.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

25 settembre 2023

Decreto Caivano - "Applicazioni di controllo parentale nei dispositivi di comunicazione elettronica" ed altre fantastiche creature partorite dalla fantasia del legislatore.



Rieccoci, dopo qualche mese ho messo mano alla tastiera per scrivere qualcosa di più ampio respiro dei soliti tweet. Questo sia perchè twitter sta affondando, sia perchè oggi ci sono troppe cose da dire e ci vuole spazio.

Recentemente, il Governo ha annunciato una serie di misure per la sicurezza dei minori in ambito digitale. Il DECRETO CAIVANO. Ho visto in diretta la conferenza stampa, da subito ho avuto l'impressione che ci fosse più di un problema nel progetto annunciato dall'esecutivo.

Forse il problema principale è nelle intenzioni, più ancora che negli aspetti tecnici.

Ma andiamo con ordine.

I miei commenti a caldo sono noti e vorrei citarli e richiamarli per non doverli riproporre e duplicarli qui:

https://x.com/prevenzione/status/1699834779716243544?s=20

https://x.com/prevenzione/status/1699852066452037936?s=20

https://x.com/prevenzione/status/1700123324351737956?s=20

https://x.com/prevenzione/status/1700108172176843178?s=20

https://x.com/prevenzione/status/1700109770789642664?s=20

https://x.com/prevenzione/status/1700115105151590695?s=20

https://x.com/prevenzione/status/1700113375470944527?s=20

https://x.com/prevenzione/status/1700111489154064804?s=20

https://x.com/prevenzione/status/1700112151875105149?s=20

https://x.com/prevenzione/status/1700119261694263489?s=20

https://x.com/prevenzione/status/1700157791552299246?s=20

https://x.com/prevenzione/status/1700113558262976934?s=20


In questi giorni è stato pubblicato il testo del decreto nel quale compare il sinistro Capo IV  e l'articolo 13 che riporto integralmente (i colori sono arbitrari e funzionali al mio studio del testo).


 




DEFINIZIONI
L'art 13 si apre con alcune definizioni e questa è senz'altro una buona cosa, peccato che non siano chiare come sarebbe lecito aspettarsi.

"1. Ai fini del presente articolo, trovano applicazione le seguenti definizioni:
a) controllo parentale: la possibilità di limitare e controllare, da parte dei genitori o di coloro che esercitano la responsabilità genitoriale, l’accesso ai contenuti e/o alla rete da parte dei minori, mediante la scelta degli spazi digitali e dei tempi di utilizzo;
b) dispositivi di comunicazione elettronica, di segui- to «dispositivi»: smartphones, computers, tablets e, ove compatibili, consolles di videogames, e altri possibili og- getti connessi come televisioni, orologi, assistenti vocali, sistemi di domotica e di «Internet delle cose»;
c) applicazioni di controllo parentale, di seguito «ap- plicazioni»: elementi esterni a dispositivi di comunica- zione elettronica, soluzioni a livello di rete o applicazioni o software per dispositivi di comunicazione elettronica, facilmente comprensibili e accessibili agli utenti, che consentano il controllo parentale."


Viene definito il "controllo parentale" in un ottica molto ristretta, con una accezione esclusivamente tecnica, senza alcun riferimento al ruolo educativo della famiglia o del genitore. Per il legislatore, il controllo parentale è la mera possibilità di limitare o monitorare la fruizione dei contenuti e dell'accesso alla rete, di autorizzare "spazi digitali" e limitare i tempi di utilizzo. Trovo questa prospettiva squisitamente tecnica, asettica, impersonale e inadatta a descrive un fenomeno ben più articolato e complesso. Forse sarebbe stato meglio definire questa come una funzione educativa, con una connotazione più ampia e più vicina all'essere umano. 
Purtroppo questa norma di umano ha ben poco.

Viene definito il dispositivo di comunicazione elettronica in un modo decisamente bizzarro. Leggendo la norma non posso fare a meno di pormi una domanda: sono io che non capisco oppure ho appena letto una stupidaggine? Probabilmente è un mio limite ma non riesco a pensare ad un frigorifero come ad uno strumento di comunicazione e non riesco ad immaginarmi il parental control applicato al termostato connesso. Nessun problema per conputer, smarthpone, tablet e console per videogame, ma già con le smart tv i dubbi iniziano ad affastellarsi per culminare in un groviglio inestricabile quando si arriva ad includere orologi, assistenti virtuali e sistemi di domotica. Sarà divertente capire chi dovrà giudicare il fatto di essere o meno "compatibili", condizione alla quale la norma subordina l'applicabilità dei precetti.

Proseguendo si incontra la definizione cruciale di applicazioni di controllo parentale ma la delusione cresce rapidamente: elementi esterni ai dispositivi, soluzioni a livello di rete o app e software. Non posso esimermi dal soffermarmi sulla pregnante distinzione che pare esserci tra APP e Software e mi tuffo a capofitto nella poetica espressione "facilmente comprensibile e accessibile all'utente". Ma a quale utente? A quello maggiorenne o quello minorenne? Quello erudito o quello ai margini dalla curva gaussiana del livello di alfabetizzazione? Quello Italiano (made in Italy) o quello alloglotto? Comprensibile rispetto alla logica di funzionamento del sistema o in termini generali e formali? Accessibile in senso cognitivo o solo in termini pratici cioè non nascosta e visibile con pochi click? 
Sublime il pensiero sottostante all'espressione "elementi esterni al dispositivo" contrapposto a ciò che, per il legislatore, probabilmente, è dentro al dispositivo.
La memoria corre veloce a Zoolander impegnato a prendere i file che sono dentro al computer.


Purtroppo mi pare che manchino definizioni importanti come, a titolo di esempio, in cosa consista un ambiente digitale sicuro. Personalmente, da genitore, temo molto più l'interazione con umani malintenzionati che non la fruizione di contenuti inappropriati per età e non concordo con l'idea di ambiente sicuro come di un ambiente con dei blocchi e dei limiti statici e predefiniti che impediscano all'utente di accedere a determinati contenuti, come pare emergere nel provvedimento .



TEMPISTICHE
La norma prevede una fase di transizione di un anno ed una fase a regime, ma la norma disciplina questi due momenti in modo differente creando differenze difficili da comprendere.

Nel primo anno di applicazione il controllo parentale assume la forma di un filtro a monte, predefinito, affidato ai fornitori di servizi di comunicazione che, per legge, devono garantire oltre all'esistenza dello strumento di filtro anche la sua attivazione automatica e, di conseguenza, la possibilità di disattivazione solo a richiesta. La logica dunque è quella dell'OPT-OUT, il filtro è già attivo e se vuoi disattivarlo devi farne richiesta.

A regime, il controllo parentale diventa meno incisivo, meno perentorio, e scompare l'attivazione come modalità predefinita. La logica si inverte e basta che il sistema "consenta l'utilizzo" e che le applicazioni siano presenti o attivabili nel dispositivo. La logica è dunque OPT-IN: lo attivi solo se vuoi e se non fai nulla il sistema è spento.

Non mi è facile capire questo bizzarro cambio di logica.

"2. Al fine di garantire un ambiente digitale sicuro ai minori, nelle more che i produttori assicurino, all’atto dell’immissione sul mercato dei dispositivi, entro un anno dall’entrata in vigore del presente decreto, che i sistemi operativi ivi installati consentano l’utilizzo e includano la disponibilità di applicazioni, i fornitori di servizi di comunicazione elettronica assicurano la di- sponibilità di applicazioni nell’ambito dei contratti di fornitura nei servizi di comunicazione elettronica disci- plinati dal codice di cui al decreto legislativo 1° agosto 2003, n. 259."


PARCO CIRCOLANTE
Nello stesso comma 2 si nasconde un altro errore metodologico di origine oscura. La norma prevede che i produttori includano gli strumenti di parental control nei dispositivi che verranno messi in commercio successivamente all'entrata in vigore o all'anno di fase transitoria. Nulla è detto per i dispositivi attualmente o precedentemente venuti.
Questo elemento potrebbe sembrare una misura di buonsenso e usuale nella normazione. Le norme dispongono per il futuro e questo ci rassicura: non è possibile chiedere modifiche ed implementazioni onerose alle automobili già circolanti... salvo il fatto che anch'esse debbano usare il seggiolino per i bambini se questi vengono traspostati. Perchè escludere i dispositivi già venduti dall'obbligo di dotazione del parental control? Forse il legislatore si immagina questo filtro come una cosa da saldare alle schede elettroniche, come un chip nuovo da aggiungere "dentro" al computer o allo smartphone. Chi può dirlo.
Di fatto, penso che chiunque si renda immediatamente conto che i sistemi di parental control "dentro" al dispositivo sono elementi logici del sistema operativo o programmi che interagiscono con esso. Nessuna saldatura, niente chip da aggiungere, nessun intervento di assistenza necessario. Direi addirittura nessun costo o necessità di ammodernamento o cambio dispositivo.
Perchè escludere il parco di dispositivi circolante quando potrebbe essere sufficiente un aggiornamento del software o una nuova app da installare?



WARNING
Proseguendo, al comma 3, trovo una paraculata formidabile, una norma talmente ipocrita da entrare di diritto nel guinness della vergogna: entro 3 mesi, i produttori devono mettere un fantastico adesivo o un magnifico foglietto illustrativo per comunicare all'utenza quanto segue:

caro utente, con questo dispositivo puoi attivare il parental control
caro utente, questa è la app o la funzione inclusa... (seguono dettagli caso per caso)
caro utente, il parental control è una cosa utile ed è importante utilizzarlo
caro utente, per maggiori informazioni vai al sito della presidenza del consiglio dei ministri, dipartimento per le politiche per la famiglia e dell'autorità per le garanzie nelle comunicazioni

Fantastico, risolviamo tutto con un adesivo e mandiamo l'utente sul sito del governo per saperne di più. Non vedo l'ora di leggere i pregiatissimi contenuti che verranno messi online dal ministero.

"3. I produttori di dispositivi, anche per il tramite dei di- stributori operanti in Italia, informano l’utente sulla pos- sibilità e sull’importanza di installare applicazioni. Tale adempimento può essere assicurato anche tramite l’inse- rimento nelle confezioni di vendita di uno specifico fo- glio illustrativo o tramite l’apposizione sulla confezione di uno specifico supporto adesivo che, con apposita evi- denziazione grafica, segnali, con chiarezza e semplicità, l’esistenza delle applicazioni suddette, potenzialmente at- tivabili, rinviando per maggiori informazioni ai siti della Presidenza del Consiglio dei ministri - Dipartimento per le politiche per la famiglia e dell’Autorità per le garanzie nelle comunicazioni. L’adempimento informativo di cui al presente comma è assicurato entro 3 mesi dalla data di entrata in vigore del presente decreto."




GRATUITÀ
Il comma 4 prevede la gratuità per l'utente dell'attivazione dei sistemi di parental control. La formulazione è un po' oscura e non fa riferimento al sistema quanto al servizio di attivazione. Ma sarà veramente indolore questa operazione? Di sicuro non lo sarà per i produttori, non lo sarà per i fornitori di servizi di telecomunicazione e, a naso, non lo sarà nemmeno per le famiglie.
Chi sosterrà gli oneri maggiori, come spesso accade, sarà il vicino di casa o il cugino che di internet ne capisce. Prevedo un periodo di superlavoro per questi qualificati e fondamentali professionisti che, pro bono, sorreggono le infrastrutture e curano l'efficienza delle nostre reti domestiche, scolastiche, al lavoro ed in ogni luogo.

"4. Il servizio di attivazione delle applicazioni, qualora richiesto dall’utente, deve essere consentito, nell’ambito dei contratti di fornitura del servizio principale, tramite un dispositivo di comunicazione elettronica, senza alcun costo aggiuntivo. In sede di prima applicazione, ai fini della definizione dei contenuti da filtrare ovvero bloc- care e delle modalità di realizzazione tecnica del filtro o del blocco, trovano applicazione le disposizioni adot- tate dall’Autorità per le garanzie nelle comunicazioni ai sensi dell’articolo 7-bis del decreto-legge 30 aprile 2020, n. 28, convertito, con modificazioni, dalla legge 25 giu- gno 2020, n. 70."


CONTENUTI
Lo stesso comma presenta un sinistro richiamo ad altra norma con riferimento alla definizione dei contenuti da filtrare ovvero bloccare. Questo richiamo è all'art 7-bis del DL 28/2020:
Di fatto, l'unico criterio utile per la definizione dei filtri e blocchi coincide con ciò che è riservato ad un pubblico maggiorenne.
Io veramente non comprendo come si possa pensare di risolvere problemi titanici dell'intero sistema educativo e valoriale limitando l'accesso a materiali che la legge riserva ai maggiorenni, peraltro definnedo questo limite per ragioni completamente differenti a quelle che dovrebbero guidare la scelta e la selezione.
Gioco d'azzardo, fumo, alcol e pornografia sono i macroargomenti di riferimento previsti dalla legge. Vengono completamente ignorati i diversi fattori culturali che possono influenzare il concetto di accettabile/inaccettabile o di appropriato/inappropriato.
Vengono ignorati inoltre quei contenuti che non sono qualificati dalla legge come riservati ad un pubblico adulto ma che presentano criticità evidenti.

Solo per chiarire: la pornografia è inaccessibile al minore e sono vietate le pubblicità di gioco d'azzardo... ma gli argomenti che potrebbero essere filtrati e per i quali non esiste alcun divieto nel discettare sono veramente tanti.

Alcuni esempi di contenuti che un genitore potrebbe prendere in considerazione e ritenere inappropriati per i propri figli? Eccone alcuni:

  • violenza sulle persone
  • violenza sugli animali
  • religione, o meglio, le altre religioni
  • estremismi e fondamentalismi
  • politica
  • dieta, disturbi e abitudini alimentari
  • argomenti medici, trattamenti sanitari, cure mediche
  • omeopatia o cure alternative
  • caccia, pesca, allevamento intensivo animali
  • guerra, conflitti bellici, armi
  • droga e alcol
  • dipendenze varie ed assortite
  • pirateria e condivisione di materiali coperti da copiright
  • materiali di studio sulle tecniche di hacking
  • reati vari
  • fascismo (ricordiamolo, è un reato)
  • astrologia
  • bestemmie
  • tutti i vari tabu classici: morte, incesto, parafilie assortite

Vogliamo parlarne? perchè a me il porno sembra veramente molto riduttivo.


Personalmente ricordo ancora una scena di macellazione bovina alla quale ho assistito in tenera età e che mi ha certamente segnato ed influenzato. Questo non è certamente vietato nè filtrato o bloccato per legge. 
Altre persone avranno certamente alti argomenti da aggiungere: l'omosessualità, una o l'altra idea politica, i colori della tifoseria avversaria, una o più religioni e chissà quanti altri temi sensibili.

Sono un po' preoccupato a questa fase di prima applicazione durante la quale il blocco ed il filtro trova applicazione automatica e predefinita e i cui contenuti sono definiti arbitrariamente e sommariamente dallo stato.

Anzi, riformulo, sono molto preoccupato.



DATI PERSONALI
Forse, scrivendo la norma, qualcuno ha suggerito al governo che questi sistemi di controllo generano, a loro volta, database sterminati di informazioni e sono un LOG fenomenale della nostra intera attività online.
Questo sia per l'attività bloccata che per quella non bloccata. Tutto ciò che passa nel setaccio viene registrato e genera una montagna di dati personali.
Forse per questo è stato timidamente inserito l'articolo 6 che tuttavia ha la stessa efficacia di un cucchiaio usato per tagliare una bistecca.

Leggere il comma 6 da DPO fa sanguinare gli occhi e genera una sensazione di male fisico. 
"i dati personali raccolti o generati". Generati? Ma è del mestiere questo? Ma chi t'ha fatto entrare, santo cielo! Generati e non creati? Della stessa sostanza del Padre? 
Ma che cazzo sono i dati generati?
I dati personali possono essere raccolti, registrati, organizzati, inferiti, se vogliamo fare i sofisticati. Che siano generati mi preoccupa molto, più che altro perchè mi fa pensare che chi ha scritto questa norma non abbia alcuna idea di come funzioni la normativa e il diritto alla protezione dei dati personali.
E infatti, poco dopo, arriva la conferma, sempre leggendo il comma 6: "generati durante l'attivazione delle applicazioni"  Io boh! Quali applicazioni? Quelle di parental control o tutte le applicazioni? Ma solo le applicazioni o anche i software e tutti i fantasiosi sistemi definiti prima dalla norma? E perchè solo durante la fase di attivazione e non durante l'ordinario utilizzo?
Sembra quasi che all'ultimo momento sia venuto in mente che esiste anche la privacy e qualcuno, in corridoio, abbia dovuto aggiungere una frasetta qualsiasi introducendo, tanto per cambiare, un bel divieto. Ma cosa viene vietato dal decreto? L'uso per fini commerciali e di profilazione
...e a questo punto, chiunque deve capitolare e arrendersi all'evidenza: non sanno cosa stanno facendo. 
Ci sono decine, centinaia di altri "usi" che non sono nè profilazione nè hanno natura commerciale ma che dovrebbero comunque essere vietati. 
Nel decreto si citano solo due miserrimi trattamenti ma ce ne sono ben altri di cui preoccuparsi e ben peggiori.
Il fatto che ne siano stati citati solo due, solo quei due e non altri, elencati in modo esplicito, crea un grosso problema interpretativo che non tarderà a manifestarsi: se sono vietate solo la profilazione e l'uso commerciale, gli altri trattamenti sono dunque leciti? Significa forse che quei dati possono essere usati, per esempio, per addestrare sistemi di intelligenza artificiale generativa? Oppure magari per finalità statistiche? E ancora, per scopi di ricerca scientifica? Magari per la prevenzione o accertamento di reati? Possiamo usarli per scopi di propaganda politica? E se ci viene voglia di scambiarli senza fine di lucro, escludendo la finalità commerciale, possiamo quindi farli girare?
In pratica, il Governo sta introducendo una norma avulsa dal contesto, senza alcun richiamo al GDPR, che introduce dei divieti bislacchi, superflui poichè già ampiamente previsti dalla direttiva e-privacy e dal GDPR stesso e, peraltro, aprendo la porta ad un indebolimento delle tutele generali e dei limiti ordinari all'uso dei dati personali. 

Questo comma entra di diritto nella top-ten della classifica "FARE LE COSE CON IL CULO".

No caro Ministro, Non è così che funziona.

Questo comma sancisce e conclama l'ignoranza, la pocaggine e l'approssimazione del provvedimento e, oltre a questo, apre la porta a tutti quegli usi non espressamente vietati, decisamente preoccupanti che forse nessuno al governo ha intravisto. 
Oppure mi sbaglio: magari questi usi ulteriori sono stati effettivamente intravisti, anzi, sono per caso desiderabili?
 
Ecco, l'ho detto.

"6. I dati personali raccolti o generati durante l’attivazione delle applicazioni non possono essere utilizzati per scopi commerciali e di profilazione."


LA LETTERINA
Secondo una logica un po' bizzarra, il comma 7 disciplina e completa quanto previsto dal comma 1. Faceva brutto metterlo subito dopo? Forse è un post scriptum? Non saprei. Quello che so è che anche il comma 7 è un pateracchio.
I dispositivi già in uso, quelli per i quali i produttori non hanno alcun obbligo di aggiornamento o di dotazione di sistemi di parental control, sono qui il presupposto per  una comunicazione da inviare entro 30 giorni. Una bella letterina.
La cosa bizzarra è che questa comunicazione dovrà essere inviata dai fornitori di servizi di comunicazione che, però, non sono i produttori dei dispositivi. Secondo la definizione iniziale dovrà riguardare smartphone, computer, consolle per i videogiochi, dispositivi connessi come frigoriferi, termostati, assistenti virtuali, ecc. Mi vergogno a raccontarlo ma è ciò che prescrive la norma.
Mi sorge un dubbio: su che base i fornitori di servizi di comunicazione selezioneranno i propri utenti per inviare questa comunicazione? Temo che sarà una comunicazione erga omnes, molto generica con il consueto utilissimo messaggio:

"caro utente, è possibile ed è importante che tu installi o chiedi l'attivazione dei sistemi di parental control, anche sui dispositivi già in uso"

Arriverà una pioggia di sms?  Faranno un invio broadcast tipo It-alert? Vedremo una letterina allegata alla fattura? Una bella email? Difficile prevederlo, nulla è certo, se non l'immane costo di questa comunicazione di massa a fronte di una utilità decisamente risibile.

Sarebbe interessante anche capire il senso del voler limitare la comunicazione (la letterina) ai dispositivi "già in uso" quando, a livello sistematico, si dovrebbe fare riferimenti ai dispositivi già immessi sul mercato, a prescindere dal fatto che siano stati effettivamente accesi, o giacciano in un cassetto in attesa del compleanno del pargoletto. Temo che cercare coerenza all'interno di questo provvedimento possa generare frustrazione, se non disperazione.


"7. I fornitori di servizi di comunicazione elettronica in- viano, entro 30 giorni dalla data di entrata in vigore della presente disposizione, una comunicazione ai propri clien- ti riguardo alla possibilità e all’importanza di installare, o comunque di richiederne l’attivazione, sui dispositivi di cui al comma 1, lettera b), già in uso, le applicazioni di cui al comma 1, lettera c).
8. L’Autorità per le garanzie nelle comunicazioni vigila sulla corretta applicazione del presente articolo e, previa diffida ai soggetti obbligati, applica le disposizioni di cui all’articolo 1, comma 31, del decreto legislativo 31 luglio 1997, n. 249."


Con questo si conclude il primo dei due provvedimenti escogitati dal Governo per rendere sicura la vita digitale dei minori e salvarli dal lupo cattivo.
Questo era il provvedimento fatto bene. Quello successivo è peggio.

Il secondo provvedimento sembra una barzelletta.



ALFABETIZZAZIONE
L'idea di base è buona, anzi, ottima, un pò come salvare i cuccioli di foca, diminuire le tasse, salvare la foresta amazonica o fermare le guerre: strutturare una campagna di informazione e alfabetizzazione per dare strumenti alle persone per gestire al meglio la vita digitale dei figlio e, in generale, dei minori. 
Chi non è d'accordo con questo?

"Consulenza e servizi in merito alla alfabetizzazione mediatica e digitale dei minori con particolare attenzione alla loro tutela rispetto all’esposizione a contenuti pornografici e violenti."
Ottimo
Come facciamo?   
Ma io Boh!

Il Governo, con un piglio decisamente ottimista, vorrebbe affidare questo compito ai Centri per la Famiglia (CpF). Soprassedendo per un attimo sul tema della competenza, soffermiamoci sui numeri.
Ma cosa sono questi centri? dove sono? quanti sono? 
Semplificando molto, si può dire che sono i vecchi CONSULTORI dei servizi sociali.
Stando al conteggio ufficiale, ad oggi, sono 507 in tutta Italia. Mecojoni!


  



Consultando il sito ISTAT si scopre che le famiglie con almeno un figlio minore sono oggi 5.984.691.
Non male, vuoto per pieno, facendo un rapido e approssimativo calcolo, teoricamente ciascuno di questi centri per la famiglia dovrà gestire 11.804 appuntamenti. Presupponendo che abbiano anche altro da fare, direi che, con un po di fortuna, rimboccandosi le maniche, ogni centro possa gestire 4 appuntamenti al giorno. Ovviamente penso a appuntamenti personalizzati per ogni famiglia. Se i CpF facessero per tutti la stessa cosa, non servirebbe questo servizio, basterebbe un opuscolo. Ogni incontro dovrebbe richiedere almeno un'ora di formazione individuale, personalizzata sulla base dei dispositivi posseduti dalla famiglia, dell'età dei minori, delle condizioni socio economiche, ecc. Gli incontri andranno preparati e organizzati e penso sia necessaria almeno una mezzoretta per acquisire gli elementi di contesto e per capire cosa fare caso per caso...   quindi, 2.951 giorni di lavoro. In circa 8 anni dovrebbero aver terminato.
Non male. Fossi in loro inizierei appena possibile.

Accanto a questo sono previste attività di monitoraggio, rendicontazioni, alcune campagne informative, spot e altre pregevoli iniziative, utilissime per dimostrare un grande impegno delle istituzioni sul tema.
La norma prevede azioni di monitoraggio sull'osservanza... ma non mi pare di aver visto da nessuna parte strumenti di misurazione dell'efficacia del progetto. Sono due cose differenti.
Ecco, anche questo l'ho detto.


"Art. 14.
Alfabetizzazione digitale e mediatica
a tutela dei minori e campagne informative
1. La Presidenza del Consiglio dei ministri - Dipar- timento per le politiche della famiglia promuove studi ed elabora linee guida rivolte ai fruitori di dispositivi di comunicazione elettronica e di applicazioni di controllo parentale, con particolare attenzione agli educatori, alle famiglie e ai minori stessi.
2. I Centri per la famiglia di cui all’articolo 1, com- ma 1250, lettera e), della legge 27 dicembre 2006, n. 296, offrono consulenza e servizi in merito alla alfabetizzazio- ne mediatica e digitale dei minori, con particolare atten- zione alla loro tutela rispetto all’esposizione a contenuti pornografici e violenti. A tal fine, il Ministro per la fami- glia, la natalità e le pari opportunità realizza un’intesa in sede di Conferenza Unificata, avente ad oggetto i criteri e le modalità di attuazione di tali servizi."


QUI PRODEST?
Dopo questa analisi del testo, magari simile alla affannosa ricerca del pelo nell'uovo, vale la pena di alzare lo sguardo per cercare di avere una prospettiva più ampia.
Guarda un po... accidenti, ma tutto questo è veramente inutile! 
C'è già!!! 

I principali sistemi operativi, quelli comunemente utilizzati da smartphone e computer, videogiochi e smart tv, implementano già sistemi di parental control nativi, da anni! In certi casi magari è solo in PIN numerico ma risponde ai requisiti della norma.
Che senso ha una norma che obbliga a fare una cosa già fatta e che nessuno ha intenzione di non fare? Che senso ha una norma che obblighi la gente a ripararsi dalla pioggia? Oppure l'obbligo di poter disporre di bicchieri per bere? Si potrebbe pensare cha sia un provvedimento stupido ma francamente non penso che sia così. Il governo non è stupido, penso piuttosto che il provvedimento sia voluto esattamente com'è, solo che lo scopo di questa norma non è esattamente quello dichiarato.
Urca, l'ho detto, pure questo.


Continuo ad essere molto perplesso da alcuni aspetti della norma e ai risvolti della sua applicazione.
L'obbligo di dotare i dispositivi di strumenti di parental control non deve e non può coincidere con l'obbligo di utilizzare tali sistemi. Una famiglia può tranquillamente decidere di non avvalersene.
La cosa triste è che, per come è congegnata la norma e per come è delineata la campagna informativa, se una famiglia non usa il parental control, non è una buona famiglia.
Il fatto che la gestione della tematica sia affidata ai centri per le famiglie (ex consultori) non va nella direzione responsabilizzazione della famiglia ma suggerisce, piuttosto, un monitoraggio da parte di chi è preposto, tra le altre cose, a mettere in discussione la capacità genitoriale.
In breve, non vorrei che si diffondesse il pensiero che chi non usa il Parental Control non si sta prendendo cura dei propri figli.


Personalmente ritengo che questo sia uno strumento utile solo in un contesto evoluto. Resta uno strumento inutile in un contesto con grosse lacune, disomogeneo o immaturo, mostra grossi limiti e può facilmente diventare controproducente.
Il divieto moltiplica la curiosità nei ragazzi e ammanta di trasgressione comportamenti che dovrebbero essere spiegati e discussi.
Nel mio piccolo, ho attivato il parental control per le mie figlie, decidendo io cosa debba essere filtrato e i tempi di utilizzo. Oltre a questo, ho anche dato loro la password per bypassarlo, per disattivare i blocchi e per prolungare il tempo di utilizzo. 
Parlo costantemente di questi temi e sanno bene quale è il senso del blocco che, per me, ha la funzione di un mero avvertimento, certamente non di un divieto.
Questa è la mia strada, nel bene e nel male.

Temo che le persone e i bambini che realmente avrebbero bisogno di aiuto non abbiano nemmeno una famiglia alle spalle che possa farsi carico di una educazione digitale.
Mi domando che senso abbia collocare questa opera informativa all'interno dei Centri per le famiglie. Torniamo sul tema della competenza.
I ragazzi vanno a scuola e da li si dovrebbe partire: assieme alle famiglie, quello è il luogo ove si formano le giovani persone che stiamo cercando di educare e di far crescere.
Mi sorge il dubbio che il Governo non abbia molta stima del corpo docente o che non lo ritenga capace di gestire questo tema. Francamente, se fossi un insegnate, sarei offeso da questa norma.



IL LUPO CATTIVO
Intanto mi metto nei panni delle aziende coinvolte e non posso fare a meno di immaginarle sogghignare e fregarsi le mani per alcune delle implicazioni di questa norma:

Digital Assistant:  i produttore di digital assistant (alexa per intenderci ma anche Siri, Hei Google, Cortana, ecc) sta già pensando che il suo onnipresente borlottino, potrebbe operare in presenza di un minore, anche in modo saltuario o imprevisto. Perchè dunque non aggiungere una utilissima funzione di ascolto ambientale e attivazione automatica dei filtri parental control qualora venga rilevata la presenza di una voce bianca? Fantastico, si apre la porta al monitoraggio permanente e legale, anzi, obbligatorio, della frequentazione domestica di milioni di abitazioni.


ISP: la direttiva e-privacy vieta (o meglio regolamenta) agli Internet Service Provider (ISP) come TIM, Fastweb, ecc. l'analisi e l'uso del traffico dati. Per adempiere a questo decreto si introduce un trattamento obbligatorio e strutturato. I log dei sistemi di parental control sono una fonte preziosissima di informazioni, anche solo in termini di dati aggregati. A che ora, dove, ogni quanto si fruisce di contenuti vietati ai minori? Cosa ce ne facciamo di una informazione simile? Per carità, come detto, nessun uso commerciale o di profilazione... ma queste informazioni non dovrebbero proprio esserci e, di sicuro, non dovrebbero essere nella disponibilità degli ISP.


Con il Garante:
Attività istruttoria verso XYZ per trattamento illecito di dati di traffico
"Hem, scusi, Garante, noi abbiamo applicato una norma"
G "si, ma avete violato il GDPR, non avete una base di legittimazione per trattare quei dati"
"hem, si, siamo obbligati, legga qui"
G "ok, ma avete trattato i dati per altre finalità"
"hem, ma qui sono vietate solo queste due che non abbiamo fatto"
G "eh ma il GDPR è una norma europea e prevale
"hem, ma questa è una legge successiva e speciale, inoltre non possiamo non applicarla"
G "va bene, sospendiamo tutto in attesa di approfondire"
....
...
..
.



Comitato di direzione della XYZ-VPN (produttore di VPN a caso)
Peppe-pepepepeeeeee
festa festa festaaaaaaaa
peppe-pepepepeeeeee
Un altro pò di caviale?
peppe-pepepepeeeeee




Comitato di direzione dei fornitori dei servizi di comunicazione: 
"ragazzi, dobbiamo inviare una comunicazione a tutti gli utenti"
"ok, mandiamo con la fattura?"
"Certo, sono 4 facciate in più, per 8.000.000 di utenti, sono circa €800.000"
"occacchio.... e se le mandiamo via email?"
"Be, poco meno, anche perchè dobbiamo dimostrare di averlo fatto quindi serve un service di invio affidabile, dobbiamo tracciare l'apertura delle mail, inviare di nuovo a chi non ha ricevuto, archiviare tutto, ecc."
"va be, ma è un costo che giriamo sul cliente, vero?"
"no, non possiamo"
"ma siete scemi? Ma chi ha avuto questa idea del cacchio?"
"..."
"capo, potremmo fare questa cosa gratis ma metterci un sevizio premium a pagamento"
"Interessante, dimmi di più"
"Il governo ci obbliga a promuovere il servizio, si creerà molta visibilità, non si parlerà d'altro, diventeranno tutti paranoici, tutti vorranno attivare questa cagata, hem, questa funzione e noi lo regaliamo nella versione base, che non fa un cazzo, ma nel contempo pubblicizziamo quello che già facciamo, lo chiamiamo premium e raddoppiamo il costo"
"Geniale! Procedete pure."

Così, tanto per volare con la fantasia.

Prosit.







11 giugno 2023

Vietato vietare - riflessioni in libertà


Periodicamente, ciclicamente, esattamente come i pidocchi,, le verruche e l'influenza, arrivano quelli che benpensano, sbandierando la grande idea, l'ideona, proprio, la soluzione, la panacea per tutti i mali del mondo:  VIETARE.

In più, immancabilmente, ogni raffica di divieti viene mistificata e ammantata di santità sempre con il solito argomento:  "lo facciamo per proteggere i bambini".

Capita forse in tutti gli ambiti, ma quando accade nel piccolo mondo della protezione dei dati personali non riesco a stare zitto.


Giù le mani dai bambini, per carità, se no mi parte l'embolo!


Raccolgo qui alcuni post che ho pubblicato su twitter e che descrivono abbastanza bene il mio pensiero.


1) tweet n.1, in risposta ad un post (bloccato) di Giulia Pastorella.

(fonte https://twitter.com/prevenzione/status/1667080065203556352)

Questa idea è discutibile. È legittimo fare una proposta simile e, se ottieni il il voto della maggioranza della popolazione, diventi pure realtà. Si chiama democrazia.


Però bisognerebbe essere trasparenti e dire le cose come stanno.


"Proteggere i bambini" è una scusa di facile presa, messa li apposta per raccogliere facile consenso, per dissimulare una triste realtà facendola sembrare meritoria e universalmente condivisibile. Chi mai potrebbe essere contro ai bambini? Chi può dirsi contrario a ciò che si fa per il loro bene?


Purtroppo ormai è un mantra: ogni volta che si vuole far passare una porcata assurda la si mette in relazione alla tutela dei minori, al contrasto alla pedopornografia infantile, al bullismo, ai peggiori scenari a danno dei più deboli. Si vince facile. Siamo sempre tutti d'accordo.


Peccato che le cose non stiano in questi termini.


Il tweet sotto riportato rappresenta il VERO pensiero sottostante: il controllo esercitato al posto dei genitori, giudicati incapaci di attendere alle proprie funzioni.


Noto uno uno spiccato accento morale, un giudizio aprioristico su cose che attengono a ciascuno di noi e per le quali abbiamo bisogno di essere liberi, magari anche di sbagliare e noto la chiara e netta volontà di sostituirsi ai genitori nell'esercizio di una delle più importanti missioni a loro affidate: l'educazione dei propri figli.


Questo passaggio è cruciale perchè il pensiero espresso, questo metodo e questa politica, in prospettiva, apre le porte e va nella direzione del controllo: 

controllo del voto al posto degli elettori, 

controllo dell'opinione al posto delle coscienze,

controllo dell'informazione al posto della stampa,

controllo della pluralità al posto della gente,

controllo dell'impresa al posto dell'imprenditore,

controllo delle libertà al posto della legge,

controllo di tutto.


Non ci sono mezze misure.

Se si sdogana la bontà del controllo, per salvare i bambini dall'incompetenza genitoriale, si aprono le porte dell'abisso.


Il GDPR non chiede di fare questo, ma proprio per niente, anzi, chiede l'esatto contrario. Per favore, non diciamo che questa brillante idea è necessaria per applicare la legge perchè è una bugia.

Il GDPR è una norma di libertà e di responsabilità.

Le aziende hanno la responsabilità di garantire che certi servizi siano utilizzati solo da determinate persone, in alcuni caso dai maggiori di 14 o 18 anni. 

Le famiglie hanno la responsabilità di gestire i propri figli, mettendo a disposizione strumenti appropriati alle loro esigenze e alla loro età, vigilando e insegnando come utilizzare il mondo intero, non solo una app.

Le persone, anche quelle piccole, hanno il dovere, ma anche il diritto, di decidere, di sbagliare, di provare, di capire, di essere libere.


Persone non libere di fare una cosa saranno persone che quella cosa la faranno in modo illecito, aggirando ogni possibile norma pensata dal legislatore per vietare loro ciò che desiderano fare.


Ciascuno faccia le proprie considerazioni, naturalmente, per tutelare i bambini.

Gli adulti di domani non possono ereditare un mondo schifoso, fatto di controllo pervasivo dello stato su tutto ciò che li riguarda.

 

(Secondo post di integrazione)

 

Non bisogna confondere il soggetto tutelato con il soggetto obbligato.

il minore è il oggetto tutelato e ha dei DIRITTI, non ha dei doveri. 

il soggetto obbligato è il social network e non ha dei diritti bensì ha dei doveri.

La vostra proposta inverte tutto, gravando il soggetto tutelato di doveri e comprimendo i suoi diritti.


Che vi piaccia o meno, uno dei diritti delle persone è anche quello di poter violare una norma, rispondendone, poi, se del caso. 

Il sistema proposto è pensato per impedire (formalmente) un accesso a chi non rispetta i criteri stabiliti da una norma amministrativa. E' sproporzionato e lesivo di una libertà importante per la tenuta della nostra democrazia.


Dico "formalmente" perchè in concreto accadranno cose molto diverse da quelle che voi immaginate.

Non so se mentite sapendo di mentire oppure se proprio non fatto alcuna valutazione sull'impatto di questo sciagurato sistema:


1) nessun minore verrebbe tutelato: quelli che già ora utilizzano  socialnetwork anche sotto l'età minima continueranno a farlo. 


2) nessun genitore sarà educato a fare meglio il genitore: chi ha già una sensibilità sull'argomento non ha alcun bisogno di questa norma e si comporta già in modo virtuoso. Al contrario, chi non ha sensibilità su questo argomento percepirà soltanto una nuova fastidiosa pastoia burocratica, per colpa della quale dovrà perdere tempo per fare una cosa che avrebbe lasciato fare in autonomia: aprire un account per il proprio figlio... o per il fratellino... o per il vicino di casa.


3) le piattaforme saranno deresponsabilizzate rispetto ad un proprio preciso obbligo di legge, non rischieranno più sanzioni e potranno disinteressarsi di ciò che avviene all'utente. la norma una chiede di istituire una procedura formale ma chiede di attuare una gestione che garantisca protezione effettiva. 


4) si moltiplicheranno i database, gli archivi e le liste, aumentando a dismisura i rischi per gli inevitabili data breach, errori umani, bug e malfunzionamenti he esporranno valanghe di dati che potrebbero (dovrebbero) non esistere. Diventa solo questione di tempo.


5) ci sarà un nuovo soggetto intermedio con un nuovo database di utenti che, volenti o nolenti, permetterà di tracciare ogni utente impedendo una fruizione veramente anonima dei social network.


Solo per evitarle la fatica di arrabattarsi su questo punto: NO, l'anonimato non è affatto un male e non è sinonimo di sordidi affari. 

L'anonimato è tanto necessario quanto lo è la libertà di espressione.


Senza anonimato, non ci può essere dissenso, non ci può essere opinione contraria a quella di un soggetto autoritario, non si può essere libertà in molti aspetti della nostra vita.


Ci pensi, questa proposta porterà il nostro paese ad essere peggiore, non migliore.


Se poi lo si vuole fare solo per carpire i voti ed il consenso di quattro imbecilli trogloditi che appena sentono "bambini" urlano sguaiatamente in favore della nuova ideona... prego, fate pure, ma abbiate almeno il buongusto di promettere senza mantenere.

 






10 gennaio 2023

Perchè lo devo salvare? Tanto lo trovo nell'email... ma anche no!

 Perchè lo devo salvare? Tanto lo trovo nell'email...

Ma anche no!


Si, lo ammetto, esistono persone, con evidenti problemi psicologici irrisolti, che si comportano effettivamente nel modo corretto, che fanno ordine nella posta e che governano i flussi di email in ingresso ed in uscita. A loro va tutta la mia stima ed invidia. Tuttavia, con un po' di sano qualunquismo dettato dall'esperienza, posso dire con serenità che il comportamento più frequente tende ad essere diverso e molto più rilassato, orientato al massimo risultato con il minimo sforzo. (E forse il minimo costo)

Tutto ciò parte da molto lontano.

C'era una volta... un epoca in cui le risorse informatiche erano imitate e le caselle di posta avevano una capienza nell'ordine di poche decine di Mega.  A quell'epoca si faceva di tutto per ottimizzare e risparmiare spazio: iniziò così una feroce lotta allo spam e vennero applicate procedure di cancellazione selettiva degli archivi di email, spesso basate su criteri arbitrari. All'ansia da ristrettezza si aggiunse l'angoscia da cancellazione e il pensiero di perdere documenti importanti. Ricordo ancora il "giorno delle pulizie di primavera" in cui partiva la caccia alle mail troppo "pesanti" per poterle gestire, salvare o cancellare. Con la necessaria pazienza, era facile individuare i pachidermi mettendo i file in ordine di "peso". Ricordo anche appositi tool di analisi sviluppati per thunderbird che, oltre a produrre simpatiche statistiche, mettevano in evidenza proprio i messaggi più ingombranti per liberare spazio sui mail server o sugli striminziti hard disk dell'epoca.

"Mai, mai scorderai. L'attimo, la terra che tremò. L'aria s'incendiò e poi silenzio..."

Venne il giorno dell'apocalisse. La posta elettronica cambio di colpo e tutto accadde nel momento in cui Google decise di regalare spazio infinito a tutti i gli utenti Gmail. Tanti Giga per tutti! All'epoca erano una quantità di spazio virtualmente inesauribile e, come se non bastasse,  sono stati via via aumentati proprio per garantire spazio sufficiente anche rispetto alle crescenti esigenze dettate dalle nuova generosa possibilità di archiviazione. Di conseguenza si è diffuso un frizzante senso di leggerezza e spensieratezza. Finalmente non era più necessario cancellare mail per liberare spazio e si poteva tenere tutto a portata di mano nella posta.

Da quel momento cambiarono molte cose e il cambiamento più significativo probabilmente riguarda proprio il nostro atteggiamento mentale e l'uso pratico della posta elettronica che da allora si diffuse. Chi ha utilizzato Gmail, all'epoca, ha iniziato a modificare il proprio comportamento: niente più pulizie di primavera, niente più pensieri sull'esaurimento delle risorse, niente più bisogno di fare ordine.

Oltre all'abbondanza di risorse, ci si rese conto anche della praticità di poter disporre di una potente ed automatica indicizzazione delle mail, dei loro metadati e dei loro allegati. Gran parte delle persone iniziò a disinteressarsi della catalogazione e, in ultima analisi, della gestione della posta arichiviata.

Perchè perdere tempo a catalogare, etichettare, spostare, salvare e archiviare email quando, con un veloce ed intuitivo comando, era ed è possibile trovare rapidamente ogni cosa, anche se apparentemente sperduta nel mare magnum dell'ininterrotto e lunghissimo flusso di messaggi?

Questa banale considerazione ammalia l'essere umano e fa leva sulla sua innata pigrizia. Non so dire se sia un fattore trascinante ma di certo la pigrizia umana ha contribuito molto al successo di Gmail.

Negli anni questa tendenza si è consolidata e oggi pare molto normale cercare documenti direttamente nella posta anzichè in archivio.

Purtroppo in ogni favola c'è sempre una mela avvelenata, una strega cattiva, un lupo affamato o una matrigna cattiva. Così, anche nella favola dello spazio infinito e della conservazione eterna arriva il colpo di scena che cambia tutto e ogni cosa si trasforma da azzurra e sgarzullina in rossa e dardeggiante.

Arriva il GDPR

Eh... già, ma non è mica questa la strega cattiva. Forse, nella metafora, il GDPR è il principe azzurro, il cacciatore o la fata madrina. Il GDPR prova a salvarci dal problema, non facciamo confusione.

Ma allora qual'è il problema?

Il problema è proprio la sempiterna conservazione di tutto ciò che arriva per posta, senza distinzioni e senza preoccupazioni. 

Nel GDPR sono contenuti alcuni importanti principi e questi sono oggi un obbligo di legge. I principi della minimizzazione del dato (1) e della limitazione delle finalità (2) e della limitazione della conservazione (3), descritti dal GDPR, non sono nati oggi, sono ben più risalenti e rappresentano una ESIGENZA sentita sin dai tempi in cui la normativa in materia di protezione di dati ha emesso i suoi primi vagiti. Oserei dire che sono esigenze molto umane, connaturate ad ogni persona, bisogni ontologici rispetto al dato spesso che, si spera, debba vivere la sua vita secondo natura: il dato deve nascere, deve vivere e deve morire

Il dato non può esistere per sempre e non può essere utilizzato per qualsiasi cosa ci possa venire in mente di fare in futuro. Il rischio sotteso a questa nefasta possibilità è così grande da essere una delle distopie più ricorrenti nella letteratura e nella cinematografia. Questo ci deve terrorizzare: un calderone dove tutto entra e da cui nulla si cancella, una cornucopia di dati stratificati, automaticamente indicizzati e solo all'apparenza disordinati, infiniti dati strutturati che si possono elaborare, che possono essere messi in relazione ad altri dati, che possono essere estratti o selezionati secondo criteri arbitrari.

Allora l'antagonista, il cattivo, non è il GDPR bensì la concezione stessa della email senza limiti ed utilizzata, in modo improprio, come immenso archivio incrementale e alluvionale.

Prendere coscienza di tutto questo è abbastanza doloroso anche perchè, se vogliamo trarre delle conclusioni, dobbiamo ammettere che:

  • stiamo sbagliando ad usare la posta come archivio universale dell'impresa
  • abbiamo bisogno di salvare altrove sia i file che la corrispondenza da conservare
  • abbiamo bisogno di definire un tempo di conservazione per l'archivio della posta elettronica
  • abbiamo bisogno di cancellare periodicamente tutto ciò che non abbiamo messo da parte dopo il tempo di conservazione
  • abbiamo anche bisogno di un sistema di gestione documentale per non trovarci di fronte ad un archivio inutilizzabile
  • ...infine... ci accorgiamo che il Garante ha ragione e che ci sanziona per questo comportamento.

In tutto questo torna alla mente un recente ed illuminante provvedimento del Garante Privacy che ci permette di prevedere cosa accadrebbe se dovessimo essere giudicati noi, sulla base di come gestiamo la posta elettronica in azienda. 

Non finirebbe per niente bene.

Buon lavoro colleghi DPO!
Prosit.




Appendice documentale ---

Il provvedimento citato in ultimo è qui (Ordinanza ingiunzione nei confronti di Stay Over s.r.l. - 21 luglio 2022 [9809466]) ed è una pietra miliare per la gestione delle email in azienda.

Oltre a questo, sono rilevanti anche altri provvedimenti e linee guida sullo stesso tema e di stesso identico orientamento:

Provv. 1° marzo 2007, n. 13 “Linee guida per posta elettronica e internet” (QUI)

Provv. 29.10.2020, n. 214, doc. web n. 9518890 (QUI)

Provv. 29.9.2021, n. 353, doc. web. n. 9719914 (QUI)

Provv. 16.12.2021, n. 440, doc. web n. 9739653 (QUI)

provv. 1° febbraio 2018, n. 53, doc. web 8159221(QUI)