.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

10 ottobre 2018

Chi ci da una mano?

Sono stato colpito da due notizie di cronaca che mi hanno fatto riflettere in modo nuovo sul GDPR e alle sue implicazioni.

PRIMA NOTIZIA- ieri si è verificato un fatto assurdo: un agente di polizia è stato ferito esaminando una pendrive, una chiavetta di memoria USB che da due anni giaceva nell'ambito di un indagine. Poichè sospetta e segnalata dall'avvocato destinatario e dall'ordine degli avvocati che era indicato falsamente come mittente, è stata acquisita per essere poi analizzata.
La chiavetta è rimasta due anni in attesa e, nel momento in cui è stata presa in considerazione per svolgere l'indagine, è stata inserita in un PC ed è esplosa. Si trattava di un dispositivo modificato e fatto apposta per esplodere, dotato di una carica che ha detonato grazie alla tensione fornita dal PC in cui è stata inserita.
Assurdo, criminale, folle... ma anche evitabile.

SECONDA NOTIZIA- oggi, su diverse testate, leggo di un europarlamentare che ha dichiarato di aver dovuto condividere le sue password dei social media account con la segreteria del proprio partito. Che ciò sia vero o falso, quasi non conta. Si tratta di una notizia grave, preoccupante e angosciante, che mette in luce risvolti spaventosi di pratiche antiche ma che, con la tecnologia, diventano decisamente più efficaci, complesse da gestire e problematiche.

Entrambi questi fatti hanno un denominatore comune: il GDPR e i suoi principi fondamentali.

Il regolamento europeo richiede di elevare gli standard di sicurezza in funzione dei rischi che ciascuno deve individuare e valutare. L'uso di una pendrive, ad esempio per una copisteria, può avere un livello di rischio medio ed è lecito pensare alla sola presenza di virus o programmi dannosi. Al contrario, un computer di una banca deve essere protetto anche rispetto ad attacchi più sofisticati e deve considerare la porta USB come una grave vulnerabilità, fino al punto di bloccarne l'uso. La gestione dei dispositivi deve essere pertanto adeguata e rafforzata. Il reparto indagini forensi, al quale la procura può aver affidato l'esame della chiavetta modificata, ha certamente necessità di applicare lo stesso principio di proporzionalità e di valutazione del rischio, di individuare rischi ben maggiori di quelli meramente informatici, strutturarsi per prevenirli e addirittura per proteggersi da essi. Nel caso specifico, il laboratorio non è tenuto ad applicare il GDPR ai sensi dell'art. 2, comma 2 lett.D del Regolamento. tuttavia, applicarne le logiche, i principi e considerarlo una best-practice da seguire anche se non specificamente obbligati, avrebbe certamente comportato un esito differente per il malcapitato agente che è rimasto danneggiato dalla bomba che stava per analizzare.

Il regolamento, se correttamente applicato, garantisce a tutte le persone libertà di pensiero e di comportamento, fa sì che ciascuno possa esprimersi o non esprimersi e che sia sempre libero di comportarsi a suo piacimento e in piena libertà, senza vincoli o paure. Se si pensa ad un europarlamentare, ad un senatore, un presidente, un funzionario, un sindaco o chiunque sia chiamato ad esercitare un dovere pubblico o a guidare l'amministrazione dello stato, la libertà e l'indipendenza diventano essenziali e necessari anche per garantire una effettiva democrazia. Da sempre si raffinano sottili tecniche per condizionare l'esercizio del potere: penso all'uso distorto del denaro e mi tornano alla memoria famose inchieste giudiziarie su "fogli firmati in bianco" che i militanti dovevano rilasciare al proprio partito alcune decine di anni fa e che altro scopo non avevano se non condizionarne l'operato e ridurre la loro libertà di agire, decidere, parlare. Oggi, complice la tecnologia, diventa decisamente semplice ottenere questo scopo in modo economico ed infallibile. Oggi, i dati sono il nuovo denaro. Oggi, le password sono i nuovi fogli in bianco.
Nel caso dell'europarlamentare, la libertà e la tutela della riservatezza e dei suoi dati personali, diventa il baluardo della libertà di tutti.
Il GDPR, assieme ad una lunga serie di norme penali, impedisce in modo energico e tassativo che si possa verificare uno scenario come quello descritto dai giornali di oggi e che un esponente politico debba condividere password con il suo partito o fogli firmati in bianco.

Il GDPR ci può aiutare, se solo siamo disposti a vedere quante implicazioni e quanta protezione sia annidata tra le pieghe dei suoi articoli, dei suoi considerando, dei suoi principi.

CB