Il potenziale dei big data è enorme, così come enormi sono i rischi a essi connessi per quanto riguarda la privacy e il loro potenziale di orientamento e manipolazione di scelte e azioni degli individui. Per questo sono da accogliere positivamente le raccomandazioni relative al loro utilizzo pubblicate dall’Autorità antitrust, dall’Agcom e dal Garante privacy a conclusione di un’indagine conoscitiva congiunta avviata nel 2017. Ma non bisogna fermarsi qui: il coordinamento inaugurato con questo intervento dovrebbe ora assumere carattere strutturale e sovranazionale.
Potenziale e pericoli dei big data
Il valore dei big data è noto e deriva dalla forza delle “3V” che li caratterizza: volume, velocità di acquisizione, varietà. La quantità di dati raccolti è tale che, tramite l’elaborazione e l’aggregazione degli stessi, è spesso possibile identificare un individuo partendo da informazioni anonime. Soprattutto, è possibile coglierne gusti, stile di vita, capacità di spesa, acquisti, convinzioni politiche, religiose ed altro. Ed è possibile farlo non solo con riferimento al singolo utente ma anche con riferimento ai componenti della sua famiglia nonché alla più o meno ampia cerchia di amici, colleghi, conoscenti.
Il potenziale è enorme. I pericoli anche.
Il pericolo è insito già nelle “3V” ed in particolare nella “V” di “Volume” e di “Varietà”: maggiore è il “Volume” e la “Varietà” dei dati acquisiti, maggiore è la possibilità di un loro sfruttamento e, di conseguenza, maggiore il valore economico divenendo più vasta la platea dei loro potenziali acquirenti. Per tale ragione, accade spesso che il Titolare finisca con l’acquisire dati ed informazioni” che vanno ben oltre quelli strettamente necessari a realizzare le finalità dichiarate. Dietro una finalità dichiarata si cela spesso una finalità nascosta che è quella di conoscere ed analizzare le preferenze, i gusti, le convinzioni degli utenti per poterne poi orientare e manipolare scelte ed azioni.
Data protection by design e by default
È pertanto fondamentale che i sistemi di analisi ed estrazione di dati siano sviluppati secondo i principi di data protection by design e data protection by default sanciti dal GDPR. L’estrazione di dati ultronei rispetto a quelli necessari per le finalità del trattamento può portare ad un’illecita profilazione e targhettizzazione di milioni di utenti ed all’alterazione della loro capacità di scelta negli ambiti più disparati della vita economica, sociale, politica.
Ma non basta: i dati e le informazioni sono scambiati ed incrociati dai titolari del trattamento secondo modalità per nulla trasparenti, favorite anche dall’assenza di normative e iniziative di controllo ad hoc e dalla scarsa o nulla consapevolezza di tale utilizzo da parte degli utenti, tendenzialmente ignari dell’uso che si fa dei propri dati.
Per tali ragioni è da accogliere positivamente, al di là dei contenuti e dei risultati che si potranno ottenere nell’immediato, l’attività di ricognizione, analisi e studio che le Autorità hanno congiuntamente avviato e che è sfociata nell’emanazione delle Linee Guida. Assolutamente condivisibile è altresì il fine ultimo che ha mosso le Autorità ovvero quello di disciplinare e porre sotto controllo i processi di acquisizione ed utilizzo dei Big Data e di uniformare gli standard a tutela della trasparenza, della cyber security e della concorrenza.
Al centro delle attenzioni delle Autorità, in particolar modo, la mancanza di normative sull’utilizzo dei Big Data e la necessità di potenziamento dei propri poteri ispettivi e sanzionatori.
L’implementazione delle normative
Non si vogliono qui disconoscere i vantaggi connessi all’innovazione tecnologica in generale, ma non vi è chi non vede come la capacità di profilare e targhettizzare milioni di utenti su scala globale possa, ove non limitata e controllata da specifiche normative, conferire un potere eccessivo e pericoloso in capo agli operatori digitali, tale da alterare il rispetto dei diritti fondamentali, la libera concorrenza, il pluralismo nelle sue più diverse manifestazioni e la tenuta stessa dei sistemi democratici.
Le aziende in grado di sviluppare algoritmi e sistemi di intelligenza artificiale capaci di estrarre dai dati così raccolti, con estrema velocità, le informazioni analitiche idonee a supportare la loro azione sui mercati, si pongono, infatti, in una posizione di supremazia competitiva che solleva non pochi dubbi di liceità non fosse altro che per la scarsa trasparenza con cui tali dati sono acquisiti a monte e per gli scarsi o inesistenti controlli lungo il complesso, tortuoso e probabilmente sconosciuto percorso che i dati, una volta raccolti, compiono.
Ben venga pertanto l’intervento delle Autorità e la loro azione volta a stimolare l’intervento del Legislatore nazionale e sovranazionale, al quale chiedono con forza di regolare alcuni aspetti tanto fondamentali quanto critici legati all’utilizzo dei Big Data: quali sono le informazioni che i Big Data raccolgono dall’ignaro utente? Per quali scopi e finalità li raccolgono? Quali controlli sono effettuati sulle stesse?
L’informazione e la tutela dell’utenza
Allo stato degli atti, uno degli aspetti più critici legato al sempre più rapido sviluppo di tecnologie di acquisizione di dati e di elaborazione degli stessi, è dato dalla scarsa o inesistente consapevolezza dell’utente circa le effettive finalità per i quali i suoi dati sono raccolti dai colossi del digitale.
Per tale ragione, è da condividere la preoccupazione delle Autorità di procedere alla riduzione dell’asimmetria informativa fra utenti e operatori digitali nella fase di raccolta di dati, in modo tale da rendere l’utente consapevole in merito all’utilizzo dei dati ceduti ed alla necessità o meno di cessione dei dati stessi in relazione alla tipologia di servizio offerto (a compensazione dell’attuale proporzione inversa fra costo del servizio e acquisizione di dati da parte, ad esempio, delle app).
È assolutamente auspicabile che la raccolta ed il successivo utilizzo dei dati avvengano sulla base di un consenso preventivo, informato e consapevole. Tale processo non sarà né semplice né breve ma la strada tracciata dalle Autorità è sicuramente quella giusta: dovranno essere incrementati i meccanismi di opt-in ed opt-out, per poter permettere all’utente-consumatore di scegliere il “grado di profilazione” dei propri dati, nonché i sistemi di portabilità tra le piattaforme, in linea con quanto sancito dall’art. 20 del GDPR.
Al fine di allineare l’utilizzo dei Big Data ai principi della cyber security è necessario che l’utente sia reso edotto della natura del dato raccolto (personale o meno) e delle possibilità che, partendo da tale dato, sebbene anonimizzato, si possa pervenire alla sua identificazione da parte di un successivo potenziale utilizzatore di quel dato. Si tratta di un aspetto tanto delicato quanto grave in merito alla cui tutela occorre un’azione assai più incisiva. Tra i diversi profili di rischio è forse il più urgente.
Vanno altresì rivisti i parametri secondo i quali una condotta viene giudicata anticoncorrenziale o meno, aggiungendo ai tradizionali criteri di prezzo e quantità, i parametri della trasparenza e correttezza nella raccolta ed utilizzo dei dati dei propri utenti.
Il potenziamento dei controlli da parte delle Autorità
Fondamentale risulta, altresì, il rafforzamento dei poteri di audit e di inspection delle Autorità: nel campo dei Big Data, risulta di fondamentale importanza il controllo della profilazione algoritmica, ossia delle informazioni e dei contenuti raccolti, oltre alla periodica verifica terza ed indipendente della corretta applicazione delle policy e delle regole da parte delle piattaforme digitali globali.
Ad oggi, infatti, secondo quanto riportato da AGCOM, gli operatori digitali operano quali sistemi chiusi dotati di proprie regole, operando secondo criteri di autoregolazione piuttosto che di co-regolazione.
È necessario potenziare i poteri di ispezione delle Autorità e, in considerazione del diffuso comportamento ostruzionistico dei colossi digitali, è altresì necessario rafforzare i poteri di acquisizione delle informazioni da parte delle Autorità anche al di fuori dei procedimenti istruttori, con facoltà di irrogare sanzioni amministrative anche nel caso in cui vi fossero rifiuti/ritardi nel fornire le informazioni richieste o le informazioni si rivelassero ingannevoli/omissive.
L’istituzione di un coordinamento permanente tra le Autorità
Senz’altro positiva quindi l’azione delle Autorità e soprattutto la decisione di agire in maniera coordinata: è tuttavia fondamentale che tale coordinamento non abbia carattere episodico ma assuma connotazioni strutturali e soprattutto sovranazionali, al fine di ricondurre lo sviluppo tecnologico e dei mercati digitali nell’alveo della correttezza e della trasparenza secondo parametri normativamente fissati.
Gli interventi normativi nazionali, per poter essere efficaci, devono essere necessariamente coordinati a livello sovranazionale, al pari dei controlli, proprio perché sovranazionale e senza confini è il fenomeno di cui qui si discute.
Lodevole, dunque, l’intento di costituire dei binari entro i quali il fenomeno dei Big data possa essere lecitamente condotto e sfruttato nell’ottica di un potenziamento delle infrastrutture digitali e dei servizi forniti agli utenti.
