Sono stato colpito da due notizie di cronaca che mi hanno fatto riflettere in modo nuovo sul GDPR e alle sue implicazioni.
PRIMA NOTIZIA- ieri si è verificato un fatto assurdo: un agente di polizia è stato ferito esaminando una pendrive, una chiavetta di memoria USB che da due anni giaceva nell'ambito di un indagine. Poichè sospetta e segnalata dall'avvocato destinatario e dall'ordine degli avvocati che era indicato falsamente come mittente, è stata acquisita per essere poi analizzata.
La chiavetta è rimasta due anni in attesa e, nel momento in cui è stata presa in considerazione per svolgere l'indagine, è stata inserita in un PC ed è esplosa. Si trattava di un dispositivo modificato e fatto apposta per esplodere, dotato di una carica che ha detonato grazie alla tensione fornita dal PC in cui è stata inserita.
Assurdo, criminale, folle... ma anche evitabile.
SECONDA NOTIZIA- oggi, su diverse testate, leggo di un europarlamentare che ha dichiarato di aver dovuto condividere le sue password dei social media account con la segreteria del proprio partito. Che ciò sia vero o falso, quasi non conta. Si tratta di una notizia grave, preoccupante e angosciante, che mette in luce risvolti spaventosi di pratiche antiche ma che, con la tecnologia, diventano decisamente più efficaci, complesse da gestire e problematiche.
Entrambi questi fatti hanno un denominatore comune: il GDPR e i suoi principi fondamentali.
Il regolamento europeo richiede di elevare gli standard di sicurezza in funzione dei rischi che ciascuno deve individuare e valutare. L'uso di una pendrive, ad esempio per una copisteria, può avere un livello di rischio medio ed è lecito pensare alla sola presenza di virus o programmi dannosi. Al contrario, un computer di una banca deve essere protetto anche rispetto ad attacchi più sofisticati e deve considerare la porta USB come una grave vulnerabilità, fino al punto di bloccarne l'uso. La gestione dei dispositivi deve essere pertanto adeguata e rafforzata. Il reparto indagini forensi, al quale la procura può aver affidato l'esame della chiavetta modificata, ha certamente necessità di applicare lo stesso principio di proporzionalità e di valutazione del rischio, di individuare rischi ben maggiori di quelli meramente informatici, strutturarsi per prevenirli e addirittura per proteggersi da essi. Nel caso specifico, il laboratorio non è tenuto ad applicare il GDPR ai sensi dell'art. 2, comma 2 lett.D del Regolamento. tuttavia, applicarne le logiche, i principi e considerarlo una best-practice da seguire anche se non specificamente obbligati, avrebbe certamente comportato un esito differente per il malcapitato agente che è rimasto danneggiato dalla bomba che stava per analizzare.
Il regolamento, se correttamente applicato, garantisce a tutte le persone libertà di pensiero e di comportamento, fa sì che ciascuno possa esprimersi o non esprimersi e che sia sempre libero di comportarsi a suo piacimento e in piena libertà, senza vincoli o paure. Se si pensa ad un europarlamentare, ad un senatore, un presidente, un funzionario, un sindaco o chiunque sia chiamato ad esercitare un dovere pubblico o a guidare l'amministrazione dello stato, la libertà e l'indipendenza diventano essenziali e necessari anche per garantire una effettiva democrazia. Da sempre si raffinano sottili tecniche per condizionare l'esercizio del potere: penso all'uso distorto del denaro e mi tornano alla memoria famose inchieste giudiziarie su "fogli firmati in bianco" che i militanti dovevano rilasciare al proprio partito alcune decine di anni fa e che altro scopo non avevano se non condizionarne l'operato e ridurre la loro libertà di agire, decidere, parlare. Oggi, complice la tecnologia, diventa decisamente semplice ottenere questo scopo in modo economico ed infallibile. Oggi, i dati sono il nuovo denaro. Oggi, le password sono i nuovi fogli in bianco.
Nel caso dell'europarlamentare, la libertà e la tutela della riservatezza e dei suoi dati personali, diventa il baluardo della libertà di tutti.
Il GDPR, assieme ad una lunga serie di norme penali, impedisce in modo energico e tassativo che si possa verificare uno scenario come quello descritto dai giornali di oggi e che un esponente politico debba condividere password con il suo partito o fogli firmati in bianco.
Il GDPR ci può aiutare, se solo siamo disposti a vedere quante implicazioni e quanta protezione sia annidata tra le pieghe dei suoi articoli, dei suoi considerando, dei suoi principi.
CB