Nuove tecnologie e privacy: le future reti pervasive e ubique (5G e connessioni ottiche), l’Intelligenza Artificiale (IA) e l’Internet of Things (IoT) accedono e producono un’enorme quantità di dati (Big Data) rendendo possibile ottenere, archiviare, elaborare, fornire e trasmettere un volume di dati diversificato che può riferirsi a informazioni personali sensibili, acquisibili anche senza la consapevolezza dei soggetti interessati.
Il riconoscimento facciale automatico e, nel prossimo futuro, anche l’analisi dei feromoni individuali[1] sono solo due esempi impressionanti di acquisizione e trattamento non preventivamente autorizzati di dati personali sensibili.
Oltre alle app dello smartphone, che tracciano e profilano l’utente non sempre consapevole, anche i più diffusi browser e client di posta elettronica quasi certamente rendono possibile utilizzare dati sensibili a terzi senza la nostra consapevolezza ed esplicita autorizzazione, malgrado le tutele previste dal GDPR.
Cookie, come adeguarsi alle nuove linee guida: strumenti, esempi, errori da evitare
È sempre più diffusa la convinzione che le nuove tecnologie informatiche, insieme ai grandi e irrinunciabili vantaggi, comportino seri rischi per la propria privacy. Questa convinzione è spesso accompagnata dalla rassegnazione della inevitabilità dell’utilizzo anche non autorizzato dei propri dati da terze parti che offrono servizi.
Ci possiamo difendere e opporre a questa indebita e molto spesso illegale intrusione nelle nostre vite private?
Privacy umanocentrica: una definizione
Urge la realizzazione di un nuovo paradigma di tutela dei dati personali, una privacy umanocentrica fondata sul “controllo individuale a priori sull’utilizzo dei dati”.
Questo controllo a priori sui dati può essere definito come:
“salvo i casi di forza maggiore o emergenza, qualsiasi utilizzo in qualsiasi forma e per qualsiasi finalità dei dati personali deve essere autorizzato sempre preventivamente ed esplicitamente dal titolare, correttamente informato della finalità del trattamento”.
Le normative UE in corso di definizione (Artificial Intelligence Act, Data Governance Act e Digital Markets Act) dovrebbero richiedere la realizzazione di questo paradigma, un obiettivo da raggiungere attraverso nuovi efficienti strumenti tecnologici che si occupino specificamente del controllo diretto a priori dall’utente dell’accesso e utilizzo dei propri dati, in sinergia con le norme del GDPR.
Privacy umanocentrica: perché il GDPR non basta
Tra i principi affermati dall’Unione Europea (UE) fin dal 2013 troviamo:
- L’IoT non deve violare l’identità umana, l’integrità umana, i diritti umani, la privacy o le libertà individuali o pubbliche;
- Gli individui devono mantenere il controllo dei propri dati personali generati o elaborati nell’ambito dell’IoT, salvo ove ciò sia in conflitto con il principio precedente;
- I requisiti di sicurezza e privacy dei nuovi sistemi devono essere garantiti “by initial design and by default”[2]
Il corollario del secondo punto è che il controllo sui propri dati dovrebbe essere esercitato a priori e non eventualmente controllato solo a posteriori. Quanto enunciato nel 2013 per la futura IoT è oggi valido anche per le reti 5G e l’IA, con le problematiche di sicurezza e privacy che sollevano.
L’Unione Europea, prima istituzione politica in assoluto a livello internazionale, si è dotata dello strumento normativo del GDPR, entrato in vigore in tutti gli Stati Membri nel 2018 per tutelare i dati personali dei propri cittadini. Ma anche se è uno strumento normativo per molti aspetti rivoluzionario, il GDPR è sufficiente a tutelare la privacy delle persone in considerazione delle nuove tecnologie?
La risposta purtroppo è no, per diversi motivi:
- In primo luogo, l’implementazione dei requisiti di sicurezza informatica, anche dopo il GDPR, è affidata ai fornitori di servizi che dovrebbero garantirne l’adempimento. Le pesanti sanzioni in caso di non conformità dovrebbero convincere i fornitori di servizi ad adeguarsi e ad attuare tutti gli strumenti e le azioni necessarie, ma sappiamo tutti che non è sempre così.
- In secondo luogo, i servizi offerti attuali, oltre a conformarsi troppo lentamente alle regole del GDPR, spesso non adempiono ai requisiti di sicurezza e privacy “by initial design and by default” e in alcuni casi possono aggirare le norme stesse.
- In terzo luogo, il GDPR non rispetta pienamente il principio dichiarato dalla UE “Gli individui devono mantenere il controllo dei propri dati personali generati o elaborati nell’ambito dell’IoT”, se questo principio deve essere esercitato a priori. A parte la richiesta iniziale di consenso, non è garantito alcun controllo a priori da parte del titolare sul successivo utilizzo autorizzato o non autorizzato dei suoi dati. Al massimo questo può essere verificato solo a posteriori, se l’utilizzo dei dati è tracciato e certificato da una tecnologia tipo Blockchain, accedendo ad un database di tutte le transazioni certificate di dati.
Privacy umanocentrica: le caratteristiche dei nuovi strumenti tecnologici
Da una rassegna delle possibili proposte di soluzioni tecnologiche[3] esistenti in letteratura, risulta chiaro che questi strumenti richiedono la definizione di una nuova struttura dei dati e un diverso funzionamento dei sistemi operativi.
I dati personali devono includere una forma di intelligenza incorporata nei dati stessi che definisca la loro “politica di utilizzo” capace di attuare un’azione di autodifesa in qualsiasi contesto applicativo. I dati così strutturati devono essere protetti, per esempio da tecniche criptografiche, per garantirne la integrità.
L’accesso a questi dati, decrittandoli, deve essere autorizzato solo a sistemi operativi obbligati a consultare la loro “politica di utilizzo” e a utilizzarli esclusivamente se il contesto è affidabile e coerente con essa.
La combinazione dei nuovi dati e della nuova architettura hardware/software dei microprocessori potrebbe risolvere il problema del controllo a priori dell’utilizzo dei propri dati da parte dell’utente.
Questa soluzione tecnica al problema della privacy richiede due condizioni:
- Una intensa ricerca internazionale finanziata con fondi pubblici per evitare condizionamenti di terze parti, in modo da arrivare in tempi ragionevoli a sistemi tecnologicamente realizzabili e utilizzabili con sufficiente semplicità
- Una standardizzazione internazionale sulla nuova struttura dei dati e sulle nuove funzionalità dei sistemi operativi.
La prima è una condizione tecnica che impegna la comunità scientifica internazionale, la seconda è una condizione non solo tecnica ma politica, molto più difficile e impegnativa della prima.
I due compiti delle istituzioni politiche
Per una privacy umanocentrica, due sono i compiti delle istituzioni politiche, e in particolare quelle della UE, dimostratesi le più sensibili al problema (vedi la emanazione del GDPR):
- Finanziare tempestivamente e con risorse pubbliche adeguate la ricerca scientifica e tecnologica per ottenere nel più breve tempo possibile soluzioni tecniche efficienti e realizzabili. La recente decisione della UE di promuovere lo sviluppo di una produzione europea di chip dovrebbe essere impegnata anche nella realizzazione dei nuovi microprocessori e sistemi operativi con le modalità richieste
- Una volta trovata la soluzione tecnica e i relativi dispositivi, emanare una normativa, almeno comunitaria, che imponga la certificazione che tutti i sistemi che trattano dati personali siano conformi a questa operatività, come d’altra parte avviene per tutti i prodotti commercializzati nella UE (marcatura CE).
L’azione sia tecnico-scientifica sia politico-normativa non è semplice e sarà anche soggetta a molte prevedibili e forti resistenze da terze parti ovviamente penalizzate. Probabilmente, però, è l’unico modo per ottenere la salvaguardia di uno dei diritti fondamentali delle persone nella futura società digitale. Inoltre, occorre agire tempestivamente, perché il tempo non è una variabile indipendente in questo contesto.
Altrimenti dovremmo accettare che le nostre vite, anche negli aspetti più privati, siano controllate e sfruttate da enti anche ignoti con modalità e scopi sconosciuti. E se anche essi fossero perseguibili finanziariamente e penalmente (e potrebbe non essere sempre possibile) il danno, spesso irreparabile, ormai sarebbe fatto.
________________________________________________________________________________________
Note
- https://iapp.org/resources/article/privacy-2030/ ↑
- European Commission, 2013, IoT Privacy, Data Protection, Information Security, http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=1753↑
- E. Del Re, “Which future strategy and policies for privacy in 5G and beyond?”, 2020 IEEE 3rd 5G World Forum (5GWF), pp. 235-238, doi: 10.1109/5GWF49715.2020.9221371. ↑