La protezione dei dati e le regole dell’elettricista

La protezione dei dati e le regole dell’elettricista

Immaginiamo un giovane che si mette a fare l’apprendista elettricista. Il primo insegnamento sarà: «Ci sono due regole». La prima è quella di essere sempre isolato a terra, scarpe con suola di gomma oppure tavoletta di legno, e questo è abbastanza intuitivo. «La seconda è: toccare sempre un filo alla volta.» Questo probabilmente sarebbe meno intuitivo perché «lo sanno tutti che si stacca sempre la corrente quando si lavora su un impianto elettrico».

La seconda regola sarà più chiara al giovane quando il mastro gli chiederà di attaccare la corrente e lui risponderà «è già attaccata», comprendendo che l’altro ha lavorato un buon quarto d’ora con la corrente inserita ed è ancora vivo.

Quel giorno il giovane capirà un po’ di cose. La prima è che potrebbe non bastare la tecnologia (le suole di gomma) a salvare la vita; la seconda è che non basta dare le regole se le stesse non diventano un comportamento virtuoso connaturato nelle nostre azioni, ovvero: toccare sempre un filo alla volta, indipendentemente se la corrente è attaccata o meno. E per finire: prevenire è meglio che curare.

Comportamento virtuoso connaturato alle nostre azioni, quindi. Questo mood dovrebbe essere il nostro mantra sempre, e non solo nel caso degli impianti elettrici. Quando le cinture di sicurezza divennero obbligatorie, ci fu un fiorire di interpretazioni fantasiose del tipo: «in città non servono perché si va piano» oppure «fuori città non servono perché tanto muori comunque», per non parlare delle magliette con le cinture disegnate, utili solo a non prendere la multa. Oggi è diventato normale entrare in auto, allacciare la cintura e solo dopo mettere in moto: comportamento virtuoso che permette di prevenire danni più gravi.

È vero: a volte la tecnologia ci viene in aiuto. I primi tempi i Bancomat sputavano fuori la tessera solo dopo aver erogato i soldi. Il risultato era che ci si dimenticava di prendere la tessera. Moltissime persone, infatti, una volta esaudito il proprio bisogno (prelevare contanti) se ne andavano, lasciando la tessera nella macchina. Adesso il problema è stato risolto semplicemente invertendo le operazioni: non si possono ritirare i soldi se non si preleva prima la tessera. Questo ha portato, tra l’altro, a un risparmio di costi sia per l’utente che per le banche.

Quando divenne attivo il GDPR, il regolamento europeo della privacy, fu evidente a tutti un’impostazione alla quale siamo poco abituati. Il regolamento recita nell’articolo uno: «…Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati. …». In tutto il regolamento si insiste molto a esporre l’obiettivo (il diritto alla protezione) con dovizia di dettagli, ma non viene spiegato da nessuna parte quali sono i doveri, ovvero dov’è la lista delle azioni da fare per evitare la multa. No, non esiste una maglietta con le cinture finte per la privacy.

Il regolamento chiede che l’azienda metta in atto le misure tecnico-organizzative atte a raggiungere il risultato e che sia in grado di rendicontare e dimostrare che ha fatto quanto è nelle sue possibilità per proteggere i dati, ma non dice quali siano tali misure.

Non c’è una lista di cose da fare per mettersi in regola e quindi, come fare? Anche in questo caso, tornano utili le due regole fondamentali dell’elettricista. La prima è quella di dotarsi di suole di gomma, ovvero utilizzare sistemi tecnologici per proteggersi. Nel caso della protezione dei dati vuol dire antivirus, anti-malware, firewall, autenticazioni forti, back-up, e tutti quei sistemi che chi è nell’informatica conosce benissimo. La seconda è quella di arrivare ad avere comportamenti virtuosi automatici. Un’azienda che vuole seriamente proteggere i dati deve dotarsi di procedure che indichino i comportamenti virtuosi da adottare. Non aprire link da una e-mail ma andare direttamente sul sito, non comunicare la propria password a nessuno, non usare le stesse credenziali per due sistemi diversi, non richiedere accessi ai dati se non necessario, non richiedere diritti eccessivi su un sistema, sono tutti esempi corrispondenti a «mettere prima la cintura e poi mettere in moto» oppure a «toccare sempre un filo alla volta».

Questo percorso virtuoso che il Garante richiede alle aziende per la protezione dei dati personali, dovrebbe essere esteso alla protezione dei dati in generale, altrimenti si rischia di incappare nella sindrome del «eh, ma in città la cintura non serve».

Le procedure dovrebbero essere scritte in maniera chiara e semplice e dovrebbero essere ispirate a due principi fondamentali, indicati proprio nel regolamento della privacy: il principio della necessità e il principio della minimizzazione. All’interno di un’azienda una persona dovrebbe avere accesso ai dati (personali o di business) solo se strettamente necessari al proprio lavoro; tradotto, vuol dire accesso ai soli dati che si usano tutti i giorni e non a quelli che «non si sa mai, potrebbero servire». Il non-si-sa-mai è una dei sistemi più frequenti per dimenticarsi di mettere la cintura.

Scrivere le procedure, però, di per sé non basta: dobbiamo effettuare un’opera di sensibilizzazione e responsabilizzazione di tutto il personale per evitare che le persone tocchino entrambi i fili, con la convinzione che non ci sia corrente. Serve una formazione che non insegni come evitare le multe, ma come far sì che i comportamenti virtuosi siano connaturati ai comportamenti di chi lavora in azienda. E serve anche l’esempio dall’alto. Più le persone sono in alto nella gerarchia aziendale e più dovrebbero essere un esempio di comportamenti virtuosi connaturati.

Cambiare atteggiamento e modo di comportarsi per persone che hanno abitudini decennali non è una questione né semplice né veloce, ma dobbiamo sfatare un mito: non è un costo. Come per il bancomat, come per le cinture di sicurezza, come per l’elettricista, alla fine, avere comportamenti virtuosi connaturate alle nostre azioni si traduce in un guadagno.