Il diritto all’oblio è praticabile?

di | 2 February 2016

Come già discusso in un post precedente, il nuovo GDPR sottolinea l’importanza del diritto all’oblio, in qualche misura già presente nell’attuale normativa italiana. Qui vogliamo soffermarci sulle implicazioni tecniche di tale requisito. Quanto può costare alle organizzazioni il diritto all’oblio, in una società che tende sempre più ad essere un’unica rete globale di persone e dispositivi sempre e dovunque connessi tra loro?

Prendiamo ad esempio le reti sociali. Sono sempre più le organizzazioni che sviluppano strategie, più o meno ufficiali o strutturate, di marketing, comunicazione, surveying sui social network. Il problema della gestione dei dati in tali contesti è ben noto non solo agli esperti di settore. Si pone quindi il problema: come un’organizzazione può garantire che i dati personali degli utenti siano cancellati per sempre e dappertutto, quando tali utenti lo richiederanno? Se controllare tutti i post, tweet, tag, like, commenti è teoricamente fattibile, nella realtà tale scenario appare piuttosto impraticabile alla luce della mole di dati da gestire e della natura intrinsecamente distribuita e dispersiva delle reti sociali.

Cosa fare dunque? Anche tale semplice osservazione fa risaltare l’importanza di altri concetti introdotti (o riformulati) dal nuovo GDPR: Privacy by design e Privacy Impact Assessment appaiono strumenti insostituibili per impostare fin dall’inizio il proprio impianto di gestione dei dati personali, al fine di evitare il verificarsi di situazioni ingestibili in futuro.

Censire i dati ed i trattamenti, creare matrici di correlazione ed impatto, definire vincoli e flussi ben precisi e controllabili alle operazioni concesse agli utenti (soprattutto nelle reti sociali); tali operazioni appaiono tutte attività necessarie, per quanto complesse, da svolgere a priori nella definizione di un framework di gestione dei dati personali. La vera sfida sta nel trovare il bandolo della matassa in corsa, senza aver potuto progettarlo fin dall’inizio: è questo infatti lo scenario reale che sta per affrontare la stragrande maggioranza delle organizzazioni europee.

Da tali considerazioni emerge ancora la natura olistica del GDPR, corpo normativo certamente articolato e da affinare nel tempo a livello locale, ma che lascia trasparire un impianto organico ed autoconsistente, auspicabilmente efficace nel perseguire gli obiettivi di sicurezza ed efficienza che si prefigge.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.