Con un comunicato congiunto dello lo scorso 1 giugno. l’Autorità Antitrust, l’Autorità per le Garanzie e nelle Comunicazioni e l’Autorità Garante per la protezione dei dati personali hanno comunicato di “aver avviato un’indagine conoscitiva congiunta riguardante l’individuazione di eventuali criticità connesse all’uso dei cosiddetti Big Data e la definizione di un quadro di regole in grado di promuovere e tutelare la protezione dei dati personali, la concorrenza dei mercati dell’economia digitale, la tutela del consumatore, nonché i profili di promozione del pluralismo nell’ecosistema digitale”. Si tratta di una prima indagine a livello europeo nel suo genere che coinvolge tre importanti Autorità indipendenti unite nell’affrontare in maniera multidisciplinare un tema di così forte attualità e importanza strategica per i suoi impatti sociali ed economici sulle nostre società.
Dati, dati, dati… grandi opportunità
Da più parti è stato detto che i dati rappresentano il combustibile del nostro secolo, esattamente come il petrolio lo è stato per quello passato. Sui dati si basano alcune delle principali e più profittevoli aziende della new economy (es. Alibaba, Amazon, Facebook, Google, ecc.) che, sfruttando le valanghe di dati (Big Data) derivanti dalle loro attività commerciali e/o social, hanno creato nuove e sempre più potenti infrastrutture in grado di dominare i mercati, raggiungendo impressionanti capitalizzazioni (si pensi che, alla data, Facebook, nata nel 2004, è capitalizzata con circa 450 miliardi di dollari, mentre, la General Electric, fondata nel 1892, capitalizza circa 240 miliardi di dollari).
In generale, con il termine “Big Data”, oltre riferirsi ad enormi quantità di dati, si suole indicare l’insieme dei metodi e degli strumenti in grado di analizzare enormi volumi di informazioni, diversificate per sorgente e tipologia, mediante algoritmi sempre più sofisticati, producendo conoscenza utile per governare complessi processi di decision making. Ad esempio, i Big Data possono aiutarci nella comprensione di complessi fenomeni tipici della ricerca scientifica (si pensi, ad esempio, ad un tema straordinariamente attuale come la medicina personalizzata), ma anche della produzione (progettare e realizzare prodotti/servizi che si basano sul rapporto diretto dei clienti/utenti garantendo, nel contempo, risparmi nei costi derivanti dalla ottimizzazione delle risorse). Le odierne tecnologie rendono possibile lo sfruttamento concreto dei Big Data garantendo impressionanti e sempre crescenti capacità di raccolta, stoccaggio e elaborazione dei dati, nonché la capacità di analizzare, comprendere e approfittare del pieno valore dei Big Data mediante l’utilizzo di sofisticati software per “Big Data Analytics”. Quindi, non v’è dubbio che i Big Data siano potenzialmente forieri di grandissime opportunità per l’avanzamento della conoscenza e per contribuire al miglioramento delle nostre vite. A dimostrazione di questo basti pensare che alcune università e centri di ricerca hanno recentemente avviato dottorati in “Data Science”. La “data science” rappresenta un cambio di paradigma che investe tutte le discipline scientifiche, spingendo verso la scoperta di conoscenza che emerge dalle enormi masse di dati disponibili. Conoscenza che può suggerire agli scienziati nuovi modelli per comprendere più a fondo la complessità dei fenomeni sociali, economici, biologici, tecnologici, culturali, naturali. La disponibilità dei “big data” ha spinto verso la convergenza di discipline e tecnologie molto diverse: basi di dati e data mining, machine learning e intelligenza artificiale, sistemi complessi e network science, statistica e fisica statistica, analisi dei testi, matematica applicata. La “data science” nasce proprio dall’incontro di questa diversità multi-disciplinare. In Italia è stato avviato, recentemente e in contemporanea, un nuovo dottorato su queste tematiche, dall’Università di Bologna e, a Pisa, da una compagine, coordinata dalla Scuola Normale Superiore, che include: l’Università di Pisa, il Consiglio Nazionale delle Ricerche, la Scuola Superiore Sant’Anna, e la Scuola “IMT Alti Studi Lucca”.
Dati, dati, dati… ma anche grandi rischi
Nel contempo, però, i rischi legati all’uso e sfruttamento indiscriminato dei Big Data sollevano anche molti interrogativi e concrete preoccupazioni (alcune delle quali veramente inquietanti) a riguardo di come, e da chi, questi enormi giacimenti di dati sono utilizzati. Una delle preoccupazioni più ricorrenti riguarda la tutela della riservatezza delle persone, visto che, nel caso di Big Data, le tecniche di “anonimizzazione” dei dati, usate comunemente al fine di renderne i soggetti non riconoscibili, possono essere abbastanza facilmente aggirate incrociando opportunamente, e analizzandoli con sofisticate tecniche di data mining, i tanti e variegati dati raccolti sulle persone, per cui è di fatto possibile identificare i soggetti e profilarli a svariati livelli di dettaglio con il conseguente rischio concreto di “sapere tutto su tutti” e, conseguentemente, aprire varchi nei confronti delle libertà delle persone.
A questo si aggiungano anche i danni prodotti nell’ignara opinione pubblica da eventi accaduti nel recente passato che confermano queste preoccupazioni. Un esempio emblematico è stato lo scandalo, denominato “Datagate”, apparso alla ribalta delle cronache mondiali nella primavera del 2013 a seguito delle rilevazioni di Edward Snowden (il whistleblower, ex informatico della Cia) che denunciava alcuni dettagli a riguardo dei programmi di sorveglianza di massa della potente National Security Agency (NSA) e del ruolo attivo svolto da alcune importanti compagnie statunitensi del settore ICT. Ne derivarono inchieste condotte da due autorevoli testate giornalistiche, Washington Post e The Guardian che, per questo, nell’aprile del 2014, vennero insignite del Premio “Pulitzer”. Sull’onda emozionale generata dal Datagate e, in particolare, del fatto che alcuni Paesi europei, alleati degli USA, erano stati anch’essi oggetto di spionaggio da parte della NSA, Viviane Reding, l’allora Commissario europeo alla Giustizia, pose le questioni generate dal Datagate all’ordine del giorno del Consiglio europeo del 24 ottobre 2013, al fine di predisporre una risposta europea, forte e univoca, agli Stati Uniti.
In realtà, da tempo, un numero crescente di esperti e intellettuali di varia estrazione, aveva sollevato il problema chiedendo di intensificare le azioni di sensibilizzazione dell’opinione pubblica a riguardo della necessità di regolamentare l’utilizzo dei dati personali da parte di aziende operanti sul web. Tra questi, in rispetto e ricordo della sua recente scomparsa, non posso non citare il Professor Stefano Rodotà che, dal 1997 al 2005, è stato il primo Presidente del Garante per la protezione dei dati personali. Rodotà, fine giurista di altissimo livello, aveva da sempre a cuore le problematiche relative agli effetti della digitalizzazione e, nel 2014-2015 aveva presieduto la Commissione di studio per l’elaborazione di principi in tema di diritti e doveri relativi ad Internet, fortemente voluta dalla Presidente della Camera, Laura Boldrini, per la predisposizione della “Dichiarazione dei diritti in Internet”, in riconoscimento che la Rete “si configura come uno spazio sempre più importante per l’autorganizzazione delle persone e dei gruppi e come uno strumento essenziale per promuovere la partecipazione individuale e collettiva ai processi democratici e l’eguaglianza sostanziale”. La Dichiarazione, nei suoi 14 articoli, intende essere anche “condizione necessaria perché sia assicurato il funzionamento democratico delle Istituzioni, e perché si eviti il prevalere di poteri pubblici e privati che possano portare ad una società della sorveglianza, del controllo e della selezione sociale”.
Più recentemente, il 6 giugno 2017, nel suo discorso “Persona, diritti, innovazione” durante la presentazione “Relazione sull’attività svolta nel 2016 e sullo stato di attuazione della normativa sulla privacy”, il Presidente del Garante per la protezione dei dati personali, Antonello Soro, a riguardo dei Big Data, scrive: “La combinazione tra la tendenza, sempre più diffusa, alla condivisione e la centralità dei Big Data per il sistema economico, costituisce il fondamento dell’economia digitale, basata sullo sfruttamento commerciale delle informazioni personali e sulla costruzione di modelli identitari omologati e omologanti, per condizionare scelte individuali e collettive. L’identità personale rischia così di ridursi ad un profilo di consumatore, elettore, comunque utente che un algoritmo attribuisce a ciascuno, finendo per annullare l’unicità della persona, il suo valore, la sua eccezionalità. L’identità personale diventa una cifra per Big Data. La tutela della persona rispetto a queste forme di monitoraggio più o meno occulto del proprio comportamento in rete, è dunque indefettibile garanzia di libertà. Del resto, se ciò che per ciascuno è dato personale, intima essenza del sé, diviene per i grandi monopolisti del web dato economico da sfruttare commercialmente, le implicazioni in termini antropologici, ma anche sociali e politici sono eloquenti. È significativo che la legislazione europea in materia ruoti attorno alla figura del “data subject”: l’interessato è definito a partire dai suoi dati, ne è fonte ed allo stesso tempo ne ha la signoria, il cui esercizio rappresenta la vera e unica garanzia rispetto ai tanti “grandi fratelli” che governano la rete.
E ancora: “La concentrazione in capo a pochi soggetti privati di un rilevantissimo potere, non solo economico, ha infatti determinato un mutamento sostanziale nei rapporti tra individuo e Stato, tra pubblico e privato, cambiando profondamente la geografia del potere. Un numero esiguo di aziende possiede un patrimonio di conoscenza gigantesco e dispone di tutti i mezzi per indirizzare la propria influenza verso ciascuno di noi, con la conseguenza che, un numero sempre più grande di persone – tendenzialmente l’umanità intera – potrà subire condizionamenti decisivi”.
Azioni intese alla regolamentazione dell’utilizzo dei dati delle persone
Facendo un salto all’indietro nel tempo si scopre che parte delle preoccupazioni, molto ben espresse recentemente dal Garante per la privacy, cominciano da molto lontano e, certamente, il 23 settembre 1980 rappresenta una data molto importante perché in questa data l’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) pubblicò il rapporto “OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data” (che verrà successivamente aggiornato nel 2013), contenente sette principi per la protezione dei dati personali. Sebbene non vincolanti, si tratta di importanti raccomandazioni. Per comprendere la lungimiranza degli estensori di queste raccomandazioni basti pensare che Google Inc., uno tra i principali monopolisti del web, fu creata 1998.
L’Unione Europea, solo nel 1995, emana una direttiva (95/46/CE) relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Tra il 1998 e il 2000 vengono definiti i “Safe Harbor Privacy Principles” al fine di regolamentare la conservazione e l’uso dei dati in possesso di organizzazioni private all’interno dell’Unione Europea o negli Stati Uniti. L’accordo, che attua la direttiva europea 95/46/CE, riguarda le società che conservano i dati dei propri clienti (es. quelle operanti in Internet). Scopo primario dell’accordo è quello di impedire la perdita accidentale o la rivelazione di dati personali.
Purtroppo molte sono state le violazioni all’accordo da parte di molte aziende non europee rendendo, di fatto, il “Safe Harbor” di dubbia utilità pratica. Uno degli europei che hanno contribuito a denunciare questo genere di violazioni è stato Maximilian Schrems, un avvocato austriaco, specializzatosi nella Silicon Valley, che iniziò a interessarsi delle tematiche sulla privacy nel 2011, focalizzando la sua tesi di laurea presso l’Università di Santa Clara in California, sul tema del rispetto della privacy da parte di Facebook nel vecchio continente.
Tra gli altri risultati riportati nella sua tesi, Schrems dimostrò che Facebook gestiva perennemente le tantissime informazioni private riguardo i suoi utenti e non le cancellava neanche quando un utente decidesse di abbandonare il social network. Successivamente Schrems, ritornando in Europa costituì un gruppo di attivisti e avviò una campagna di sensibilizzazione nei confronti di questi comportamenti potenzialmente lesivi della privacy delle persone. Una delle azioni più significative condotte da Schrems fu la presentazione, nel 2011, di un ricorso alle autorità irlandesi contrario al trasferimento negli Stati Uniti dei suoi dati personali gestiti dalla filiale irlandese di Facebook e della preoccupazione che questi dati potessero usati indebitamente dalle Autorità statunitensi. Si noti che siamo nel 2011 e che il Datagate doveva ancora arrivare nella primavera del 2013!
Questo destò l’attenzione di importanti organi dell’Unione Europea che cominciarono ad avviare indagini a riguardo.
L’accordo, sino ad allora giudicato sicuro dalle autorità europee, venne messo in discussione (e annullato) da una sentenza del 6 ottobre 2015 della Corte di giustizia europea che, di fatto, rimise in discussione gli accordi tra l’Unione Europea e gli Stati Uniti a riguardo della gestione della privacy su Internet.
Il 2 febbraio 2016 l’Unione Europea e gli Stati Uniti, recependo quanto stabilito dalla Corte di giustizia dell’UE nella sentenza del 6 ottobre 2015, raggiungono un accordo politico (denominato: Scudo UE-USA per la Privacy) relativo alla regolamentazione dei flussi transatlantici dei dati, avente lo scopo primario di proteggere i diritti fondamentali dei cittadini europei i cui dati sono trasferiti negli Stati Uniti e di garantire la certezza del diritto per le imprese. Secondo questo accordo le imprese che operano negli Stati Uniti sono obbligate a proteggere meglio i dati personali dei cittadini europei e, nel contempo, vengono rafforzati i poteri di controllo del Dipartimento del Commercio degli Stati Uniti e della Federal Trade Commission, in più stretta collaborazione con le autorità europee di protezione dei dati.
E siamo arrivati ai giorni nostri con il varo del Regolamento UE 2016/679, denominato “Regolamento generale sulla protezione dei dati” (GDPR, General Data Protection Regulation) che, una volta adottato manderà in cantina la direttiva sulla protezione dei dati (95/46/EC) istituita nel 1995 e già descritta in precedenza.
Il nuovo Regolamento, adottato il 27 aprile 2016, intende rafforzare e unificare la protezione dei dati personali entro i confini dell’Unione Europea e include anche le tematiche relative all’esportazione di dati personali al di fuori dell’UE. Detto regolamento, che non richiede alcuna forma di legislazione applicativa da parte degli stati membri, entrerà in vigore a partire dal 25 maggio 2018.
Per “dati personali” è da intendersi qualsiasi informazione relativa a un individuo, collegata alla sua vita, sia privata, sia professionale o pubblica, ad esempio: nomi, foto, indirizzi email, indirizzi IP, coordinate bancarie, attività sui social, informazioni mediche, ecc.
Il nuovo Regolamento, che ha l’indubbio pregio di agevolare il processo di armonizzazione dei vari regolamenti sulla protezione dei dati in vigore negli stati membri, è alquanto corposo e contiene importanti elementi di novità estendendo, ad esempio, gli obiettivi della legge europea sulla protezione dei dati a tutte le imprese estere che gestiscono dati di residenti europei. A riguardo della sua concreta efficacia è interessante sottolineare quanto stabilito in materia di sanzioni finanziarie per la mancata osservanza del regolamento che, nei casi di acclarata e reiterata inadempienza, possono raggiungere il 4% del volume globale di affari.
Ovviamente il regolamento non riguarda la gestione di dati personali per attività di sicurezza nazionale o di ordine pubblico.
In conclusione…
Lo scrittore britannico George Orwell, il cui vero nome era Eric Arthur Blair, nel 1948 produsse la sua celebre, e incredibilmente attuale, opera: “1984” nella quale si descriveva una società governata da un’infallibile e onnisciente entità, che nessuno conosceva, denominata “Grande Fratello”. Ogni casa disponeva di un “teleschermo” in grado di ricevere e trasmettere e, chiunque, nel campo visivo di questo strumento, poteva essere sia visto che sentito. Ciascuno viveva in una condizione di assoluta mancanza di privacy perché qualsiasi rumore e/o movimento (che non fosse fatto al buio) sarebbe stato ascoltato e/o visto dal Grande Fratello.
Se nell’immaginario orwelliano, operando al buio, si poteva preservare la propria privacy, e aggirare questo incombente e costante controllo, nella odierna società, sempre più connessa, il crescente utilizzo dei Big Data, generati da un numero sempre più elevato di sensori, di vario ordine e grandezza, situati nell’ambiente che ci circonda o in nostro possesso (uno per tutti, lo smartphone), rende quasi banali gli scenari descritti da Orwell.
Al di là dei catastrofismi e di eventuali rigurgiti di natura “neo-luddista” nei confronti dell’uso della tecnologia, decisamene ingenui e antistorici, è certamente encomiabile che l’Antitrust, l’Agcom e il Garante per la privacy abbiano dichiarato di aver avviato un’indagine conoscitiva di cui all’inizio di questo articolo. A mio avviso è un primo passo molto importante per capire e, forse, derivare possibili approcci utili, se non per risolvere, almeno per “alleviare” il problema dell’uso improprio dei Big Data.
Nel contempo ritengo che, nonostante la crescente attenzione sul fenomeno dei Big Data e le azioni a livello europeo per regolamentarlo e ridurne rischi e, visto il soverchiante strapotere economico e tecnologico dei monopolisti del web, l’unico antidoto per “limitare i danni alla nostra privacy” sia quello di creare sempre più nei cittadini, a cominciare dai più giovani, la consapevolezza a riguardo dell’importanza della propria privacy perché, spesso, siamo noi che, con nostri comportamenti, agevoliamo i monopolisti del web ad usarci e sfruttarci commercialmente. I processi educativi devono certamente coinvolgere le famiglie e la scuola che sono e restano i pilastri principali della nostra società.
Ovviamente, assieme ai comportamenti dei singoli, anche i comportamenti “istituzionali” rivestono la loro importanza. A tal riguardo, ad esempio, dichiaro di nutrire serie perplessità sul fatto che, facendole passare per “rilevanti esempi di collaborazione tra pubblico e privato” intese anche a ottenere forme di risparmio, qualche anno fa, molte istituzioni accademiche italiane abbiano stipulato accordi con un notissimo monopolista del web per l’utilizzo di servizi (alcuni “gratuiti”) per l’accesso di ogni genere di documento, immagine e video prodotto in ambito accademico stoccato nel “cloud” privato di questa azienda. E’ pur vero che all’epoca non era ancora stato varato il “Regolamento generale sulla protezione dei dati” ma, alla luce delle forti e concrete perplessità sull’uso indiscriminato dei dati, mi chiedo se questo tipo di operazioni sia da considerarsi sensata o se, invece, non sarebbe stato il caso, ad esempio, di realizzare una piattaforma nazionale (un “cloud istituzionale”), gestita con logiche attente di protezione dei nostri dati (molti dei quali relativi a ricerche scientifiche, idee, risultati prodotti nel nostro Paese). È sensato offrire tutte le nostre informazioni nelle mani di qualcun altro giusto per risparmiare qualche spicciolo sulla gestione dei servizi di ateneo? Meditate gente, meditate….
