Leggo che l’Agenzia delle Entrate UK ha ammesso altre perdite di dati in passato, perdite che dovrebbero aver portato a “regole più stringenti”. Vorrei approfittarne per fare nuovamente qualche considerazione sulle “misure minime” della normativa italiana. Regole più stringenti ma soprattutto pene per chi non le rispetta, a prescindere dall’esistenza di danni o meno, è quello che ho visto richiedere da più parti in UK. Il problema è molto semplice: possiamo aspettare il danno per pretendere delle misure? Se un’organizzazione, sia essa pubblica o privata, tratta dati di terzi, non ha in sè un incentivo a curare la protezione di quei dati, specialmente se i danni eventuali vengono subiti principalmente dai terzi. Questo vuole dire che, lasciata da sola, l’organizzazione farà dei semplici calcoli su cosa le costa meno: la cosa che costa meno in generale è non proteggere i dati ma nascondere i danni. Perché una caratteristica dei dati è che se vengono duplicati non solo non spariscono da dove erano, ma non conservano neanche traccia della loro provenienza, e quindi i “danni” si provano solo in casi eclatanti o plateali.
Allora, prendiamo il caso inglese: che soddisfazione possono avere dalle sanzioni le famiglie la cui tranquillità può essere a rischio a causa della natura dei dati che sono stati persi?
Quello del “trovare il colpevole” e sanzionare, o di “avere sempre un responsabile” è una logica fallata, quando questa è la preoccupazione principale, e questa è una cosa sulla quale ho dovuto molto spesso discutere nella definizione di politiche di sicurezza o di sistemi di gestione. Se un’azienda ha subito gravi danni a causa del comportamento scorretto di un dirigente o di un funzionario, che soddisfazione può avere dal fatto di sanzionare o licenziare quella persona perché ha violato la politica? Avere un responsabile non tutela in sè l’azienda, è solo una misura organizzativa o un modo per garantire (a qualche collega/capo) di avere qualcuno su cui scaricare la responsabilità. Difficilmente l’azienda riuscirà a rifarsi del danno subito. Lo stesso vale per i cittadini: una volta che i dati sono persi, è difficile che la sanzione sia realmente un rimedio (a volte neppure ipotizzando quegli assurdi risarcimenti milionari degli USA).
Quindi, se vogliamo che un’organizzazione protegga i dati che non le conviene proteggere, è necessario imporre delle misure e controllare che vengano rispettate. Quello su cui discutere è quali misure e come renderle il meno onerose possibile (dopotutto, è un costo imposto), ed è su questo che sicuramente c’è molto da migliorare in Italia. Anche perché c’è stato per molti versi un atteggiamento generale del tono: “È una norma: non solo sono cavoli vostri rispettarla, ma sono anche cavoli vostri capirla”. Per quanto ci siano state alcune iniziative lodevoli del Garante, come ad esempio la “Guida pratica e misure di semplificazione per le piccole e medie imprese“, è anche vero che se lo Stato è al servizio dei cittadini, di fronte a dieci anni di discussione sulla norma, di interpretazioni ambigue e di leggende metropolitane, sarebbe stato importante da parte delle istituzioni avere un atteggiamento più attivo nel chiarire la norma, nel fugare i dubbi e nello sfatare le interpretazioni ambigue. Dovrebbe essere preoccupazione dello Stato, nel momento in cui impone un onere ai cittadini e alle aziende, seppure giustamente, operare perché questo onere sia meno pesante possibile. Mi preoccupo soprattutto delle aziende distribuite sul territorio, lontane da Roma ma anche da Milano, che più facilmente sono preda delle leggende metropolitane e di consulenti improvvisati. Invece, abbiamo avuto tutto sommato parecchie occasioni di discussione per esperti (non oserei chiamarle “di chiarimento”) ma poco alla portata dei cittadini e delle piccole imprese.
Il discorso vale per la privacy ma dovrebbe essere una preoccupazione costante quando vengono emanate delle norme in settori e su temi che portano a grossi cambiamenti nelle abitudini e nei costumi. Se è vero che la normativa sulla tutela dei dati personali è una piccola rivoluzione culturale, della quale siamo stati fra i pionieri e nella quale, come Europa, ci possiamo dire ben più avanti di paesi come gli Stati Uniti, allora questa rivoluzione non può essere gestita semplicemente con qualche seminario per specialisti e con i documenti asettici disponibili sul sito del Garante. Ne è un esempio la recente direttiva relativa all’uso dei videofonini nelle scuole. Seppure nella direttiva si parli di informare, di fatto la direttiva pone l’accento sulla norma e sulle sanzioni. Ma dov’è la formazione della cultura della tutela degli altrui e dei propri dati? Dov’è la formazione per i ragazzi ma prima ancora per i loro genitori? I ragazzi sanno benissimo quello che si riesce a fare con i videofonini, e difficilmente sono preoccupati di quello che si può o non si può fare se non hanno la sensazione che sia qualcosa di eticamente sbagliato o contrario ai loro interessi. Da quello che io ricordo, i ragazzi sono molto più sensibili di molti adulti all’etica (la loro, naturalmente), mentre minacce di multe di 18.000 euro spesso li lasciano indifferenti se non lo sentono un pericolo personale e immediato. Non è allora più importante, anziché parlare di sanzioni, spiegare che spesso non è opportuno farsi filmare, anche per un supposto uso personale? Spiegare che prima di tutto devono essere i cittadini (e i ragazzi) a preoccuparsi di come e quando concedono i loro dati, e solo dopo preoccuparsi di spiegare come viene sanzionato (quando poi ci si riesce) chi ne abusa?