Oggi ho avuto una conversazione con un cliente che, di fronte alla mia domanda in merito al livello di adeguamento dei suoi processi aziendali alle prescrizioni del Regolamento UE 679/2016 (GDPR) a tutela della sicurezza dei dati personali, mi ha risposto, piuttosto infastidito, che si tratta delle solite regole che non servono a nulla, perché “tanto su internet si trova tutto”, a dispetto dei numerosi adempimenti che vengono richiesti dalle attuali norme in materia di privacy.
Tutti i miei tentativi di spiegargli che, proprio il fatto che “su internet si trova tutto” (anche quello che non dovrebbe esserci), rende evidente la necessità di regole nuove e più efficaci per la sicurezza dei dati personali, in quanto la tutela della sua clientela comincia proprio con l’adozione di adeguate protezioni dei dati raccolti, non hanno fatto breccia.
Con mia grande frustrazione, ho dovuto, anzi, constatare che l’unica cosa che il mio cliente ha recepito del nuovo Regolamento, è che l’adeguamento avrà per lui un costo e che a fronte della spesa che dovrà sostenere, non ne avrà alcun concreto beneficio.
Trovo questo modo di pensare sbagliato per molti motivi.
E’ sbagliato perché denota un’ingiustificata rassegnazione e disillusione al tentativo del GDPR di cambiare/migliorare le cose: rassegnandoci allo stato di fatto non possiamo certo sperare di far crescere la qualità della nostra vita, che sempre di più è basata su prodotti e servizi che hanno bisogno, per funzionare ed essere per noi utili, di elaborare i nostri dati personali.
E’ sbagliato perché analizza il tema della sicurezza dei dati nella sola ottica dell’imprenditore che si rappresenta i costi (per gli adeguamenti tecnologici, per la consulenza, per l’assistenza, per la formazione del personale, etc.), senza riflettere sulla circostanza che ciò che viene chiesto dal GDPR è fondamentale anche per se stesso.
E’, infatti, evidente che chi è oggi il titolare del trattamento, in altre occasioni della vita vestirà i panni del cliente profilato o del paziente curato presso una struttura sanitaria o del consumatore destinatario di attività di digital marketing da parte dei siti di e-commerce o, ancora, di fruitore dei servizi dei social media, e così via. La privacy è un concetto circolare: uno stesso soggetto è, infatti, contemporaneamente destinatario di obblighi o titolare di diritti in dipendenza dalla qualità che riveste, di volta in volta, in un dato momento.
E’ sbagliato perché, in fondo, è un modo antiquato di concepire il mondo che ci circonda e sottovaluta pericolosamente l’importanza della sicurezza dei dati personali nell’epoca della interconnessione globale di persone e di cose (IoT).
Basti pensare che è di soli pochi giorni fa la notizia che il team di ricerca dell’Università di Edimburgo, svolgendo un’analisi di sicurezza su due popolari modelli di fitness tracker indossabili prodotti da una nota azienda del settore, ha verificato che il sistema che dovrebbe garantire la sicurezza dei dati personali sui predetti dispositivi, tramite un sistema di criptazione, può in realtà essere aggirato, permettendo l’accesso non autorizzato di terzi a informazioni personali dei clienti, con la possibilità di creare false registrazioni di attività.
Per i clienti di questa azienda ciò significa che i dati personali raccolti dal dispositivo nel corso della loro giornata potrebbero essere condivisi senza alcun consenso, ad esempio, con agenzie di marketing per svolgere illecite attività di profilazione delle loro abitudini di vita.
L’azienda in questione si è immediatamente messa al lavoro per riprogettare il software dei suoi dispositivi wereable per garantire ai propri clienti l’effettiva sicurezza dei suoi prodotti.
Certamente questa azienda sosterrà dei costi importanti, ma è consapevole che, dalla sicurezza dei dati personali che le vengono affidati dagli utenti dipende la qualità dei suoi prodotti, la fiducia dei propri clienti, la sua credibilità sul mercato e, in definitiva, il suo futuro.
Probabilmente ha ragione il mio cliente quando afferma che il GDPR non riuscirà ad impedire che le violazioni dei sistemi informatici delle aziende continuino anche in futuro, ma il Regolamento ha sicuramente il pregio di innalzare sensibilmente la nostra attenzione sull’importanza della protezione dei dati personali di tutti noi e di responsabilizzarci al riguardo.
Il principio di accountability sancito dal GDPR ha proprio questo scopo, cioè costituire un forte richiamo per tutti a fare di più e meglio, perché, nell’era digitale, i nostri dati costituiscono la nostra esclusiva, unica e fondamentale identità personale, che non deve essere travisata, distorta o usata contro la nostra volontà.
Cosa ne pensate? Siete d’accordo?
Potete lasciare il vostro commento completando il form che trovate qui di seguito.