Il Regolamento sulla protezione dei dati personali , il FUD e i venditori di insicurezza

Il regolamento generale sulla protezione dei dati personali non è ancora entrato in vigore, che è già diventato, come direbbero gli americani, un jack of all trade, master of none. E così, ogni scusa è buona per citarlo a sproposito: dalla (presunta) intelligenza artificiale, al (presunto) cyberwarfare.

Siamo di fronte all’ennesima dimostrazione di FUD (Fear, Uncertainity and Doubt), la tecnica di marketing basata sulla creazione della paura per convincere le aziende ad acquistare questo o quel prodotto/servizio piuttosto che quello di un concorrente, magari appena entrato sul mercato.

Tante volte, in modo più o meno esplicito, la comunicazione dei servizi ICT è stata basata su messaggi come: “sei sicuro che se compri il prodotto X funzionerà sul serio con il software Y?” oppure “sei sicuro di sapere quanto ti costa veramente migrare verso la piattaforma Z?”, oppure ancora – penso a una vecchia pubblicità di Telecom Italia che ritraeva un energumeno nerboruto – “e tu pensi di fermarlo con un firewall?”

Non ho dati sull’efficienza di questa strategia di comunicazione in termini di vendite e di incremento effettivo, a livello globale, della sicurezza. Però sono certo che le scelte compiute sulla spinta della paura sono sempre sbagliate perché servono a calmare l’ansia del soggetto impaurito e non ad eliminare la causa dello spavento. E’, ovviamente, necessario proteggersi in modo ragionevole ed efficiente ed è altrettanto ragionevole che chi “maneggia” dati di terze parti sia responsabile di quello che accade loro. E allora serve sicurezza concreta, e non sicurezza di carta.

Un altro atteggiamento provocato dai proclami sull’entrata in vigore prossima ventura di nuovi obblighi è quello basato sul fumo negli occhi: a fronte delle minacce di sanzioni draconiane, la reazione è mettere in piedi un corposo tomo rigorosamente cartaceo, pieno zeppo di chiacchiere, da esibire ai verificatori e vedere cosa succede. E’ il caso, per esempio, di tanti modelli organizzativi 231 che, più o meno esplicitamente, sono letteralmente scopiazzati o parafrasati partendo dalle famose “linee guida di Confindustria” e che hanno la stessa consistenza di una nuvola di fumo generata da una sigaretta elettronica.

Se dobbiamo imparare dalla storia, dobbiamo prendere atto del sostanziale fallimento del Codice dei dati personali, che in questi anni è stato poco più che un modo per far spendere soldi alle aziende in burocrazia inutile. E che a nulla è servito per affrontare  concretamente  questioni serie come – tanto per citarne alcune – le prassi di polizia giudiziaria nell’acquisizione dei dati di traffico telefonico, la diffusa – e non da oggi – presenza di backdoor e bug in router e sistemi operativi puntualmente documentata dalla stampa e trascurata dalle autorità competenti, l’intercettazione sistematica del traffico internet disposta da autorità come l’antitrust per finalità anticontraffazione, ma senza alcun provvedimento della magistratura, pur trattandosi di reati sui quali sussiste la giurisdizione esclusiva dell’autorità giudiziaria.

E se dobbiamo imparare dalla storia, non possiamo consentire che venga replicato lo stesso copione – fatto di indifferenza istituzionale verso temi fondamentali e “assalto alla diligenza” da parte dei venditori di insicurezza.

Ma lo storia (e la psicoanalisi) sono caratterizzate dalla coazione a ripetere. E credo che anche nel caso del Regolamente generale sulla protezione dei dati personali ci troveremo, nostro malgrado, di fronte allo stesso, identico spettacolo.

 

 

Possibly Related Posts: