Pillole di privacy - Accedere a sistemi online è una necessità ed una scelta, che sia consapevole: CIE vs SPID
Giorno dopo, giorno molte azioni della nostra vita si stanno spostando online. Come effettivamente dovrebbe essere, alle tradizionali modalità analogiche fatte di sportelli, moduli cartacei, code e lungaggini si stanno affiancando comode alternative digitali. Un mondo fatto a portata dei pigri porta i pigri a diventare sempre più pigri.
Senza addentrarmi sull'insidioso terreno della critica alla modernità, mi limito a constatare alcuni elementi fattuali sui quali generalmente non ci si sofferma.
Scegliere come autenticarsi online ha delle conseguenze e delle implicazioni. Per questo vale la pena di fare scelte consapevoli.
Partiamo da lontano: la gravità di un data breach è proporzionale alla quantità di dati coinvolti per ciascuna persona travolta. Perdere il controllo di pochi dati comporta conseguenze limitate. Perdere il controllo di tanti dati aumenta vertiginosamente l'entità delle conseguenze. Ovvio, banale, quasi scontato, talmente evidente da diventare la ragione fondante di un principio contenuto nel GDPR: il principio della MINIMIZZAZIONE DEI DATI (Art 5, comma 1, lettera c), altrimenti noto come il principio della necessità del trattamento.
I dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati
Rileggendo questo passaggio del GDPR mi domando, di nuovo, cosa ci sia di non chiaro o di ambiguo e perché mi tocchi confrontarmi spesso con raccolte di dati eccedenti, inutili, non proporzionati alle finalità. Che senso ha utilizzare informazioni che non servono in un determinato contesto? Si moltiplica la fatica, si allungano i tempi, si moltiplicano le risorse necessarie, si complicano i processi, si appesantisce il lavoro dei funzionari e delle persone, aumenta la frustrazione, si moltiplicano i possibili errori, si danneggia l'ambiente sprecando risorse e, in caso di incidente, si amplificano esponenzialmente le conseguenze per le persone coinvolte. Ma quanto bisogna essere stupidi per decidere di trattare dati non necessari? Ma veramente c'è bisogno di una norma di legge per obbligare la gente a fare una cosa tanto ovvia e naturale come minimizzare i dati? Beh, parrebbe di si dato che è uno dei principi più bistrattati. Peraltro, si tratta di uno dei principi più contestati dai detrattori del GDPR, additato come difficile da rispettare, costoso e inutile. Vabbè, che dire, lo sfruttamento della stupidità altrui è una forma d'arte.
L'esperienza mi ha insegnato che è che giusto sperare che il mondo migliori, che la gente faccia scelte giuste ma mi ha anche dimostrato che è solo una pia illusione. Occorre consapevolezza ed è necessario tutelarsi da soli, anche per rimediare agli errori e alla sciatteria altrui. Tutti noi, quotidianamente, ci troviamo di fronte ad una semplice scelta che, a prima vista, pare indifferente, ma che può moltiplicare i rischi o diminuirli. In effetti è una scelta libera, quasi indifferente sotto il profilo tecnologico, quindi dipende esclusivamente da noi.
I 19.000 siti che richiedono autenticazione online, come tutti i portali o i servizi della pubblica amministrazione, propongono l'accesso sia con con SPID che con CIE. Rispetto alla protezione dei dati personali non è esattamente la stessa cosa.
Ecco cosa accade, per esempio, su un portale casuale se si decide di entrare con una di queste modalità:
Autenticarsi con CIE comporta la comunicazione di 4 dati:
- Nome
- Cognome
- Data di nascita
- Codice fiscale
Nulla di più, anche perchè non serve altro.
In questo caso, però, utilizzare SPID implica la comunicazione di 15 dati di cui 11 non necessari, eccedenti le finalità di autenticazione e 1 di questi può addirittura essere classificato come dato sensibile.
- Nome
- Cognome
- Data di nascita
- Codice fiscale
e in più
- Codice identificativo SPID
- Luogo di Nascita
- Sesso
- Documento di identità
- Numero di telefono mobile
- Indirizzo di posta elettronica
- Domicilio fisico
- Domicilio digitale
- Ragione o denominazione sociale
- Sede legale
- Partita IVA
Per quanto mi riguarda, "anche no", grazie.
Anzi, aggiungerei "...e vaffanculo perfavore"!
Il gestore del sito potrebbe anche non acquisire il pacchetto dei metadati che SPID mette a disposizione ma, guardacaso, scelgono di non farlo e di prendere l'intero pacchetto. Come ti sbagli? La pigrizia non caratterizza solo l'utenza ma descrive bene anche l'atteggiamento del decisore e, a volte, dell'attuatore. Come DPO ho solo una cosa da dire a riguardo: il Garante non fa abbastanza per punire le scelte sciagurate della PA.
Resta una sola cosa da fare, come accennato: autodifendersi e fare scelte consapevoli e tutelanti.
Se posso scegliere, non ci penso un nanosecondo e utilizzo CIE e non certo per partito preso, tifoseria, per campanilismo o anche solo per pigrizia. La scelgo unicamente perchè intendo proteggermi rispetto alla condivisione di dati non necessari voluti dalla peggiore espressione della più becera burocrazia.
Se devo essere identificato, uso volentieri un sistema che mi identifichi e che non faccia nulla più di questo. Se ci fossero finalità ulteriori all'identificazione, vorrei conoscerle e capire se è veramente necessario inserire dati ulteriori, cosa che, generalmente, non corrisponde affatto ad una necessità per l'utente e nemmeno per l'ente.
La piena interoperabilità tra CIE e SPID rende evidente quanto siano inutili tutti i dati che solo SPID permette di condividere con i soggetti che richiedono l'autenticazione e diventa molto difficile sostenere che SPID, oggi, rispetti il principio di minimizzazione del trattamento. Si potrebbe anche addentrarsi nella ricerca di chi ha meno colpe, se SPID oppure le PA che lo implementano, purtroppo la questione non è tecnica ma normativa. SPID funziona così e si offre a enti ed istituzioni pigre, governate da persone pigre. Cosa potrà mai andare storto? Va detto che SPID ha il merito di essere stato il primo fondamentale sistema di identificazione digitale e ha visto la luce nel 2014, due anni prima del GDPR. È normale che la CIE, arrivata alla versione 3.0 nel 2016 e aggiornata da ultimo nel 2022, integri meglio i principi del regolamento generale in materia di protezione dei dati personali. Tuttavia nulla vieta che SPID venga aggiornato e migliorato ma, sino ad allora, mi spiace, non c'è gara.
Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili per la tua vita, prendi in considerazione l'idea di ringraziarmi. Puoi farlo in due modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone
- Con una donazione. In questo modo aiuterai me.
Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.
Clicca qui per inviare una donazione: un caffè, una birra, una pizza, una Tesla...