Il recente impulso alla proposta di Data Governance Act rappresenta un traguardo fondamentale, tra le altre cose, per disciplinare un fenomeno emergente, quello dei Personal Information Management Systems (“PIMS”). Si tratta di intermediari nella gestione dei dati personali che stanno aprendo nuove vie al trattamento degli stessi, in maniera teoricamente più favorevole per tutti: interessati e imprese. Il rispetto della privacy dovrebbe essere maggiore, con gli interessati aventi maggiore controllo, e al contempo offrire al mercato l’uso di dati personali di qualità maggiore e dunque più appetibili.
Per delinearne i caratteri, possiamo sfruttare soprattutto la disamina effettuata come “Tech Dispatch” dall’EDPS nel 2020 e dedicata proprio a questo tema emergente.
Ecco il Data Governance Act, così l’Europa accelera per guidare la data economy
Una definizione di PIMS (Personal Information Management Systems)
Innanzitutto, è basilare un perimetro definitorio. Nella realtà i PIMS possono presentare vari caratteri e persino business model, in ogni caso è presente un nucleo comune. Nucleo che li differenzia essenzialmente dai data broker, soggetti che collezionano dati spesso a insaputa degli interessati, per lucrarvi direttamente, condividendo i dati con terzi, sempre in assenza di trasparenza e spesso anche degli adempimenti di base imposti dalla normativa. Tutt’altra è l’impostazione dei PIMS.
Nel testo in bozza del Data Governance Act si parla di servizi di condivisione dei dati all’art. 9.1.b, ovvero: “servizi di intermediazione tra interessati che intendono mettere a disposizione i propri dati personali e potenziali utenti dei dati, compresa la messa a disposizione di mezzi tecnici o di altro tipo per consentire tali servizi, nell’esercizio dei diritti di cui al regolamento (UE) 2016/679”.
Quanto all’EDPS, nel suo report specifica che “I PIMS consentono alle persone di gestire i propri dati personali in sistemi di archiviazione sicuri, locali o online e condividerli quando e con chi scelgono. Gli individui sarebbero in grado di decidere quali servizi possono utilizzare i loro dati e quali terze parti possono condividerli”. Consentendo così un approccio centrato sull’utente alla gestione dei dati personali, nuovi modelli di business, la protezione da tecniche di tracciamento e profilazione illecite.
Al cuore dei PIMS troviamo un centro di archiviazione dei dati personali, con annesso sistema di accesso selezionato: solo chi è stato autorizzato dall’interessato può avervi ingresso. Accessibilità che presenterà la granularità permessa dal PIMS e calibrata dall’interessato stesso: si potrà decidere ad es. a quali categorie di dati far accedere, per quali finalità, quali soggetti, ecc.
Integrano solitamente i PIMS “l’archiviazione sicura dei dati, i trasferimenti sicuri dei dati (trasporto sicuro dei dati tra sistemi e applicazioni), l’interoperabilità e la portabilità dei dati”.
Un’esemplificazione grafica del flusso dati dei PIMS è data dall’EDPS nel suo Tech Dispatch sopra citato e riprodotta di seguito.
I problemi di data protection affrontati dai PIMS
Lo schema di PIMS detto sopra dovrebbe concretizzare al massimo l’obbligo di privacy by design e by default imposto dal GDPR, con un sistema progettato e amministrato nel rispetto dei principi del Regolamento. Il rischio secondo l’EDPS è che – oltre a eventuali falle progettuali – si inducano gli interessati a partecipare inconsapevolmente a “un percorso determinato da altri o che comporti che gli interessati prendano decisioni contrarie ai propri interessi sotto l’influenza di tali strumenti/sistemi”. La trasparenza del servizio dovrà essere massima, evitando ogni possibile nudging nelle scelte degli utenti e nelle opzioni di condivisione e destinazione dei dati.
Come si è già capito, centrale è la gestione del consenso: con un PIMS l’utente gestisce personalmente i propri dati, potendo acconsentire e revocare i consensi per determinati dati, finalità, destinatari. Ugualmente rileva la citata trasparenza, come afferma l’EDPS “nel modo in cui i dati personali vengono elaborati e nell’essere in grado di verificarne l’accuratezza, il tempo di conservazione, ecc.”. Punto critico può essere quello di garantire che “quando il consenso viene revocato, i PIMS più avanzati potrebbero fornire prove affidabili che un servizio non utilizza più i dati”, una vera sfida per i PIMS.
Lo strumento principe di gestione del consenso dovrebbe essere una dashboard centralizzata nel servizio PIMS, espressione del controllo a cui l’interessato finalmente può arrivare circa il destino dei propri dati, rivelando quali servizi stanno elaborando i dati, quali dati siano trattati e per quali scopi specifici. Una maggiore tracciabilità dei trattamenti può permettere così agli interessati di non perdere le proprie impronte digitali nei meandri del caotico ambiente digitale.
Nel rispetto dei principi privacy sono possibili funzionalità per poter accedere ai propri dati, per rettificarli o cancellarli: i dati custoditi nella repository centrale permettono l’esercizio centralizzato degli annessi diritti. Migliorando parimenti la qualità dei dati, così maggiormente aggiornati e corretti, si possono fornirne alle imprese utilizzatrici dei dati più affidabili e utili.
Circa la portabilità dei dati, come richiesto dal GDPR, questa si lega strettamente al concetto di interoperabilità: si intuisce che il sistema del PIMS dovrà dialogare nel modo più ampio e fluido possibile con più titolari che vogliano acquisire o trattare i dati del repository. Si tratta dunque di una sfida tecnica di standardizzazione, tramite l’uso di API, policy standard e protocolli di sistema.
Quanto alla security dei dati, a riposo o in transito, il rispetto del livello di adeguatezza richiesto dal GDPR si può raggiungere in più modi e dipenderà molto dal tipo di trattamento dei dati effettuato dal PIMS specifico.
Al netto dell’ovvia sicurezza del sistema di repository, vi sono anche PIMS che non condividono comunque dati in chiaro o comunque interamente leggibili da parte dei titolari destinatari, minimizzandone la condivisione. L’uso di tecniche di anonimizzazione e pseudonimizzazione in tale frangente è fondamentale per preservare la non identificabilità degli interessati specifici, permettendo ai titolari di acquisire dati utili ad es. per analisi aggregate. L’EDPS promuove l’uso di PET (Privacy Enhacing Technologies) tra cui troviamo ambienti trusted, crittografia omomorfica, computazione multiparty e privacy differenziale. La crittografia, in particolare, è segnalata dall’EDPS “per verificare l’autenticità dei dati e per implementare le preferenze sulla privacy degli utenti, come gli scopi autorizzati e i periodi di conservazione consentiti nei confronti di fornitori di servizi e terze parti”, oltre che per verificare l’identità e affidabilità delle stesse terze parti. Queste tecniche sono però tuttora di ancora limitato utilizzo e diffusione, non da ultimo per il predominio sul mercato di big player che non hanno interesse nell’uso di sistemi di “offuscamento” dei dati, quanto all’esatto contrario e al perpetuarsi del tracciamento degli utenti. Basti pensare a quanto tempo sia stato necessario affinché Whatsapp adottasse la crittografia end-to-end nel 2016 e, più recentemente, la sua estensione ai backup.
Alcuni esempi attuali di PIMS
Che non si tratti di scenari a venire ma di realtà quotidiana è dimostrato dai diversi PIMS già reperibili nell’ecosistema digitale.
L’EDPS segnala che i servizi SaaS di Nextcloud rappresentano una tipologia di PIMS, ove gli utenti possono condividere file e servizi con altri utenti, della stessa organizzazione o terzi che siano.
Diverso è il progetto open source Solid, una repository unica di dati personali – come contatti, foto, calendari – che possono essere condivisi, in maniera centralizzata, con app terze compatibili.
A livello nostrano non possiamo non menzionare l’esempio di Weople, mirata all’esercizio centralizzato dei diritti degli utenti, oltre che di remunerazione diretta agli utenti dallo sfruttamento dei dati concessi da parte di terzi. Oppure di Hudi, in cui l’uso controllato dei dati personali degli utenti da parte di terzi è remunerato agli utenti stessi tramite criptovaluta. Entrambi questi operatori non usano dati in chiaro, condividendoli solo tramite anonimizzazione o pseudonimizzazione al momento.
Conclusioni
Al termine del suo report l’EDPS richiama il Data Governance Act come tassello fondamentale per poter sviluppare un ambiente favorevole alla diffusione dei PIMS e delle tecnologie annesse che abbiamo menzionato. In altra sede si è anche detto delle criticità, rilevata dallo stesso EDPS, circa il testo finora proposto dell’Act, la cui versione finale rischia di non essere all’altezza della sfida che abbiamo cercato di accennare in queste righe.
Eppure, si tratta di un passaggio epocale. Secondo Ramge e Mayer-Schonberger nel loro volume “Fuori i dati!” pubblicato di recente in Italia, alla strategia europea dei dati finora sarebbe mancata proprio questa, una regolamentazione sull’uso dei dati (come sarebbe l’Act) a complemento del GDPR incentrato sulla protezione degli stessi. L’estremizzazione del principio di minimizzazione dei dati sposato dal GDPR avrebbe portato, paradossalmente, a troppe restrizioni sul loro uso e alla relativa penalizzazione dell’innovazione, a vantaggio degli oligopoli. I soliti colossi del digitale ne avrebbero approfittato per esercitare una sorta di “proprietà esclusiva” dei dati acquisiti, restringendone l’uso e facendo ricadere molte responsabilità sugli utenti stessi in un regime di asimmetria informativa e contrattuale – mentre la società civile ora ne esige l’apertura e il riutilizzo sì da favorire lo sviluppo e la condivisione della conoscenza, la ricerca, la nascita di nuove imprese.
Si tratta di istanze difficili da ricomporre, tuttavia i PIMS, in questo scenario, potrebbero rappresentare sia uno strumento per una svolta che i destinatari di riforme a loro supporto. L’UE si gioca il proprio futuro digitale proprio su questi temi.