NEWS

Per la tutela della privacy nei data center oltre all’etica serve anche la deontologia

Come è noto, nell’era digitale i dati sono fonte di ricchezza, e i data center sono quindi la stanza del tesoro, nella quale tutelare la privacy significa proteggere il patrimonio che è custodito nelle infrastrutture tecnologiche.

(Nella foto: Nicola Bernardi, presidente di Federprivacy)

Necessità di un approccio etico - Negli ultimi tempi la comunità degli addetti ai lavori è stata animata da intensi dibattiti nei convegni richiamando sempre più energicamente l’attenzione sulla necessità di adottare una gestione etica dei dati, ed essendo essa quella branca della filosofia che studia le consuetudini e la morale per determinare cosa è giusto e cosa sbagliato nei comportamenti dell’essere umano, riveste certamente un ruolo fondamentale per individuare cosa deve essere ritenuto lecito e cosa invece è da considerarsi illecito e inaccettabile.

Ad esempio, specialmente con gli aumentati fabbisogni di acqua ed energia elettrica da parte dei data center a causa dell’espansione dell’intelligenza artificiale, un approccio etico non lascia ombra di dubbio che la loro gestione debba essere sostenibile sotto il profilo ambientale. Oppure, sotto il profilo della privacy, non sarebbe eticamente accettabile che un internet provider rivendesse a terzi i dati che i propri clienti archiviano nel data center pagando per un servizio che viene pubblicizzato come conforme al GDPR, mentre magari in realtà celassero tra le pagine delle clausole contrattuali un minuscolo cavillo che rivela la cessione dei dati ad agenzie di marketing.

Inoltre, l’etica è importante in qualsiasi rapporto perché richiede onestà, rispetto, cooperazione, professionalità, e una comunicazione onesta tra le parti.

Tuttavia, l’etica da sola non è sufficiente per garantire il rispetto delle regole nei data center, in quanto è vero che essa definisce le norme del corretto comportamento, ma non ha in sé la finalità di sanzionare chi non le osserva, aspetto di cui si occupa invece la deontologia, la cui parola deriva dal greco "Δeω", (“Deo”) che significa "dovere”.

L'intervento del presidente di Federprivacy al National Security Hub su etica e privacy nei data center

E’ la deontologia a esercitare un effetto dissuasivo - Nelle professioni organizzate in ordini e collegi è infatti la deontologia ad occuparsi di disciplinare o punire coloro che si sono comportati scorrettamente, e anche nell’ambito della protezione dei dati, come previsto dall’art.2-quater del Dlgs 196/2003, il Garante ha adottato apposite regole deontologiche che sono parte integrante del Codice Privacy italiano con lo scopo di disciplinare i comportamenti in settori particolarmente delicati, tra cui quelli del giornalismo, delle investigazioni private, e della ricerca scientifica, e un eventuale corpus di regole deontologiche ad hoc che riguardasse direttamente anche il mondo degli internet provider e dei dati center rappresenterebbe un importante presidio per vigilare su questo settore strategico della società digitale, esercitando un notevole effetto dissuasivo sugli operatori che non vi si attenessero scrupolosamente.

I Codici di Condotta - Un altro prezioso strumento di soft law di carattere deontologico sono i Codici di Condotta introdotti dall’art.40 del GDPR, che possono essere elaborati su base volontaria dalle associazioni e dagli altri organismi rappresentativi delle categorie di settore, ma che una volta approvati dal Garante o dall’European Data Protection Board diventano vincolanti per gli operatori che vi aderiscono, per cui aderire a un codice di condotta ai sensi del Regolamento Ue sulla privacy non può essere una mera operazione di marketing tanto per fregiarsi di un bollino, ma comporta delle precise responsabilità che espongono a sanzioni chi non lo rispetta.

Per quanto riguarda i codici di condotta nell’ambito di data center e internet provider, qualche anno fa è stato fatto un egregio lavoro con il “CISPE”, approvato dal Comitato Europeo per la Protezione dei dati a cui ad oggi aderiscono 36 operatori di vari paesi dell’UE, e che peraltro tra le varie regole virtuose richiede ai data center di mantenere i dati all’interno del perimetro dell’Unione Europea, evitando quindi di trasferirli in paesi in cui potrebbero sfuggire al controllo di come vengono utilizzati, oppure dove le autorità potrebbero accedervi con facilità.

Norme di condotta anche per i fruitori dei servizi - Ma anche un codice di condotta, per quanto ben fatto, da solo non riuscirà probabilmente ad assicurare un approccio etico generalizzato per il mondo dei data center e degli internet provider, per almeno due motivi:

il primo è che generalmente i codici di condotta vengono concepiti per dettare regole ai data center e agli internet provider che vi aderiscono, ma non impongono norme di comportamento ai fruitori del servizio, come vietare di sfruttare l’infrastruttura tecnologica per compiere attacchi ddos o per conservarvi dati trattati illecitamente se non illegali come materiali pedopornografici, informazioni legate ad attività terroristiche, o dati esfiltrati nell’ambito di attacchi hacker. Solitamente, tali divieti sono invece inclusi nei termini e condizioni di servizio dei data center perlopiù per tutela legale, quando invece dovrebbero rientrare a pieno titolo nella deontologia che anche i clienti dovrebbero avere il dovere di rispettare, a pena dell’immediata interruzione del servizio, oltre alla debita denuncia alle autorità.

In secondo luogo, un limite del codice di condotta è che viene elaborato su base volontaria, e quindi solo chi vi aderisce assume l’impegno di rispettare le norme di comportamento che contiene, ma sarebbe piuttosto molto più efficace disporre di norme deontologiche vincolanti per tutti i data center e gli internet provider, perché lasciare che l’etica sia un valore solo per le aziende virtuose è di scarsa utilità per uno sviluppo armonioso della civiltà digitale.

Note sull'Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev In scadenza il mandato del Garante europeo per la protezione dei dati: i candidati a guidare l'autorità per i prossimi 5 anni
Next Concorsi pubblici: dettagli da rispettare fra trasparenza e privacy

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy