Regolamenti normativi innovativi, come il Regolamento generale sulla protezione dei dati (GDPR), pur rappresentando un fondamentale passo in avanti per la protezione dei dati personali, non sono tuttavia sufficienti a garantire i diritti di privacy dell’utente nella futura società digitale.
Le reti 5G, le tecnologie di Intelligenza Artificiale (IA) e l’Internet of Things (IoT) sollevano questioni di privacy [1] che potrebbero essere affrontate solo con nuovi approcci scientifici e tecnologici dirompenti. Soluzioni scientifiche e tecniche innovative devono garantire il completo controllo degli utenti sull’accesso e sull’utilizzo dei propri dati personali.
Un nuovo paradigma scientifico e tecnico, ovvero il “controllo individuale a priori dell’utilizzo dei dati“, è necessario per questo obiettivo impegnativo ma essenziale di garantire a tutte le persone i loro inalienabili diritti fondamentali di protezione della privacy.
Riassumiamo di seguito i principali risultati scientifici attualmente disponibili su questo argomento anche con l’obiettivo di sottolineare a tutte le istituzioni l’importanza strategica del supporto della ricerca futura per garantire una soluzione definitiva della protezione dei dati personali.
Inadeguatezza delle attuali tecnologie per la privacy nei futuri sistemi internet
Nei futuri sistemi Internet le reti mobili 5G forniscono connettività ad alta velocità, ultra-affidabile, massiva, ubiqua e sempre disponibile su scala globale, le potenzialità della IA possono realizzare elaborazioni innovative e potenti di qualsiasi tipo di dati e i miliardi di oggetti e sensori (più o meno) intelligenti sempre connessi nella IoT forniscono un’enorme quantità di dati (Big Data). La combinazione di queste tre tecnologie realizzerà la possibilità di ottenere, archiviare, elaborare, rendere disponibili Big Data diversificati e ad alto valore aggiunto. La maggior parte di questi dati farà riferimento a informazioni sensibili della persona e potrebbe essere acquisita anche all’insaputa dei soggetti interessati. Alcuni esempi di questo evento sono la profilazione automatica (ovvero la profilazione senza alcun intervento umano) dei dati personali e il riconoscimento facciale automatico. In prospettiva, nel prossimo futuro, l’analisi dei singoli feromoni [2] renderà ancora più critiche queste acquisizioni. Questi sono esempi di accesso e trattamento dei dati personali che non possono essere regolati dal GDPR. A parte la richiesta iniziale di consenso, non è garantito alcun controllo a priori da parte del titolare del successivo utilizzo autorizzato o non autorizzato dei suoi dati e al massimo ciò può essere verificato solo a posteriori, ad es. accedendo a un database di tutte le transazioni di dati certificate da tecnologie di registro distribuito, come le Blockchain.
Non è visionario immaginare che questo scenario assomigli a un computer sempre presente distribuito e globale che si occupa di dati personali senza la consapevolezza dei loro proprietari e suggerisce un mondo futuro molto peggiore di quello del famoso Grande Fratello descritto nel “1984” di George Orwell, con il rischio concreto di violazione dei diritti umani fondamentali e di persone che diventano i nuovi futuri schiavi digitali di pochi big player.
Naturalmente, 5G, IA e IoT possono fornire innovative applicazioni e enormi vantaggi alla società e alle persone (ad esempio per applicazioni e servizi di sanità elettronica per disabili e anziani, controllo e sicurezza dell’ambiente, produzione e utilizzo di energia intelligenti, gestione intelligente della mobilità, efficienza del settore, città intelligenti, edifici intelligenti, media e intrattenimento, e-government, prevenzione e controllo delle pandemie,…) ed è un interesse vitale dell’intera società umana preservare i benefici riducendo al minimo i rischi associati di violazione della sicurezza personale e della privacy.
L’Unione Europea, in particolare, dal 2012 ha affrontato questo problema e ha affermato che la protezione dei dati svolge un ruolo centrale nell’agenda digitale per la strategia Europa 2020 [3] e che, per impostazione predefinita, i nuovi sistemi Internet devono soddisfare sin dalla fase di progettazione l’obiettivo che “le persone devono mantenere il controllo dei propri dati personali generati o elaborati” [4]. Tuttavia, né norme come il GDPR né strumenti tecnici come le Blockchain possono raggiungere l’obiettivo del controllo dei dati dell’utente prima del loro accesso e durante il loro trattamento, ovvero il controllo a priori e in itinere dell’uso dei dati personali, per tre ragioni principali.
In primo luogo, secondo il GDPR, l’implementazione di tutti i requisiti di sicurezza informatica è a carico dei fornitori di servizi che dovrebbero garantirne l’adempimento. Le pesanti sanzioni in caso di non conformità dovrebbero convincere i fornitori di servizi a conformarsi e ad attuare tutti gli strumenti e le azioni necessarie, ma sappiamo tutti che non è sempre così e anche oggi ci sono casi di violazione delle norme.
In secondo luogo, i servizi attuali offerti, mentre troppo lentamente si conformano alle regole del GDPR, mancano quasi completamente l’adempimento dei requisiti di sicurezza e privacy “per progettazione iniziale”, come stabilito dai principi dell’UE.
In terzo luogo, il GDPR rispetta pienamente il principio dell’UE dichiarato “Gli individui devono mantenere il controllo dei propri dati personali generati o elaborati” nell’IoT? Come abbiamo visto, nessun controllo a priori da parte del titolare dell’utilizzo autorizzato o non autorizzato dei propri dati è sempre garantito e al massimo questo può essere verificato solo a posteriori da tecnologie di registro distribuito, come le Blockchain.
Necessità di un nuovo paradigma di controllo della privacy
La soluzione di questi problemi non può fare affidamento su norme anche molto avanzate come il GDPR seppure in combinazione con le Blockchain. Per evitare in modo definitivo la violazione dei nostri diritti fondamentali, abbiamo bisogno del nuovo paradigma del “controllo individuale a priori dell’utilizzo dei dati”, definito come: “Salvo i casi di forza maggiore o emergenza, qualsiasi utilizzo in qualsiasi forma e per qualunque scopo dei dati personali deve essere preventivamente autorizzato ed esplicitamente dal suo titolare, correttamente informato delle finalità di utilizzo”.
Per raggiungere questo obiettivo altamente sfidante, abbiamo bisogno di sinergizzare regole normative innovative e rivoluzionarie e nuovi strumenti scientifici e tecnologici efficienti che si occupino specificatamente del controllo diretto e a priori da parte dell’utente dei suoi dati.
Stato attuale delle ricerche sul “controllo individuale a priori dell’utilizzo dei dati”
Attualmente sono in corso alcuni progetti internazionali di ricerca su questo argomento. In letteratura, appaiono con nomi diversi: “User-centric security and privacy” [5], “Information-centric cybersecurity” [6] [7] [8], “Usage control cybersecurity” [9] [10].
User-centric security and privacy
Nel 2015, l’UE ha pubblicato un bando nel programma CHIST-ERA su User-Centric Security, Privacy and Trust in the Internet of Things [5]. Sono stati selezionati sei progetti, avviati nel 2017 e con termine nel 2021. Altri progetti sono in corso nell’ambito di bandi specifici del programma quadro dell’UE Horizon 2020. I risultati preliminari di questi progetti sono presentati in [11], che nell’introduzione danno una sinossi delle nuove tecnologie e dell’applicazione a casi d’uso specifici. L’obiettivo di questi progetti è supportare gli utenti a capire come i loro dati vengono visionati, raccolti, utilizzati, elaborati e mantenuti al sicuro. La sicurezza e la privacy sono realizzate sin dallo sviluppo iniziale della fase di progettazione di un’app/servizio e sono sotto il controllo dell’interessato mediante soluzioni tecniche il più possibile semplici ed efficienti. Fornendo le informazioni pertinenti, gli utenti dovrebbero avere il potere di essere consapevoli e di prendere le proprie decisioni in merito ai propri dati, il che è essenziale per ottenere il consenso informato e per garantire l’adozione delle tecnologie IoT. Fin dall’inizio è previsto anche un coinvolgimento sociale proattivo degli utenti per garantire l’educazione e la consapevolezza dei loro diritti e per fornire soluzioni tecniche adeguate per soddisfare le esigenze condivise.
I progetti affrontano uno o più dei seguenti obiettivi di ricerca:
- Metodi per l’anonimizzazione dei dati
- Meccanismi tecnici per aumentare l’affidabilità quando i dati vengono condivisi tra diversi fornitori
- Metodi di rilevamento delle intrusioni
- Autenticazione tramite algoritmi attendibili
- Sicurezza dinamica per consentire ai sistemi di adattarsi a utenti con requisiti e capacità differenti
- Strumenti per supportare le preferenze e le priorità di utenti culturalmente diversi
- Linguaggio naturale per esprimere la politica di accesso/utilizzo dei dati
- Visualizzazione dei dati per aumentare la consapevolezza degli utenti sui problemi di privacy
- Fornire agli utenti uno strumento di valutazione del rischio per i propri dati e contatti
- Tecnologie assistite per incoraggiare un comportamento più sicuro e la consapevolezza degli utenti.
Esempi di applicazione delle nuove tecnologie ad alcuni casi d’uso sono la conformità al regolamento GDPR, la gestione del consenso/rifiuto informato e della privacy nelle app mobili, l’applicazione alla catena alimentare, il bilanciamento del carico elettrico, i giochi mobili, i contatori intelligenti, gli esseri umani con esigenze speciali, estrazione, classificazione e crittografia del contenuto del documento e tecnologie di Blockchain.
Information-centric cybersecurity
Questo approccio si presenta come un paradigma rivoluzionario. Propone un’autoprotezione interna dei dati anziché una protezione esterna da parte di sistemi e/o applicazioni insieme a un nuovo progetto architettonico e funzionale completo del microprocessore e dei sistemi operativi. L’intelligenza è incorporata nei dati stessi che definiscono la loro “politica di utilizzo” per realizzare un’azione di autodifesa in qualsiasi contesto applicativo. Accedendo ai dati, il nuovo microprocessore e il sistema operativo consultano la “politica di utilizzo” dei dati e procedono all’elaborazione solo se il contesto è affidabile e coerente con la politica di utilizzo.
Se tecnicamente possibile, questa combinazione della nuova struttura dati e dell’architettura informatica hardware/software potrebbe risolvere definitivamente il problema del trattamento controllato ed autorizzato dei dati dell’utente. Tuttavia, con questo approccio anche la soluzione tecnica positiva non è sufficiente. Avremmo bisogno di un accordo di regolamentazione internazionale e cogente (cioè la standardizzazione) affinché la soluzione sia adottata da tutti i sistemi di elaborazione di nuova generazione. Ovviamente, quest’ultimo punto è molto più difficile da raggiungere in tempi realistici.
Usage control cybersecurity
Questo approccio presuppone ancora una “politica di utilizzo” incorporata nei dati. I dati e la loro “politica di utilizzo” sono incorporati in un’entità crittografata e solo un software specifico autorizzato alla sua decrittazione utilizza i dati in base alla sua “politica di utilizzo”. Dinamicamente la “politica di utilizzo” può anche essere modificata nel tempo. È interessante notare che questa proposta non richiede alcuna modifica all’attuale architettura di microprocessori e sistemi operativi, ma solo un software appositamente progettato autorizzato ad accedere ed elaborare i dati crittografati. Pertanto, potrebbe essere eseguito su tutti i sistemi di elaborazione attuali.
Ruolo futuro della ricerca e delle istituzioni internazionali
Tutte le tecniche descritte hanno il potenziale rivoluzionario di garantire il corretto utilizzo dei dati personali sotto il diretto controllo degli utenti interessati:
• “User-centric security and privacy” e “Usage control cybersecurity”, con alcune differenze rilevanti, richiedono solo l’implementazione, anche negli attuali sistemi di elaborazione, del software specifico e della crittografia dei dati inclusiva della “politica di utilizzo”.
• La “Information-centric cybersecurity” richiede un cambio di paradigma nella progettazione e nell’implementazione di microprocessori e sistemi operativi e un accordo internazionale globale su un nuovo standard per i sistemi di elaborazione di futura generazione.
L’orizzonte di effettiva disponibilità e realizzazione è quindi molto più vicino per i primi due, mentre il terzo fornirebbe una soluzione più definitiva alla sicurezza e alla riservatezza dei dati degli utenti. Tuttavia, al momento tutte le tecniche richiedono risorse di elaborazione adeguate, che, sebbene compatibili con i sistemi di elaborazione attuali, sono troppo onerose per l’utilizzo nella futura IoT, dove la maggior parte degli oggetti nella rete avrà capacità di elaborazione ridotta o molto scarsa. Negli scenari futuri dell’IoT, sono necessarie soluzioni tecniche molto più semplici e realizzabili.
Infine, quale potrebbe e dovrebbe essere il ruolo della ricerca futura e delle istituzioni internazionali in materia di sicurezza e privacy per i prossimi sistemi Internet?
La UE, prima e unica a livello internazionale, ha il grande merito di aver sollevato il problema della protezione dei dati personali dell’utente nei futuri sistemi IoT. Ha resistito a tutti i tentativi di fermare e frustrare qualsiasi regolamentazione e alla fine è riuscita a emanare il GDPR, regolamento cogente per tutti i suoi Stati Membri. Il successo internazionale e il riconoscimento delle normative del GDPR pongono l’UE in prima linea nell’impatto legale della protezione dei dati personali. Tuttavia, anche normative avanzate e rivoluzionarie non sono sufficienti a garantire in modo completo e definitivo ai cittadini il corretto utilizzo dei propri dati personali. Le persone hanno bisogno di strumenti efficienti e di facile utilizzo per controllare a priori e in itinere la generazione, l’acquisizione, l’archiviazione, l’elaborazione e l’utilizzo dei propri dati. I risultati preliminari interessanti riportati in questo articolo indicano almeno alcuni possibili percorsi verso questo obiettivo.
Devono essere seguiti da un’intensa ricerca scientifica sulle soluzioni tecniche e sulle realizzazioni tecnologiche per ottenere strumenti efficienti e efficaci per i futuri scenari della società digitale e sufficientemente semplici per l’uso dei comuni cittadini. Inoltre, i risultati devono essere ottenuti in tempi ragionevoli prima che la nostra privacy sia definitivamente compromessa. La Comunità Scientifica Internazionale e tutte le Istituzioni Internazionali, a qualsiasi livello, hanno il compito sfidante e primario di sostenere con forza le ricerche scientifiche e tecniche innovative e dirompenti a livello mondiale in materia di protezione dei dati personali. L’attuale finanziamento internazionale su questo argomento non è sufficiente.
Questo dovrebbe essere uno degli obiettivi scientifici e tecnici più rilevanti nel quadro della sicurezza e della privacy nei futuri sistemi Internet. Deve essere perseguito nonostante le probabili, prevedibili e fortissime resistenze dei principali player ed è assolutamente obbligatorio per garantire i diritti individuali fondamentali a tutte le persone e non correre il rischio di farle diventare i nuovi schiavi digitali di pochi grandi attori nella futura società digitale.
Conclusioni
Per affrontare e risolvere il difficile problema di una protezione efficace dei dati personali, la futura globale società digitale ha bisogno del paradigma innovativo e rivoluzionario del “controllo individuale a priori dell’utilizzo dei dati”, che consentirà agli utenti di controllare a priori e in itinere l’accesso e l’uso dei propri dati personali.
Anche se alcuni risultati scientifici preliminari su questo argomento sono incoraggianti, è fondamentale continuare e potenziare una ricerca dirompente per arrivare in tempi ragionevoli a strumenti efficaci, abbastanza semplici da essere accessibili nella futura società digitale. Dobbiamo anche essere consapevoli che molti grandi attori si opporranno a questa soluzione. Questo è un motivo in più per cui Istituzioni internazionali indipendenti dovranno svolgere il ruolo indispensabile di sostenere e finanziare la ricerca per garantire definitivamente i diritti individuali fondamentali a tutte le persone nella futura umana società digitale.
Bibliografia
[1] E. Del Re, “Which future strategy and policies for privacy in 5G and beyond?,” 2020 IEEE 3rd 5G World Forum (5GWF), Bangalore, India, Sept. 2020, pp. 235-238, doi:10.1109/5GWF49715.2020.9221371.
[2] https://iapp.org/resources/article/privacy-2030/ .
[3] European Commission, 25.01.2012, SEC(2012)72 final, page 4.
[4] European Commission, 2013, IoT Privacy, Data Protection, Information Security
http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=1753 .
[5] UE CHIST-ERA 2015 call: User-Centric Security, Privacy and Trust in the Internet of Things.
[6] R. Chow, et al., Controlling Data in the Cloud: Outsourcing Computation without Outsourcing Control, in Proceedings of the 2009 ACM Workshop on Cloud Computing Security, ser. CCSW ’09. New York, NY, USA: ACM, 2009, pp. 85–90 http://doi.acm.org/10.1145/1655008.1655020 .
[7] R.B Lee, Rethinking computers for cybersecurity, IEEE Computer, 2015.
[8] IEEE Communications Mag., Jan. 2017.
[9] A. Lazouski, F. Martinelli, P. Mori, Usage control in computer security: A survey, Computer Science Review, vol. 4, no. 2, pp. 81–99, May 2010 http://dx.doi.org/10.1016/j.cosrev.2010.02.002 .
[10] E. Carniani, D. D’Arenzo, A. Lazouski, F. Martinelli, P. Mori, Usage Control on Cloud systems, Future Generation Computer Systems, vol. 63, pp. 37 – 55, 2016, Modeling and Management for Big Data Analytics and Visualization http://www.sciencedirect.com/science/article/pii/S0167739X16300875 .
[11] J.L. Hernandez Ramos, A. Skarmeta, (Eds), Security and Privacy in Internet of Things – Challenges and Solutions, within the series: Ambient Intelligence and Smart Environments, (Introduction by E. Del Re), IOS Press, 2020.
