Le risposte che la legge e la regolazione mettono a disposizione, per le nuove sfide della privacy (leggi articolo correlato) sono molteplici. Da una prospettiva pro-concorrenziale, esse variano dalla “divestiture” dei Titani digitali conglomerali – una proposta che sta timidamente affacciandosi, specie dopo i Datagates – all’applicazione di pesanti sanzioni (come è avvenuto in entrambi i casi europei del 2017, quali l’abuso di posizione dominante di Google e la violazione degli impegni post-merger da parte di Facebook / WhatsApp), alla light-touch – ed “evergreen” – self-regulation (come stabilito nella proposta di Regolamento sulla libera circolazione dei dati, cfr. ad esempio il Considerando 7).
Dal punto di vista della privacy, le regole del GDPR sono applicabili anche alle imprese extra-UE (che profilano individui europei), in cui gli standard di privacy potrebbero eventualmente essere più laschi rispetto all’UE. Le relative norme sono accompagnate da sanzioni, che possono ammontare ad una parte sostanziale – seppure proporzionata – del fatturato del trasgressore (sebbene si tratti di somme pur sempre sopportabili, specie per quei “Titani” il cui fatturato è spesso superiore al PIL di alcuni Stati membri).
L’impressione è che l’accumulo di dati realizzata attraverso lo sfruttamento potrebbe richiedere ulteriori sforzi, in due direzioni principali:
- (i) quella dell’empowerment, in modo da far riacquistare ai consumatori la validità del consenso e l’autonomia delle proprie scelte;
- e di (ii) una maggiore trasparenza delle decisioni algoritmiche.
La disclosure regulation
Il 16 febbraio 2018, il Tribunale belga di Primo Grado di Bruxelles ha condannato Facebook per aver violato le sue leggi nazionali sulla privacy e sui cookie. La sentenza, tra le altre, ha contestato alla società di non aver informato i suoi utenti e non utenti “in modo chiaro, conciso e comprensibile” riguardo alle sue attività (cioè il trattamento dei dati personali degli utenti e dei non utenti a fini di tracciamento). Ciò che è stato chiarito è che la violazione delle norme sulla protezione dei dati può rapidamente funzionare come un moltiplicatore del potere di mercato delle grandi imprese di dati (un addebito fatto anche dal Bundeskartellamt – sebbene su basi giuridiche diverse – nei confronti di Facebook nel suo preliminary assessment del 12 dicembre 2017).
La disclosure regulation potrebbe quindi essere una valida risposta. Tuttavia, ciò potrebbe accadere solo se le disclosure sulla profilazione e rivendita di dati personali (e di altri diritti, come la portabilità dei dati, l’accesso ecc.) fossero disegnate in modo cognitivo, al fine di superare i bias (vedi Figura 1). Cioè: in modo da essere salienti e abbastanza semplificati da essere rapidamente compresi, da aumentare la consapevolezza circa l’”an” e il “quantum” del consenso individuale.
Benché più contestate, potrebbero essere utilizzate anche le disclosure attuate mediante nudging al fine di superare le risposte emotive e le dipendenze derivanti dall’uso del web.
In alternativa, o in aggiunta, si potrebbe consentire agli utenti di scegliere di non rilasciare i propri dati personali, ma di pagare il servizio o l’app che desiderano scaricare. Le campagne educative per sensibilizzare ai temi della privacy e della protezione dei dati, in particolare tra gli adolescenti, dovrebbero essere una priorità per le autorità preposte alla tutela de i consumatori, della concorrenza e, come già oggi, della protezione dei dati.
Maggiore trasparenza delle decisioni algoritmiche
Il modo in cui sono prese le decisioni algoritmiche che influenzano le scelte commerciali individuali dovrebbe essere caratterizzato da una maggiore trasparenza. Il GDPR contiene alcune norme importanti che dovrebbero essere rafforzate, utilizzando un approccio cognitivo, come la portabilità dei dati e il diritto di ottenere l’intervento umano nelle decisioni algoritmiche, incluse le profilazioni.
Come chiarito dalle Linee guida dell’Art. 29 Working Group su “Automated individual decision-making and profiling” del 6 febbraio 2018, gli algoritmi sono soggetti a bias e “possono portare a valutazioni basate su proiezioni imprecise, [e] avere un impatto negativo sugli individui” (p.27). Pertanto, è importante “effettuare valutazioni frequenti sui set di dati … per verificare eventuali bias e sviluppare metodi per affrontare eventuali elementi pregiudizievoli, inclusa l’eccessiva dipendenza dalle correlazioni”. Tali controlli richiedono “verifiche periodiche dell’accuratezza e della rilevanza del processo decisionale automatizzato, inclusa la profilazione … non solo in fase di progettazione ma anche in modo continuo, poiché la profilazione viene applicata agli individui” (p.28).
Come responsabilizzare i consumatori
Due sono le strategie che potrebbero essere adottate per responsabilizzare i consumatori in questo settore.
La prima consiste nell’implementare i “data vaults” come archivi di big data personali (una proposta che il Garante europeo per la protezione dei dati formulò nel noto Parere n. 7/2015). Ad esempio, ai consumatori potrebbero essere forniti i propri dati di utilizzo di Internet (attraverso l’istituto della portabilità dei dati), per essere riutilizzati in “app” che mettono a confronto le offerte commerciali tramite algoritmi. In questo modo, facendo guadagnare ai consumatori la loro storia di consumo, essi potrebbero scegliere come riutilizzarla.
La seconda strategia è la disclosure personalizzata. Il messaggio (o disclosure) da mostrare verrebbe selezionato tramite un processo di co-regolazione, cioè uno cui partecipano l’industria, il regolatore e i consumatori. Qui l’algoritmo – in applicazione delle Linee guida del WG Art. 29 più sopra menzionate – sarebbe testato regolarmente per evitare bias e discriminazioni. La personalizzazione dei messaggi garantirebbe maggiori probabilità di lettura e comprensione, mentre i test preliminari di laboratorio degli algoritmi eviterebbero sfruttamenti, abusi e discriminazioni. Essi garantirebbero inoltre un aggiornamento regolare delle disclosure. Infine, un tale schema di co-regolazione, in tempi di “disrupted confidence”, potrebbe anche aiutare a ricostruire un tono di fiducia e reputazione.
Privacy e Facebook: tre motivi per cui è una sfida difficile per l’Europa
