Un salto di qualità culturale per proteggere i dati personali

Siamo merce e non si tratta di una grande novità. Abbiamo accettato senza problemi di barattare i nostri dati personali con uno o più servizi della società dell’informazione. Un dato di fatto che non può essere oggetto di discussioni o dibattiti perché ognuno è libero di rivelare a chi vuole anche i dettagli più intimi della sua vita.

Tecnicamente si chiama privacy e nessuna legge al mondo può definirne i contorni, ma può fare altro. Proprio la natura “economica” dei dati personali li rende simili al denaro e quindi a un bene di “valore” con un proprietario e questo consente a una norma di imporre dei criteri a protezione e tutela di essi. In questo senso l’Unione europea con l’emanazione del Gdpr ha posto una pietra miliare in materia, riconoscendo da un lato la valenza economica del dato personale, dall’altro la necessità della sua protezione dai rischi di uso improprio.

Nel contesto hanno assunto un ruolo centrale il tema degli incidenti alla sicurezza dei dati e sulla questione le idee sono ancora piuttosto confuse perché nell’immaginario collettivo si tende a considerare tale soltanto il furto di informazioni. Se per la stragrande maggioranza l’ennesima violazione della Piattaforma Rousseau è palesemente un incidente di sicurezza, molti meno considererebbero tale un improvviso malfunzionamento informatico che priva un pronto soccorso dei risultati della analisi dei pazienti. Eppure si tratta di due situazioni analoghe perché la sicurezza delle informazioni si occupa di evitare che la disponibilità, la riservatezza e l’integrità delle informazioni venga meno.

Diventa centrale comprendere i rischi che si devono fronteggiare e questo per due ottime ragioni. La prima perché la sicurezza, per quanto strano possa sembrare, è relativa. Non è accettabile che essa impedisca a un’organizzazione di perseguire i suoi obiettivi. Per riprendere un esempio precedente, non sarebbero ragionevoli forti limitazioni all’accesso ai dati dei pazienti in un pronto soccorso dove è in gioco il diritto alla vita. In secondo luogo il contesto e la natura di quello che si vuole proteggere implica diverse necessità di sicurezza. Da molti anni gli istituti finanziari sono alle prese con la protezione dei sistemi di home banking per la semplice ragione che sono un obiettivo privilegiato dei criminali data la natura del bene che gestiscono. Poi esistono elementi soggettivi come la “visibilità” che inevitabilmente influenzano il livello di rischio. La Piattaforma Rousseau per ragioni evidenti è certamente più esposta ad attacchi rispetto a la maggioranza dei
siti presenti sul web.

Tutte queste considerazione, però, implicano che le organizzazioni facciano un salto di qualità culturale, introducendo nella loro quotidianità il tema della valutazione del rischio connesso alle nuove tecnologie con tutte le conseguenza in materia di sicurezza che implica. Si tratta di abbandonare un approccio basato su regole immutabili perché nessuno può stabilire quali siano contromisure adeguate senza avere una chiara visione dei rischi da contrastare. Questo sarà il primo passo, perché comunque gli incidenti continueranno a verificarsi, quindi sarà necessario immaginare come contenerne le conseguenze e distinguere tra sicurezza proattiva e reattiva: non basta prevenire è necessario anche sapere curare.
Sostenere che la conoscenza sia una discriminante della capacità umana di agire correttamente appare di una banalità assoluta; altrettanto evidente è l’idea secondo cui essa si basa sulle informazioni. Nessuno potrà sollevare obiezioni degne di nota se sosteniamo che su di esse si decidono i destini di nazioni, uomini e aziende.

Facciamo un passo avanti. La nostra stessa vita dipende da una quantità enorme di oggetti ognuno dei quali opera sulla base di informazioni: i termostati regolano accensione e spegnimento delle caldaie tenendo conto delle temperature, i navigatori satellitari ci guidano in funzione della nostra posizione, i sistemi antifurto permettono di accedere a un’abitazione se viene inserito un codice corretto. Quando le informazioni perdono anche soltanto una delle loro tre caratteristiche essenziali (integrità, riservatezza e disponibilità) questi e decine di altri oggetti non svolgeranno correttamente la loro funzione. A questo punto andiamo fino in fondo.
Siamo stringhe. E non guardatevi le scarpe, perché non sono quelle. Stiamo parlando di sequenze di numeri, lettere, simboli. La nostra esistenza su questo pianeta è rivelata e determinata da un certo numero di sequenze alfanumeriche: il codice fiscale, l’Iban e il numero della carta d’identità ne sono esempi. Sono queste informazioni che ci definiscono e rappresentano univocamente con invidiabile sintesi. È lapalissiano, come abbiamo già evidenziato, che per ogni essere umano tali stringhe siano un bene prezioso.

Se noi siamo informazioni le cui scelte sono determinate dalle informazioni e viviamo circondati da oggetti il cui funzionamento dipende dalle informazioni, quanto è importante che esse abbiano un «carattere assolutamente attendibile e degno di credito» così come recita la terza definizione di sicurezza tratta dal Dizionario della lingua Italiana di Giacomo Devoto e Gian Carlo Oli?