• Home
  • News
  • La Psicologia del data base al servizio della protezione del dato

La Psicologia del data base al servizio della protezione del dato

  • Martedì, 29 Gennaio 2019
La Psicologia del data base al servizio della protezione del dato

di Andrea Lisi, avvocato – coordinatore del Digital&Law Department e Presidente di ANORC Professioni e Francesca Cafiero, archivista – Consulente e Responsabile della Comunicazione del Digital&Law Department


L'articolo seguente costituisce l'editoriale del II° numero della rivista "Euroconference Legal", nata dalla collaborazione editoriale tra Digital&Law Department ed Euroconference.
Il numero dal titolo "La psicologia del Data Base al servizio della protezione del dato" è disponibile gartuitamente al seguente link.

Per informazioni sull'offerta formativa D&L Department -  Euroconference Centro Studi Forense, consultate il nostro catalogo corsi

Buona lettura!


La scrivania come “finestra sull’anima”. Questo è il risultato di un recente studio di Sam Gosling, psicologo e docente presso l'Università del Texas di Austin (Usa), dal quale è emerso come sia possibile tracciare il profilo di alcune persone, interpretandone l’organizzazione dello spazio di lavoro. Da un esame attento di quello che ci circonda è possibile delineare un ritratto accurato di ciascuno di noi, questo perché la nostra interiorità è sempre proiettata verso l’esterno e filtra in tutto ciò che facciamo.

E se fosse lo stesso anche per i nostri data base?
Pensiamo per un momento a tutte le informazioni e i dati che si sedimentano spontaneamente a seguito di ogni nostra azione digitale, all’interno di archivi e storage invisibili ed estremamente dinamici.

Essendo di fatto la “quarta rivoluzione” industriale fondata sullo scambio di dati è così che bisogna immaginare questi non-luoghi intangibili all’interno dei cui circuiti archiviamo quanto di più prezioso abbiamo: idee, progetti, lavoro, soldi, ricordi della nostra vita privata.
Un principio ben noto agli archivisti già in tempi non sospetti e oggi diventato dominio di ogni professionista che si approcci alla gestione della “privacy” (o meglio – e come più corretto dire – protezione dei dati personali e loro libera circolazione): non bisogna percepire gli archivi, i data base, lo storage come un’accumulazione seriale di informazioni, nel senso più analogico del termine, ma alla stregua di una realtà pulsante, dinamica e liquida, quindi in grado di consentire sistematicamente la condivisione dei dati su cui si fonda la conoscenza e la crescita della nostra esistenza, ma anche la vita di ogni organizzazione, sia essa pubblica o privata.

In diverse occasioni abbiamo avuto modo di puntualizzare come l’applicazione dei principi del GDPR non sia solo questione di applicativi, ma anche e soprattutto di metodologie documentabili, in grado di farci capire (e di dimostrare che abbiamo capito) come procedere.
Tornando alla “privacy”, quello che la Comunità Europea ha regolamentato (e il nostro Garante ha ribadito) non è altro che la formalizzazione di un’esigenza di tutela resa urgente dalla eterna fluidità che caratterizza il transito di ingenti quantitativi di dati personali, che si colloca alla base della “quarta rivoluzione” industriale.

Non possiamo pensare di garantire la salvaguardia di questo ecosistema dinamico in un contesto privo di sicurezza. Il GDPR ha quindi definitivamente rafforzato il complesso di garanzie e procedure da osservare minuziosamente nel rapporto con gli interessati, attraverso l’implementazione di procedure finalizzate ad agevolare l’esercizio dei loro diritti, chiarendo in maniera uniforme per tutto il territorio europeo quali siano gli obblighi in capo agli attori fondamentali di questo ecosistema.

Questa esigenza è inoltre stata avvertita in maniera forte anche per i dati diversi da quelli personali: la differente portata della nozione di “dato”, rispetto a quanto stabilito dal GDPR - Regolamento (UE) 679/2016, è infatti al centro del nuovo Regolamento (UE) 2018/1807 “relativo a un quadro applicabile alla libera circolazione dei dati non personali nell'Unione europea”, composto da 9 articoli e direttamente applicabile in ciascuno degli Stati membri. Il principio di accountability pertanto deve animare e si riversa sull’intero patrimonio informativo delle nostre organizzazioni.

Eppure a distanza di circa 6 mesi dalla piena applicabilità del GDPR [1] continuano ad emergere casi di veri e proprio gap metodologici, registrati a livello europeo: si pensi alla recente multa dell’importo di 400mila euro irrogata ad un ospedale portoghese o, ancora, alle vicende che hanno interessato una della più note piattaforme di interazione sociale, Facebook, che, dopo lo scandalo Cambridge Analytica, sembra continuare a non avere troppo a cuore la protezione dei dati spesso “molto personali” dei propri iscritti e l e regole della trasparenza informativa nei loro riguardi, nonostante la crescente popolarità.

Questi casi ci dimostrano come la strada per un percorso sostanziale e non solo formale di adeguamento, pur nelle sue diverse intersezioni, sia unidirezionale: conoscersi e dimostrare di aver mappato con serietà la propria organizzazione.

E’ necessario tuttavia ammettere che la ricetta del perfetto adeguamento, rapido ed indolore, non esiste. Un percorso di assessment serio può richiedere settimane o mesi o anche anni (a seconda della complessità dell’organizzazione di riferimento) per la sua riuscita. Solo un’intensa pratica di conoscenza della propria realtà può far sì di rendere “semplice” la semplificazione della norma (perdonando il gioco di parole). Si tratta di adottare un linguaggio comune, sebbene di fatto il Regolamento Europeo lasci ciascuno libero di deciderne le regole della propria sintassi. Il cuore della responsabilizzazione risiede proprio in un cambiamento radicale di “approccio”, richiesto non solo ai Titolari, ma anche ai Responsabili del trattamento, per applicare correttamente i principi contenuti nel GDPR.

Evidentemente non è il possesso di determinate informazioni il nocciolo della questione (posto che l’acquisizione delle stesse sia avvenuta in maniera consapevole e documentata, sulla base di un consenso espresso), ma le modalità con cui queste sono sedimentate e archiviate.

Gli studi scientifici ci insegnano che gli oggetti possono essere indicatori comportamentali, sebbene non sia un elemento, un dettaglio, una sola cosa a dichiarare la nostra identità: è il loro insieme. Stesso principio vale per il nostro storage: non un singolo dato, ma l’organizzazione del loro insieme e i legami che si instaurano tra essi in base ai trattamenti avviati, che ci rivelano chi siamo. E infatti il GDPR non si occupa, ricordiamolo, del dato personale monade, ma degli intrecci profilati dei nostri dati in un’esistenza sempre più trasparentemente digitale.

Ancora, occorre considerare nei propri processi di assessment come questi dati siano resi accessibili e fruibili da parte di chi opera all’interno dell’organizzazione e, parimenti, all’esterno e di come gli stessi utenti possano interagire per verificarne la gestione e richiederne l’eventuale cancellazione. Tutto qui.

Curiosità: negli anni Novanta a Hollywood un bizzarro “ricercatore di rifiuti”, Ward Harrison arrivò a tracciare i profili di alcune celebrità rovistando tra i loro scarti. Ciò significa che anche dalla spazzatura si possono ricavare segni importanti - proseguendo il confronto con la privacy, è chiaro che massima attenzione deve essere prestata anche a come “scartiamo” i nostri dati, gestendo cancellazioni ed anonimizzazione. Ci stiamo già pensando, vero?


[1] Per l’entrata in vigore del Regolamento “gemello” dedicato ai dati non personali occorrerà attendere il ventesimo giorno successivo alla pubblicazione in Gazzetta Ufficiale (e sarà poi pienamente applicabile dai sei mesi successivi a tale data).


D&L Communication è segreteria organizzativa delle Associazioni:

CONTATTI

D&L Department - Studio Legale Lisi
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65 

segreteria@studiolegalelisi.it 

Digital & Law Department S.r.l.
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65

P.IVA: 04372810756 - info@digitalaw.it - digitalaw@pec.it 

Studio Legale Lisi
Via V. M. Stampacchia, 21 - Piano Terra - 73100 Lecce - Tel /Fax: +39.0832.24.48.02 

info@studiolegalelisi.it 

Segreteria di Milano
Piazza IV Novembre, 4 - 20124 - Milano - Tel 02.671658188 Fax 02.67165266

Domicilio a Roma