Pillole abortive via email. Trasecolo!

Non pensavo che avrei mai visto una cosa del genere. Confesso di aver evocato divinità dimenticate e offeso quelle più blasonate.

Anche se è festa, di questo devo proprio parlare, per forza, dunque eccomi qui, a pigiare tasti con foga crescente, mentre mi addentro in uno dei peggiori e più divisivi tabù: la distribuzione di pillole abortive a chi ne abbia bisogno.

Una bella idea, ma realizzata talmente male da generare molti più guai di quanti ne risolva. Anzi, la definirei una catastrofe che attende solo di accadere.

Non intendo alambiccarmi nei meandri dell'etica e della morale connesse alla "pillola del giorno dopo" (quella utilizzabile entro 5 giorni dal rapporto) o alla "pillola abortiva" (quella utilizzabile entro 9 settimane dal concepimento), voglio solo parlare di data protection, pertanto non affronterò ogni altra considerazione che, per come la vedo io, non mi compete affatto. Chi considera questo tema scandaloso, ha tutta la mia invidia per il privilegio che la vita gli ha riservato. Personalmente, non posso e non voglio occuparmi di qualcosa di cui non conosco nulla. Non avendo un utero, mi sentieri molto stupido a discettarne. Punto.

Ma di privacy ne parlo, eccome, anche a beneficio di chi, una volta fatte le proprie insindacabili valutazioni, desideri beneficiare dell'iniziativa messa in piedi da Women on Waves, o di altre simili.

Gironzolando per l'isola di Malta (e Gozo), ci si può imbattere nei classici locker mobili (Key Lock Box), solitamente usati per consegnare ai villeggianti le chiavi degli appartamenti turistici e, con un guizzo di creatività inaspettata, impiegati anche per spacciare droga nelle città. Oggi Women on Waves ne ha fatto un uso inedito: distribuire la pillola abortiva a chi ne faccia richiesta.

La procedura è semplicissima:

"Scrivici una email a info@womenonwaves.org"

In risposta si ottiene, sempre via email, l'indirizzo ove trovare il locker e la combinazione per aprirlo. Tutto fatto, in perfetto anonimato... hem... o quasi.

Cosa potrebbe mai andare storto?

Domanda... ma siete scemi? Via EMAIL? Ma veramente?

Chiedo... non hanno un DPO? No, direi proprio di no, ma non hanno nemmeno un amico che ne capisca qualcosa di computer o un cugino lontano, che viva nel mondo reale, che possa mettere in guardia sulla immane stupidaggine che stanno facendo: questa iniziativa sembra fatta apposta per creare una lista, un database di persone che hanno fatto ricorso a terapie abortive fuori dai circuiti medici ufficiali.

L'idea della ong coincide perfettamente con il sogno bagnato di qualsiasi governo, che sia conservatore, autoritario, che sia un governatore destrorso d'assalto o un despota sinistroide, c'è solo l'imbarazzo della scelta. I casi si sono moltiplicati negli ultimi mesi sia negli USA che molto molto vicino a noi.

Viviamo in un mondo in cui i governi (direi gli organi di potere in generale) non si fanno problemi ad utilizzare tutti i dati a cui hanno accesso, le rotte sulle app di navigazione, le ricerche sul web, la geolocalizzazione del cellulare vicino a determinati indirizzi (quelli delle cliniche specializzate), i contributi postati sui social, ogni altra traccia digitale che permetta di desumere la frequentazione di un determinato medico, una certa struttura, un luogo dedicato alle cure o ai trattamenti in questione. 

Non serve spulciare i fascicoli sanitari elettronici... quelli sono un disastro e non funzionano, ma le tracce che lasciamo in modo inconsapevole sì, quelle funzionano benissimo.

L'unico modo per proteggere le persone dagli usi deteriori delle tracce online che lasciamo è non generare dati che non servano.

Mi chiedo come possa essere venuto in mente ad un'associazione che intenda aiutare le donne di chiedere loro di mandare una e-mail per accedere a uno dei trattamenti più problematici che esistano.

Le email hanno un problema ontologico, by design: non sono progettate per garantire riservatezza, anche quando il contenuto è cifrato in transito, restano completamente accessibili ai provider e, come se non bastasse, mentre passano su sistemi altrui, restano accessibili a tanta gente una miniera di metadati (IP, mittente, destinatario, orario, oggetto) facilmente correlabili.

Basta poco per catturare il traffico delle email dirette a quella sciagurata mailbox di Women on Waves, alla quale in tante scriveranno serenamente per avere il farmaco. Ci vuole ancora meno ad accedere ai dispositivi e agli archivi dell'associazione che, nonostante le intenzioni, non potrà opporsi ad un ordine giudiziario. 

Se siamo a questo infimo livello di consapevolezza informatica, mi immagino che l'associazione sia molto serena, pensando che possa bastare cancellare le email per risolvere il problema.

Purtroppo non è così. In internet, nulla si cancella. Mai. Anzi, se cancelli qualcosa, l'unico che non ce l'ha più sei proprio tu. Gli altri non sono coinvolti dalla tua azione e continuano a poter disporre di ciò che pensavi di aver cancellato. Bel risultato.

"Tutti chi?" 

... grazie per avermelo chiesto.

C'è solo l'imbarazzo della scelta e voglio tenermi sul semplice, senza pensare a porcherie assortite o dispositivi infettati da schifezze:

• i provider internet del mittente e del destinatario
• la compagnia telefonica, se viene usato un cellulare
• i provider dei servizi di posta elettronica che, a meno di una botta di culo, saranno due
• ogni intermediario del traffico web dal dispositivo del mittente al computer del destinatario (vede i metadati)
• ogni agenzia governativa in grado di accedere ai dati di traffico (e sono proprio tante) con capacità di intercettazione legale o intelligence

Questi sono i soggetti tecnicamente in grado di accedere ai dati. Ma chi può averne realmente interesse? 

• Autorità giudiziarie
• Governi esteri
• Gruppi ostili
• Attori opportunistici (data breach)

Le due liste quasi coincidono e questo è il vero problema: "vuolsi così colà dove si puote ciò che si vuole, e più non dimandare."

"Ma io non interesso a nessuno, mica sono Taylor Swift"

... grazie per posto la questione.

Vero, non c'è nessuno che stia guardando quello che fai, oggi. I tuoi dati si mischieranno a quelli di milioni di altre persone, vero. La nostra stessa irrilevanza ci da una forte sensazione di protezione e anonimato e ci spinge a comportamenti liberi e spensierati, verissimo. Ma questa è solo un illusione e peggiora la situazione.

Quelle informa sono li, rimarranno accessibili per sempre.  Non ci sarà nessuno che verrà a cercare proprio te, come individuo, ma ci saranno persone che cercheranno una lista e tu sarai in quella lista: "Hei, siri, trova tutte le persone che hanno scritto a info@womenonwaves.org nel maggio 2026, se usano pseudonimi, trova il nome reale incrociando i dati e frugando in archivio"... beh, non si usa Siri, ma il concetto è quello. Per chi ne ha i mezzi, bastano quattro click. La mera disponibilità di quelle informazioni, anche se sperdute in un immenso mare di dati, sarà una tentazione irresistibile per il loro uso deteriore, a prescindere dalle ragioni per le quali i dati sono stati generati.

Vuoi saperne di più? Cerca su google o sulla tua AI preferita l'eterogenesi dei fini, applicata alla protezione dei dati personali, ti divertirai.

Se poi vorrai approfondire, c'è chi lo ha spiegato questi concetti veramente bene:

• Shoshana Zuboff (Capitalismo di Sorveglianza) e L'estrazione del "Surplus Comportamentale"

• Rodotà e la Privacy come Dignità - La dittatura dell'algoritmo e il "Corpo Elettronico"

• Helen Nissenbaum: La Violazione dell'Integrità Contestuale

• Daniel Solove: L'"Uso Secondario" e la Tassonomia della Privacy

• Roger Clarke: La "Dataveillance" (Sorveglianza dei dati)

• Cathy O'Neil e le "Armi di distruzione matematica"

• Hannah Arendt e la critica alle dichiarazioni di Eric Schmidt (Google) relative al "Vangelo della Trasparenza Radicale"

• Samuel Warren e Louis Brandeis  "The Right to Privacy" (1890!)

Quindi, no, non sono affatto fisime da vestali della privacy.

L'immensa mole di informazioni che lasciamo dietro di noi, trattate da cotanti galantuomini, rappresenta un concreto rischio sia oggi che nel futuro, qualunque esso sia. I dati immediatamente disponibili permettono una identificazione diretta ed immediata (email, IP, device), ma anche quando non sono completamente espliciti consentono una correlazione solida (accesso al servizio + posizione + tempistiche).

Quella lista sarà lì anche domani, le sue copie, i backup, i log ne estenderanno la visibilità e la permanenza oltre i confini che ci sembrano ragionevoli, quei dati saranno lì per sempre, anche quando si insedierà un nuovo governo con tendenze repressive e desideri punitivi retroattivi. Si sa, alcune persone sono vendicative.

Per me è una tragedia, uno scempio commesso sulla pelle di chi ha già i suoi problemi da gestire. Offrire un servizio vitale in modo tecnologicamente sciatto espone molte donne a commettere un errore fatale, ad esporsi ad un rischio che non hanno gli strumenti per valutare, che non potranno mitigare e pagheranno per molto tempo.

Un massacro.

Come DPO mi sento morire dentro osservando come questa iniziativa  porti ad accumulare montagne di dati particolari, i dati sensibili, per i quali vige un regime di protezione rafforzato.

Qui manca tutto:

• base giuridica forte (art. 6)
• esimente dal divieto (art. 9)
• misure tecniche e organizzative adeguate (art. 32)
• data protection by design (art. 25)

Non è in gioco solo la sicurezza informatica, ma l'intera conformità a principi fondamentali di protezione dei dati che garantiscono il diritto alla riservatezza delle persone, peraltro in contesti ad altissimo rischio.

Iniziative di questo genere devono essere condotte con standard estremamente elevati, utilizzando tecnologie capaci di proteggere i dati, di farli transitare in modo sicuro, neutralizzando ogni possibilità di intercettazione, di accumulo e pensando all'intero perimetro delle vulnerabilità.

Esistono sistemi fatti apposta: secure drop, onion services (Tor), token anonimi one-shot, ecc. Solitamente si utilizzano piattaforme specifiche, simili a quelle in uso per il whistleblowing oppure a quelle utilizzate da alcune redazioni per ricevere contributi da fonti anonime (e proteggerle). Ce ne sono di fantastiche, a costo zero, quindi non è una questione di budget.

Nell'iniziativa di Women on Waves non c'è nulla di tutto questo. Fare le cose per bene non è facile, ma la fatica (o il costo), così come le buone intenzioni, non possono diventare un alibi per fare le cose a ca##o di cane.

Prosit.

Su questo blog ci sono altri 198 articoli.
Esplora, cerca, curiosa in giro...

Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di sostenere il mio lavoro.

Puoi farlo in tre modi:
- Condividendo sui tuoi social. Così facendo aiuterai altre persone a trovarlo.
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. Aiuterai me a dedicare tempo al Blog.

Un messaggio speciale per i colleghi professionisti della privacy: il confronto è essenziale per migliorarsi, fammi sapere la tua opinione. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ti ha ispirato nell'ambito di una riunione? Ti ha agevolato nella stesura di un parere? O, semplicemente, ti ha evitato un brutto scivolone con un cliente?
Se la risposta è sì... allora una birra virtuale è d'obbligo!