Nel discutere di privacy in ambito professionale si incappa spesso in un’associazione mentale un po’ viziata che rapidamente riconduce tutta l’attenzione al Regolamento Generale per la Protezione dei dati personali. Ma il GDPR è solamente la punta di un grosso, mastodontico iceberg che riguarda la gestione dei dati.
I dati: valore e scenari d’impiego
Durante tutta la storia dell’umanità la raccolta dei dati ha rappresentato il modo per aggregare informazioni e conoscenze, garantendo un percorso di sviluppo continuo delle civiltà, a volte più rapido, altre meno. Ma nell’ultimo secolo la mole dati raccolta ed elaborata è stata nettamente superiore rispetto alle quantità trattate per millenni. Diversamente dal passato i dati hanno acquisito un valore di mercato notevolmente elevato, specie se di carattere personale. E rispetto al passato le informazioni ricavate da essi non sono più indirizzate a favorire un prospero sviluppo della scienza oppure il predominio di ideologie politiche. Attualmente, con un valore superiore a quello dell’oro nero, sono lo strumento principale attraverso il quale una cerchia ristretta di superbig dell’advertising si garantisce il dominio indiscusso dei mercati (e non solo), intercettando con largo anticipo i bruschi e frequenti cambi di rotta dei consumatori e influenzandoli a dovere, in modo estremamente efficace.
Questo panorama assume le connotazioni di uno scenario di business che con la sostenibilità a poco a che vedere. E purtroppo le ragioni sono molteplici. Innanzitutto, è necessario riflettere in termini energetici quale sia lo sforzo richiesto – molto più che considerevole – per l’elaborazione dei dati in informazioni utilizzate esclusivamente per finalità di lucro. In secondo luogo la storia ci ha anche insegnato a riflettere sull’inopportunità di favorire modelli in cui molte risorse si concentrano in poche mani. La terza riflessione doverosa riguarda l’alimentazione massiva di sistemi di intelligenza artificiale ai quali già sono stati affidati pericolosi compiti decisionali automatizzati, anche se l’esperienza ancora non ha confermato la correttezza degli algoritmi né sono state ben chiarite le loro finalità (etiche oppure solo produttive?). Il quarto pensiero va alla proliferazione del crimine che si concentra là dove c’è valore, per di più favorita da un impressionante incremento della superficie vulnerabile per via delle caratteristiche degli strumenti digitali impiegati.
La compliance come strumento di presidio sui diritti delle persone e generatore di valore immateriale
Tutti questi aspetti incrementano le possibilità di ledere in modo anche significativo i diritti umani, limitando la libertà delle persone, danneggiandone la dignità e sottoponendole a pericolose situazioni discriminatorie. In aggiunta le attività criminose possono manifestarsi sotto le più disparate sembianze, che poco hanno a che fare con il semplice concetto di sottrazione indebita di una proprietà immateriale: possibili minacce, ricatti, estorsioni, vessazioni sono solo alcuni esempi. Se poi dovesse risultare ancora difficile immaginare scenari gravi, basti riflettere al processo di health digitalization in corso – grazie al quale le verifiche tecniche dei pacemaker si fanno in connessione wi-fi e le operazioni laparoscopiche computerizzate via VPN da postazioni remote – per comprendere che è a rischio persino la vita delle persone in assenza di adeguati strumenti di presidio.
Ecco perché il GDPR è uno strumento che non può essere sottovalutato, anche se spesso, a causa delle sanzioni applicabili, le attività rivolte alla tutela del diritto alla privacy sono confuse con strategie ad esclusiva tutela del business. La progettazione della sicurezza dei dati personali, attraverso l’implementazione delle misure tecniche ed organizzative, non può in alcun modo essere affidata a meccanismi poco presidiati di valutazione d’impatto sui diritti e le libertà delle persone e valutazione dei rischi per gli interessati. Al contrario impone competenza – convergente ed adeguata, così come richiede la materia, in ambito legale, manageriale e tecnico -, consapevolezza e correttezza. Tutti elementi necessari a garantire continuità alle “politiche commerciali” oltre al dovuto rispetto dei diritti delle persone, indistintamente dal ruolo che ricoprano nella società. E se è proprio necessario scendere nel dettaglio delle “politiche commerciali” – visto che l’impresa non può muoversi esclusivamente sulla base di definizioni etiche e normative ma ha necessità di ricondurre il concetto del valore a metriche di natura economica – è anche altrettanto necessario iniziare a ragionare nell’ardua prospettiva di valutazione del ricavo sugli investimenti anche in ambito di tutela dei dati personali.
Per approfondire: