GDPR | Le vere ragioni della valutazione di impatto

Tempo di lettura stimato | 6 minuti

Qual è il mistero del GDPR e perché centra con la valutazione di impatto?

Ti sei mai chiesto cosa si nasconde dietro la formulazione del GDPR quando, in occasione della sua definizione, si legge la scritta: “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”?

La frase “relativa alla protezione delle persone fisiche” in molte pubblicazioni a partire dalle definizioni che fornisce Wikipedia fino agli stessi documenti che il Garante pubblica sul proprio sito istituzionale, non compare sempre. Spesso viene sostituita dalla denominazione più generica quale “Regolamento generale per la protezione dei dati personali” ovviamente tratta dall’acronimo GDPR che sta appunto per General Data Protection Regulation. Perchè?

Protezione dei dati e protezione delle persone

La protezione delle persone fisiche è o non è lo scopo principale del Regolamento Europeo?
E se lo è, perché molto spesso la si confonde con la protezione dei dati personali?

Quello che emerge dalle tante pubblicazioni in Internet in materia di privacy, che è facile appurare attraverso una attenta consultazione dei siti web tecnici che parlano dell’argomento, è che vi è una strutturale confusione tra “obiettivi” e “mezzi”.

La confusione lascia in dubbio se il termine “protezione”, nel suo significato, si riferito ai dati personali oppure alle persone fisiche e cioè alla loro incolumità (che potrebbe essere messa a repentaglio dalla privazione dei loro diritti o delle loro libertà).

Con il processo di valutazione di impatto, previsto all’Art.35 del Regolamento Europeo 679/2016, il vero cuore pulsante del GDPR e cioè la preoccupazione di difendere le persone fisiche dai pericoli dei trattamenti dei dati personali emerge con più chiarezza e assurge a vero e proprio “obiettivo” di fondo del GDPR, in relazione al quale, la protezione dei dati personali appare sempre più come uno “strumento” e cioè un “mezzo”.

La lettura delle ragioni di fondo del GDPR quindi ci induce a comprendere che proteggere i dati personali non è il vero scopo del Regolamento ma va considerato come uno strumento per proteggere le persone fisiche a cui questi dati appartengono.

Proteggere la persona fisica dalle conseguenze derivanti da un trattamento illecito dei suoi dati personali, è la “preoccupazione” di cui si sono fatti carico gli organi del diritto pubblico europeo quali il Consiglio, la Commissione ed il Parlamento. Un approfondimento di interessanti notizie tecniche pubblicate su Internet e dello scenario relativo allo sviluppo di nuove tecnologie, può farci formulare l’ipotesi che si tratti di una vera e propria “preoccupazione” che affonda le sue ragioni nel mondo inquietante del dark web.

Il dark web è un mondo a parte. Un’altra dimensione!

Prima cosa da sapere: il deep web è costituito da tutti quei siti web a cui non si accede attraverso la normale navigazione. Immaginate, ad esempio, i siti che hanno deciso di non essere indicizzati dai motori di ricerca oppure quei database che sono presenti in Internet ma non hanno, in esso, la pagina di accesso.

Il dark web che viene dopo il deep web, lo strato più imponente e più profondo dell’iceberg, invece contiene documenti e applicazioni sapientemente occultati ed irraggiungibili attraverso i comuni percorsi di navigazione forniti dai motori di ricerca. L’indirizzo IP di questi siti è nascosto e per accedervi bisogna conoscerlo. Il deep web e il dark web, che ne è una parte, rappresentano all’incirca il 95% delle risorse presenti in rete.

L’evocazione della punta dell’iceberg dovrebbe invitare gli specialisti privacy (e i titolari dei trattamenti) a riflettere sulla inevitabile presenza in Internet di persone che utilizzano la rete per perseguire interessi che non sono sempre leciti.

In aggiunta a tanta parte della popolazione mondiale che naviga per curiosità, per lavoro, per studiare oppure per intrattenimento, in Internet c’è anche tanta gente che, non potendo o non volendo esercitare le proprie attività o i propri interessi alla luce di Google, trova, nella protezione e nell’anonimato del dark web un mondo per esercitarli, ciò rimane “censurato” nella realtà.

Tanto per farsi un’idea, sul dark web ci sono i terroristi, c’è la criminalità organizzata, ci sono sette di fanatici, xenofobi, pedofili, sette religiose. I traffici che si compiono nell’E-commerce del dark web si spingono alla vendita di droga, di armi, di farmaci, di virus e batteri, di prodotti contraffatti e organi umani.

Gli organi di polizia (dalla polizia postale ai più prestigiosi enti investigativi) rimangono spesso impotenti rispetto ai reati che si consumano nel dark web proprio perché le strutture criminali presenti si avvalgono della possibilità di non essere identificate e contrastate.

Internet, per molte persone malintenzionate, non è soltanto un luogo per esserci e manifestarsi ma è anche il luogo ideale in cui il crimine può nascere per poi svilupparsi al di fuori della rete oppure può nascere, crescere e continuare a lavorare in rete senza mai trovare sbocco nella realtà.

Grazie alla rete Internet anche noi (sempre più sistematicamente e sempre meno occasionalmente) svolgiamo tante attività. Aziende ed enti, grazie alla rete, gestiscono una grande quantità di dati personali per prestare alla collettività i servizi pubblici quali la sanità, l’ordine pubblico, i servizi anagrafici, l’informazione, i trasporti. Poi inoltre ci sono le aziende che, in relazione ai nostri dati, preparano programmi di marketing per offrirci proprio quello di cui abbiamo bisogno, ciò che è adatto alla nostra età, al nostro sesso, al nostro livello culturale e sociale.

Gli impianti di videosorveglianza, grazie a Internet, trasferiscono immagini e video in tempo reale ai presidi dell’ordine pubblico per prevenire attentati nei luoghi affollati, rapine, furti, e accessi non autorizzati alle aree protette.

Gli ospedali e gli altri enti sanitari pubblici e privati, grazie alla rete Internet, possono gestire da remoto le cartelle cliniche e ricevere preziose indicazioni mediche che in tempo reale consentono di prestare immediato soccorso alle persone in difficoltà

L’amministrazione della stessa giustizia richiede l’accesso a Internet per poter gestire le questioni inerenti ai reati delle persone, agli iter processuali informatizzati, ai permessi quali passaporto, porto d’armi. Così come gli organi di polizia si avvalgono di Internet per poter organizzare attività di prevenzione, di diffusione di informazione ai propri agenti e attività investigative presso le banche dati dove sono schedate le persone che hanno commesso reati.

In pratica, grazie a Internet facciamo tutto: comunichiamo, scegliamo, acquistiamo, guardiamo e ascoltiamo quello che ci interessa e quello che ci piace.

Un’attenta riflessione può farci comprendere facilmente che tutti i dati personali generati e raccolti, a meno che non rimangano sempre e solo cartacei, prima o poi finiscono in Internet, questa rete fatta di milioni di nodi e disseminata presso tutti i dispositivi del mondo: server, personal computer, smartphone ed altri dispositivi digitali.

Tornando alla protezione delle persone fisiche e dei dati personali non possiamo fare a meno di pensare quindi che, nello stesso spazio virtuale, confluiscono attività di criminali e persone normali.

I primi, spesso, alla ricerca dei dati personali per compiere le loro attività illecite.

Cosa c’è nelle banche dati protette in rete

Grazie a sofisticate applicazioni, i malintenzionati della rete possono accedere a questi dati personali e utilizzarli a danno degli interessati, ecco quindi che nasce l’inconfutabile esigenza di proteggere le persone fisiche dalle attività criminali che si attivano grazie all’acquisizione dei dati personali.

Se ci spaventa che in Internet ci sono i nostri dati identificativi e i nostri dati particolari quali la razza, le opinioni politiche, lo stato di salute, l’iscrizione a sindacati, la professione religiosa o filosofica, e l’orientamento sessuale allora cominceremo ad avere qualche preoccupazione in più quando rifletteremo su tutte le informazioni che rilasciamo a Internet durante la nostra navigazione e l’utilizzo inconsapevole dello smartphone.

Se a tale inquietudine rispondiamo dicendo che tutto sommato i nostri dati personali non interessano a nessuno stiamo commettendo un grave errore.

Avete mai provato a scaricare sul vostro smartphone qualche app che registra il contenuto delle conversazioni telefoniche? Molti di noi lo hanno fatto, per avere memoria delle conversazioni, credendo che le conversazioni registrate rimangano solamente nella memoria del telefono. Poi, cancellando tutti i file audio, pensiamo di aver risolto il problema. Purtroppo, i file vengono cancellati solamente dal nostro telefonino e continueranno ad essere sempre presenti nel database di chi ha fornito l’applicazione gratuita e scaricata da Play Store.

Le immagini e i video presenti sui nostri smartphone, per chi non lo sapesse, sono già in rete nei server dei fornitori dei servizi di telefonia. I codici delle carte di credito e dei conti correnti sono già in rete nei database dei nostri istituti bancari. Se viaggiamo, se parliamo, se acquistiamo se ci spostiamo da una parte all’altra lasciamo sempre tracce. Molte persone ad esempio non sono consapevoli dello stato attivo dei servizi di geolocalizzazione sugli smartphone e i social media e costruiscono interminabili cronologie di tappe (luoghi visitati) che possono essere a disposizione di qualunque malintenzionato. Le nostre prenotazioni che vanno dal ristorante, al cinema, alle visite mediche, alle visite guidate, ai voli lasciano tracce inconfutabili di quello che abbiamo fatto e costituiscono del materiale interessante grazie al quale è possibile prevedere le nostre tappe future.

Immaginate quante informazioni riusciremmo ad ottenere su una persona se avessimo accesso alla cronologia di tutti i messaggi inviati e ricevuti su WhatsApp oppure sulla mail personale.

Le vere ragioni della valutazione di impatto

Dalle considerazioni che abbiamo fatto dovrebbe essere oramai più chiaro che, nel contesto in cui tutto funziona grazie alla rete, la privacy non può preoccuparsi solamente del diritto alla riservatezza degli individui. Non è più questione di tenere in riserbo le proprie idee politiche o religiose oppure di vivere il proprio orientamento sessuale senza voler rivelare nulla agli altri. Non si tratta di nascondere la malattia ai colleghi di lavoro perché può generare imbarazzo.

Chi pensa che i problemi della privacy siano rimasti ancorati a discorsi morali di rispetto, sensibilità e riservatezza allora non ha capito ancora nulla di privacy.

Il legislatore europeo, proprio in concomitanza con la diffusione dell’IoT (Internet of things – l’Internet delle cose) e la nascita dei computer quantici ha dovuto cominciare a fare i conti con i rischi che corrono le persone fisiche, con riguardo al trattamento dei dati personali.

Lo scenario di questi rischi, sicuramente riportato dagli studi che gli esperti hanno fatto sulle ipotesi di attività pericolose in Internet, ha spaventato di certo la Commissione Europea. Gli enti europei tuttavia, di fronte a tali pericolosissime minacce, hanno tracciato un quadro regolamentare (Regolamento europeo 679/2016) in cui questa grande preoccupazione di fondo per l’incolumità degli individui si è voluta un po’ celare.

Celare per evitare ben più pericolosi allarmismi (e rischi) provenienti dalle lobbies dei dati (giganti del web) che invece ne reclamano “la libera circolazione”, frase anch’essa paradossalmente presente nella stessa dicitura che spiega il significato del Regolamento.

I rischi per l’incolumità delle persone, nel GDPR, paradossalmente non sono citati neanche a titolo di esempio. Questa preoccupazione però, per quanto respinta dalla coscienza della politica e del libero mercato non è stata privata del tutto della sua capacità di esprimersi. Ecco dunque che accanto agli articoli privacy che ti vogliono rassicurare che puoi esercitare il diritto alla riservatezza e che hai diritto a non essere disturbato dalle telefonate pubblicitarie compaiono dei concetti del tutto inediti rispetto al codice privacy precedente che sono DPO e Valutazione di impatto.

Qualcuno si sarà pure chiesto come mai per l’Art.32 del GDPR dobbiamo fare la valutazione dei rischi mentre per l’Art. 35 dobbiamo fare la valutazione di impatto. La logica che traspare solamente, ma che non viene spiegata in maniera chiara e trasparente, è che gli interessi a favore e contro la protezione dei dati personali vanno ben al di là dei desideri dei singoli mal intenzionati o dei propositi dei gruppi di fanatici.

Dato il colpo al cerchio attraverso l’obbligatorietà della valutazione dei rischi privacy ai sensi dell’Art.32, l’Unione Europea ha valuto riequilibrare il lavoro con un colpo anche alla botte attraverso la valutazione di impatto ai sensi dell’Art.35.

Con la prima pubblicazione del GDPR in gazzetta (in un periodo di ben 2 anni, dal 2016 al 2018) non erano chiare le circostanze per le quali si dovesse ricorrere alla valutazione di impatto. Soltanto in seguito alle continue richieste di chiarimenti al Garante, il gruppo WP 29 ha finalmente pubblicato le linee guida illustrando le ipotesi di trattamento in cui la valutazione di impatto è obbligatoria.

La valutazione della probabilità e delle conseguenze degli impatti sulle persone fisiche che possono derivare dalla rete, a differenza della valutazione dei rischi, deve necessariamente tenere in considerazione la presenza di altri fattori di ponderazione:

L’anonimato da parte degli utenti
La potenza di replicazione e diffusione dei dati
La dimensione quantitativa degli utenti dei dati
La capacità di incrocio e di raffronto dei dati
La presenza di algoritmi di data mining in grado di estrarre conoscenza da grandi quantità di dati
L’applicazione di algoritmi predittivi capaci di sondare comportamenti futuri di consumatori, di gruppi di interesse, di partiti politici e sindacati, di intere classi socioeconomiche differenti
L’interazione con soggetti ed organizzazioni pericolose

L’ultimo fattore è il più importante di tutti!

Gli impatti per gli interessati

Il furto di identità e il trafugamento di dati strettamente personali a quali impatti esporrebbe l’interessato?

Una falla in un database che fa trattamento di dati personali su larga scala permetterebbe ad un’eventuale organizzazione criminale di “costruire” (grazie ad una grande quantità di dati personali) dei “profili comportamentali” ben precisi caratterizzati dalle abitudini, dagli stili di vita, dallo stato di salute, dalle opinioni politiche e dai comportamenti di acquisto registrati e rivelati in rete.

I “profili comportamentali” che raggruppano persone apparentemente totalmente diverse fra loro, ma che sono simili in quanto ad attività svolte e a decisioni assunte, possono diventare target di mercato per le aziende commerciali ma possono diventare anche “segmenti di popolazione” da voler influenzare politicamente o economicamente.

Tracciare una score card nella quale sono separati, in base al reddito, migliaia di interessati, non fa gola solamente alle case automobilistiche, così come un database in cui ci sono migliaia e migliaia di pazienti con referti clinici non interessa solamente alle strutture sanitarie.

Gli algoritmi predittivi del comportamento di “soggetti deboli” quali immigrati, bambini, persone affette da handicap fisici e mentali a quali impatti potrebbero esporre i diritti e le libertà fondamentali di costoro?

Al terribile rischio della discriminazione e dunque della privazione delle libertà si aggiunge il rischio di essere destinatari passivi di attività criminose quali lo spaccio di sostanze stupefacenti, la pedopornografia, il traffico di organi, la tratta degli schiavi, la vendita delle armi, l’apologia di politiche farneticanti e gli omicidi.

È a seguito della rivelazione di questo mistero che diventano immediatamente comprensibili i criteri che permettono di identificare quali trattamenti di dati personali devono essere sottoposti alla valutazione di impatto.

Gli stessi 007 della rete, annoverano in Internet anche la presenza di killer e sicari. Gente disperata disposta ad uccidere, su commissione, a partire già da 300 dollari. Gente disposta a compiere rapimenti e furti e tante altre cose che possiamo immaginare.

Ecco dunque che grazie alla lucidità con cui guardiamo a queste dinamiche di rischio allora riusciamo a comprendere finalmente il senso più profondo della valutazione di impatto.

Solamente dopo aver preso consapevolezza della sostanza di questi rischi, cominciano a diventare più chiari i criteri in relazione ai quali valutare la necessità di procedere con una valutazione di impatto.

Il mistero che sta dietro al GDPR dunque consiste in questa grigia e nebulosa preoccupazione del diritto europeo di dover affrontare il “grande rischio di Internet” senza però intaccare gli interessi di chi ha permesso che la rete si diffondesse e permettesse il passaggio dell’umanità nell’era virtuale.

Tra i soggetti deboli probabilmente dovrebbero essere inclusi soprattutto coloro che sono “informaticamente analfabeti”. Nel problema del trattamento su larga scala deve essere svelata la presenza della possibilità di un campionamento della popolazione. La combinazione e il raffronto dei dati sono ciò che rende comprensibile e prevedibile il comportamento di persone la cui vita, a loro insaputa, può essere spiata e sorvegliata. Lo screening in generale condotto sulla vita personale o professionale delle persone permette di creare meccanismi discriminatori di accesso alle cure mediche, ai farmaci, all’acqua potabile, all’istruzione.

La valutazione di impatto, per concludere, è lo strumento cardine per proteggere gli interessati dalle conseguenze derivanti dalla data breach riferita ai loro dati personali. La sua portata, se condotta con la professionalità adeguata dello specialista, consente di tenere in adeguata considerazione le insidie derivanti dall’uso sempre più invadente delle nuove tecnologie. Ma a parte il contesto, i principi, i controlli e le misure che ne identificano la struttura documentale secondo le linee guida del WP 29, il segreto della sua efficacia sta nella risposta che si dà a questa domanda: alla luce delle minacce presenti nella rete globale, chi è interessato ai dati personali trattati?