Alessandra Nisticò.com

Privacy by design

Privacy by design in everyday life

In questi giorni nell’Internet si sta parlando con una certa frequenza di Cyber-war, di sorveglianza di massa e di manipolazioni grazie all’Intelligenza Artificiale.

Se non sapete di cosa stia parlando, vi lascio alcuni link:

  • Qui trovate un articolo interessantissimo scritto da Carola Frediani su Valigia Blu in relazione al pericolo di guerra cibernetica dovuta all’aumento della tensione tra USA e Iran (leggetelo e iscrivetevi alla sua newsletter se vi interessano questi temi).
  • Qui trovate invece un video di Matteo Flora su una nuova applicazione dell’Intelligenza Artificiale, in grado di realizzare volti che non esistono. Immaginate le possibili applicazioni: stormi di troll che sembrano persone vere e che attaccano il bersaglio (cyber-bullismo), oppure stormi di supporter/oppositori creati ad arte per dare l’illusione che un’idea abbia riscontro in rete (in termini di consenso politico o anche verso un prodotto).
  • Il riconoscimento facciale, già ampiamente utilizzato dalla polizia cinese durante le rivolte di Hong Kong, si sta diffondendo anche in Europa e rischia di mettere in crisi l’idea stessa di libertà.
  • A questi temi non particolarmente rassicuranti, si aggiungono anche le inchieste di Report sulla presenza di trojan di Stato che avrebbero accidentalmente spiato milioni di italiani (qui la puntata) e quelle sulla fabbrica dell’odio (qui la puntata)
  • Infine, il Garante tedesco lo scorso anno ha aperto un procedimento contro Amazon a seguito di un reclamo di un cittadino che, avendo richiesto l’accesso alle proprie registrazioni, ha ricevuto le registrazioni di un’altra persona (qui un articolo).

Tutte queste sollecitazioni, ed in particolare la riflessione sulle smart home, mi hanno richiamato alla mente il principio di privacy by design.

Privacy by design

Privacy by design è uno dei principi presenti nel Regolamento Europeo per la Protezione dei Dati Personali (il famoso GDPR). Questo principio prevede che chi è soggetto al Regolamento (quindi le aziende, le Pubbliche Amministrazioni, i Liberi Professionisti, ecc, non i privati cittadini) debba organizzare (o progettare) la propria attività tenendo a mente quelli che sono i principi della tutela dei dati personali.

Che cosa significa?

Significa che se apro un’attività, progetto un’app, un sito web o un videogame, io devo domandarmi (prima ancora di iniziare l’attività):

  • quali dati tratterò;
  • come li conserverò;
  • per quali scopi li utilizzo;
  • per quanto tempo devo conservarli;
  • come li proteggo;
  • Se li condivido con altre persone (ad esempio potrei dover dare le fatture al commercialista);
  • dove li conservo e dove li trasmetto (in Europa? In paesi con legislazione privacy avanzata? In paesi rischiosi?);
  • devo anche chiedermi se avrò bisogno del consenso della persona (ad esempio sarà necessario se sono un partito politico o un’associazione che tratta particolari categorie di dati, ad esempio sullo stato di salute, l’orientamento sessuale, l’appartenenza a un sindacato, ecc.)
  • devo predisporre un’informativa per le persone che mi forniranno questi dati, perché devono essere informate di tutto ciò.

Ora, non è possibile chiedere i dati e poi farci quello che si vuole, perché le richieste devono essere:

  • Fondate su una base giuridica legittima;
  • Ispirate al principio di minimizzazione (devo chiedere meno dati possibili);
  • Ispirate al principio di finalità (devo richiedere i dati per le finalità per le quali effettivamente mi servono. Non posso chiedere dei dati per attività di telemarketing se ho in mente di mandare solo una newsletter, mi limiterò a chiedere il consenso solo per la newsletter).

Chi è sottoposto al GDPR deve essere in grado di dimostrare che sta seguendo questi step (principio di accountability o responsabilizzazione).

Chi non è sottoposto al GDPR?

Non ha nessuno di questi obblighi.

Tuttavia, in un clima generale come quello descritto sopra, ritengo che sia importante fare sistema ed essere cittadini digitali consapevoli.

Per questo motivo, nel momento in cui progettiamo una smart home, secondo me, dovremmo essere consapevoli che ogni elemento connesso alla rete della nostra casa è una finestra sul web (e dalle finestre i ladri possono entrare e qualcuno può anche spiare).

Immaginare fin da subito di quali dispositivi ho realmente bisogno, come li imposto, li proteggo (magari li disconnetto prima di andare in vacanza) è un’operazione di sicurezza informatica che ci può aiutare a vivere sereni.

Less is more

Io sto applicando questo principio all’attività sul computer e sul telefono.

Grazie alla verifica della password di Google (se non sapete cos’è, andate qua) ho scoperto una marea di siti a cui mi sono iscritta nel corso degli anni e per quelli che non frequentavo più ho cancellato l’account, procedendo ad un’operazione di pulizia del mio spazio digitale.

Periodicamente mi cancello dalle newsletter che non leggo o non seguo più: non ha senso continuare a ricevere gli inviti alla preparazione all’esame di avvocato se l’esame è stato superato, così come ricevere le promozioni di brand che non seguo più.

Un’altra operazione periodica è il controllo delle app del telefono. Il pericolo più che concreto di trojan impone da un lato la minimizzazione del download e delle installazioni delle app (nella migliore delle ipotesi è la nostra intelligence che ci spia, nella peggiore sono potenze straniere o malintenzionati), dall’altra avere un antivirus installato e aggiornato sui dispositivi.

Attenzione anche ai giochi e i quiz su Facebook e altri social network. Ad esempio, l’app per simulare l’invecchiamento raccoglieva e conservava su server in Russia le immagini dei volti non si sa per quanto tempo e per farne cosa. Vi lascio un articolo.

A Natale dei biglietti di auguri dall’aria innocente hanno viaggiato via Whatsapp, si sono registrati i siti di TouchHereSite che permettevano l’invio di messaggi di auguri con trojan e malware a sorpresa. Vi lascio qui la notizia riportata da Bufale.net.

Voi cosa ne pensate? Ritenete che noi cittadini dobbiamo essere in prima battuta i gestori dell’ordine digitale del nostro ecosistema o ritenete che i privati non debbano essere onerati delle inefficienze e degli inadempimenti dei player tecnologici?

Scrivetelo nei commenti, vi leggo volentieri!

Alessandra

PS: Se vi interessa, questo è il mio ultimo articolo.

Pubblicato

in

,

da

Alenistico

Tag:

, , ,