Eye in the sky

Il Vaticano si dota di un proprio GDPR: lo chiamerò il SANTO GDPR.

Qui trovi il testo  del decreto appena approvato: N. DCLVII – Decreto della Pontificia Commissione per lo Stato della Città delVaticano con il quale viene promulgato il Regolamento Generale sulla protezione dei Dati personali. (30 aprile 2024)

PERCHE'?

CUI PRODEST? 

Nessun c'è alcun apparente motivo per farlo poichè lo stato pontificio è sovrano nei propri confini e non ha certo bisogno né di imparare dagli altri come trattare dati personali, come proteggerli, né di scopiazzare una norma europea che mal si adatta alle peculiarità che lo contraddistinguono.

IMHO l'unica ragione per farlo è la necessità di ottenere il "GIUDIZIO DI ADEGUATEZZA" ossia un riconoscimento di pari livello di protezione tra i paesi dell'UE e un paese terzo.

Questo giudizio di adeguatezza permette la libera circolazione dei dati, consente quindi di poter localizzare un fornitore o utilizzare provider dei paesi terzi senza doversi preoccupare di valutare, organizzare, strutturare, legittimare questo trasferimento di dati transfrontaliero, esattamente come se ci si avvalesse di un soggetto francese o tedesco. In breve, semplifica enormemente la vita e permette di considerare "a norma" ogni fornitore di un certo paese extra UE.

Ad oggi, questa è la lista dei paesi per i quali esiste un giudizio di adeguatezza e che non sono più paesi terzi:

- Andorra
- Argentina
- Australia (accordo)
- Canada
- Faer Oer
- Giappone
- Guernsey
- Isola di Man
- Israele
- Jersey
- Nuova Zelanda
- Regno Unito
- Svizzera
- Uruguay
- USA (accordo)

Ora anche il Vaticano può iniziare la procedura per essere riconosciuto come "ADEGUATO" rispetto alle misure normative che garantiscono la protezione dei dati personali in tutta Europa.

Dopodichè... beh, libera circolazione dei dati: l'anima del commercio

Si può dire "Anima"?

Nel merito, il testo del SAN GDPR è breve e ricalca la prima parte del GDPR.

Mi sono divertito a leggerlo nel dettaglio e ho trovato delle chicche interessanti:

La definizione di dati sensibile è molto differente da quella del GDPR. Ecco uno schemino sinottico 

GDPR l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute dati relativi alla vita sessuale dati relativi all'orientamento sessuale (...?...)

SANTO GDPR l’origine razziale o etnica le opinioni politiche, le convinzioni religiose (...?...) (...?...) trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute (...?...) (...?...) altre situazioni collegate alla vita privata

Quindi, a differenza che nel resto d'Europa, nello stato del Vaticano, NON SONO DATI PARTICOLARI (Sensibili) le informazioni relative alla vita sessuale, l'orientamento sessuale, l'appartenenza sindacale, le convinzioni filosofiche.

Che scelta bizzarra, non riesco proprio a pensare alle ragioni che l'abbiano determinata. Mi sforzo ma non mi viene in mente proprio niente...   (andrò all'inferno anche per questo).

Mi incuriosisce molto il fatto che  in Vaticano siano dati sensibili "altre situazioni collegate alla vita privata". Alla faccia della certezza del diritto. Come faremo a distinguere un dato particolare di questa tipologia (altre situazioni) e come faremo a capire se afferisce alla vita privata oppure no? Peraltro, quale altra vita esiste se non quella privata?

Mah! Mistero della fede.

Ha, già... la fede. Forse questa è la chiave di lettura. 

L’informativa, tutti sanno, è un atto fondamentale che da senso e contenuto al principio di trasparenza e buona fede: PRIMA ti dico come tratterò i tuoi dati, POI tu decidi se darmi i tuoi dati ed un eventuale libero consenso informato. 

Credo che non sarei riuscito a fregare nemmeno mia figlia quando aveva due anni dicendole: "prima mi dai la tua caramella, poi io ti dico cosa io ti do in cambio e che cosa farò con la caramella."

Eppure, il Santo GDPR prevede proprio questo. L'informativa può essere data ENTRO 30 GIORNI.

Non sono bravo in matematica ma con l'aiuto di chatGPT sono riuscito a capire che questi 30 giorni significano, in sostanza, che l'informativa può serenamente essere data anche DOPO aver acquisito i dati, DOPO aver ottenuto un consenso rilasciato alla cieca, DOPO aver trattato i dati.

Non ho idea di come si possa pensare che il consenso sia "libero e informato" senza una informativa preventiva e senza che intervenga un MIRACOLO...   ah, già. Capito.

MA PORCA EVA.

No, Eva non si può dire in questo contesto... 

MA PORCA VACCA!

Vacca si può?

Arrivando ai PRINCIPI che legittimano il trattamento, serve un altro quadretto sinottico:

GDPR trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»); finalità determinate, esplicite e legittime successivamente trattati in modo che non sia incompatibile con tali finalità; adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità esatti e, se necessario, aggiornati conservati per un arco di tempo non superiore al conseguimento delle finalità trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione

SANTO GDPR liceità, correttezza, trasparenza, buona fede e proporzionalità. finalità determinate, esplicite e legittime successivamente trattati in modo che non sia incompatibile con tali finalità adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità esatti e, laddove necessario, aggiornati conservati per un arco di tempo non superiore al conseguimento delle finalità  trattati in modo da garantire un’adeguata sicurezza dei Dati personali, compresa la protezione

Sono stati replicati i principi dell'art 5 del GDRP, con l'aggiunta di alcune reliquie del passato codice. In effetti mancherebbero gli altri principi, quelli sparpagliati nel GDPR, quelli che si applicano ai processi decisionali automatizzati, il principio Privacy By Design e by Default... e vari altri principi che costellano il regolamento generale. In vaticano parrebbe che non interessino. Ok.

Poi, nelle definizioni mi sono imbattuto nella definizione di "anonimizzazione" e mi sono genuinamente messo a ridere:

Anonimizzazione:  il Trattamento di informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a Dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’Interessato;

No, Don, l'anonimizzazione consiste nel rendere anonime le informazioni, non nel trattare informazioni che sono state rese anonime. Quello è un trattamento di dati non personali e, quindi, per definizione, non soggetto né al GDPR né ad ogni altra norma. Se i dati sono anonimi, puoi farci quello che vuoi perché NESSUNO sarà coinvolto o danneggiato.

Ma se prendi dei dati personali e li vuoi rendere impersonali, allora li stai anonimizzando. Facendolo, stai trattando dei dati personali e lo devi fare bene, nel rispetto dei principi che ti sei dato.

La definizione è proprio sballata. 

Più sotto, nel testo si trova il campo di applicazione che ci dice a cosa si applica il Santo GDPR. Beh, una delle esclusioni recita proprio "c) nelle ipotesi di anonimizzazione dei Dati."

Ma stando alla definizione, significa che il Santo GDPR non si applica all'atto di PRENDERE DATI PERSONALI E RENDERLI ANONIMI. Quindi, il processo di anonimizzazione che, ricordiamolo, parte da dati personali, magari anche sensibili, è escluso dall'applicazione della norma. Libero, spensierato... Cosa mai potrà andare storto.

Altri elementi interessanti riguardano un diverso schema di DATA CONTROLLER - DATA PROCESSOR e DATA PROTECTION OFFICER... o, per dirlo in italiano, riguardano il titolare del trattamento, il responsabile del trattamento e il responsabile della protezione dei dati personali, il DPO.

In Vaticano, il Titolare è solo il Vaticano stesso. Non avrai altro titolare all'infuori di me. Ok

In Vaticano, il DPO è il Consigliere Generale del Vaticano. Solo lui, protempore, a prescindere da chi possa essere. Il DPO del Vaticano può fare uso della gendarmeria e questa è una figata senza pari: il sogno proibito di ogni DPO. Del resto, a Sanpietro, hanno esteso molto il ruolo del DPO che ha anche la funzione di GARANTE interno. Si perché non c'è il Garante e ogni funzione, compreso il fatto di poter fare un RECLAMO, è riferita unicamente al DPO.

Speriamo che ne abbia le competenze.

Ci vuole fede. Tanta fede.

Nel testo c'è una cosa che nel GDPR non esiste e che mi piace molto. Il REFERENTE.

Il REFERENTE è la persona fisica autorizzata a mettere in atto le misure di sicurezza, vigila e garantisce la corretta osservanza delle medesime ad opera dei lavoratori che materialmente effettuano operazioni di Trattamento sui Dati personali. In caso di violazioni riscontrate dal Referente, ne da notizia al DPO entro 72 ore.

Di referenti ce ne vogliono tanti.

Bello il Referente, concordo molto con la sua necessità, al punto da averlo introdotto anch'io, non senza difficoltà, nei sistemi di gestione dei dati che ho elaborato.

Il REFERENTE, per fare un parallelo noto a tutti, assomiglia molto al PREPOSTO per la sicurezza del lavoro, una figura che ne capisce, che supervisiona e che, così facendo, garantisce l'attuazione delle leggi e delle regole che un'azienda si è data. Nel mio piccolo, ho introdotto il PREPOSTO PRIVACY nelle aziende che hanno accettato questo consiglio, ovviamente configurato come un autorizzato al trattamento con funzioni di coordinamento e vigilanza.

Bravo Don, bella idea, e non perchè lo dico io, ma perchè questo è proprio l'ingranaggio che manca al GDPR per funzionare veramente.

Chiudo questa carrellata di differenze tra il GDPR e il Santo GDPR con un aspetto sul quale bisognerà riflettere a lungo: nel Santo GDPR mancano completamente le sanzioni. 

ZERO, nemmeno un buffetto sulla guancia, manco uno scappellotto.

Le ho cercate bene perchè mi sembrava poco coerente con una istituzione millenaria che ha prosperato sulla paura del Diavolo e dell'Inferno, sulla confessione dei peccati, sul peccato originale (la presunzione della colpa), sulla penitenza e che, fino a non molto tempo fa, puniva con incredibili strumenti di tortura che oggi troviamo nei musei. Una istituzione che ha saputo dotarsi della Santa Inquisizione e che ha imbracciato le armi per andare a punire comportamenti che riteneva di dover presidiare su tutto il globo terraqueo, a prescindere da confini, credenze, usi e costumi.

In breve, se qualcuno violasse le misure di sicurezza, causasse un data breach, violasse la riservatezza di migliaia di persone o calpestasse i più basilari diritti alla protezione dei dati di un interessato, potrebbe cavarsela semplicemente con due Pater e cinque Ave.

Bene, ma non benissimo.

Prosit

San Gdpr, protettore dei DPO e dei PIRATI INFORMATICI

SEI UN PROFESSIONISTA?

SI FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere? bene... allora mi devi una birra.

NO Se sei arrivato fino a qui meriti un plauso. Complimenti! Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi: - Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone - Con una donazione.  Questo aiuterà me.

👇 👇 Clicca qui 👇 👇

 

 

Bisogna essere ciechi per voler vedere tutto

In occasione del Giubileo, Roma si vuole dotare di mille mila telecamere “intelligenti” con riconoscimento biometrico, per identificare soggetti criminali e aiutare a gestire la sicurezza in occasione dell’arrivo di turisti e pellegrini. ( QUI un articolo a riguardo)

 

IMHO, le dichiarazioni trionfanti di questi giorni possono essere solo balle o cazzate.

 

Può non piacere ma la grandezza di Kubrick come regista è indiscutibile. Nella sua opera “2001 Odissea nello spazio”, l’inquietante protagonista è un occhio, anzi, peggio, una telecamera.

 

Ogni telecamera genera una sottile inquietudine nell'animo, è un oggetto misterioso perché si ha l'impressione di essere sempre osservati, a prescindere dalla propria posizione o comportamento. Questo non accade con occhi umani perché, istintivamente, sappiano decifrare Il loro movimento e dove puntano: sappiamo di essere all'interno di una visione periferica oppure percepiamo di essere osservati con sguardo diretto.  Un contatto oculare è sempre un’emozione, non necessariamente bella, e ci si sente toccati da vicino, direi dentro. Con il tempo, tutti maturiamo la consapevolezza e il controllo dello sguardo altrui.

Fin da bambini, riusciamo persino a sfuggire allo sguardo di un insegnante che cerca chi interrogare scrutando la classe, di un genitore che rimprovera o di una fidanzata (giustamente) arrabbiata.

 

L’occhio di HAL9000, al contrario, non si sposta, non si orienta per seguire le persone, vede tutto, guarda sempre.

Oltre a questo, l’occhio di HAL9000, così come ogni telecamera, non ci permette di capire chi sia la persona che guarda, quella dietro allo schermo.

 

A peggiorare la situazione c’è la consapevolezza che ogni telecamera può essere registrata. Direi che è più di una mera possibilità, è una certezza. Il fatto che le immagini siano effettivamente cancellate dopo pochi giorni resterà sempre e solo una pallida speranza basata su una sbiadita promessa, che nessuno controllerà mai.

 

Per questo, da sempre, le telecamere sono regolamentate in ogni ambito, nel pubblico, nel privato, sul lavoro, in condominio e in ogni luogo. Molte norme e altrettante applicazioni si sono susseguite nel tempo, con parziali sovrapposizioni e, da ultimo, sappiamo bene tutti cosa prevede il GDPR, cosa impone lo statuto dei lavoratori e cosa ha pubblicato il Garante a proposito di videosorveglianza.  Non mi dilungo ma sottolineo un dettaglio che potrebbe sfuggire ai più: le telecamere finte o guaste non fanno eccezione e sono regolamentate tanto quelle vere e funzionanti.

 

Chiunque rimane sorpreso da questa anomalia normativa, percepita come una esagerazione incomprensibile. Ma come, se non c’è registrazione, quale norma sto violando? Dove sono i dati personali?

 

C’è una ragione per questa apparente follia normativa.

 

La telecamera, anche se finta, ha molte implicazioni:

 

1 – CONDIZIONAMENTO.

Le persone sono a disagio e provano una profondamente inquietudine in presenza di telecamere.

Certamente ci saranno anche cittadini null’affatto preoccupati e indifferenti ad ogni sguardo, ma, con buona pace dell’ego, non sono loro il soggetto sulla base del quale si fanno le regole. I soggetti da tutelare non sono quelli che si sanno arrangiare o indifferenti ad un certo diritto bensì quelli più fragili e bisognosi. “Gli ultimi”, per usare un termine che andrebbe rispolverato e nobilitato.

Pare inutile sottolineare che, per le finalità dichiarate e desiderate, non avrebbe senso rendere riconoscibili le telecamere finte o spente per permettere di distinguerle da quelle in funzione.

 

Potrà sembrare strano ma la domanda fondamentale è questa:

un ipotetico passante che desidera scarabocchiare un manifesto, donare soldi ad un mendicante, pregare o intervenire per sedare una lite… si comporterebbe nello stesso modo se avesse  la consapevolezza della presenza di una telecamera? Oppure eviterebbe comportamenti che, a posteriori, potrebbero essere controproducenti per lui? Questo vale nel bene e nel male, ovviamente, ma non dimentichiamoci che “condizionare” i comportamenti significa togliere libertà e, garantisco, sono ben pochi i comportamenti vietati (per ora). Tutti dobbiamo poter agire in modo libero e responsabile, almeno finchè non saranno definiti comportamenti vietati. A quel punto, saranno lecite misure di prevenzione e deterrenza per impedire tali comportamenti. Fino ad allora, ogni forma di coercizione o condizionamento è un abuso e va combattuto perché non deve trovare spazio nelle nostre vite.

 

[Nota disambigua: il nostro ordinamento non si basa sui divieti ma sulla punizione per la violazione delle norme. Sono due cose molto diverse.   Non è vietato dipingere i baffi sul manifesto del candidato XYZ. Si può fare, eccome, vanno però accettate le conseguenze se questo comportamento viene giudicato una violazione di una legge. Se compero il manifesto e lo appendo in camera, posso scarabocchiarlo, tirarci dentro le freccette o bruciarlo senza violare alcuna norma (per ora). Se lo facessi in metropolitana, la cosa potrebbe cambiare… ma non è detto. Occorre comunque un giudice che lo dica.

Dal giorno in cui questo comportamento sarà vietato, saranno sequestrati i pennarelli dalle cartolerie, sarà vietato portarne uno nei pressi di un manifesto, sarà messo un sorvegliante (o una telecamera) accanto ad ogni manifesto, sarà vietato farlo anche nella propria casa, saranno puniti gli attacchini che, per errore, sgualciranno il manifesto e lo stato dovrà fare quanto necessario per impedire attivamente questo terribile comportamento. Non siamo in Cina. Non siamo in Iran.]

 

 

2 – AFFIDAMENTO

Le telecamere generano l’aspettativa di poter accedere alle registrazioni e questo affidamento non può essere deluso.

Tutti noi ci comportiamo in modo diverso se sappiamo che qualcuno ci guarda, che potrà testimoniare sullo svolgimento di eventi e che le situazioni potranno essere ricostruite a posteriori. Le telecamere possono essere di una pubblica amministrazione o un’azienda privata, ma i dati in esse contenuti, le registrazioni, costituiscono dati personali appartenenti alle persone riprese e, come tali, possono essere chiesti ed ottenuti. Se un passante chiede la registrazione che lo riguarda, il proprietario della telecamera deve consegnarla. Se non lo facesse, sarebbe passibile di pesanti sanzioni per violazione del diritto di accesso ai dati garantito dal GDPR.

Una telecamera finta non registra dati ma, agli occhi di un passante, c’è e funziona e quindi il suo comportamento e le sue scelte saranno influenzate dalla consapevolezza di poter chiedere le registrazioni delle videocamere il giorno dopo.

 

Quel passante (un bravo ragazzo o un teppista, un fedele penitente o un benefattore) si sarebbe comportato nello stesso modo non avesse avuto la consapevolezza della presenza di una telecamera?

 

 

Certamente ci saranno anche cittadini null’affatto preoccupati e indifferenti ad ogni sguardo, ma, con buona pace dell’ego, non sono loro il soggetto sulla base del quale si fanno le regole. Stacce, campione!

 

 

 

Orbene, torniamo a Roma

 

A mio parere, senza essere direttamente coinvolto in alcun modo nella vicenda, penso che le dichiarazioni di assessori, sindaci e funzionari di vario rango possano essere qualificate solo in due modi:

 

 

Sono balle se il comune intende installare normalissime telecamere, collegate a normalissimi server, che non fanno altro che videoregistrare, ancorché dotati della capacità di “seguire” il passaggio di un soggetto da una ripresa all’altra. Questa funzione non rappresenta un trattamento di dati biometrici o riconoscimento facciale, come trionfalmente annunciato e, ovviamente, non ha alcun valore in termini di prevenzione dei reati, di individuazione di soggetti a rischio o sospetti, qualunque cosa questo significhi.

 

In questo caso, non vedo solo una delle solite sparate elettorali, ma una violazione. Non si può illudere la gente su mirabolanti caratteristiche di un sistema di sorveglianza se, all’atto pratico, queste caratteristiche non esistono.

Il Garante dovrebbe intervenire con lo stesso vigore che dimostra verso condomini, imprese e kebabbari frequentemente sanzionati per aver appiccicato al muro pezzi di plastica vagamente somiglianti a telecamere, ovviamente scollegate o non funzionanti ma che, giustamente, ingenerano condizionamento e affidamento.

 

 

Sono cazzate se il comune intende veramente installare un sistema dotato di riconoscimento facciale o biometrico di massa. Annunciarlo sarebbe sconsiderato poiché un sistema simile è pacificamente e notoriamente vietato. Il garante dovrebbe intervenire a gamba tesa e salterebbero delle teste.

 

Detto questo, resterebbe solo da commentare quanto sia stupida l'idea di titillare la gente facendo credere che con una telecamera intelligente sia possibile braccare ogni criminale, da quando esce di casa al momento prima dello scippo in metrò che intende commettere, neutralizzandolo con le teste di cuoio e salvando l'elettore contribuente.

 

La politica non sarà mai il mio mestiere perché sono fortemente a disagio alla sola idea di dire balle e non sopporto le cazzate.

Immagino che in un contesto più generale, per il bene collettivo e per la corretta gestione della cosa pubblica, siano necessarie persone di grande esperienza che sappiano trovare la giusta sintesi tra le più roboanti balle e le cazzate più sciagurate.  

È una fortuna che Roma possa contare su una classe politica capace di eccellere in questa nobile arte.

Prosit.

SEI UN PROFESSIONISTA?

SI FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere? bene... allora mi devi una birra.

NO Se sei arrivato fino a qui meriti un plauso. Complimenti! Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi: - Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone - Con una donazione. Questo aiuterà me.

👇 👇 Clicca qui 👇 👇