Leggendo nei social network e, in generale, nelle fonti di informazione “mainstream” pare che Privacy e Data Protection siano quasi esclusivamente terreno di battaglia per esperti giuristi, che, soprattutto dall'entrata in vigore del GDPR il 24 maggio del 2016, con sforzi continui ed indefessi, cercano di darne una interpretazione (attività spesso ciclopica e complicata a causa della giovane età del GDPR e dell’amplissima possibilità di interpretazione che lascia) lasciando a volte le aziende, che sono chiamate a mettere a terra tali interpretazioni, interdette e con in mano esclusivamente qualche Megabyte di documenti (o quando va veramente male qualche kg di carta).
Per dare un approccio più concreto alla Privacy, fin dai primi contatti con la privacy stessa, secondo me, è necessario affiancare all’approccio giuridico un approccio bottom-up facendo in modo che il Decisore (aka Titolare del Trattamento, aka the Accountable person) abbia la possibilità di toccare con mano i Dati Personali (che rappresentano l’atomo della Data protection, ovvero la sua unità più piccola ed indivisibile) trattati nella/dalla propria Azienda. Come ? Inizialmente semplicemente vedendoli in prima persona. Come fare ? (sempre esclusivamente a mio modesto parere, ovviamente) capendo che sia che li chiamiamo PII - Personal Identifiable Information - (come si fa da una parte dell’oceano) sia che li chiamiamo Dati Personali (come si fa nel vecchio continente) stiamo avendo a che fare di base, con tutto cio’ che rende una persona identificabile, e che in quanto tali , i dati personali (come sottolineato da Nicola Fabiano nel suo “GDPR e PRIVACY: consapevolezza e Opportunità” hanno un valore intrinseco perchè contengono informazioni strettamente legate ad una persona ed estrinseco perche’ hanno un valore economico per l'Organizzazione. Per il consulente che entra in Azienda quest’ultimo valore rappresenta forse una leva maggiore nell’attirare le attenzioni del decisore ...
Per dare un approccio più concreto alla Privacy, fin dai primi contatti con la privacy stessa, secondo me, è necessario affiancare all’approccio giuridico un approccio bottom-up facendo in modo che il Decisore (aka Titolare del Trattamento, aka the Accountable person) abbia la possibilità di toccare con mano i Dati Personali (che rappresentano l’atomo della Data protection, ovvero la sua unità più piccola ed indivisibile) trattati nella/dalla propria Azienda. Come ? Inizialmente semplicemente vedendoli in prima persona. Come fare ? (sempre esclusivamente a mio modesto parere, ovviamente) capendo che sia che li chiamiamo PII - Personal Identifiable Information - (come si fa da una parte dell’oceano) sia che li chiamiamo Dati Personali (come si fa nel vecchio continente) stiamo avendo a che fare di base, con tutto cio’ che rende una persona identificabile, e che in quanto tali , i dati personali (come sottolineato da Nicola Fabiano nel suo “GDPR e PRIVACY: consapevolezza e Opportunità” hanno un valore intrinseco perchè contengono informazioni strettamente legate ad una persona ed estrinseco perche’ hanno un valore economico per l'Organizzazione. Per il consulente che entra in Azienda quest’ultimo valore rappresenta forse una leva maggiore nell’attirare le attenzioni del decisore ...
Personally Identifiable Information: Any representation of information that permits the identity of an individual to whom the information applies to be reasonably inferred by either direct or indirect means
NIST SP 800-79-2
‘Personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.
GDPR art. 4
Per chi si diletta scrivere un po’ di codice, Python offre alcuni divertenti strumenti per esempio con le librerie pubbliche Scrubadub ("https://scrubadub.readthedocs.io/en/stable/index.html ) e Presidio ("https://microsoft.github.io/presidio/analyzer/) che consentono (anche) di muovere i primi passi nel parsing dei dati personali all’interno dei documenti.
Per chi volesse provarne alcune funzionalità di base senza necessità di installazione qui ("https://lorenzoleonelli-scrubber-scruba-guy-y2m84x.streamlitapp.com/) trovate una app Streamlit adatta allo scopo.
Cosa si scoprirà dopo pochi minuti di gioco con i tool di cui sopra:
- Quanto lo stato dell’arte della AI in materia di Privacy sia acerbo (ancor più per chi ha la fortuna/sfortuna di lavorare in lingua italiana)
- La pochezza di un approccio basato unicamente su pattern e regular expressions, di per se insufficienti ad identificare tutti i dati personali “non standard” (come a titolo di esempio un numero di badge i dati contenuti nelle immagini o i dati non in chiaro)
- La mole di dati personali che gestiamo quotidianamente (e il loro valore)
- Quanti dati personali non siano rintracciabili a meno di grandi sforzi, in quanto, per esempio, archiviati su carta, oppure criptati
- Ed infine che, nonostante i punti qui sopra, come sia fondamentale vedere e capire cosa sono questi dati, perche’ in caso contrario, non solo non si sarà in grado di condurre un Risk assesment anche elementare, ma, ancora peggio, non si capirà un emerito piffero di quello che sta scritto nelle pile di carta che ci sono state consegnate dal titolo “Registro del Trattamento, “Data Protection Impact Assessment”, ecc. ecc.
- Quanto lo stato dell’arte della AI in materia di Privacy sia acerbo (ancor più per chi ha la fortuna/sfortuna di lavorare in lingua italiana)
- La pochezza di un approccio basato unicamente su pattern e regular expressions, di per se insufficienti ad identificare tutti i dati personali “non standard” (come a titolo di esempio un numero di badge i dati contenuti nelle immagini o i dati non in chiaro)
- La mole di dati personali che gestiamo quotidianamente (e il loro valore)
- Quanti dati personali non siano rintracciabili a meno di grandi sforzi, in quanto, per esempio, archiviati su carta, oppure criptati
- Ed infine che, nonostante i punti qui sopra, come sia fondamentale vedere e capire cosa sono questi dati, perche’ in caso contrario, non solo non si sarà in grado di condurre un Risk assesment anche elementare, ma, ancora peggio, non si capirà un emerito piffero di quello che sta scritto nelle pile di carta che ci sono state consegnate dal titolo “Registro del Trattamento, “Data Protection Impact Assessment”, ecc. ecc.