Hack & Sec

21 Gennaio Gen 2018 1748 21 gennaio 2018

Protezione dei dati: molto rumore per nulla?

  • ...

Non posso restare indifferente di fronte al montare di una marea di illazioni sul nuovo Regolamento Europeo. Per questa ragione anticipo uno stralcio del mio prossimo libro “La protezione dei dati – Guida pratica al Regolamento Europeo” con l’obiettivo di chiarire come non ci sia nulla di veramente nuovo sotto il sole, se non un richiamo al buonsenso. Certo il Regolamento ha dei limiti e richiede un cambio di punto di vista, ma nella pratica qualsiasi organizzazione dovrebbe avere già fatto tutto. Uso un condizionale d’obbligo.

Sgombrato il campo da eventuali equivoci in merito al tema di cui dovrete occuparvi sono indispensabili alcune fondamentali considerazioni sulla materia. Partiamo dalla buona notizia e forse la più clamorosa: il regolamento non aggiunge nulla di nuovo a quanto qualsiasi organizzazione dovrebbe fare da molto tempo. Posso comprendere che ancora una volta sarete afflitti dal dubbio di avere acquistato un libro scritto da un incompetente, ma penso di essere in grado di dimostrarvi il contrario. Se poi vi occupate di sicurezza delle informazioni o cybersecurity (va tanto di moda) sapete già dove andremo a finire. Partiamo da un esempio storico. Correva l’anno 1942 e prendeva vita il “Progetto Manhattan”. Sotto questo nome in codice si celava l’operazione che alla fine della Seconda Guerra Mondiale ha trasformato gli Stati Uniti nella prima potenza atomica del mondo. Trattandosi del più grande segreto dell’epoca, le esigenze di sicurezza erano elevatissime, tuttavia chi si era impegnato a garantirle ha dovuto fare i conti con lo scopo primario del progetto: rendere disponibile l’ordigno nucleare nel minor tempo possibile, per evitare di essere anticipati da Germania o Giappone. La conseguenza è stata un enorme compromesso. Sin da principio sono stati violati quelli che da sempre sono alcuni punti fermi per garantire la riservatezza delle informazioni. In primo luogo non venne applicato il concetto di minimo privilegio, per cui l’accesso alle informazioni dovrebbe essere limitato allo stretto indispensabile per svolgere il proprio lavoro. In definitiva era illogico radunare nello stesso luogo i migliori fisici del mondo e non sfruttarne le capacità. Permettere a ognuno di loro di conoscere l’intero impianto del progetto, indipendentemente dai loro specifici compiti, avrebbe consentito di risolvere eventuali problemi in tempi molto più rapidi. Un punto morto raggiunto da un certo gruppo di lavoro avrebbe potuto essere superato grazie al contributo di un altro, situazione impossibile se la circolazione delle informazioni fosse stata limitata. Secondariamente il personale venne reclutato secondo la logica del “prendi i migliori”, se poi non sono affidabili correremo i nostri rischi. La combinazione dei due elementi agevolò il sorgere della potenza nucleare dell’Unione Sovietica pochi anni dopo la fine della guerra, grazie soprattutto allo spionaggio effettuato da alcuni scienziati di spicco che avevano lavorato al “Progetto Manhattan”. La storia non offre mai l’opportunità della controprova, quindi non potremo mai sapere se una più rigida tutela della riservatezza avrebbe permesso di evitare la fuga di notizie, consentendo parimenti il raggiungimento dell’obiettivo finale, tuttavia l’esempio permette di raggiungere il fine didattico per il quale è stato citato. Il termine “sicurezza” nella lingua italiana presuppone un’assoluta certezza di assenza di rischio rispetto al pericolo. Pertanto essere sicuri implica un’oggettività che non può essere discussa. Nella pratica, invece, la sicurezza si pone obiettivi assolutamente relativi, secondo i quali il massimo risultato consiste nella riduzione del rischio ai minimi termini o per meglio dire a livelli “accettabili” in uno specifico contesto. Il presupposto che conduce a questa conclusione deriva dalla constatazione che il grado di sicurezza di un’organizzazione è sempre frutto di un inevitabile compromesso. La terapia “preventiva o curativa” che debella la malattia e uccide il paziente si chiama veleno, allo stesso modo le contromisure tese a evitare che i rischi si concretizzino e producano le loro conseguenze, non devono impedire all’organizzazione di perseguire i suoi fini. Il raggiungimento del punto di equilibrio, che permetta all’organizzazione di perseguire i suoi obiettivi e parimenti riduca ai minimi termini i pericoli, è lo scopo primario della disciplina della sicurezza. Un luogo comune, che se tale è diventato deve almeno avere un fondo di verità, considera le migliori contromisure quelle che non si vedono ovvero che non interferiscono con il normale svolgersi di un’attività, come la medicina perfetta è quella che cura senza effetti collaterali. Chiaramente la terapia non può essere uguale per tutti i pazienti e l’immediata conseguenza è che nel predisporre un sistema di gestione della sicurezza non ci sono certezze definite a priori ne regole che non possano subire deroghe. Essa deve essere sempre considerata in relazione al contesto e agli obiettivi per potere giustificare la sua stessa esistenza, di conseguenza soltanto la sua relatività le consente di essere sostenibile, accettabile e infine adeguata. Ecco che il cerchio si chiude e ci riporta all’articolo 1 laddove afferma che la protezione dei dati non può impedirne la libera circolazione. Per questa ragione il pronto soccorso di un ospedale di fronte a un paziente privo di sensi tratterà i suoi dati sanitari senza bisogno del consenso del paziente stesso. Concorderete, dunque, che la norma non aggiunge nulla alle buone pratiche di qualsiasi organizzazione, ma a questo punto arrivano le cattive notizie. La prima riguarda un radicale cambio di prospettiva che sarete costretti a fare, perché la norma non tutela l’organizzazione, ma gli interessati ovvero, secondo la norma, le persone fisiche alle quali i dati appartengono. In altre parole non si tratterà di proteggere l’organizzazione per la quale lavorate, ma i diritti e le libertà degli “altri”. Si tratta quindi di tenere in considerazione due soggetti diversi i cui interessi non sempre sono convergenti. Su questo punto torneremo più volte, in particolare quando tratteremo il tema della valutazione d’impatto della protezione dei dati e la figura del Data Protection Officer. La seconda è intrinseca alla natura di qualsiasi legge: partire bene, ma finire male. Qualcuno potrebbe pensare che mi riferisca alle durissime sanziono previste. In realtà troppo spesso le norme partono da presupposti chiarissimi, come nel nostro caso, per poi precipitare in forme quasi artistiche di involuzione linguistica. Il risultato è la necessità di “tradurre” contenuti, che alla prima lettura appaiono incomprensibili. Personalmente ritengo che il vero problema di chi riformula una norma sia la necessità di mantenere una sorta di compatibilità retroattiva con quanto scritto in passato sia esso dettato normativo, giurisprudenza o dottrina. Una netta rottura linguistica implicherebbe buttare a mare tutto quanto prodotto in precedenza e su questo tema si tratta di vent’anni di inchiostro versato…

Correlati