Il GDPR, come ogni normativa, dovrebbe essere rispettata, ma non sempre questo accade, anche se ci sono pesantissime sanzioni per chi viola le regole. In linea di principio il registro delle Blockchain, se utilizzato per i dati personali, potrebbe tracciare inequivocabilmente il loro utilizzo e fornire lo strumento decisivo di prova non confutabile di eventuali violazioni. Quindi, unendo la norma alla tecnologia, gli utenti possono sentirsi perfettamente e definitivamente tutelati?
La risposta, purtroppo, non è positiva. Vediamo perché prendendo in considerazione un paio di aspetti, legati alla profilazione e al controllo dei dati.
GDPR e tutela dei dati personali
Il GDPR, entrato in vigore in tutta la Ue da circa un anno, come è noto, impone a qualunque ente o azienda, anche con sede legale fuori dalla Ue, che comunque fornisca servizi a cittadini della UE, di osservare e garantire regole stringenti per la protezione e l’utilizzo dei dati forniti dagli interessati per il servizio richiesto e di vigilare con opportune strutture operative responsabili del rispetto delle regole e della tempestiva informazione agli interessati delle eventuali violazioni.
Una delle regole più significative è quella relativa alle caratteristiche del consenso degli interessati all’accesso e all’utilizzo dei propri dati: il consenso deve essere: libero, specifico per il servizio richiesto (non generico), consapevole e inequivocabile. Inoltre non può essere dato una volta per sempre, ma rinnovato esplicitamente ogni volta che i dati personali sono utilizzati per scopi diversi da quelli autorizzati inizialmente.
Il GDPR rappresenta un decisivo salto di qualità della normativa di protezione e tutela dei dati personali e si è imposto come insieme di regole di riferimento a livello internazionale. Anche i grandi players sovranazionali, come Google, Facebook, Apple, Amazon, devono (o meglio dovrebbero) attenersi a queste rigide regole. Sono significative, almeno come valenza formale e mediatica, le recenti affermazioni di Tim Cook, presidente di Apple (ottobre 2018) e di Mark Zuckerberg, presidente di Facebook (marzo 2019), che auspicano l’adozione generalizzata a livello internazionale di normative simili al GDPR.
Pur ammettendo la sincerità e la buonafede di tali prese di posizione pubbliche, gli utenti dei servizi di Internet (oggi e soprattutto in futuro con l’affermarsi dell’Internet delle cose) possono quindi stare tranquilli circa la tutela dei propri dati, una volta a regime l’applicazione del GDPR?
Gdpr+blockchain= dati sicuri al 100 per cento?
C’è una recente tecnologia, quella delle cosiddette blockchain, che sta ricevendo una grande attenzione per la protezione e il controllo dei dati. Come è noto, sostanzialmente essa realizza un libro mastro in cui vengono registrate tutte le operazioni (per esempio transazioni, trasferimenti, utilizzo, ecc.) dei dati. Questo libro mastro digitale, per progettazione e realizzazione intrinseche, è distribuito, sicuro, non alterabile e accessibile, quindi adattissimo alla registrazione affidabile di qualunque tipo di transazione di dati (finanziari, sanitari, sociali, ecc. e ovviamente anche privati). È evidentemente uno strumento decisivo e dirimente per la verifica a posteriori dell’utilizzo dei dati.
Quindi possiamo ancora domandarci se GDPR e blockchain insieme potranno garantire il corretto utilizzo e la perfetta tutela dei nostri dati?
La risposta, purtroppo, è no!
Ci sono almeno due aspetti che devono essere presi in considerazione.
In primo luogo, anche ammettendo per ipotesi la perfetta osservanza delle regole, ci sono situazioni in cui, magari legittimamente allo stato attuale delle norme (anche del GDPR), sono tracciati i nostri comportamenti, abitudini, preferenze, opinioni a nostra insaputa, la cosiddetta profilazione. Per esempio, semplicemente dando l’assenso a servizi o applicazioni di registrare e tracciare la nostra posizione, consentiamo a terzi di registrare quali luoghi frequentiamo, con quanta intensità, in quali orari, anche quali persone o gruppi di persone incontriamo nei luoghi frequentati e altre informazioni che riguardano le nostre abitudini, i nostri comportamenti e le nostre preferenze.
La profilazione delle nostre abitudini
È ipotizzabile anche che tale profilazione possa essere eseguita da enti diversi da quelli inizialmente autorizzati, che siano venuti, successivamente e magari legittimamente, a conoscenza dei nostri dati. Se frequentiamo spesso un centro commerciale le offerte di sconti e promozioni potrebbero interessarci ed esserci utili. Se frequentiamo spesso un ospedale o un ambulatorio medico potremmo avere dei problemi di salute e questo potrebbe interessare ad un potenziale datore di lavoro. Se frequentiamo spesso luoghi o manifestazioni a carattere politico, se ne potrebbero dedurre le nostre opinioni politiche. Se frequentiamo certi luoghi di culto, se ne potrebbe dedurre la nostra adesione ad una religione. Se incontriamo spesso gruppi di persone con dichiarate preferenze sessuali, se ne potrebbero dedurre analoghe nostre preferenze.
Quindi dai dati che noi stessi autorizziamo a registrare (in questo esempio semplicemente la posizione) possono essere estratti sia informazioni utili a noi sia nostri dati sensibili. Con l’avvento dell’Internet delle cose e del sistema 5G e la conseguente realizzazione di un ambiente ubiquo e sempre connesso, l’acquisizione, la memorizzazione e il trattamento, soprattutto con le tecnologie di Intelligenza Artificiale, dei dati personali sia legittimamente autorizzati sia rilevati a nostra insaputa dagli oggetti in rete aumenteranno esponenzialmente queste potenzialità e questi rischi. La profilazione delle nostre abitudini, dei nostri comportamenti, delle nostre preferenze basata su dati autorizzati e rilevati in rete potrebbe non essere sufficientemente tutelata dal GDPR.
In secondo luogo, fin dal 2014 la Ue ha stabilito il principio secondo cui “gli individui devono mantenere il controllo dei propri dati personali generati o trattati”. Il GDPR assegna il controllo dei dati personali non direttamente agli interessati ma ai fornitori dei servizi e, in seconda battuta, alle Autorità nazionali. Il GDPR, supportato dalle Blockchain al più garantisce a posteriori il controllo degli interessati circa l’utilizzazione dei propri dati.
In definitiva, le norme (GDPR) e le tecnologie disponibili (Blockchain) non sono adeguate al controllo a priori e in itinere dei propri dati da parte degli interessati, ma lo possono realizzare solo a posteriori.
Come aumentare il livello di protezione dei nostri dati: “a priori data usage control”
Possiamo fare qualcosa per aumentare il livello di protezione, già molto elevato ma non definitivo garantito dal GDPR, della tutela dei nostri dati secondo il principio “gli individui devono mantenere il controllo dei propri dati personali generati o trattati” anche a priori e in itinere?
La risposta non può essere nella normativa, ma solo nella tecnologia. Una nuova tecnologia o insieme di tecnologie che rispettino il requisito di progetto “a priori data usage control”: salvo casi di forza maggiore o di emergenza, l’utilizzo in qualunque forma e per qualunque obiettivo di un dato personale deve essere autorizzato preventivamente ed in modo esplicito dal suo possessore, correttamente informato delle finalità di uso.
Allo stato attuale non ci sono tecnologie che soddisfino questo requisito, ma esistono, soprattutto in Europa, ricerche con questa finalità che hanno prodotto risultati di un certo interesse e molto promettenti per il futuro. Occorre, però, che la Ue, all’avanguardia in questo settore sia dal punto di vista normativo sia delle ricerche in corso, promuova tempestivamente una decisa, consistente ed efficace attività di ricerca sulle “a priori data usage control technologies” con significativi investimenti nel prossimo Programma Quadro di ricerca e sviluppo Horizon Europe 2021-2027.
