La tutela della privacy nel mondo dei big data diventa sempre più difficile e più complessa da attuare. Anche a fronte dei miglioramenti introdotti dal Gdpr, restano degli ambiti sui quali bisogna intervenire al più presto. Occorre, ad esempio e in primis, regolamentare le attività di profilazione continue cui tutti siamo sottoposti ormai nella gran parte delle azioni che compiamo quotidianamente, anche quando non ce ne rendiamo minimamente conto. La posta in gioco, in termini di libertà individuale e libertà sociali è molto alta.
Proprio in questi giorni la conferma in un rapporto di Agcom, di quanto ci sia in ballo. L’Autorità garante delle comunicazioni ha rilevato un picco delle fake news in Italia in corrispondenza con la data delle ultime elezioni politiche. Ecco perché Agcom sta cercando di introdurre degli strumenti che ne limitino l’impatto per le prossime. Sappiamo che ormai le fake news sono sempre più orchestrate da bot, quindi algoritmi. Questo ci conferma la crescente rilevanza politica della questione.
Tuttavia, è opportuno agire non solo sulle fake news, ma anche sul trattamento (automatizzato) del dato che porta alla profilazione “politica” degli utenti. Profilazione politica che dovrebbe essere regolamentata e limitata pesantemente, per evitare una manipolazione fortissima delle opinioni dei cittadini (come ribadito in una recente dichiarazione del Consiglio d’Europa) o future gravi discriminazioni.
Perché gli attuali schemi di protezione sono inadeguati
Partiamo dal sottolineare che i tradizionali schemi di protezione sono basati su un modello di gestione dei dati archiviati che è ancora legato per molti versi agli schemi del XX secolo, i quali in sostanza miravano a conservare i dati volontariamente rilasciati dagli individui. I big data partono invece dal concetto di archiviazione massiva dei dati e accanto ai dati volontariamente rilasciati che, di fatto, possono costituire solo una piccola parte dell’archivio vi sono dei dati che potremmo definire come rilevati, ossia quelli che vengono estratti da osservazioni dei comportamenti degli individui e dei dati che potremmo definire elaborati che nascono dall’analisi e dall’elaborazione delle informazioni precedentemente possedute per costruire un nuovo dato più complesso. Appartengono a quest’ultima categoria le profilazioni che costituiscono la vera potenzialità commerciale dei big data, ma che nello stesso tempo sono la parte più delicata dal punto di vista della privacy del processo, perché queste profilazioni possono essere utilizzate in maniera più o meno trasparente per prendere delle decisioni e compiere delle azioni che hanno l’individuo come target.
Nuove forme di tutela dei dati, oltre il Gdpr
Siamo profilati quando chiediamo un prestito in banca, siamo profilati quando facciamo acquisti online, siamo profilati quando, in qualche misura, compiamo normali attività di interazione con lo smartphone o con i social. Il caso di Cambridge Analitica ha scoperchiato il vaso di Pandora dei potenziali usi non trasparenti dei Big Data e ha posto per la prima volta all’attenzione la necessità di forme nuove di tutela. Il GDPR fa sicuramente dei passi avanti nel migliorare la gestione della privacy in presenza di big data, tuttavia la sua applicazione è stata in parte avversata dalle imprese che lo vedono come un inutile aggravio di costo e, tutto sommato, ha mantenuto l’aspetto sostanzialmente burocratico che caratterizzava la vecchia normativa sulla privacy.
È rimasto un adempimento da compiere e non, piuttosto, lo strumento per assicurare un esercizio più maturo della libertà individuale. Il concetto di valutazione del rischio del processo di trattamento è sicuramente un punto di forza della nuova normativa, anche se nelle prime applicazioni questa valutazione appare più “cartacea” che reale. Occorrono probabilmente alcuni rafforzativi della normativa GDPR per assicurare una reale protezione della privacy nel mondo dei Big Data. Il classico concetto di anonimizzazione non è più sufficiente a garantire protezione, come il concetto stesso di dato personale e di dato sensibile assume un valore diverso. Conservare di post di Facebook di un soggetto e farli analizzare ad un algoritmo di deep learning può darci molte più informazioni sul profilo della persona di quanti non ne avremmo raccolti in dieci anni di utilizzo tradizionale dei questionari.
Probabilmente avremmo accesso a conoscenze e informazioni che sono in gran parte sconosciute o non ben chiare anche per il soggetto che viene analizzato e stiamo parlando solo di dati inferiti da informazioni pubbliche. Faccio solo un inciso per far intuire cosa si potrebbe ottenere con l’analisi delle immagini pubblicate sui profili dei social.
Gli ambiti sui quali è urgente intervenire
Con l’intelligenza artificiale il confine fra il dato personale, il dato sensibile e il dato tout court si è ridotto fino quasi ad annullarsi e occorre, nel caso della tutela della privacy, abbracciare un approccio più dinamico e omnicomprensivo, in cui il soggetto non solo deve autorizzare il trattamento tradizionale del dato personale, ma anche qualunque di tipo di inferenza compiuta su qualsiasi tipo di informazione a lui riferibile. Il soggetto che tratta i dati e li elabora, generando dati derivati o inferiti da dati posseduti, dovrebbe rendere trasparenti non solo le modalità di derivazione e di inferenza dei dati, ossia l’algoritmo, ma anche la finalità dell’elaborazione e ricevere un espresso assenso. Si dovrebbe, quindi, autorizzare esplicitamente ogni particolare utilizzo del trattamento dei dati in possesso di un gestore che comporta la creazione di dati derivati o inferiti dai dati in possesso del gestore. Inoltre, dovrebbero essere resi trasparenti gli algoritmi di profilazione e gli algoritmi che prendono decisioni che riguardano un particolare individuo a partire dai suoi dati. Ad esempio, dovrebbe essere reso pubblico l’algoritmo di valutazione del rating di affidabilità creditizia sulla base del quale vengono prese in automatico decisioni che impattano sulla vita reale delle persone, come ad esempio la concessione di un prestito o di un mutuo.
Oggi di fatto siamo continuamente profilati e di questa profilazione fatta da una miriade di soggetti siamo generalmente all’oscuro, anche se a causa di questa profilazione subiamo decisioni di altri che impattano sulla nostra vita. L’attività di profilazione andrebbe maggiormente regolamentata e dovrebbe essere oggetto di autorizzazione esplicita da parte dell’utente perché su questo ambito si gioca una partita che va oltre il semplice problema di tutela della privacy per arrivare ad incidere sulla libertà individuale e sulle libertà sociali.
Rating reputazionale e libertà individuale
Il rating reputazionale, basato su big data, che è una forma molto interessante di garanzia sociale, se non ben regolamentato può essere uno strumento che mina la libertà individuale, o che potrebbe essere utilizzato da uno stato dispotico per controllare e limitare la libertà dei cittadini.
La profilazione dei soggetti dal punto di vista delle idee politiche e la veicolazione di fake news con lo scopo di rafforzare/ far mutare il convincimento politico espresso attraverso il voto è una forma moderna di limitazione delle libertà politiche e di alterazione del meccanismo di scelta democratica.
La tutela della privacy nel mondo dei big data si sta evolvendo da semplice strumento di tutela dell’individuo a strumento di garanzia delle libertà non solo individuali, ma anche politiche e sociali. Questa tutela è necessaria se vogliamo evitare rischi di forme molto raffinate di totalitarismo che non si basano su metodi coercitivi, ma semplicemente sul possesso e sul controllo di dati.
Società digitale, perché il Gdpr è presidio dei diritti fondamentali
