L’evoluzione semantica del dato nel GDPR, ecco come cambia

tratto da Agenda Digitale

Il concetto di dato oggi assume un valore semantico complesso, in linea con i cambiamenti sociali portati dalla tecnologia che ridefiniscono i confini della privacy. Il legislatore europeo con il GDPR e la direttiva NIS ha colto questa evoluzione, soprattutto nell’ambito Data protection, normando il trattamento dei dati in linea con queste novità.

Alla dimensione storica del “dato personale come diritto” si affianca prepotentemente la dimensione del “dato come informazione”, come bit, come unità minima elaborabile che transita attraverso sistemi intrinsecamente fallibili, la cui violazione genera non solo conseguenze per l’organizzazione titolare del trattamento (perdite economiche, interruzione della continuità operativa, danni reputazionali) ma anche un impatto sui diritti e le libertà delle persone.

La moderna società ultratecnologica, iperconnessa, si muove ormai prevalentemente in un cyberspazio dai confini sfumati, difficilmente circoscrivibili, in cui non è raro che gli attori (civili ed economici) coinvolti perdano il controllo dei propri dati personali. Il diritto alla privacy, come diritto della personalità, nasce nel mondo anglosassone alla fine dell’800 come “right to be alone”, come diritto ad essere lasciati soli, a mantenere una propria sfera privata, come diritto alla riservatezza.

Nell’ Europa del dopoguerra si afferma invece con un’accezione più ampia, come diritto a mantenere il controllo dei propri dati personali, diritto di accesso, di modifica, di oblio, di limitazione e di opposizione, il tutto per garantire all’interessato che il mondo esterno rifletterà un’immagine di lui il più possibile coerente con quella che è disposto a dare di sè stesso.

Una visione così impegnativa non può non affrontare le nuove sfide del mondo digitale: i social network e la terza piattaforma, l’ultraconnettività, il contesto sociale dematerializzato spingono gli attori ad agire in uno spazio non più fisico, privo di contorni, in uno spazio informatico in cui, paradossalmente, è facile mettere in crisi questa stessa impostazione nei suoi presupposti fondamentali: il cyberspazio non si vede; è difficile tenere traccia delle varie entità che ne fruiscono, della misura in cui lo utilizzano, è difficile individuare chi si intromette come ospite indesiderato in una comunicazione e la conseguente perdita di confidenzialità, integrità o disponibilità dei contenuti scambiati.

Contestualmente il dato diventa un asset desiderabile economicamente, nella sua veste di input elaborabile da un processo organizzativo, allo scopo di creare valore aggiunto. I database su larga scala consentono di profilare con più efficacia, di creare pattern e modelli predittivi del comportamento di consumo, di somministrare efficacemente prodotti e servizi esattamente a quei target propensi ad acquistarli. Il dato diventa fonte di valore economico. Anche per mantenere la competitività sui mercati internazionali, trainata dalla fiducia degli attori/consumatori, il Legislatore Europeo redige il Regolamento 2016/679 (accompagnato dalla Direttiva NIS), con una ratio profondamente innovativa che rappresenta ed esprime proprio questa evoluzione semantica del concetto di dato personale, articolabile su due dimensioni:

  • la prima afferisce alla safety del trattamento, l’aspetto informativo/documentale, finalizzato a garantire che il flusso sui dati non leda i diritti fondamentale dell’interessato;
  • la seconda afferisce security del trattamento, l’aspetto tecnologico/organizzativo, che mira a garantire la confidenzialità, l’integrità e la disponibilità del dato personale, nel passaggio attraverso l’infrastruttura operativa.

La consapevolezza di questa dicotomia apre la strada ad una nuova prospettiva metodologica in ambito Data Protection che sappia attribuire la giusta importanza al rischio cyber anche in contesti organizzativi poco strutturati: oggi non esistono più misure minime di sicurezza da implementare ma viene introdotto un moderno approccio risk based, in base al quale il titolare del trattamento si impegna a mettere in campo tutte le misure ritenute adeguate al rischio stimato.

Nel caso di trattamenti che presuppongano l’utilizzo di sistemi o asset informatici, l’analisi del rischio preliminare (mirante a determinare anche la probabilità di occorrenza delle cyber-minacce) sostanzia il principio di accountability e introduce la cultura della security anche in contesti tradizionalmente poco propensi ad investire strategicamente nel settore. Grazie all’arricchimento semantico del concetto di dato personale, che ne sottolinea l’aspetto info-centrico di asset elaborativo, memorizzato o in transito attraverso una struttura di trattamento, la security diventa una variabile strategicaun mezzo per realizzare la “privacy”, intesa come protezione del dato, fin dalla progettazione dei flussi di trattamento (by design) e per impostazione predefinita (by default), due concetti cardine del nuovo quadro regolamentare.

leggi l’articolo completo

This entry was posted in News and tagged , , . Bookmark the permalink.