, non ha mai interpretato i miei sogni o ascoltato i miei respiri ne valutato la qualità o la quantità del mio sonno e non ha mai curiosato nel mio letto. La mia radiosveglia non ha mai avuto le orecchie.
E' sempre stata molto discreta e non ha mai detto nulla a nessuno di ciò di cui è stata testimone. Una radiosveglia Privacy By Design.

Oggi con pochi euro può arrivare sul comodino un oggetto connesso, un orecchio sempre attivo che ascolta e interpreta ogni suono, ogni conversazione, inviando ogni suono su database remoti e decidendo come comportarsi. Non sono così ottimista da sperare che sia intelligente, e so che alle spalle c'è la programmazione che, per quanto sofisticata, è pur sempre la creazione di uomo... dalla sua abilità, dai suoi desideri, delle sue paure, dalle sue priorità, dai suoi doveri.

"Fin qui tutto bene... fin qui tutto bene... fin qui tutto bene" si ripete ossessivamente chi sta precipitando senza paracadute.
Fin qui tutto bene, almeno finché questo oggetto sarà sotto il controllo di una persona e questa persona sarà abbastanza corretta da non fare pieno uso delle sue potenzialità, da non voler curiosare nei dati discretamente acquisiti e da non rendere reali i rischi che questo oggetto porta con sè.

Lo schianto sarà fragoroso è devastante nel momento in cui sì toccherà il fondo e, in questa metafora, il fondo è rappresentato dalla sola idea di poter utilizzare i dati che queste orecchie captano al di fuori delle regole, al di fuori della consapevolezza, del controllo e del consenso dell'utente, al di fuori dell'etica che deve illuminare questo tipo di oggetto e di servizio.

Purtroppo la maggior parte dei produttori affonda le proprie radici in nazioni dove il dato personale appartiene a chi riesce ad ottenerlo, a capirlo,  e non al soggetto a cui il dato si riferisce.
Il GDPR, rispecchia una matrice molto differente, europea, che fa prevalere il governo del dato da parte dell'interessato e la trasparenza, ma questa barriera, certamente rispondente ad un'etica, é appena nata e non ferma chi non la condivide, chi non la capisce, chi decide di violarla...

Posso chiudere la videocamera nel cassetto... ma sopra al cassetto c'è l'occhio di Sauron.

Uscendo da questa metafora, mi trovo di fronte ad una miriade di oggetti connessi, tipicamente diffusori audio o casse acustiche, connesse, collegate sia con il wifi  che con la rete elettrica e queste portano sul comodino un sistema sempre in ascolto, pronto ad interpretare parole come "Ok Google", o "Hei Siri" o "Ciao Alexa", ma anche pronto ad interpretare ogni suono, a registrarlo, a condividerlo con il rispettivo gestore, giorno e notte, senza tregua, senza batterie che possano scaricarsi, senza pulsanti di accensione... molto discretamente.
(NB: in questo momento i sistemi in commercio comprendono: Google Home, Google Now, Apple’s Siri, Windows Cortana, Amazon Echo, oltre ad alcune smart TV,  gli irrigatori per giardini, videocamere di sorveglianza, frigoriferi, lavatrici ecc.)

Forse siamo di fronte ad una svolta, si utilizza il concetto della DISCREZIONE per poter effettuare un trattamento dati effettivamente INVASIVO.
Normalmente, pensando a queste tecnologie, preoccupa fin da subito la loro vulnerabilità e si sviluppano in parallelo sofisticate tecnologie di protezione. Certamente è un tema da affrontare, ma non è forse più complicato da gestire l'aspetto della consapevolezza dell'utilizzo, del rapido e distratto consenso rilasciato dall'utente all'atto dell'installazione senza aver ben compreso la sua portata, o il fatto che quell'oggetto continua a generare e acquisire dati, a mandarli su server altrui...  e che tu vivi la tua vita, liberamente, mentre i dati fluiscono?
Che lo strumento sia sicuro è necessario. Che l'utente sia consapevole è tuttavia più importante e ben più difficile da realizzare, specialmente se l'utente viene rassicurato mostrandogli che è utilizzata la massima tecnologia di sicurezza e  la più raffinata protezione tecnologica.

E' triste constatarlo, ma vantare la massima sicurezza su questi dispositivi è una ingenua illusione. Un dispositivo può essere blindatissimo rispetto alle connessioni, ma può essere nel contempo molto vulnerabile a nuove forme di aggressione. La fantasia non manca e sono già disponibili nuove tipologie di attacco, impensabili fino a poco tempo fa, basate su segnali acustici non udibili (ultrasuoni o infrasuoni) contenenti ordini che il dispositivo ascolta, interpreta ed esegue, senza dover bucare un server, decifrare un sistema crittografico, senza dover violare una connessione o affrontare le sofisticate protezioni che ammiccano sulla confezione del prodotto facendolo sembrare inespugnabile.


Oggi, alcuni sistemi di condivisione permanente della localizzazione geografica (come google maps) avvisano periodicamente l'utente che sta condividendo la propria posizione con amici e parenti... mi domando se questi sistemi da comodino che tutto ascoltano o vedono, saranno altrettanto gentili e rispettosi da ricordare all'utente che tutto ciò che viene detto sarà registrato e inviato ai server del produttore?
Saranno dotati di un indicatore (non modificabile via software) che renda manifesta ed esplicita l'attività del microfono? Per ora ne dubito, anche perchè ho potuto constatare che i produttori fanno di tutto per mistificare il significato del messaggio o, quanto meno, per applicare una logica non orientata alla protezione dei dati personali. 
Il led rosso, tipico nelle videocamere in fase di registrazione, è attribuito ora all'evento "guasto". Il led verde, rassicurante e discreto, è attribuito al regolare funzionamento (ascolto, invio di dati, esecuzione di ordini). Il led blu, che genera curiosità e sospetto, è associato a problemi di connessione o attività di setup.

Mi chiedo, questi dispositivi saranno dotati di un sistema semplice, come un interruttore on-off, per permettere all'utente di disabilitare le funzioni più invasive? Anche  solo lo spegnimento è spesso ostacolato. Non ci sono interruttori, occorre un sistema complicato (app o computer) per accedere al controllo e la spina non la stacca mai nessuno perchè, di solito, è dietro al mobile!

Sarà privilegiata la possibilità di gestire il riconoscimento vocale sulla macchina, localmente e offline,  senza dover inviare i dati su un server remoto?

Il software che governa l'apparato sarà trasparente, aperto e conoscibile, verificabile come forma di garanzia della sua attività?

In passato, sono stati gestiti problemi analoghi facendo leva sulla consapevolezza del pubblico, sino ad arrivare a paradossi quali le foto shock sui pacchetti di sigarette o i cartelloni pubblicitari per disincentivare l'uso di alcohol.

Ritengo che la consapevolezza sia fondamentale e che l'alfabetizzazione sia lo strumento per guidare qualsiasi intervento di prevenzione. Ma in questo caso siamo di fronte ad un oggetto che ha caratteristiche particolari e può facilmente ingannare anche il più accorto dei tecnici.
Mi sono trovato in prima persona a cadere vittima di un inganno: "L'ho comperato... lo devo usare". Questo pensiero mi ha condizionato e mi ha spinto a giudicare accettabili dei trattamenti e dei termini di servizio completamente sbilanciati o affatto rispettosi del dato personale. 
Il fatto stesso di aver acquistato un oggetto prevale sulle ragioni per le quali l'oggetto dovrebbe essere restituito. In effetti, la restituzione è possibile ma è anche scomoda, complicata e, di fatto, disincentivata. 
Inoltre è difficile ammettere con se stessi di aver sbagliato e di essersi fatti prendere la mano, è molto più comodo cliccare e procedere, attivare il servizio sperando che, alla fine, non succederà nulla di brutto.

E così, l'occhio di Sauron,  discretamente, prende possesso del comodino, della stanza, della vita di chi pensa ancora di essere il suo padrone.

CB


01 agosto 2018

"Esistere" non è un data breach. Riflessioni sul dato manifestamente pubblico.


Sono tornato al mare, al mio mare, e, a distanza di un anno, ho incontrato persone che conoscevo e che sono cambiate rispetto all'immagine e al ricordo che ne conservavo nella memoria. In particolare mi ha colpito un amico che, non so per quale malattia, da sportivo atletico e tatuato ironman è diventato, purtroppo, uno dei tanti flagellati dalla sorte che fanno fatica ad allacciarsi le scarpe o bere da un bicchiere.

La mente si è subito intasata di pensieri e, tra questi, uno riguarda la privacy... e mi trovo a riflettere su un aspetto, magari marginale, ma rilevante quando ti scopri a vivere nell'imbarazzo costante e nel disagio incolpevole di una malattia visibile a tutti.

Mi chiedo quanto la sua voglia di uscire di casa, di guardare il mare, di continuare a vivere una vita libera possa essere mal interpretato e confuso  con una ipotetica volontà di manifestare pubblicamente un dato personale: la sua malattia. Come può essere confuso con un "consenso" all'uso del dato che tutti vedono? Come si può pensare che ciò che è manifestamente pubblico sia anche esente dai vincoli che la normativa impone per trattare un dato, specialmente se il dato è così sensibile e particolare?

Nel GDPR c'è un passaggio che mi impensierisce: i dati particolari (cioè i dati sensibili) possono essere trattati se sono "resi manifestamente pubblici dall'interessato". 

E' una follia applicare questo concetto al mio amico. E' ripugnante che qualcuno possa pensare di leggere la norma in tal senso e possa interpretare in modo così capzioso la mera esistenza di una persona.

Non sono impazzito e la questione non è peregrina e da anni questo accade impunemente.

Fin dai tempi del telefono a rotella, gli elenchi pubblici sono stati utilizzati per proporre enciclopedie, investimenti, prodotti di ogni tipo. Quegli elenchi,  bianchi o gialli, erano raccolti e pubblicati per permettere a amici e parenti di trovarsi o affinchè le aziende potessero essere contattate dai possibili clienti. Solo la fantasia e la malizia umana hanno permesso di "reinterpretare" l'uso corretto del dato invertendone la finalità. 

Più tardi, i siti web sono stati "fraintesi" nello stesso modo, e con tecnologie più raffinate. Sono stati creati web crawler in grado di scandagliare quantità gigantesche di siti web e raccogliere indirizzi e dati da usare per qualsiasi possibile finalità e senza troppi scrupoli.  ...tanto sono pubblici!

E ancora, sono serviti specifici interventi del garante per impedire che venissero usate le anagrafi (quella delle persone, il PRA, il catasto, gli albi pretori) per usi distorti e decisamente lontani dalla finalità della pubblicazione del dato originario.

Le cronache sono piene di "interpreti" dello stato di salute di personaggi famosi. Sono note le diagnosi a distanza, basate su fotografie, della malattia di Steve Jobs; sono numerosi i profili psico-patologici di Donald Trump; si parla molto in questi giorni del lungo segreto sulla malattia di Sergio Marchionne e in molti non digeriscono il fatto che nessuno si sia accorto di nulla e che l'informazione non sia stata resa nota. Resa nota? Forse, il fatto che non si potesse intuire nulla dalle pubbliche apparizioni ha destabilizzato chi era abituato ad utilizzare senza troppi scrupoli i dati maliziosamente ritenuti "manifestamente resi pubblici".

Peraltro, forse sarebbe più coretto chiamarli metadati

Con occhi onesti, è impossibile giustificare abusi simili e il buonsenso suggerisce che questi comportamenti non siano limpidi. La norma, tuttavia, è sempre rimasta un passo in dietro rispetto alla fantasia e sono stati necessari interventi specifici del Garante per limitare gli abusi.

Il GDPR ha un approccio differente e riesce, senza bisogno di interpretazioni o adattamenti, a disciplinare e limitare questi abusi... ma quello strano comma è troppo facile da fraintendere per chi ha così tanti anni di esperienza nel fraintendere norme e nello stiracchiare giustificazioni poco plausibili...

Credo che in ci sia un'ipocrisia di fondo nel voler leggere ciò che è visibile sotto la luce del sole come una pubblico e disponibile, come se ci fosse una manifestazione esplicita e consenziente di un dato riservato.  Non è lecito pretendere che la protezione del dato debba richiedere la sua segretezza. Non è giusto che una persona debba chiudersi in casa per non rendere visibile al mondo ciò che, agli occhi di tutti, è comprensibile con uno sguardo. 

Personalmente vedo un abisso tra il fatto di andare ad una manifestazione di piazza imbracciando una bandiera e il semplice fatto di esistere mostrandosi al mondo.

Il GDPR, letto con onestà, non ci autorizza a considerare come manifestamente pubblico tutto ciò che è visibile e non ci autorizza a fare qualsiasi cosa con un dato pubblicamente visibile. Forse è necessario rileggere quell'articolo del GDPR con la stessa logica che applichiamo al consenso: forse bisogna essere certi che chi rende manifesto un dato, lo faccia in modo attivo, volontario, consapevole, libero, specifico, inequivocabile, per una finalità chiaramente individuata e condivisa.
Rivedo al mio amico e penso che, in caso contrario, mancherebbe qualcosa: la legittimazione all'utilizzo di quel dato.

Fino a che punto è una manifestazione pubblica del proprio pensiero il rifiuto di parlare al citofono con un fedele che predica casa per casa il proprio credo? Questo comportamento potrà legittimare una mappatura della città segnando gli indirizzi ostili e quelli affini al suo pensiero? Anche senza scomodare le recenti sentenze sui testimoni di geova, penso che la trasparenza richiamata dal GDPR contenga già la risposta.

Decisamente non si può dire che ciò che avviene alla luce del sole sia una manifestazione volontaria di un dato personale e del implicito consenso all'uso che chiunque possa fare di quella informazione.
Decisamente nessuna norma chiede alle persone di limitare alla sfera più privata il proprio comportamento libero, anzi, semmai è vero il contrario.
È molto più corretto entrare nell'ordine di idee opposto: la norma oggi garantisce alle persone di poter vivere serenamente, alla luce del sole, sapendo di godere di una tutela forte che garantisce loro che le informazioni colte da ogni osservatore non possono essere utilizzate in modo malizioso.

Forse è poco evidente, ma la libertà richiede questo tipo di protezione del dato e delle persone.
Senza questa tutela, non potremmo andare ad una messa, mandare i bambini all'oratorio, leggere un certo giornale seduti al parco, ascoltare una certa canzone, andare in vacanza in un certo periodo dell'anno, digiunare dall'alba al tramonto, utilizzare un copricapo particolare, prendere il sole mostrando un tatuaggio evocativo... non potremmo cercare di vivere la propria vita alla luce del sole, combattendo un dolore o una malattia.

CB.



30 luglio 2018

Non c'è nulla di più costoso di ciò che è gratis.

Gratis... che affarone.

Ti davano una bella divisa, tre pasti caldi al giorno e un tetto sulla testa. Un affarone per chi non ha nulla. In cambio però  dovevi combattere con le armi un nemico in guerra...

Anche un anno di pay-tv gratis è un affarone... finché non scopri che il contratto è triennale e gli anni successivi hanno un costo ben diverso, che al contratto sono associati servizi ulteriori, newsletter, profilazione sulle abitudini di fruizione, promozioni di partner commerciali, ecc. Certamente nessuno è obbligato ad aderire alla proposta e chiunque può leggere anche le scritte con caratteri minuscoli, ma i modi per offuscare il meccanismo di persuasione sono molti. Possiamo chiamarla prova gratuita, possiamo chiamarlo regalo per i nuovi abbonati, possiamo chiamarla personalizzazione dell'esperienza utente, possiamo chiamarlo dolus bonus, tuttavia, superando ogni punto di vista, resta una sola inconfutabile verità: quel primo anno non è affatto gratis.


Oggi, magari in modo meno evidente, il meccanismo è il medesimo di sempre: sembra gratis ma non lo è.


Oggi il valore di scambio non è nemmeno visibile agli occhi di chi, con entusiasmo, usufruisce di un fighissimo servizio gratuito.

Tutti possono vedere il valore di uno sconto o il totale dei soldi risparmiati, purtroppo sono ancora pochi a poter intuire il valore dei dati e ancora meno sono le persone che sanno intuire il valore dell'interconnessione dei dati, dell'uso evoluto e del vero costo della promozione.

Ogni volta che siamo di fronte alla gratuità, c'è il concreto rischio di trasformarsi, senza accorgersene e con il nostro pieno consenso, in un limone spremuto sino all'ultima goccia.

Questo scenario è ricorrente nei modelli di business imperanti e consolidati. Mi confronto spesso con aziende che impostano gran parte della loro attività su escamotage di questo tipo e che propongono prodotti e servizi con il solo scopo di raccogliere e utilizzare dati personali, dati di consumo, preferenze, scelte, che interconnettono i dati per poter essere più efficaci nel promuovere il prodotto giusto per la persona giusta, nel momento giusto!
Il GDPR impone un livello di trasparenza e dei vincoli di legittimità che destabilizzano e che minano alle fondamenta questo consolidato meccanismo.

Dal fatidico 25 maggio 2018, un servizio gratuito, uno sconto, una promozione, l'accesso esclusivo ad un prodotto in anteprima, un programma di fidelizzazione, la connessione al wifi, la frequentazione di esclusive lounge ecc... non può essere più subordinato ad una contropartita in termini di libertà di analisi dei dati o di consenso a trattamenti spinti e potenzialmente rischiosi.
O meglio, anche prima del 25 maggio era vietato, ma la norma precedente era meno considerata dal mercato, meno applicata, direi ignorata.

Oggi non può più esistere la gratuità in cambio del consenso. Il GDPR non lo permette e chi ancora basa il proprio business su questo modello corre il rischio di violare una norma e veder sgretolare il proprio business. 

Ciò che può esistere è solo la gratuità, quella vera: poter usare un servizio, leggere un articolo, connettersi ad internet senza che nessuno possa pretendere nulla in cambio. 
Questo non significa che chiedere di poter utilizzare i dati sia deprecabile o illegale. Resta illecito pretenderlo o, peggio, farlo senza nemmeno chiederlo.
Mi tornano alla memoria i primi tempi dell'accesso di massa alle BBS o ad Internet, tramite operatori dotati di batterie di Modem ai quali telefonare. Prima con numeri a tariffazione ordinaria, poi con numeri verdi. Alla luce di questi anni di evoluzione della consapevolezza, si può rileggere anche quella gratuità di accesso in modo differente. Io stesso, ricordo, quando gestivo una BBS, mi divertivo ad esaminare i log e a verificare il comportamento degli utenti, a sviluppare le aree di maggior interesse e chiudere le sezioni non utilizzate e a "spiare" dietro le quinte ciò che accadeva. In effetti posso dire di aver imparato molto da quell'esperienza che ormai risale a più di 20 anni fa.
Anche oggi potrei farlo, come chiunque, ma nel rispetto del GDPR.

Probabilmente l'impatto sui modelli di business di questa rivoluzione non è ancora del tutto evidente, ma occorre sin da ora fare uno sforzo di fantasia per inventare nuovi modi per rendere di nuovo remunerativo ciò che, fino a poco tempo fa, non si vendeva ma si regalava. 
Mentre scrivo, leggo le notizie dei primi contraccolpi finanziari che l'applicazione del GDPR sta portando ai big del web. Forse l'impatto maggiore lo vedranno i minion del web, meno attrezzati, meno pronti, meno reattivi, meno fantasiosi e meno rapidi nel cambiamento.
Non è la specie più forte o la più intelligente a sopravvivere, ma quella che si adatta meglio al cambiamento. Grazie Mr. Darwin per il prezioso indizio su come sopravvivere al GDPR.

Ancora oggi ricordo lo sguardo di quel CEO al quale ho spiegato che il suo programma di fidelizzazione, com'era disegnato, poteva essere reso legale unicamente garantendo gli stessi privilegi, sconti e promozioni ANCHE a chi non aveva nessuna voglia di rilasciare il proprio consenso per la profilazione, per il marketing... e addirittura che sarebbe stato necessario studiare una forma di accesso alle promozioni che escludesse l'uso dei dati e l'uso del sofisticato server che, fino a quel momento, aveva registrato e analizzato ogni acquisto, ogni transazione con gradi quantità di metadati ed informazioni, decisamente non necessarie per qualificarlo come clienti abituale e privilegiato...in grado quindi di accedere agli sconti prima della data ufficiale o per avere un piccolo sconto ulteriore sul prezzo esposto.
Leggo in queste ore un acceso dibattito su twitter tra alcuni esponenti del mondo IAB. e alcuni esperti attivi nella tutela della protezione dei dati personali (@PrivacyMatters). 


Leggo con stupore posizioni arroccate e spaventate, molto sulla difensiva, per nulla inclini al confronto e alla ricerca di margini di miglioramento... mi spiace per chi ha questo approccio, sinceramente, come mi spiace per la sorte del simpatico Panda.
Del resto, se nasci Panda, non puoi pretendere di diventare un Tardigrado!





29 luglio 2018

La paura: antico terrore o preziosa alleata?

Risultati immagini per pauraLa paura ci serve. In natura, senza paura, dureremmo poche ore. 
La paura è alla base della sopravvivenza, dell'evoluzione, dello sviluppo di idee intelligenti. La paura ci regola e ci impedisce di prendere decisioni errate, ci spinge verso comportamenti razionali ed utili.

Quando la paura è mal gestita si trasfigura e ci si rivolta contro: si trasforma da preziosa alleata ad ostacolo o, peggio, in un pessimo consigliere che ci paralizza, che ci impedisce di ragionare, che blocca la nostra creatività, che mortifica l'iniziativa ed il coraggio.
Non esistono due termini diversi per riferirsi a queste due facce della paura, tuttavia non possono essere confusi e sono da tutti riconosciuti in modo inequivocabile.

La provvida e naturale paura ci serve. 
La paura totalizzante va temuta più del male che la sottende.

Oggi la paura è usata in ogni ambito come arma di persuasione: è diventata una leva per garantire il rispetto di norme di legge, è usata come deterrente per scoraggiare comportamenti illeciti, è addirittura uno strumento di marketing per vendere servizi o prodotti. In quest'ottica, basta rileggere in modo critico qualsiasi pubblicità, su qualunque media, per rendersi conto che il fattore paura è predominante: anche quando le parole suggeriscono serenità o propongono soluzioni, il messaggio, le immagini, le suggestioni e le allusioni sono sempre orientate per suscitare paura nello spettatore.

Visti i numeri, penso proprio che funzioni!

Temo che, se questo è vero, ci sia un equivoco di fondo che genera a cascata conseguenze, per me, inaccettabili.

Mi dissocio dalla logica della paura.
Non riesco ad essere d'accordo con chi ha paura delle sanzioni e, per questo, decide di adottare un determinato comportamento.
Non posso approvare chi genera paura della norma di legge (ad esempio del GDPR), non ha senso spaventare un azienda sperando che diventi un cliente. Personalmente trovo tutto questo immorale e sbagliato.

Mi piace pensare di poter contare su una provvida paura che, con riferimento al GDPR e al dato personale, appare più simile a un rispetto consapevole, determinato dalla fiducia altrui.
Mi sento orgoglioso di essere il depositario di dati personali altrui e solo questo mi spinge a trattarli nel miglior modo possibile.
Sono felice di poter contare su norme evolute, mature, magari complesse ma decisamente gestibili, che mi indichino come fare per garantire l'adeguata protezione e la necessaria riservatezza dei dati che custodisco e che utilizzo.

Questo approccio, che spero sia sempre più condiviso, mi aiuta realmente, mi permette di  utilizzare in modo positivo questa paura,  di valorizzarla, di trarne il massimo per sviluppare soluzioni intelligenti, nuove, a volte coraggiose e, soprattutto, pensate specificamente per ogni singolo unico e particolare caso che mi si presenti.
Mi accorgo che questo approccio si riflette in modo molto profondo sulla consulenza e sul rapporto con le aziende che aiuto. 

Uso la paura per affrontare lucidamente ed entusiasticamente ogni progetto: dopo aver cercato di inquadrare correttamente il tema, dopo aver individuato gli obiettivi e le criticità, affronto il lavoro in modo sempre molto positivo e aperto. Si tratta solo di capire come fare, bene, ciò che permette di raggiungere lo scopo. Un po come se non esistessero preclusioni a priori o vincoli insuperabili. 
La paura fa dire no. La provvida paura del dato mi suggerisce che c'è sicuramente una soluzione ideale che aspetta solo di essere intuita scoperta ed applicata.

CB

Tanta fatica... a volte.

La consulenza è un lavoro di gruppo. Da sempre, nell'organizzazione del mio studio, faccio in modo che ogni lavoro venga condiviso, discusso o rivisto prima di essere inviato.
È bellissimo potersi confrontare tra colleghi: è essenziale poter contare su un punto di vista differente o anche solo potersi  confrontare con una prospettiva leggermente diversa dalla propria.
Provare a realizzare un qualsiasi lavoro in totale autonomia è spesso deludente, noioso, e può generare un prodotto piuttosto scarno e superficiale. In quei rari casi in cui non riesco a confrontarmi con un collega, cerco comunque applicare quegli stratagemmi che, fin dai tempi della scuola, mi hanno aiutato: parcheggio il lavoro svolto per qualche ora, mi occupo d'altro e lo riprendo  in seguito, con occhi nuovi e con spirito critico, impugnando la gomma piuttosto che la matita.


Tutto si paga chiaramente e questo tipo di controllo, oggi, è un lusso. Io lo considero necessario, anche a costo di essere meno rapidi o meno produttivi.

Ogni tanto questo confronto assume un senso ed un sapore diverso e diventa così faticoso da farmi pensare che ci sia un errore di fondo.
Di colpo, si entra in un incubo, mi tornano alla mente alcuni libri di Kafka: i sospiri aumentano, e affiorano sentimenti di rassegnazione e frustrazione.
A volte il confronto parte male e mi trovo a dover sostenere le mie tesi senza che dall'altra parte ce ne siano altre, senza un secondo punto di vista ma semplicemente due occhi sbarrati che mi osservano come se fossi un marziano: ogni parola sembra nuova ed ignota, le perifrasi sono inutili perché sfugge il concetto, gli occhi dell'interlocutore diventano bui e pensierosi, il volto si tende e compare un generale sentimento di irritazione ostilità e paura.

A questo punto il danno è fatto. Non c'è più dialogo ma un esame dove ogni parola deve essere giustificata, dove ogni tesi va dimostrata. Tutto si trasforma in un question time estremamente faticoso, per nulla produttivo è piuttosto deludente.

Per molto tempo ho temuto che si potesse innescare questo meccanismo.
Più di recente ho iniziato a pensare che questo tipo di dialogo possa avere un senso. Qual'è l'origine dell'incubo? Si può forse gestire? Forse è un fenomeno che va compreso più a fondo.
La scintilla è la paura: la paura di non aver compreso l'interlocutore; la paura che il contenuto della consulenza possa andare a toccare argomenti tabù che non possono essere messi in discussione, come dei dogmi; la paura di non avere alternative o, in alcuni casi, la paura pura e semplice di avventurarsi nell'ignoto.

Riprendere il controllo della situazione richiede, in questi casi, pazienza e fatica perché la paura si può scardinare solo con il lume della ragione e della conoscenza...

E allora cambia tutto... la consulenza diventa un momento di formazione, si riprende tutto dall'inizio cercando di condividere anche quelle scontate basi che, forse, sono state date per scontate. Si inizia così un cammino diverso, molto più orientato alla didattica piuttosto che al confronto operativo e all'arricchimento reciproco. Se il confronto costruttivo è un lusso, questo approccio costa addirittura molto di più.

Il risultato non è mai prevedibile e, a volte, è sorprendente. Una volta, un cliente illuminato e onesto, mi ha candidamente detto che, a causa di quello che gli avevo spiegato, avrebbe messo in discussione me prima di mettere in discussione il resto, prima di considerare vero quello che stavo spiegando, prima di riconsiderare il modello di business, in particolare, prima di valutare le implicazioni scomode dell'applicazione esatta della normativa sulla protezione dei dati personali.

Tutto questo mi riporta alla fatica, che non è mai stata un problema se è necessaria per raggiungere un obiettivo, ma che è insostenibile quando sembra essere fine a se stessa.

A volte è difficile cogliere il senso di questi sforzi se manca quella trasparenza e quella onestà intellettuale, magari a causa della paura che confonde i pensieri.
Dopo tutti questi anni da formatore e consulente, continuo a pensare che un risultato si riesca sempre a conseguirlo: essere riusciti ad arricchire l'interlocutore, magari anche a costo di dover rinunciare alla consulenza e "perderlo" come cliente, con l'unica consolazione di aver gettato le basi per stimolare l'approfondimento, per far sorgere i dubbi e per aver, in qualche modo, mostrato una prospettiva nuova, prima invisibili, così diversa da sembrare eretica... 
...e di aver sconfitto la paura.

CB