Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

privacy

Proteggere la privacy dei cittadini, oltre il Gdpr: le tecniche avanzate

Il GDPR è un significativo passo avanti nella tutela dei dati personali e nel proteggere l’interesse del cittadino, ma per risolvere il problema alla radice servono anche soluzioni tecniche evolute: il controllo preventivo e in itinere, blockchain o l’Information-centric cybersecurity (il dato si auto protegge). Ecco come

08 Ago 2018

Enrico Del Re

Università di Firenze e CNIT


Il GDPR è un significativo e sostanziale passo avanti nella tutela dei dati personali e nel mettere al centro della norma l’interesse del cittadino e sarà probabilmente il riferimento normativo a livello internazionale per chi vorrà veramente tutelare i dati personali. Ma si può fare di più, con soluzioni tecniche che realizzerebbero un salto di qualità decisivo per la protezione e la riservatezza dei dati a dimostrazione del fatto che la sicurezza informatica richiede un approccio interdisciplinare.

La protezione dei dati, dopo Cambridge Analytica

L’eco mediatica del caso Cambridge Analytica, esempio purtroppo non unico di utilizzo non autorizzato e spesso anche illegale di dati personali forniti a enti terzi da parte di alcuni social network, se non altro ha avuto il grande merito di generare finalmente nel grande pubblico, nei mass media e a livello politico la consapevolezza e la preoccupazione (già presenti solo negli addetti ai lavori) della vulnerabilità pressoché incontrastata della riservatezza e del corretto utilizzo dei nostri dati forniti nei più diversi contesti basati sulle cosiddette Information and Communication Technologies (ICT).

Le prospettive per il futuro anche relativamente prossimo sono ancora più preoccupanti. La rete di quinta generazione (5G), oggi in fase di sviluppo e disponibile a partire dal 2020, consente su scala mondiale la connessione non solo di persone ma di molti miliardi di oggetti, molti dei quali saranno sensori diffusi nell’ambiente o indossati dalle persone. I sensori avranno incorporate, sia pure in forme più o meno avanzate, intelligenza, autonomia operativa, capacità di acquisizione, memorizzazione, elaborazione e trasferimento di dati, connessione autonoma con altri sensori. Saranno quindi in grado di ottenere informazioni e di elaborarle e trasmetterle anche senza un intervento umano. La rete 5G è la tecnologia abilitante per realizzare quella che viene indicata con il nome di Internet of Things (IoT). La IoT ha la potenzialità di favorire e accelerare lo sviluppo del sistema economico e di migliorare in modo decisivo la qualità della vita delle persone. È il completamento della rivoluzione digitale con le sue positive applicazioni, per esempio, alla industria 4.0, alla gestione della sanità pubblica, alla mobilità intelligente, al controllo ambientale, all’efficienza energetica, alla sicurezza dei cittadini, alla produzione agricola e a molti altri aspetti della società moderna. Dall’altro lato, poiché gli ‘oggetti’ della IoT connessi in rete possono gestire nelle forme più varie dati personali anche all’insaputa degli interessati, se non vengono adottate adeguate procedure c’è un evidente potenziale rischio di violazione dei diritti fondamentali delle persone.

Fiducia nelle tecnologie e sviluppo digitale, le regole Ue

La Ue, per prima in maniera esplicita a livello mondiale, ha evidenziato questo rischio, avvertendo fin dal 2012 che la fiducia dei cittadini nelle tecnologie ICT è la chiave per lo sviluppo economico e che la sua assenza limiterà il loro accesso intensivo ai nuovi servizi. Per questo la Ue ha stabilito che la protezione dei dati assume un ruolo centrale nella Agenda Digitale per l’Europa e nella Strategia di Europa 2020. Nel 2014 sempre la Ue ha stabilito alcune regole che i nuovi servizi e applicazioni digitali operanti negli Stati Membri devono rispettare fino dalla fase della loro progettazione: diritto alla cancellazione, diritto all’oblio, portabilità dei dati, protezione e riservatezza dei dati. Oltre a questi requisiti si devono tenere in considerazione due principi generali: la IoT non deve violare l’identità e l’integrità umana, i diritti umani, la privacy o le libertà individuali e pubbliche e gli individui devono mantenere il controllo dei propri dati personali generati o trattati, a meno che ciò non sia in contrasto con superiori principi di interesse generale. Queste affermazione del 2014 della Ue potrebbero a buon diritto essere inserite nella Dichiarazione universale dei diritti umani delle Nazioni Unite e nella Carta dei diritti fondamentali dell’Unione Europea.

Protezione dei dati personali, a che punto siamo

A che punto siamo oggi per la protezione dei dati personali? Occorre subito sottolineare che c’è una grande differenza fra la Ue e il resto del mondo. Al di fuori della Ue possiamo dire che la protezione dei dati personali non è oggetto di grande attenzione, se non addirittura trascurata più o meno deliberatamente, per ragioni sia politiche che economiche. La Ue ha fatto seguire alle precedenti affermazioni di principio un’azione normativa, il cosiddetto General Data Protection Regulation (GDPR), cogente per tutti gli Stati membri ed entrato in vigore il 25 maggio 2018.

È un regolamento molto complesso, ma in sostanza impone a qualunque ente o azienda, anche con sede legale fuori dalla Ue, che comunque fornisca servizi a cittadini della Ue, di osservare e garantire regole stringenti per la protezione e l’utilizzo dei dati forniti dagli interessati per il servizio richiesto e di vigilare con opportune strutture operative responsabili del rispetto delle regole e della tempestiva informazione agli interessati delle eventuali violazioni. Una delle regole più significative è quella relativa alle caratteristiche del consenso degli interessati all’accesso e all’utilizzo dei propri dati: il consenso deve essere libero, specifico per il servizio richiesto (non generico), consapevole e inequivocabile. Inoltre non può essere dato una volta per sempre, ma rinnovato esplicitamente ogni volta che i dati personali sono utilizzati per scopi diversi da quelli autorizzati inizialmente.

Il regolamento impone anche agli Stati membri di dotarsi di strutture di controllo adeguate per vigilare sul rispetto delle regole da parte dei fornitori di servizi e di comminare sanzioni molto pesanti nel caso del loro mancato rispetto.

Il GDPR è un significativo e sostanziale passo avanti nella tutela dei dati personali e nel mettere al centro della norma l’interesse del cittadino, che i fornitori di servizi devono rispettare e gli Stati membri devono garantire. Non è un caso e non sorprende che ci siano state moltissime resistenze, soprattutto da parte dei grandi players sovranazionali, per evitare o ridurre la portata, per loro rivoluzionaria, di questa normativa. Hanno dovuto cedere e possiamo tutti constatare quotidianamente che si stanno adeguando a questo nuovo modo di impostare il rapporto con gli utenti, anche se in alcuni casi in modo ancora non completamente soddisfacente. Deve essere una grande soddisfazione per i cittadini constatare che in questo caso l’Ue non ha ceduto sui propri principi e ha svolto ha svolto il ruolo di apripista mondiale nella tutela dei loro diritti nella nuova società digitale. Il GDPR sarà probabilmente il riferimento normativo a livello internazionale per chi vorrà veramente tutelare i dati personali.

Protezione e riservatezza dei dati, si può fare di più

Tutto risolto quindi? Non proprio. Il GDPR impone ai fornitori di servizi di rispettare il diritto alla cancellazione, il diritto all’oblio, la portabilità dei dati, e affronta il problema della protezione e riservatezza dei dati affidandola al rispetto delle regole da parte dei fornitori di servizi e al controllo degli Stati membri. Quindi il principio secondo cui “gli individui devono mantenere il controllo dei propri dati personali generati o trattati” non è direttamente gestito dagli interessati ma affidato al comportamento corretto per i primi e alla adeguatezza degli strumenti messi in opera dai secondi. L’esperienza ci insegna che entrambe queste procedure non sempre sono state rispettate. È vero che questo è insito in qualunque norma e per questo ci sono le sanzioni e il controllo dei cittadini nelle forme della democrazia rappresentativa. E nel caso del GDPR le sanzioni sono molto pesanti e, se veramente applicate, dovrebbero scoraggiare comportamenti illeciti.

Però si può realisticamente tentare di fare di più e risolvere alla radice il problema con soluzioni tecniche, e non solo normative, adeguate al mantenimento del controllo dei dati personali direttamente dall’interessato.

Controllo dei dati personali, le soluzioni tecniche

Ancora una volta è la Ue a fare da battistrada nel 2015, questa volta non con affermazioni di principio e norme legali ma con un programma di ricerca chiamato “User-Centric Security, Privacy and Trust in the Internet of Things”. I principi base di questo programma di ricerca sono:

  • Sicurezza e riservatezza “by design” fin dall’inizio dello sviluppo di applicazioni/servizi (e non aggiunte successivamente)
  • Sicurezza e riservatezza dei dati dell’utente sotto il controllo dell’interessato con le soluzioni tecniche più efficienti e semplici possibili
  • Coinvolgimento sociale attivo degli utenti fin dall’inizio per favorire l’educazione e la consapevolezza dei propri diritti e per individuare i requisiti e le soluzioni tecniche più adeguate.

Controllo preventivo e in itinere

I progetti di ricerca selezionati da questo programma sono iniziati nel 2017 e si concluderanno nel 2019. Già alcuni risultati preliminari sono incoraggianti. Un esempio è il controllo preventivo e in itinere della tipologia di dati a cui una app su smartphone accede e la comunicazione all’interessato di questa operazione in modo che prenda una decisione informata e consapevole.

Un caso eclatante è quello di alcune attuali app ‘torcia’ che accedono all’insaputa dell’interessato a dati, come la posizione, la rubrica, il calendario, gli amici di Facebook, non necessari a svolgere il servizio offerto. Un altro esempio è la possibilità di marcare un documento sulla base del suo contenuto e consentire il suo utilizzo solo alle applicazioni che ne hanno legittimità. Sono esempi promettenti della concreta possibilità di mantenere il controllo dei propri dati da parte dell’interessato. È evidente che soluzioni tecniche di questa natura realizzerebbero un salto di qualità decisivo per la protezione e riservatezza dei propri dati rispetto alla normativa dell’attuale GDPR.

Protezione dei dati e blockchain

È forse opportuno aprire qui una parentesi sulla tecnologia delle cosiddette blockchains, che sta ricevendo una grande attenzione per la protezione e il controllo dei dati. Come è noto, sostanzialmente essa realizza un libro mastro in cui vengono registrate tutte le operazioni (per esempio transazioni, trasferimenti, utilizzo, ecc) dei dati. Questo libro mastro digitale è per sua costituzione distribuito, sicuro, non alterabile e accessibile. Per questo è la tecnologia usata per le operazioni delle criptovalute. È uno strumento utilissimo per la verifica a posteriori dell’utilizzo dei dati dell’utente, ma non adatto al controllo preventivo e in itinere. Realizza quindi solo parzialmente l’obiettivo di mantenere il controllo dei dati da parte dell’interessato e non rappresenta quindi lo strumento tecnologico adatto per la “User-Centric Security, Privacy and Trust in the Internet of Things”.

Information-centric cyber security, il dato si autoprotegge

Recentemente, nel 2009 e nel 2015[1], sono apparsi nella letteratura scientifica internazionale un paio di interessantissimi contributi che prospettano una soluzione assolutamente rivoluzionaria e potenzialmente definitiva per il controllo dei dati, che viene definita con il termine “Information-centric cybersecurity”. Il secondo articolo, sfruttando una struttura dei dati proposta nel primo, correttamente suggerisce un ‘ripensamento’ dell’architettura hardware e software dei calcolatori per la sicurezza. La soluzione prospettata è la seguente. Primo, il dato non affida più la sua protezione “all’esterno” ai sistemi o applicazioni, ma realizza una auto protezione interna definendo la sua “politica di uso” e si auto protegge in qualunque contesto applicativo consultando al momento dell’accesso la sua politica di uso e dando il consenso solo se il contesto è affidabile e coerente con essa.

Il dato non è più un’entità (stringa di bit) passiva, ma incorpora una forma di intelligenza per la sua auto protezione. Secondo, occorrono un hardware (il microprocessore del calcolatore) e un sistema operativo ‘ripensati’ e progettati ex novo che ‘by design’ accedano alla politica di uso del dato e lo elaborino in accordo ad essa.

Il combinato innovativo e rivoluzionario di hardware e software con queste caratteristiche ha la potenzialità di garantire in modo assoluto e definitivo il corretto utilizzo dei dati personali. L’articolo del 2015, che propone questa soluzione, ha avuto fino ad ora solo 8 citazioni nella letteratura scientifica e sono tutte citazioni ‘di cortesia’, nessuna delle quali sviluppa i concetti e la soluzione presentati. Cosa può significare questo? È una soluzione ‘fantascientifica’ e un’utopia che rimarrà un interessante esercizio intellettuale oppure un’idea troppo innovativa che ha bisogno di tempo per essere assimilata dalla comunità scientifica e diventare un tema corrente di ricerca e sviluppo?

Solo il tempo darà la risposta che mi auguro ardentemente sia la seconda. In questo caso, a dimostrazione del fatto che la sicurezza informatica è un tipico problema interdisciplinare, alla soluzione tecnicamente risolutiva occorrerà necessariamente affiancare una normativa internazionale (e non solo della Ue) che imponga ai nuovi calcolatori in commercio uno standard coerente con questa architettura hardware/software.

______________________________________________

  1. R. Chow, et al., Controlling Data in the Cloud: Outsourcing Computation without Outsourcing Control, ACM CCSW’09, 2009R.B Lee, Rethinking computers for cybersecurity, IEEE Computer, 2015

Articolo 1 di 4