Nel mio percorso formativo di avvicinamento al GDPR mi sono trovato a frequentare corsi sul tema della privacy by design e della privacy by default: al riguardo, ho sempre trovato una laconica slide che recitava “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”.
La conseguenza era quella di uscire dall’aula con la consapevolezza di non aver chiarito appieno il concetto fissato dall’art. 25 del GDPR.
Quando mi sono trovato ad essere il docente, la mia prima preoccupazione è stata quella di evitare ai miei discenti lo stesso sentimento di insoddisfazione e, di conseguenza, ho cercato di rielaborare il concetto per renderlo più “appetibile”.
Facciamo quindi chiarezza.
Indice degli argomenti
IoT e vulnerabilità
Fino ad oggi abbiamo connesso alla rete le persone, gli abbiamo dato in mano un device che è diventata una sorte di appendice del nostro corpo che ci portiamo sempre dietro e ci permette di scambiare dati in continuo e con chiunque.
Adesso siamo entrati nell’era dell’IoT e abbiamo cominciato a connettere in rete le cose, l’esempio più banale che sento continuamente ripetere è quello del frigorifero intelligente, del microonde o delle bilance connessi alla rete. Ma in realtà abbiamo connesso ben altro.
Ad esempio, le automobili: un ingegnere di FCA Chrysler un giorno ha notato che sulle auto c’era una centralina alla quale era collegato il sistema di ABS, la sonda del motore e della marmitta catalitica, così ha cominciato a collegare sulla stessa le luci di cortesia, sistemi di confort, l’entertainment e magari il telefono o una scheda di rete. Ecco: in quel momento ha aperto una porta verso il mondo esterno e di conseguenza ha esposto l’automobile ad una vulnerabilità: al pericolo che qualcuno dal mondo esterno possa entrare e prendere il controllo.
Ed è proprio quello che è successo, un hacker è riuscito a prendere i comandi di un’auto dimostrando di poterne comandare freni, acceleratore ed anche la direzione; con il risultato che FCA Chrysler ha dovuto ritirare dal commercio ben 1,4 milioni di autoveicoli.
Abbiamo connesso anche i device medici: pacemaker, pompe di insulina e protesi di varie tipologie.
Il futuro sono i blood lab sensori sottopelle in grado di monitorare i parametri vitali e tenere sotto controllo valori critici del nostro sangue. Tutti questi device nascono per comunicare con il nostro smartphone, ma anche con il nostro medico o con la struttura sanitaria che ci ha in cura.
Tutto molto bello, pratico e funzionale, ma che rappresenta rischi per le nostre libertà civili ed individuali, visto che ci sono in ballo i dati relativi al nostro stato di salute.
La domanda che bisogna porsi è relativa alle conseguenze derivanti da una violazione di questi sistemi con relativo furto di dati o peggio con il potenziale pericolo che un giorno un hacker possa decidere di mettere in “off” un pacemaker.
Abbiamo connesso in rete anche un’altra tipologia particolare di device medici: i vibratori 2.0; simpatici stimolatori da “indossare” e che possono essere comandati da remoto dall’altra parte del mondo semplicemente scaricando un’applicazione sullo smartphone che dà la possibilità di selezionare delle vere e proprie playlist di intensità e frequenza della vibrazione.
Anche questi miseramente prese di mira da un hacker (forse non contento della stimolazione) con il risultato che alcune migliaia di persone, un giorno, si sono ritrovate a vibrare per la strada senza motivo e, ancor peggio, i dati personali forniti in fase di registrazione sono stati pubblicati con le relative preferenze di stimolazione.
Il risultato è stato che l’azienda canadese produttrice del “giocattolo” è stata costretta a risarcire gli utenti con una cifra di 2,8 milioni di euro a seguito di una class action.
Due esempi: Uruguay e Mauritania
Esistono due Paesi al mondo che non hanno mai registrato eventi sismici a memoria d’uomo: uno è l’Uruguay e l’altro è la Mauritania.
Io mi immagino un ingegnere uruguaiano bravissimo che costruisce case bellissime, ma che un giorno viene chiamato a costruire un grattacielo in Giappone: ebbene sarà un edificio fantastico, ma alla prima scossa di terremoto crollerà miseramente.
Questo semplicemente perché l’ottimo ingegnere uruguaiano non conosce minimamente i criteri antisismici. Viene da un Paese dal rischio sismico molto basso.
Allo stesso modo l’ingegnere di FCA Chrysler o l’ingegnere che ha progettato il rivoluzionario vibratore 2.0 sono entrambi bravissimi, ma non sapevano niente né di privacy, né di cyber security e quindi non hanno potuto applicare i principi della privacy by design e della privacy by default.
Per rimanere nell’ambito della mia attività di consulenza, tutti i giorni mi confronto con software gestionali: magari che gestiscono cartelle cliniche o piattaforme in uso alla Pubblica Amministrazione che sono stati progettati da software house geniali, ma che non hanno alcuna consapevolezza delle possibili vulnerabilità.
Il marchio “GDPR compliant”
Piattaforme messe a disposizione in modalità SaaS che non utilizzano protocolli HTTPS, che archiviano anche dati particolari senza nessun sistema di cifratura dei database, senza nessun tipo di policy per la gestione dei sistemi di autenticazione, con i dipendenti che dal loro PC di casa possono accedere ai sistemi, magari memorizzando le password e senza l’utilizzo di una strong authentication e, volendo, hanno la possibilità di fare dei download dei database esportando i dati su file Excel che sfuggono al controllo del Titolare del trattamento, nessuna funzione di log out automatizzato e temporizzato che impedisca a soggetti terzi di accedere ai dati se la sessione viene lasciata aperta.
E molto spesso questi software si fregiano del bollino di “GDPR Compliant”, ma che significato ha realmente questa dicitura?
Venendo dal mondo delle certificazioni ISO e dalle Direttive di conformità di prodotto che portano alla Marcatura CE so bene che dietro ad un logo o ad un marchio di “qualità” ci sono delle precise, puntuali e standardizzate norme armonizzate, universalmente riconosciute che riportano ad una compliance oggettiva del prodotto.
Da chiarire il marchio “GDPR Compliant”, a quale norma risponda. Mi rendo allora conto che gli ingegneri “uruguaiani” che hanno progettato il software hanno frequentato i miei stessi corsi e probabilmente hanno le idee confuse sui concetti di privacy by design e privacy by default.
