.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

30 agosto 2018

Che la giustizia trionfi!

Che rarità!
Dopo alcuni giorni di schermaglia telefonica e postale, dopo aver interessato diversi uffici e aver gettato nello sconforto numerose segretarie, ce l'abbiamo fatta!  Esiste! Esiste qualcuno diposto a mettere il cervello in ciò che fa! Esiste qualcuno che sa ascoltare, valuta, capisce e, se ha sbagliato, si corregge!

Perchè questo mi stupisce? Perchè non è sempre così? 
Nel mio piccolo mi capita, a volte sbaglio, me ne accorgo e mi correggo. A dire il vero capita anche abbastanza spesso! Perchè capita solo a me?

Ecco un luminoso esempio di email che ti può risollevare la giornata:

Buonasera,
con riferimento a precedenti relative all’oggetto  siamo con la presente a comunicare che concordiamo pienamente con quanto da Lei affermato: invitiamo pertanto a non tener conto degli atti di designazione a responsabile del trattamento inviati dalla scrivente alla vostra spettabile azienda, riferiti, in seguito a non corretta interpretazione da parte nostra, al trattamento dei dati personali della clientela acquisiti nell’adesione al programma di fidelizzazione XYZ, dei quali voi siete il TITOLARE del trattamento , che ha già nominato la scrivente  RESPONSABILI del trattamento dei dati relativi ai clienti che si sono registrati presso le i nostri store.

Con i migliori saluti

29 agosto 2018

Il dubbio non è piacevole, ma la certezza è ridicola. Solo gli imbecilli son sicuri di ciò che dicono. (Voltaire)


Le aziende stanno adottando in GDPR in modi che travalicano anche la più fervida fantasia.


Ho sempre trovato uno specifico aspetto del GDPR critico e temo che ora sia visto come cruciale anche dalla gran parte delle aziende: il rapporto tra titolare e fornitore (data owner - data processor) presenta uno scenario estremamente variopinto e poliedrico. In tutta questa varietà, non si può fare a meno di lasciarsi sfuggire un sorriso.

Ecco un caso concreto, che coinvolge nomi blasonati ed importanti firme legali, che mi ha lasciato senza parole:

- Attore principale: azienda titanica, enorme, con migliaia di dipendenti e centinaia di collaborazioni...
- Comparsa: un servizio esternalizzato di formazione in materia di sicurezza del lavoro.

Come noto, la formazione in materia di sicurezza del lavoro è un adempimento a cui deve pensare il datore di lavoro (che è anche il titolare del trattamento) e che lui deve gestire. Ovviamente, ogni datore di lavoro affida ad altri questo compito, in alcuni casi a funzioni interne, in altri casi in outsourcing. In ogni caso, la formazione che viene erogata riporta al datore di lavoro e, chiunque sia coinvolto,  opera sempre in nome di costui che, peraltro, finanzia le attività di formazione.

Date queste premesse, il GDPR non riserva troppe sorprese perchè l'azienda esterna che eroga la formazione lo fa PER CONTO del datore di lavoro originario. Da costui riceve le liste dei lavoratori, riceve il dettaglio di quale formazione effettuare ecc. Chiaramente, il lavoratore è informato dal  proprio datore di lavoro circa questo trattamento e non ha bisogno di alcuna autorizzazione o consenso per trasferire, ad esempio, le liste dei dati dei lavoratori all'ente che eroga la formazione. E' il datore di lavoro che determina le FINALITA' di questo trattamento e questo elemento è dirimente per applicare il GDPR e attribuire il corretto ruolo ai soggetti coinvolti.

Ci si aseptterebbe che il Protagonista, l'azienda datore di lavoro, in qualità di TITOLARE DEL TRATTAMENTO, provveda a nominare il fornitore quale responsabile del trattamento.

Eppure...   eppure in alcuni casi ci sono delle sorprese.

Dopo aver chiesto di ricevere una nomina a responsabile del trattamento, dando forse per scontato troppo,  mi vedo inviare questa illuminante risposta dal Protagonista:

Riscontro la Vs. cortese richiesta al fine di rilevare che nessuna nomina quale di Responsabile del Trattamento dovrà essere predisposta in favore Christian Bernieri e ciò in ragione del servizio (formazione on line del personale) che egli andrà ad erogare in favore della scrivente.
Tale categoria di soggetti, infatti, come espressamente indicato all'interno dell'informativa resa ai lavoratori, è stata fatta rientrare nel novero dei Terzi Titolari Autonomi (e non dei Responsabili), affinchè l’Interessato nel caso di errato o non conforme trattamento dei suoi dati personali o in ipotesi di “data breach” nulla possa rivendicare nei confronti della scrivente.

Chiaramente, come fornitore, sono ben lieto di accettare questo parere, per me autorevole, sul quale posso solo meglio riflettere, nella speranza di imparare i fini meccanismi delle politiche di attuazione del GDPR.

Uscendo però dalla logica cliente-fornitore e ragionando da consulente privacy, non posso fare a meno di pensare che, al posto della applicazione di una norma, siamo di fronte alla personalizzazione della norma stessa, al suo allontanamento dalla realtà e del suo assoggettamento ad interessi di parte o a politiche aziendali accuratamente studiate. Leggere termini come "è stata fatta rientrare" mi fa pensare ad una azione deliberata, una lettura appositamente orientata piuttosto che alla descrizione di una realtà fattuale.

Penso che sia difficile sostenere una posizione simile.

Dal canto mio, ho la ferma intenzione di trattare i dati che mi verranno consegnati con la massima diligenza, proteggerli, ed utilizzarli unicamente per le finalità per le quali mi sono stati consegnati. Chiaramente ora dovrò pensare all'informativa che devo dare ai lavoratori coinvolti, ma questo è marginale: avevo già predisposto una informativa integrativa, a beneficio dell'azienda mia cliente.

Tuttavia, forse con eccesso di zelo, mi sorge un dubbio e inizio a scavare su un aspetto particolare: se è vera la posizione sostenuta del mio cliente, in ragione dell'informativa citata, quei dati sono, di fatto, usciti dal controllo del titolare originario e sono oggetto di un data breach che si è consumato nel momento stesso in cui mi sono stati consegnati. Io sono libero come l'aria rispetto al titolare originario, sono svincolato da ogni dovere nei confronti degli interessati e posso trattare quei dati senza alcun ulteriore preoccupazione, se non il mero adempimento dei miei obblighi di legge in materia di protezione dei dati... un fosco scenario!



Forse il GDPR non permette una simile interpretazione, una così estrema applicazione... mi sembra di poterla definire addirittura una manipolazione.
Forse, questa applicazione della norma, è in realtà una violazione della norma stessa. Un data Breach in termini.
Forse, l'azienda ha incontrato il proprio destino proprio sulla strada presa per evitarlo...

Speriamo di no.

CB

  

21 agosto 2018

"Quanti siete, cosa trasportate, un fiorino". One stop shop e il turismo dei garanti privacy

Un unica norma: il GDPR
Un unico territorio: UE
28 paesi differenti autorità garanti... e 28 differenti "stili" tra cui scegliere.

Leggo oggi un interessante e piccata analisi relativa alla strategia di Google rispetto ad uno dei tanti temi aperti relativi in tema di privacy.

Gia in passato per uno stesso evento che ha coinvolto una singola impresa, ancorché di livello internazionale,  le autorità garanti si sono espresse e comportate in modo differente. L'autorità Spagnola ha sanzionato pesantemente l'azienda, mentre l'autorità garante Inglese ha solamente richiesto delle misure di protezione senza provvedere ad alcun atto sanzionatorio.

Oggi emerge con chiarezza un altro elemento su cui riflettere: una singola azienda può (o meglio, deve) scegliere a quale autorità essere soggetta, eleggendo la  propria "residenza privacy" in uno dei 28 paesi a disposizione.
Lo prevede il GDPR stesso e prende il nome di "One Stop Shop".

Certamente, la norma è unica, certamente tutte le autorità garanti hanno il medesimo livello di competenza, sono soggette alle stesse regole, hanno un coordinamento centrale e diversi punti di incontro e di contatto... ma, di fatto, se scegli il paese giusto, la difesa diventa più semplice, il dialogo possibile, la responsabilizzazione del titolare può essere valutata e apprezzata con occhio più favorevole e le attività ispettive possono addirittura diventare benevole.
In effetti, la norma non è proprio identica tra le diverse nazioni d'europa. Il GDPR è il medesimo, ma sono presenti differenti normative integrative e di recepimento o armonizzazione che a volte possono risultare particolarmente scomode o particolarmente favorevoli.

In fondo non è uno scenario nè nuovo nè ingiusto: da sempre le aziende stabiliscono i propri centri di interesse in modo oculato. Da sempre la residenza fiscale viene scelta sulla base della tassazione applicata e le automobili o le barche sono immatricolate nel paese meno ostile. 
Perchè la "residenza privacy" dovrebbe rispondere a criteri differenti?

Forse la cosa sorprendente è che si possa scegliere su vari fronti in modo disgiunto: la residenza fiscale in Irlanda, la residenza privacy in Romania, in Lettonia, in Lituania o a Cipro.
Anche l'Italia può partecipare a questa sorta di competizione e potrebbe trovarsi a diventare un polo attraente per la localizzazione di molte imprese, almeno sotto il profilo della "Residenza Privacy".
Sarà interessante fare una statistica delle scelte delle imprese che, sono certo, non sarà dettata da ragioni di comodità ma di convenienza. Prima però è necessario che le imprese si accorgano di quanto sia rilevante questa scelta e di quanto impatto possano avere le conseguenze.

Mi ricordo un interessante incontro con l'intero CDA di una startup operante nel settore del data management puro, un'impresa forse estrema, o forse pionieristica, estremamente abile e attrezzata nella gestione di enormi quantità di dati, nella loro interconnessione e trasformazione. Un'ente pulito, desideroso di fare le cose nel modo giusto, al quale però ho dovuto dire che la loro idee anon era nuova e che il terreno su cui volevano giocare era in realtà un campo minato.
A quest'azienda (extraeuropea) ho consigliato di fare uno studio e un'attenta valutazione della loro "residenza privacy" e scegliere oculatamente dove piantare la loro bandierina. In quel momento l'idea non è stata compresa ed è stata scartata. Oggi più che mai darei lo stesso identico consiglio: studiare, analizzare e valutare la geografia politica delle autorità garanti è necessario.

CB


17 agosto 2018

Legal Design: quell'irrefrenabile voglia di leggere l'informativa privacy...

Cos'è il design? probabilmente chiunque vorrebbe rivolgere questa domanda ad un architetto, ad uno stilista, ad un esteta, ad un grafico o ad un artista.
Oggi, questa domanda può e deve essere rivolta anche a chi cura la protezione di dati personali e i temi legali in azienda.

Tutti hanno letto e sentito il termine PRIVACY BY DESIGN ma comprenderne la portata richiede un approccio molto ampio alla materia e una pluralità di prospettive differenti.

Uno degli aspetti più interessanti e meno visibili è la necessità di applicare i concetti di privacy by design in modo ampio anche alle privacy policy e, più in generale, ai termini legali.
Per non generare confusione, è bene chiamre questa applicazione LEGAL DESIGN. Il concetto si è sviluppato in ambito accademico ed è la risposta ad una crescente necessità, sia legale che sociale.

Parlare di Legal Design significa ribaltare il procedimento classico delle funzioni legali: occorre privilegiare e partire dalla PERSONA che dovrà fruire delle informazioni e non dalla norma o dall'elaborato che, di solito, è percepito come punto di partenza e di arrivo, con un'ottica autoreferenziale e indifferente all'utente finale.
Forse nel solco dell'antico adagio "la legge non ammette ignoranza" ci si è spesso arroccati su posizioni formali, asettiche, complicate, tecniche e distanti dalla funzione reale dei testi legali. Le ambiguità hanno bisogno di questo approccio.

Il Legal Design  introduce una prospettiva opposta che privilegia la funzione, l'utente, la persona.

Applicando il design al diritto occorre umiltà: la competenza legale non basta più e non si può pensare di essere autonomi per realizzare un prodotto legale (che sia una lettera di incarico al trattamento, una nomina a responsabile del trattamento, un contratto, una licenza d'uso, una privacy policy, TeC, o anche solo una risposta ad una richiesta di accesso ai dati).
Occorre applicare concretamente il DESIGN THINKING e avere un approccio centrato sull'utente, sulle sue caratteristiche, le sue competenze, i suoi limiti, le sue aspettative, i suoi bisogni.
Occorre accettare il rischio di essere più trasparenti, più comprensibili, meno tecnici, meno ambigui. Occorre differenziare il lavoro sulla base di una moltitudine di elementi che richiedono differenti prospettive e differenti competenze.
Anche il procedimento di scrittura cambia radicalmente. Non è pensabile che il prodotto legale possa essere completato unicamente sul PC dell'esperto legale e inviato direttamente al destinatario o immediatamente applicato. Occorre cercare la collaborazione di esperti di altre materie, grafici, designer, mediatori culturali, sociologi, tecnici informatici, persino degli utenti!
Il prodotto legale, alla luce del design, del Legal Design, si sviluppa con un percorso in fasi distinte:
- richiede una fase di progettazione e ideazione,
- una fase di prova o prototipizzazione,
- una fase di test per la verifica dell'efficacia, della comprensibilità, della trasparenza e della funzionalità del prodotto.
Solo alla fine di un processo complesso si potrà considerare il prodotto legale completo e pronto per essere utulizzato.

Il design riporta a leggi universali e a concetti inusuali in contesti legali:

occorre ricercare il massimo risultato con il minimo sforzo
che porta a compattezza ed essenzialità delle informazioni

occorre agilità e completezza
che porta a sviluppo stratificato (layered)

occorre comprensibilità e semplicità
che porta alla trasparenza totale

Il design costa molto, non in termini economici, ma di scelta. Il design può vincolare radicalmente ciò che si intende fare. Se il focus è l'utente e l'imperativo è la trasparenza, diventa molto difficile riuscire a nascondere un rapporto di forze sbilanciato, un uso anomalo o eccessivo dei dati, diventa pericoloso mistificare una finalità in modo da edulcorarne la reale portata e i rischi conseguenti. Se al centro c'è l'utente, le ambiguità diventano un nemico da combattere ed eliminare.
Il design può essere imbarazzante perchè mette in evidenza tutte quelle ambiguità che, nei testi legali classici, sono abilmente mimetizzate nei testi eccessivamente lunghi e verbosi, nelle formule di stile, nelle locuzioni tecniche, nei riferimenti normativi oscuri e complicati e che vivono in un ecosistema fatto di stratagemmi esoterici del diritto.

Senza Design, senza Legal Design, un normale testo legale, come i Termini e Condizioni di uso di un social network, può diventare un mostro. Che senso può avere chiedere ad un utente di leggere e acconsentire ad un testo che richiede almeno 60 minuti per un lettore allenato... e che, con le complicazioni legali, richiederebbe una rilettura e una riflessione attenta su molti punti, allungandone ulteriormente il tempo di lettura? Quanti lo hanno fatto realmente? Si può pensare che questo approccio sia coerente con il GDPR?

Direi proprio di no e il rischio legale per il titolare del trattamento di sottoporre testi privi di Legal Design all'utente è reale.
L'art. 12 del GDPR impone che le privacy policy siano scritte in "forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro".
Le linee guida sul consenso del WP29 sono ancora più esplicite: "Controllers cannot use long privacy policies that are difficult to understand or statements full of legal jargon.". I garanti si stanno esprimendo in modo coerente e uniforme con provvedimenti e indicazioni chiarissime ed esplicite. Talmente esplicite da sembrare punitive, ostili, inapplicabili. Cambiando prospettiva però, le stesse indicazioni sono condivisibili, giuste, logiche, coerenti e necessarie.

Il Design nella comunicazione tra titolare del trattamento ed interessato è un requisito fondamentale di legittimità del trattamento perchè da questo dipende la validità al consenso.

Il GDPR impone che l'utente possa leggere ciò a cui deve acconsentire ed è onere del titolare del trattamento rendere leggibile il testo.
Ricordiamolo,  l'art 4 del GDPR è prescrittivo: certamente definisce i termini ma ne detta anche i requisiti di esistenza.  E' qui che si definisce il principio secondo cui il consenso, per esistere, deve corrispondere ad una manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. In mancanza, non è un consenso.

La maggior parte delle informative sono validate sulla base di una domanda errata: i riferimenti legali sono aggiornati al GDPR? Qualsiasi risposta è sbagliata perchè è sbagliata la domanda. Aggiornare i riferimenti non mette a norma nulla.
paradossalmente, togliere tutti i riferimenti a leggi, articoli e commi è un buon indizio del fatto che la privacy policy sia aggiornata e conforme al GDPR.

Quali domande bisogna porsi per validare l'informativa?
Ogni titolare potrebbe provare a considerare domande nuove:

- la Privacy Policy è molto lunga?
(deve essere breve e non demotivante)

- la Privacy Policy è comprensibile solo all'utente medio o all'utente evoluto?
(deve essere leggibile e comprensibile anche dall'utente più svantaggiato e limitato)

- la Privacy Policy è ricca di termini legali o riferimenti complicati?
(deve essere chiara e non ambigua)

Allo stato attuale, sono ancora poche le privacy policy che possano superare questo semplice test e che, quindi, non richiedano un intervento "estetico" di modifica, una rivisitazione in chiave Legal Design.
Preservare il significato legale e associare ad esso una forma comprensibile e chiara non è una sfida impossibile, anzi, è tecnicamente fattibile e spesso molto divertente, ma richiede un cambiamento di mentalità abbastanza radicale. Con la diffusione di questo approccio, aumenterà il numero delle Privacy Policy  conformi al GDPR.

L'obbiettivo classico nella stesura dei testi legali era, magari in modo indiretto, disincentivarne la lettura da parte dei destinatari e minimizzare il numero degli utenti consapevoli dei contenuti, annoiandoli.
Il nuovo obbiettivo è far si che ogni utente abbia voglia di leggere e capire il testo legale,  divertendosi.

... potrebbe essere necessario farsi un'ultima domanda prima di pubblicare una informativa privacy:  la mia privacy policy è bella?

CB.




11 agosto 2018

Mantenere il controllo 2: la situazione si complica...



Riprendo un pensiero che avevo in qualche modo archiviato. Proprio sulla base delle riflessioni sull'esigenza di mantenere il controllo, voglio ripensare in modo critico ad un altro oggetto tecnologico che, a prima vista ha caratteristiche analoghe alla videocamera, ma che si differenzia in modo radicale per il tipo di rischio che comporta.

La frontiera degli apparati Always-on ha fatto un balzo in avanti e si potrebbe pensare ad un balzo evoluzionistico.
La telecamera sempre accesa, intelligente, che decide cosa è rilevante e manda nel cloud frammenti della mia vita, è pur sempre un oggetto che richiede una facoltà attiva: devo ricordare di prenderla, caricarla, metterla in tasca, attaccarla da qualche parte in modo che possa seguirmi. Magari posso dimenticarmi di averla addosso, ma effettivamente un margine di controllo lo mantengo e se la lascio scaricare, o se la chiudo nel cassetto, quell'oggetto invadente smette di essere un pensiero o un problema.

Questo limite mi piace, mi serve. Non rende l'oggetto più umano, ma rende l'umano a proprio agio con l'oggetto.

Oggi però lo scenario si è complicato e, di colpo, mi trovo a pensare all'oggetto che, più di ogni altro, ci mette a proprio agio, che ti guarda mentre sei indifeso, ti veglia nel sonno, non si muove mai e che trovi sempre lì, tutte le sere e tutte le mattine: un oggetto così comune che smette di essere notato e, discretamente, ti accompagna ogni giorno... la radiosveglia.

Ricordo ancora ogni singola volta che sono andato a comprare una radiosveglia nuova. Quella con i numeretti rotanti a caduta che faceva "Flip" ogni minuto, quella con le lancette silenziose a movimento continuo, una con numeri rossi luminosi, una che proiettava sul soffitto l'orario, un'altra bellissima, gialla, dotata di rumorosi campanacci e martelletto che mia moglie ha odiato ma che era l'unica in grado di svegliarmi, una da viaggio che avevo vinto ad un concorso fotografico, e tante altre. 
Tutte loro mi hanno accompagnato per anni e sono diventate una defilata e discreta tessera del mosaico di uno sfondo permanente e immutabile nelle mie giornate. Molto rassicurante in effetti!

La mia sveglia non ha mai risposto ai tanti insulti che le ho rivolto al risveglio, non ha mai interpretato i miei sogni o ascoltato i miei respiri ne valutato la qualità o la quantità del mio sonno e non ha mai curiosato nel mio letto. La mia radiosveglia non ha mai avuto le orecchie.
E' sempre stata molto discreta e non ha mai detto nulla a nessuno di ciò di cui è stata testimone. Una radiosveglia Privacy By Design.

Oggi con pochi euro può arrivare sul comodino un oggetto connesso, un orecchio sempre attivo che ascolta e interpreta ogni suono, ogni conversazione, inviando ogni suono su database remoti e decidendo come comportarsi. Non sono così ottimista da sperare che sia intelligente, e so che alle spalle c'è la programmazione che, per quanto sofisticata, è pur sempre la creazione di uomo... dalla sua abilità, dai suoi desideri, delle sue paure, dalle sue priorità, dai suoi doveri.

"Fin qui tutto bene... fin qui tutto bene... fin qui tutto bene" si ripete ossessivamente chi sta precipitando senza paracadute.
Fin qui tutto bene, almeno finché questo oggetto sarà sotto il controllo di una persona e questa persona sarà abbastanza corretta da non fare pieno uso delle sue potenzialità, da non voler curiosare nei dati discretamente acquisiti e da non rendere reali i rischi che questo oggetto porta con sè.

Lo schianto sarà fragoroso è devastante nel momento in cui sì toccherà il fondo e, in questa metafora, il fondo è rappresentato dalla sola idea di poter utilizzare i dati che queste orecchie captano al di fuori delle regole, al di fuori della consapevolezza, del controllo e del consenso dell'utente, al di fuori dell'etica che deve illuminare questo tipo di oggetto e di servizio.

Purtroppo la maggior parte dei produttori affonda le proprie radici in nazioni dove il dato personale appartiene a chi riesce ad ottenerlo, a capirlo,  e non al soggetto a cui il dato si riferisce.
Il GDPR, rispecchia una matrice molto differente, europea, che fa prevalere il governo del dato da parte dell'interessato e la trasparenza, ma questa barriera, certamente rispondente ad un'etica, é appena nata e non ferma chi non la condivide, chi non la capisce, chi decide di violarla...

Posso chiudere la videocamera nel cassetto... ma sopra al cassetto c'è l'occhio di Sauron.

Uscendo da questa metafora, mi trovo di fronte ad una miriade di oggetti connessi, tipicamente diffusori audio o casse acustiche, connesse, collegate sia con il wifi  che con la rete elettrica e queste portano sul comodino un sistema sempre in ascolto, pronto ad interpretare parole come "Ok Google", o "Hei Siri" o "Ciao Alexa", ma anche pronto ad interpretare ogni suono, a registrarlo, a condividerlo con il rispettivo gestore, giorno e notte, senza tregua, senza batterie che possano scaricarsi, senza pulsanti di accensione... molto discretamente.
(NB: in questo momento i sistemi in commercio comprendono: Google Home, Google Now, Apple’s Siri, Windows Cortana, Amazon Echo, oltre ad alcune smart TV,  gli irrigatori per giardini, videocamere di sorveglianza, frigoriferi, lavatrici ecc.)

Forse siamo di fronte ad una svolta, si utilizza il concetto della DISCREZIONE per poter effettuare un trattamento dati effettivamente INVASIVO.
Normalmente, pensando a queste tecnologie, preoccupa fin da subito la loro vulnerabilità e si sviluppano in parallelo sofisticate tecnologie di protezione. Certamente è un tema da affrontare, ma non è forse più complicato da gestire l'aspetto della consapevolezza dell'utilizzo, del rapido e distratto consenso rilasciato dall'utente all'atto dell'installazione senza aver ben compreso la sua portata, o il fatto che quell'oggetto continua a generare e acquisire dati, a mandarli su server altrui...  e che tu vivi la tua vita, liberamente, mentre i dati fluiscono?
Che lo strumento sia sicuro è necessario. Che l'utente sia consapevole è tuttavia più importante e ben più difficile da realizzare, specialmente se l'utente viene rassicurato mostrandogli che è utilizzata la massima tecnologia di sicurezza e  la più raffinata protezione tecnologica.

E' triste constatarlo, ma vantare la massima sicurezza su questi dispositivi è una ingenua illusione. Un dispositivo può essere blindatissimo rispetto alle connessioni, ma può essere nel contempo molto vulnerabile a nuove forme di aggressione. La fantasia non manca e sono già disponibili nuove tipologie di attacco, impensabili fino a poco tempo fa, basate su segnali acustici non udibili (ultrasuoni o infrasuoni) contenenti ordini che il dispositivo ascolta, interpreta ed esegue, senza dover bucare un server, decifrare un sistema crittografico, senza dover violare una connessione o affrontare le sofisticate protezioni che ammiccano sulla confezione del prodotto facendolo sembrare inespugnabile.


Oggi, alcuni sistemi di condivisione permanente della localizzazione geografica (come google maps) avvisano periodicamente l'utente che sta condividendo la propria posizione con amici e parenti... mi domando se questi sistemi da comodino che tutto ascoltano o vedono, saranno altrettanto gentili e rispettosi da ricordare all'utente che tutto ciò che viene detto sarà registrato e inviato ai server del produttore?
Saranno dotati di un indicatore (non modificabile via software) che renda manifesta ed esplicita l'attività del microfono? Per ora ne dubito, anche perchè ho potuto constatare che i produttori fanno di tutto per mistificare il significato del messaggio o, quanto meno, per applicare una logica non orientata alla protezione dei dati personali. 
Il led rosso, tipico nelle videocamere in fase di registrazione, è attribuito ora all'evento "guasto". Il led verde, rassicurante e discreto, è attribuito al regolare funzionamento (ascolto, invio di dati, esecuzione di ordini). Il led blu, che genera curiosità e sospetto, è associato a problemi di connessione o attività di setup.

Mi chiedo, questi dispositivi saranno dotati di un sistema semplice, come un interruttore on-off, per permettere all'utente di disabilitare le funzioni più invasive? Anche  solo lo spegnimento è spesso ostacolato. Non ci sono interruttori, occorre un sistema complicato (app o computer) per accedere al controllo e la spina non la stacca mai nessuno perchè, di solito, è dietro al mobile!

Sarà privilegiata la possibilità di gestire il riconoscimento vocale sulla macchina, localmente e offline,  senza dover inviare i dati su un server remoto?

Il software che governa l'apparato sarà trasparente, aperto e conoscibile, verificabile come forma di garanzia della sua attività?

In passato, sono stati gestiti problemi analoghi facendo leva sulla consapevolezza del pubblico, sino ad arrivare a paradossi quali le foto shock sui pacchetti di sigarette o i cartelloni pubblicitari per disincentivare l'uso di alcohol.

Ritengo che la consapevolezza sia fondamentale e che l'alfabetizzazione sia lo strumento per guidare qualsiasi intervento di prevenzione. Ma in questo caso siamo di fronte ad un oggetto che ha caratteristiche particolari e può facilmente ingannare anche il più accorto dei tecnici.
Mi sono trovato in prima persona a cadere vittima di un inganno: "L'ho comperato... lo devo usare". Questo pensiero mi ha condizionato e mi ha spinto a giudicare accettabili dei trattamenti e dei termini di servizio completamente sbilanciati o affatto rispettosi del dato personale. 
Il fatto stesso di aver acquistato un oggetto prevale sulle ragioni per le quali l'oggetto dovrebbe essere restituito. In effetti, la restituzione è possibile ma è anche scomoda, complicata e, di fatto, disincentivata. 
Inoltre è difficile ammettere con se stessi di aver sbagliato e di essersi fatti prendere la mano, è molto più comodo cliccare e procedere, attivare il servizio sperando che, alla fine, non succederà nulla di brutto.

E così, l'occhio di Sauron,  discretamente, prende possesso del comodino, della stanza, della vita di chi pensa ancora di essere il suo padrone.

CB


01 agosto 2018

"Esistere" non è un data breach. Riflessioni sul dato manifestamente pubblico.


Sono tornato al mare, al mio mare, e, a distanza di un anno, ho incontrato persone che conoscevo e che sono cambiate rispetto all'immagine e al ricordo che ne conservavo nella memoria. In particolare mi ha colpito un amico che, non so per quale malattia, da sportivo atletico e tatuato ironman è diventato, purtroppo, uno dei tanti flagellati dalla sorte che fanno fatica ad allacciarsi le scarpe o bere da un bicchiere.

La mente si è subito intasata di pensieri e, tra questi, uno riguarda la privacy... e mi trovo a riflettere su un aspetto, magari marginale, ma rilevante quando ti scopri a vivere nell'imbarazzo costante e nel disagio incolpevole di una malattia visibile a tutti.

Mi chiedo quanto la sua voglia di uscire di casa, di guardare il mare, di continuare a vivere una vita libera possa essere mal interpretato e confuso  con una ipotetica volontà di manifestare pubblicamente un dato personale: la sua malattia. Come può essere confuso con un "consenso" all'uso del dato che tutti vedono? Come si può pensare che ciò che è manifestamente pubblico sia anche esente dai vincoli che la normativa impone per trattare un dato, specialmente se il dato è così sensibile e particolare?

Nel GDPR c'è un passaggio che mi impensierisce: i dati particolari (cioè i dati sensibili) possono essere trattati se sono "resi manifestamente pubblici dall'interessato". 

E' una follia applicare questo concetto al mio amico. E' ripugnante che qualcuno possa pensare di leggere la norma in tal senso e possa interpretare in modo così capzioso la mera esistenza di una persona.

Non sono impazzito e la questione non è peregrina e da anni questo accade impunemente.

Fin dai tempi del telefono a rotella, gli elenchi pubblici sono stati utilizzati per proporre enciclopedie, investimenti, prodotti di ogni tipo. Quegli elenchi,  bianchi o gialli, erano raccolti e pubblicati per permettere a amici e parenti di trovarsi o affinchè le aziende potessero essere contattate dai possibili clienti. Solo la fantasia e la malizia umana hanno permesso di "reinterpretare" l'uso corretto del dato invertendone la finalità. 

Più tardi, i siti web sono stati "fraintesi" nello stesso modo, e con tecnologie più raffinate. Sono stati creati web crawler in grado di scandagliare quantità gigantesche di siti web e raccogliere indirizzi e dati da usare per qualsiasi possibile finalità e senza troppi scrupoli.  ...tanto sono pubblici!

E ancora, sono serviti specifici interventi del garante per impedire che venissero usate le anagrafi (quella delle persone, il PRA, il catasto, gli albi pretori) per usi distorti e decisamente lontani dalla finalità della pubblicazione del dato originario.

Le cronache sono piene di "interpreti" dello stato di salute di personaggi famosi. Sono note le diagnosi a distanza, basate su fotografie, della malattia di Steve Jobs; sono numerosi i profili psico-patologici di Donald Trump; si parla molto in questi giorni del lungo segreto sulla malattia di Sergio Marchionne e in molti non digeriscono il fatto che nessuno si sia accorto di nulla e che l'informazione non sia stata resa nota. Resa nota? Forse, il fatto che non si potesse intuire nulla dalle pubbliche apparizioni ha destabilizzato chi era abituato ad utilizzare senza troppi scrupoli i dati maliziosamente ritenuti "manifestamente resi pubblici".

Peraltro, forse sarebbe più coretto chiamarli metadati

Con occhi onesti, è impossibile giustificare abusi simili e il buonsenso suggerisce che questi comportamenti non siano limpidi. La norma, tuttavia, è sempre rimasta un passo in dietro rispetto alla fantasia e sono stati necessari interventi specifici del Garante per limitare gli abusi.

Il GDPR ha un approccio differente e riesce, senza bisogno di interpretazioni o adattamenti, a disciplinare e limitare questi abusi... ma quello strano comma è troppo facile da fraintendere per chi ha così tanti anni di esperienza nel fraintendere norme e nello stiracchiare giustificazioni poco plausibili...

Credo che in ci sia un'ipocrisia di fondo nel voler leggere ciò che è visibile sotto la luce del sole come una pubblico e disponibile, come se ci fosse una manifestazione esplicita e consenziente di un dato riservato.  Non è lecito pretendere che la protezione del dato debba richiedere la sua segretezza. Non è giusto che una persona debba chiudersi in casa per non rendere visibile al mondo ciò che, agli occhi di tutti, è comprensibile con uno sguardo. 

Personalmente vedo un abisso tra il fatto di andare ad una manifestazione di piazza imbracciando una bandiera e il semplice fatto di esistere mostrandosi al mondo.

Il GDPR, letto con onestà, non ci autorizza a considerare come manifestamente pubblico tutto ciò che è visibile e non ci autorizza a fare qualsiasi cosa con un dato pubblicamente visibile. Forse è necessario rileggere quell'articolo del GDPR con la stessa logica che applichiamo al consenso: forse bisogna essere certi che chi rende manifesto un dato, lo faccia in modo attivo, volontario, consapevole, libero, specifico, inequivocabile, per una finalità chiaramente individuata e condivisa.
Rivedo al mio amico e penso che, in caso contrario, mancherebbe qualcosa: la legittimazione all'utilizzo di quel dato.

Fino a che punto è una manifestazione pubblica del proprio pensiero il rifiuto di parlare al citofono con un fedele che predica casa per casa il proprio credo? Questo comportamento potrà legittimare una mappatura della città segnando gli indirizzi ostili e quelli affini al suo pensiero? Anche senza scomodare le recenti sentenze sui testimoni di geova, penso che la trasparenza richiamata dal GDPR contenga già la risposta.

Decisamente non si può dire che ciò che avviene alla luce del sole sia una manifestazione volontaria di un dato personale e del implicito consenso all'uso che chiunque possa fare di quella informazione.
Decisamente nessuna norma chiede alle persone di limitare alla sfera più privata il proprio comportamento libero, anzi, semmai è vero il contrario.
È molto più corretto entrare nell'ordine di idee opposto: la norma oggi garantisce alle persone di poter vivere serenamente, alla luce del sole, sapendo di godere di una tutela forte che garantisce loro che le informazioni colte da ogni osservatore non possono essere utilizzate in modo malizioso.

Forse è poco evidente, ma la libertà richiede questo tipo di protezione del dato e delle persone.
Senza questa tutela, non potremmo andare ad una messa, mandare i bambini all'oratorio, leggere un certo giornale seduti al parco, ascoltare una certa canzone, andare in vacanza in un certo periodo dell'anno, digiunare dall'alba al tramonto, utilizzare un copricapo particolare, prendere il sole mostrando un tatuaggio evocativo... non potremmo cercare di vivere la propria vita alla luce del sole, combattendo un dolore o una malattia.

CB.