Horizon Europe 2021-2027

5G, il GDPR non basta: quali politiche per il trattamento dati

La combinazione di 5G, AI e IoT solleva importanti questioni di sicurezza e privacy. Per questo, la Ue deve promuovere ricerche avanzate sulla fondamentale questione del controllo dei dati per mantenere la sua leadership nella protezione dati e garantire a tutti i diritti inalienabili. Ecco i possibili approcci

Pubblicato il 09 Gen 2020

Enrico Del Re

Università di Firenze e CNIT

5g

Le future reti 5G, abbinate alle tecnologie di Intelligenza Artificiale e l’Internet delle Cose, sollevano problemi di sicurezza e privacy che non possono essere risolti solo dal GDPR, anche ipotizzando la sua completa conformità da parte dei fornitori di servizi.

In aggiunta e in sinergia con le regole del GDPR, abbiamo bisogno di soluzioni scientifiche e tecniche innovative per garantire agli utenti il ​​controllo completo sull’accesso e l’uso dei loro dati personali. Alcuni risultati preliminari sono incoraggianti per il raggiungimento di questo obiettivo, ma l’UE deve promuovere decisamente ricerche avanzate su questa complessa ma fondamentale questione nel prossimo programma quadro Horizon Europe per mantenere la sua leadership nella protezione dei dati personali degli utenti e garantire a tutte le persone i loro inalienabili diritti.

Sicurezza e privacy nei futuri sistemi Internet

Nei futuri sistemi Internet, le reti mobili 5G forniscono connettività ad alta velocità, ultra affidabile, massiva, ubiqua e sempre disponibile su scala globale, le potenzialità dell’Intelligenza Artificiale (IA) possono implementare l’elaborazione innovativa e dirompente di qualsiasi tipo di dati e i miliardi di oggetti e sensori (più o meno) intelligenti sempre connessi nell’Internet delle Cose (Internet of Things-IoT) forniscono un’enorme quantità di dati (Big Data).

La combinazione di queste tre tecnologie realizzerà la possibilità di ottenere, archiviare, elaborare, fornire grandi volumi di dati di diversissima natura. La maggior parte di questi dati si riferiranno a informazioni sensibili delle persone e potrebbero essere acquisiti anche senza la consapevolezza dei soggetti interessati. Due esempi particolarmente realistici si presentano quando si creano profili automatici (la cosiddetta profilazione senza alcun intervento umano) di dati personali e il riconoscimento facciale automatico. Non è visionario immaginare che questo scenario assomigli a un computer globale e distribuito sempre presente che tratta dati personali senza la consapevolezza dei loro proprietari e suggerisce un futuro molto peggiore di quello immaginato nel famoso Grande Fratello descritto nel 1984 di George Orwell, con il rischio concreto di violazione dei diritti umani fondamentali e per le persone di diventare i nuovi futuri schiavi digitali di alcuni grandi attori.

Ovviamente, 5G, IA e IoT possono offrire enormi benefici e vantaggi alla società e alle persone (ad esempio per applicazioni e servizi di sanità per disabili e anziani, controllo e sicurezza dell’ambiente, produzione e utilizzo di energia intelligenti, gestione della mobilità intelligente, efficienza dell’industria, città intelligenti, edifici intelligenti, media e intrattenimento, pubblica amministrazione e tanto altro ancora) ed è un interesse vitale di tutta la società umana preservarne i benefici riducendo al minimo i rischi associati alla sicurezza personale e alla privacy.

L’Unione Europea (UE) dal 2012 ha affrontato questo problema e ha dichiarato: “Costruire la fiducia nell’ambiente online è fondamentale per lo sviluppo economico. La mancanza di fiducia fa esitare i consumatori ad acquistare online e ad adottare nuovi servizi, compresi i servizi pubblici di e-government. Se non affrontata, questa mancanza di fiducia continuerà a rallentare lo sviluppo di usi innovativi delle nuove tecnologie, a ostacolare la crescita economica e a impedire al settore pubblico di raccogliere i potenziali benefici della digitalizzazione dei suoi servizi, ad esempio in servizi più efficienti e meno dispendiosi in termini di risorse. Questo è il motivo per cui la protezione dei dati svolge un ruolo centrale nell’agenda digitale europea, e più in generale nella strategia Europa 2020” [1] e “a partire dalla progettazione iniziale, i nuovi sistemi devono includere come requisiti iniziali:

  • Il diritto di cancellazione
  • Il diritto all’oblio
  • La portabilità dei dati
  • Le regole sulla privacy e sulla protezione dei dati

tenendo conto di due principi generali:

  • L’IoT non deve violare l’identità umana, l’integrità umana, i diritti umani, la privacy o le libertà individuali o pubbliche
  • Le persone devono mantenere il controllo dei propri dati personali generati o elaborati nell’ambito dell’IoT, salvo laddove ciò sia in conflitto con il principio precedente” [2].

I principi e le linee guida di base del GDPR

A seguito di queste dichiarazioni generali e visionarie, nonostante i numerosi e pesanti tentativi di ostacolare qualsiasi norma, l’Ue ha emesso il GDPR (Regolamento Generale sulla Protezione dei Dati) che è entrato in vigore in tutti gli Stati membri il 25 maggio 2018 [3]. Questo complesso documento normativo tratta tutti i requisiti di sicurezza digitale relativi ai dati personali e, in particolare, alla riservatezza e alla privacy dei dati riferiti comunque all’utente interessato.

I principi e le linee guida di base del GDPR, quando qualcuno o qualcosa stia raccogliendo, elaborando, archiviando e fornendo dati personali, sono: liceità, correttezza, trasparenza, minimizzazione, limitazione delle finalità, sicurezza, accuratezza e integrità.

Un’altra caratteristica fondamentale e distintiva è che i fornitori di servizi devono chiedere all’interessato il consenso definito come “qualsiasi indicazione liberamente fornita, specifica, informata e inequivocabile dei desideri dell’interessato con i quali egli, con una dichiarazione o con una chiara azione affermativa, firma un accordo al trattamento dei dati personali che lo riguardano” [3, preambolo 32].

Il consenso non viene dato una volta per sempre, ma deve essere rinnovato ogni volta che i dati personali vengono utilizzati per scopi diversi da quelli inizialmente autorizzati. Sono previste pesanti sanzioni per i fornitori di servizi che non rispettano le regole del GDPR.

Il GDPR è un significativo passo avanti per la sicurezza e la protezione della privacy degli utenti, come è dimostrato dalla accettazione internazionale dei suoi principi, che hanno ottenuto un convinto consenso al di fuori dell’Europa (California, Giappone, Brasile, Singapore, Nuova Zelanda e altri) e, forse obtorto collo, in recenti eventi pubblici hanno persino suggerito agli amministratori delegati dei principali social network di sponsorizzare la loro adozione su base mondiale.

Il Gdpr basta a garantire sicurezza e privacy?

Pertanto, possiamo essere certi che le norme GDPR siano sufficienti a garantire la sicurezza e la privacy dei dati personali nei futuri sistemi Internet?

Innanzitutto, l’implementazione dei requisiti di sicurezza informatica, anche dopo il GDPR, è responsabilità dei fornitori di servizi che dovrebbero garantirne l’adempimento. Le pesanti sanzioni in caso di non conformità dovrebbero convincere i fornitori di servizi ad adeguarsi e ad attuare tutti gli strumenti e le azioni necessarie, ma tutti sappiamo che non è sempre così.

In secondo luogo, i servizi attualmente offerti, mentre tentano troppo lentamente di conformarsi alle regole del GDPR, mancano quasi completamente all’adempimento dei requisiti di sicurezza e privacy “a partire dalla progettazione iniziale”, come affermato dai principi dell’UE.

In terzo luogo, il GDPR è pienamente conforme al principio dichiarato dalla UE Le persone devono mantenere il controllo dei propri dati personali generati o elaborati nell’ambito dell’IoT”? A parte la richiesta iniziale di consenso, nessun controllo a priori da parte dell’interessato dell’uso successivo autorizzato o non autorizzato dei suoi dati è garantito e al massimo può essere verificato solo a posteriori, ad esempio con l’accesso a un database di tutte le transazioni di dati certificate da una tecnologia di blockchain. La profilazione automatica, il riconoscimento facciale e, in futuro, l’analisi dei ferormoni individuali [11] sono esempi di trattamento di dati personali che possono non essere regolati dal GDPR.

La soluzione di questi problemi non può fare affidamento solo su normative anche molto avanzate come il GDPR. Per evitare, forse definitivamente, la violazione dei nostri diritti fondamentali, abbiamo bisogno di un nuovo paradigma di “controllo a priori dell’utilizzo dei dati”, definito come “salvo casi di forza maggiore o di emergenza, l’uso in qualsiasi forma e per qualsiasi scopo dei dati personali deve essere autorizzato a priori ed esplicitamente dal suo proprietario, correttamente informato della finalità dell’uso”. Per raggiungere questo obiettivo estremamente impegnativo ma essenziale, dobbiamo complementare le direttive innovative e rivoluzionarie del GDPR con nuovi strumenti tecnologici efficienti che realizzino specificamente e continuativamente il controllo diretto da parte dell’interessato dei suoi dati.

Attività di ricerca in corso sul “controllo a priori dell’utilizzo dei dati”

Di recente, alcuni progetti di ricerca internazionali sono in corso su questo argomento. In letteratura, essi appaiono con nomi diversi: “User-centric security and privacy” [4], “Information-centric cybersecurity” [5] [6] [7], “Usage control cybersecurity” [8] [9].

User-centric Security and Privacy

Nel 2015 nell’ambito del programma CHIST-ERA l’UE ha pubblicato un bando User-Centric Security, Privacy and Trust in the Internet of Things [4]. Sono stati selezionati sei progetti, avviati nel 2017 e con termine nel 2019. Altri progetti sono in corso in specifici bandi del programma quadro Horizon 2020. I risultati preliminari di questi progetti sono presentati nel testo “Security and Privacy in Internet of Things – Challenges and Solutions, within the series: Ambient Intelligence and Smart Environments”[10], nella cui Prefazione è riportata una sinossi delle nuove tecnologie proposte e delle applicazioni a specifici casi d’uso. L’obiettivo di questi progetti è supportare gli utenti nel comprendere l’accessibilità, la raccolta, l’utilizzazione, la elaborazione e il mantenimento al sicuro dei loro dati. La sicurezza e la privacy sono implementate sin dallo sviluppo iniziale della progettazione di un’applicazione o un servizio e sono sotto il controllo della persona interessata con soluzioni tecniche relativamente semplici. Fornendo le informazioni pertinenti, gli utenti dovrebbero avere la possibilità di essere consapevoli e di prendere le proprie decisioni in merito ai propri dati, essenziale per ottenere il consenso informato e garantire l’adozione e il successo delle tecnologie IoT. È anche previsto un coinvolgimento sociale proattivo degli utenti sin dall’inizio per promuovere l’educazione e la consapevolezza dei loro diritti e fornire soluzioni tecniche adeguate per soddisfare i requisiti condivisi.

I progetti affrontano uno o più dei seguenti argomenti di ricerca:

  • Metodi per l’anonimizzazione dei dati
  • Meccanismi automatici per aumentare l’affidabilità quando i dati sono condivisi tra diversi fornitori
  • Metodi di rilevamento delle intrusioni
  • Autenticazione tramite elaborazione sicura
  • Sicurezza dinamica per consentire ai sistemi di adattarsi agli utenti con requisiti e capacità diversi
  • Strumenti per supportare le preferenze e le priorità degli utenti culturalmente diversi
  • Linguaggio naturale per esprimere la politica di accesso/utilizzo dei dati
  • Visualizzazione dei dati per aumentare la consapevolezza degli utenti in merito ai problemi di privacy
  • Offrire agli utenti uno strumento di valutazione del rischio per i loro dati e contatti
  • Tecnologie e tecniche assistite per incoraggiare i comportamenti e una consapevolezza più affidabili degli utenti

Esempi di applicazione delle nuove tecnologie ad alcuni casi d’uso sono la conformità al regolamento GDPR, la gestione del consenso informato o della negazione e della privacy nelle app mobili, l’applicazione alla catena alimentare, il bilanciamento energetico della fornitura elettrica, i giochi mobili, i contatori intelligenti, strumenti per le persone con esigenze speciali, estrazione, classificazione e crittografia del contenuto del documento e tecnologie di blockchain.

Information-centric cybersecurity

Questo approccio appare come un paradigma rivoluzionario. Propone un’autoprotezione interna dei dati anziché una protezione esterna da parte dei sistemi e/o delle applicazioni insieme a un nuovo design dell’architettura funzionale e complessiva dei microprocessori e dei sistemi operativi. L’intelligenza è incorporata nei dati stessi che definiscono la loro “politica di utilizzo” per attuare un’azione di autodifesa in qualsiasi contesto applicativo. Accedendo ai dati, la nuova CPU e il nuovo sistema operativo consultano la “politica di utilizzo” dei dati e li usano (li elaborano) solo se il contesto è affidabile e coerente con la sua politica di utilizzo.

Se tecnicamente realizzata, questa combinazione di una nuova struttura di dati e di una nuova architettura hardware/software potrebbe risolvere definitivamente il problema dell’elaborazione controllata e autorizzata dei dati dell’utente. Tuttavia, con questo approccio anche la possibile soluzione tecnica non è sufficiente. Avremmo bisogno dell’accordo su una regolamentazione internazionale e vincolante (cioè la standardizzazione) affinché questa soluzione tecnica sia adottata da tutti i sistemi di elaborazione di nuova generazione. Naturalmente, quest’ultimo punto è molto più difficile da raggiungere in tempi realistici.

Usage control cybersecurity

Questo approccio utilizza ancora una “politica di utilizzo” incorporata nei dati. I dati e la sua “politica di utilizzo” sono incorporati in un’entità crittografata e solo un software specifico autorizzato alla sua decodifica utilizza i dati secondo la sua “politica di utilizzo”. Dinamicamente la “politica di utilizzo” può anche essere modificata nel tempo. È interessante notare che questa proposta non richiede alcuna modifica all’architettura dei microprocessori e dei sistemi operativi attuali, ma solo un software appositamente progettato autorizzato ad accedere ed elaborare i dati crittografati. Pertanto, potrebbe già funzionare su tutti i sistemi di elaborazione attuali.

Il ruolo della UE in Horizon Europe

Tutte le tecniche descritte hanno la potenzialità rivoluzionaria di garantire il corretto utilizzo dei dati personali sotto il diretto controllo degli interessati:

  • “User-centric security and privacy” e “Usage control cybersecurity”, con alcune rilevanti differenze, richiedono solo l’implementazione, anche negli attuali sistemi di elaborazione, del software specifico e della crittografia dei dati inclusiva della loro “politica di utilizzo”
  • “Information-centric cybersecurity” richiede un cambiamento di paradigma nella progettazione e nell’implementazione di microprocessori e sistemi operativi e un accordo globale internazionale su un nuovo standard per i sistemi di elaborazione di futura generazione.

L’orizzonte dell’effettiva disponibilità e realizzazione è quindi molto più vicino ai primi, mentre quest’ultimo fornirebbe una soluzione più definitiva alla sicurezza e alla privacy dei dati degli utenti. Tuttavia, al momento tutte le tecniche richiedono adeguate risorse di elaborazione, che, sebbene compatibili con gli attuali sistemi di elaborazione, sono troppo impegnative dal punto di vista computazionale per l’uso nella futura IoT, dove la maggior parte degli oggetti nella rete avrà capacità di elaborazione ridotte o molto scarse. Nei futuri scenari dell’IoT sono necessarie soluzioni tecniche molto più semplici e applicabili.

Infine, quale potrebbe e dovrebbe essere il ruolo dell’Unione europea nel prossimo programma quadro Horizon Europe 2021-2027?

L’Ue, prima e unica entità politica a livello internazionale, ha il grande merito di aver sollevato il problema della protezione dei dati personali degli utenti nei futuri sistemi Internet e IoT. Ha resistito a tutti i tentativi di fermare e depotenziare qualsiasi regolamento e alla fine è riuscita a emanare il GDPR, regolamento cogente per tutti gli Stati membri. Il successo internazionale e il riconoscimento delle norme del GDPR pongono l’Ue all’avanguardia delle implicazioni legali e della protezione dei dati personali. Tuttavia, per continuare e rafforzare la propria leadership nella protezione dei dati personali, l’UE deve sostenere in modo convinto, deciso e con adeguate risorse finanziarie la ricerca scientifica e tecnica della soluzione di garantire alle persone il controllo a priori diretto, responsabile e continuo dell’utilizzo dei propri dati. I lodevoli finanziamenti in Horizon 2020 e in CHIST-ERA non sono sufficienti. Gli interessanti risultati preliminari già ottenuti devono essere seguiti da un’intensa ricerca scientifica sulle possibili soluzioni tecniche e realizzazioni tecnologiche per raggiungere definitivamente uno strumento conveniente per gli scenari IoT e sufficientemente semplice per l’uso dei comuni cittadini. Questo dovrebbe essere uno degli obiettivi scientifici e tecnici più rilevanti e caratterizzanti nel prossimo programma quadro Horizon Europe 2021-2027.

Conclusioni

L’UE ha svolto un ruolo fondamentale nello stabilire le norme sulla protezione dei dati personali mediante il GDPR. Tuttavia, ciò non è sufficiente nei futuri scenari che combinano 5G, AI e IoT, poiché le normative possono sempre essere violate, anche a dispetto di pesanti sanzioni in caso di non conformità, e l’uso di dati personali è ancora possibile senza la consapevolezza dell’utente. Pertanto, l’unico approccio alla soluzione definitiva della protezione dei dati personali è scientifico e tecnico, cioè mediante la ricerca di strumenti tecnologici che, con semplici operazioni, diano all’utente il potere di controllare sempre a priori il possibile uso dei suoi dati e di decidere conseguentemente il tipo di consenso.

Sulle orme del suo ruolo guida da parte del GDPR nel campo della regolamentazione, l’UE dovrebbe promuovere con un grande impegno politico e finanziario questo decisivo obiettivo scientifico e tecnico nel prossimo programma quadro Horizon Europe 2021-2027. Con questo impegno e la ragionevole speranza di raggiungere la soluzione di questo obiettivo, l’UE non solo si confermerebbe leader internazionale nella protezione dei dati personali, ma, soprattutto, sarebbe considerata il lodevole e fondamentale benefattore dei soggetti digitali della futura società umana.

_____________________________________________________________________

Bibliografia

[1] European Commission, 25.01.2012, SEC(2012)72 final, page 4.

[2]European Commission, 2013, IoT Privacy, Data Protection, Information Security. http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=1753

[3] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46, Official Journal of the European Union (OJ), vol. 59, pp. 1-88, 2016.

[4] UE CHIST-ERA 2015 call: User-Centric Security, Privacy and Trust in the Internet of Things

[5] R. Chow, et al., Controlling Data in the Cloud: Outsourcing Computation without Outsourcing Control, in Proceedings of the 2009 ACM Workshop on Cloud Computing Security, ser. CCSW ’09. New York, NY, USA: ACM, 2009, pp. 85–90. [Online]. Available: http://doi.acm.org/10.1145/1655008.1655020

[6] R.B Lee, Rethinking computers for cybersecurity, IEEE Computer, pp. 16–25, 2015

[7] IEEE Communications Mag., Jan. 2017

[8] A. Lazouski, F. Martinelli, P. Mori, Usage control in computer security: A survey, Computer Science Review, vol. 4, no. 2, pp. 81–99, May 2010. [Online]. Available: http://dx.doi.org/10.1016/j.cosrev.2010.02.002

[9] E. Carniani, D. D’Arenzo, A. Lazouski, F. Martinelli, P. Mori, Usage Control on Cloud systems, Future Generation Computer Systems, vol. 63, pp. 37 – 55, 2016, Modeling and Management for Big Data Analytics and Visualization. [Online]. Available: http://www.sciencedirect.com/science/article/pii/S0167739X16300875

[10] J.L. Hernandez Ramos, A. Skarmeta, (Eds), Security and Privacy in Internet of Things – Challenges and Solutions, within the series: Ambient Intelligence and Smart Environments, (Preface by E. Del Re), IOS Press, 2020

[11] https://iapp.org/resources/article/privacy-2030/

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • GDPR

    GDPR, tutto ciò che c'è da sapere per essere in regola

    05 Apr 2024

    di Anna Cataleta, Alessandro Longo e Raffaella Natale

    Condividi

Prossimo

GDPR, tutto ciò che c'è da sapere per essere in regola

Articolo 1 di 2