L’Ing. Stefano Rinauro, Commissario Capo Tecnico della Polizia di Stato, Direzione Centrale della Polizia Criminale – Ufficio Protezione Dati, grazie alla sua esperienza nella Pubblica Sicurezza, spiega come incorporare la cultura del fattore umano in un’efficace gestione della protezione dei dati personali.
Il diritto alla protezione dei dati personali – come del resto anche il diritto alla privacy – non gode a tutt’oggi di buona fama, almeno in una parte della popolazione. Sta difatti acquisendo consenso una certa narrazione che vede tali garanzie quali intoppi burocratici senza i quali le cose in Italia andrebbero più spedite e, perché no, molte ataviche inefficienze sarebbero risolte, tralasciando – poco importa se con dolo o con colpa – la loro natura di distinti diritti fondamentali dell’uomo (cfr. a titolo di esempio gli Artt. 7 e 8 della Carta dei Diritti Fondamentali dell’Unione Europea).
Per intenderci, è come se il sentire comune non pensasse a Madame Curie come ad una delle più grandi menti della storia dell’umanità, ma la ritenesse la responsabile diretta delle conseguenze dei disastri di Chernobyl e Fukushima e per questo meritoria di unanime riprovazione.
Il paragone è iperbolico, ma penso renda bene la distonia di questa visione. Raramente, infatti, si osservano campagne tanto ampie e condivise volte allo sminuire altri diritti fondamentali dell’uomo.
Diritti fondamentali dell’uomo. Una perifrasi che dovrebbe incutere un senso di sacro rispetto laico al solo scriverla o pronunciarla, e non già far pensare a perversioni amministrative o lenti ideologiche con le quali inquadrare le dinamiche sociali. Questo tipo di fallacia interpretativa, che sia cosciente o meno, investe una parte sempre più ampia della popolazione e rappresenta una leggerezza non tollerabile ad alcun livello sociale.
E tuttavia, purtroppo, sempre più spesso si osservano commenti da parte di personalità politiche, industriali o sociali che additano la protezione dei dati personali quale vacuo bizantinismo che ingessa il paese rallentandone una crescita che, nella visione degli stessi, paga un conto troppo alto a tali tematiche e ad una quasi miope loro declinazione pratica. In questo contesto, il Garante della privacy sta portando avanti una pregevolissima iniziativa culturale attraverso multiformi canali mediatici, ma sarebbe auspicabile che anche da altri settori della società civile, meno direttamente coinvolti, giungessero analoghe manifestazioni per corroborarne l’efficacia. In un ambiente sociale ormai totalmente dipendente dal valore aggiunto dato dall’elaborazione di dati ed informazioni e nel quale le persone, adulti o bambini che siano, sono sempre più permeabili ai rischi insiti nella disponibilità di strumenti tecnologici che celano un funzionamento ipercomplesso dietro ad una estrema semplicità di utilizzo, i diritti in gioco dovrebbero assurgere – come tutti i diritti, del resto, ma questa è un’altra storia – ad un valore non contaminabile dalla propaganda politica; eppure questo è quello che ormai quotidianamente osserviamo.
Per delineare un percorso di crescita culturale in tal senso, è opportuno comprendere da dove traggano origine queste erronee posizioni critiche, onde cercare di curarne la causa e non solo il sintomo manifesto.
Sono diversi i contesti nei quali sussiste la sensazione che la protezione dei dati personali si trovi costretta in un gioco di compromessi ove appare come attrice di una strana specie di principio di indeterminazione di Heisenberg: diritto da comprimere per dispiegare altre forme di utilità o presidio di libertà ottenuto ad un prezzo intollerabile.
Questo dualismo è ben noto, ad esempio, nel contesto delle attività di Pubblica Sicurezza: è radicato infatti l’assunto secondo il quale un maggiore livello di sicurezza debba tollerare una profonda intrusione nella sfera privata delle persone o che, alternativamente, il rispetto della riservatezza possa giocare come utile sponda ad attività illecite.
Tali dinamiche interpretative oltretutto, per quanto evidentemente fuori fuoco, resistono nel sentire di molti nonostante la normativa sulla protezione dei dati personali ben permetta di disegnare un trattamento proporzionato, efficace e tale da perseguire le legittime finalità minimizzando i dati trattati ed i rischi per diritti e libertà degli interessati.
Da dove trae spunto quindi questo pregiudizio sulla data protection?
L’origine di queste posizioni nasce, verosimilmente, da una certa innata tendenza a concentrarsi sui dati personali in quanto tali, tralasciando l’aspetto umano delle persone cui i dati stessi fanno riferimento.
I dati personali vanno protetti e tutelati non già per il loro intrinseco valore – che anche hanno o possono avere, bene inteso, come ben sanno dalle parti della Silicon Valley – ma per tutelare le persone delle quali portano informazioni. Perché un’intrusione nella propria sfera privata o l’utilizzo indiscriminato di informazioni che ci riguardano al di fuori delle finalità per le quali le avevamo messe a disposizione, non rappresenta solo una blanda seccatura o una preoccupazione limitata a chi “ha qualcosa da nascondere (cit.)”, come molti sembrano ritenere, ma mina alla radice la possibilità di svolgere la propria personalità e lede pertanto un afflato costituzionalmente riconosciuto.
Quello che accade è che, in buona sostanza, ci si dimentica che la protezione dei dati personali è un diritto fondamentale dell’uomo perché ci si dimentica dell’uomo che vive dietro l’immagine data dai suoi dati personali; rimuovendo mentalmente il fattore umano, si sminuisce il senso stesso del diritto e si cessa di considerarlo tale.
E ancora, nell’errore di una sottovalutazione dell’aspetto umano al di là dei dati personali possono cadere anche i professionisti del settore. La protezione dei dati personali, difatti, è una materia intrinsecamente multidisciplinare, a cavallo tra ICT e diritto, sempre più ricca di tecnicismi, standard internazionali e processi formalizzati, al punto che anche chi vi lavora quotidianamente può incorrere nell’errore di dimenticarsi che i dati personali trattati nascondono lo svolgersi di vite umane: vite di persone reali, di singoli individui, con i loro diritti, i loro sogni, le loro ambizioni, le loro paure, la loro libertà di commettere errori, di crescere, di scegliere come autodeterminarsi. Questi aspetti, lungi dall’essere un mero rimando blandamente poetico, dovrebbero ispirare nel profondo ogni passaggio della filiera del trattamento dei dati personali. La centralità del fattore umano – che pure il GDPR e la Direttiva Law Enforcement hanno ben chiari quale loro fondamento – viene spesso data per scontata e relegata all’angolo periferico dell’attenzione fino ad essere sovrastata e dimenticata dai tecnicismi degli adempimenti normativi. La cosiddetta awareness – la consapevolezza – è un concetto fondante di ogni approccio maturo all’information security, alla cyber security e alla data protection, ma senza il focus sul fattore umano, dell’idea platonica di “consapevolezza” non rimane che un guscio vuoto che fa risuonare tutta la protezione dei dati personali del cupo rintocco della burocrazia bizantinamente fine a se stessa. E allora, quale inevitabile corollario, non se ne riesce più a cogliere la rilevanza e se ne percepiscono solo le limitazioni.
Per tornare all’assunto iniziale, se l’immagine pubblica della protezione dei dati personali è così mal messa è anche perché sovente le attività volte alla tutela di questo diritto sono portate avanti in maniera automatica, puramente orientata alla compliance e senza il giusto focus sugli esseri umani cui i dati stessi si riferiscono. Così facendo se ne depaupera il significato fino a rendere i pertinenti adempimenti davvero solo un fastidioso intralcio.
Al contrario, riportare il fattore umano come aspetto centrale della materia, aiuta a ricomprendere correttamente i requisiti normativi e a superare le dicotomie che investono la protezione dei dati personali. I principi di accountability, di proporzionalità del trattamento, di sicurezza basata sul rischio e tutti gli altri pilastri sui quali si erge l’architettura del GDPR, solo se correttamente inquadrati dal punto di vista dell’uomo oltre i dati, assumono una rilevanza che li eleva dal mero adempimento formale, e possono essere compresi nella loro improcrastinabile urgenza.
L’esperienza del settore della Pubblica Sicurezza, nel quale il dualismo tra data protection e missione istituzionale ha storicamente rappresentato fonte di discussione e dibattito, può rappresentare un buon esempio su come incorporare la cultura del fattore umano in un’efficace gestione della protezione dei dati personali. In effetti, per loro stessa natura, le attività volte alla tutela dell’ordine pubblico e all’incolumità delle persone, così come quelle per la repressione dei reati, vivono e respirano della raccolta e dell’elaborazione di informazioni che attengono alla vita privata dei cittadini e non possono, all’oggi, prescindere dalle potenzialità rese disponibili dalle tecnologie dell’ICT, anche in considerazione del fatto che le medesime tecnologie sono spesso una delle leve per attività criminose o terroristiche di diversi genere e natura. Ne nasce pertanto la necessità di trovare un punto di equilibrio tra l’efficacia dell’azione investigativa o volta alla tutela della sicurezza pubblica ed il rispetto della soglia minima di tollerabilità nella riservatezza della collettività.
Ma se è facile comprendere come misurare e valutare il primo aspetto, più difficile risulta l’individuazione della predetta soglia di tollerabilità. Ed è proprio in questo contesto che il punto di vista del fattore umano aiuta ad individuare il dovuto punto di sintesi, indirizzando decisioni operative che permettano di dare concretezza al principio di proporzionalità del trattamento, a dedicare la dovuta attenzione alla qualità, all’accuratezza e all’aggiornamento dei dati, a ribadire la necessità di una continua ed attenta validazione dei risultati ottenuti da elaborazioni automatizzate e via dicendo.
Definire opportuni tempi di conservazione delle informazioni, realizzare sistemi di tracciamento e monitoraggio delle prenotazioni dei voli intra ed extra Schengen (il c.d. sistema informativo PNR) per contrastare fenomeni di terrorismo senza divergere in una sorveglianza indiscriminata e massiva, realizzare una banca dati del DNA moderna e tale da garantire massime tutele per i soggetti censiti – financo quella di assicurare la segregazione tra le ricerche effettuate per motivi di indagine e quelle effettuate per coadiuvare le ricerche delle persone scomparse – o limitare la visibilità delle informazioni di polizia al solo personale che abbia stretta necessità istituzionale di accedervi, sono alcune delle sfide che la Direzione Centrale della Polizia Criminale del Dipartimento della Pubblica Sicurezza ha saputo nel tempo superare anche attraverso l’aver fatta propria la cultura del riconoscere il valore del fattore umano e della tutela dei diritti degli esseri umani cui i dati e le informazioni si riferiscono. Questi risultati, ottenuti attraverso una continua sinergia con il Garante della privacy in uno spirito di comunità di intenti piuttosto che di sorda contrapposizione, hanno permesso di allineare il sistema sicurezza nazionale ad un approccio moderno alla tutela della protezione dei dati personali senza che questo inficiasse in alcun modo l’incisività dell’azione istituzionale o senza che “con la scusa della privacy si bloccasse tutto” come troppo spesso capita leggere su twitter o similia.
Ma rimane ovviamente ancora tanta strada da fare. Riscoprire il fattore umano comporta altresì il tenere a mente che ogni approccio umano è perfettibile e pertanto migliorabile attraverso uno studio delle nuove criticità che le evoluzioni tecnologiche e sociali possano portare. Al riguardo, la stessa Polizia Criminale ha organizzato per il venturo mese di Ottobre 2021, in collaborazione con Europol e con l’Accademia Europea di Legge, una conferenza per approfondire e discutere il tema del fattore umano nella protezione dei dati personali.
La condivisione e la messa a fattor comune delle esperienze, delle sfide affrontate e delle soluzioni individuate rappresentano un’imprescindibile occasione di crescita per gli aspetti sui quali ancora dobbiamo migliorare; del resto: we’re just human, after all.