Negli ultimi anni abbiamo assistito a un rapido e sorprendente progresso tecnologico che ha inciso in modo significativo sull’uomo, sulle sue libertà e sulla realtà in cui vive.
La storia ci insegna che ogni dirompente processo innovativo genera inizialmente un senso di diffidenza nella collettività, che è poi superato non appena divengono chiari i vantaggi che ne conseguono per la società. Anche la “quarta rivoluzione industriale” – intesa come la progressiva integrazione tra mondo fisico e digitale – è stata accolta con un certo senso di sfiducia ma, a differenza di quanto è avvenuto in passato, l’iniziale atteggiamento di avversità non sembra essere facilmente superabile: questa volta l’uomo non è solamente il soggetto beneficiario del progresso ma è egli stesso – con i suoi dati e le informazioni che costantemente produce – l’oggetto del processo di innovazione.
Con l’avvento della Digital Age i dati sono diventati un asset fondamentale per trovare soluzioni ad alcune delle minacce più insidiose del nostro tempo (come l’emergenza sanitaria a livello globale), anche attraverso lo sviluppo di analisi predittive e mediante l’utilizzo di tecnologie che ricorrono all’intelligenza artificiale e al machine learning.
È indiscusso come queste tecnologie digitali siano in grado di apportare immensi benefici in molteplici settori. Tuttavia, per funzionare, questi sistemi hanno bisogno di processare “massivamente” e “voracemente” i dati relativi ad un numero estremamente elevato di soggetti: sono proprio le informazioni relative alle persone, alla loro vite e alle loro abitudini ad essere oggi il vero motore del progresso e dell’innovazione.
Il senso di sfiducia che a volte pervade il collettivo verso la tecnologia nasce, pertanto, proprio dal fatto che, nel nuovo ecosistema digitale, gli individui appaiono o sembrano essere diventati ingranaggi di una potente macchina algoritmica che sottrae loro dati al fine di processarli per aumentare il livello di efficienza e benessere, contribuendo però a generare ricchezza a beneficio solo di poche organizzazioni.
Fiducia nel digitale: il ruolo del Gdpr
L’unico modo per invertire questa tendenza alla sfiducia in parte generalizzata nei confronti dello sviluppo tecnologico è offrire agli individui uno strumento che permetta loro di definire il limite invalicabile, oltre il quale nemmeno la tecnologia più sofisticata potrà spingersi per captare informazioni e fare irruzione nella vita privata di ognuno di noi. Questo è il compito che il General Data Protection Regulation (GDPR) è oggi chiamato a svolgere, essendo l’unico corpo di norme che definisce i diritti e le libertà della persona umana nell’ecosistema digitale.
Nonostante al momento della sua entrata in vigore non fossero ancora ben note le implicazioni economiche e sociali che avrebbero avuto i Big Data e l’intelligenza artificiale, il GDPR – come recentemente ricordato anche dall’European Data Protection Supervisor in occasione del suo intervento al Security Summit– è un corpo normativo tecnologicamente neutro che dimostra di avere sufficiente elasticità anche per far fronte alle rinnovate sfide della società delle piattaforme e degli algoritmi.
Il GDPR è pertanto da considerarsi ancora oggi lo strumento più adeguato per la definizione programmatica di un’Agenda Digitale della protezione dei dati personali e per la costruzione di nuove regole a garanzia dell’identità virtuale di ogni individuo.
Un’agenda per rilanciare la fiducia nella dimensione digitale
La necessità di una rinnovata fiducia degli individui nello sviluppo tecnologico e digitale trova fondamento nel fatto che l’accesso alle informazioni – e quindi alla conoscenza – avviene oggi per mezzo di un “filtro” in grado di setacciare e selezionare solo i dati più rilevanti per analizzare uno specifico caso tra l’immensa quantità di quelli che ogni giorno sono prodotti, raccolti e conservati.
Profilazione “positiva”: la transizione dall’economia del disturbo all’economia dell’attenzione
Il filtro costituito dai motori di ricerca – che agisce come “mediatore” – seleziona nella foresta di informazioni di internet solo i dati più utili e pertinenti per ogni utente e, per farlo in maniera efficiente, deve necessariamente conoscerlo molto bene, sapere quali sono i suoi interessi, le sue abitudini, deve poter osservare le sue attività: in altri termini deve profilare, molto accuratamente, ogni individuo.
Come sapientemente evidenziato da Giuseppe D’Acquisto – ingegnere nell’ambito delle telecomunicazioni, attualmente funzionario direttivo presso l’Autorità Garante per la Protezione dei Dati Personali e autore del saggio “L’agenda digitale della protezione dei dati personali”, pubblicato nel nuovo manuale di Franco Pizzetti – la profilazione non è di per sé un male ma, anzi, potrebbe rappresentare lo strumento in grado di favorire il passaggio dall’economia del disturbo all’economia dell’attenzione, transizione sulla quale – secondo D’Acquisto – verterà il futuro della società digitale.
Attualmente, molti tra i modelli di business più diffusi si basano sulla possibilità di accedere facilmente alla sfera personale di una moltitudine di potenziali clienti, per offrire loro beni e servizi spesso indesiderati, in quanto non corrispondenti ai loro reali interessi o necessità (la cosiddetta “economia del disturbo”). Nel corso degli anni i modelli di business di questo tipo sono proliferati con estrema rapidità a causa della quasi totale assenza di barriere all’ingresso (il costo per l’invio di e-mail o di sms ad un bacino anche molto ampio di utenti è infatti estremamente limitato), dello scarso potere deterrente che per molto tempo hanno avuto le sanzioni comminate dalle Autorità per la protezione dei dati e delle difficoltà connesse all’enforcement (anche in considerazione del fatto che spesso il mittente di tali comunicazioni commerciali era stabilito in paesi extra-UE).
Il passaggio alla “economia dell’attenzione” equivarrebbe a segnare la transizione da un’attività di profilazione negativa (generatrice di disturbo) ad una profilazione positiva, meritevole di promozione, poiché capace di estrarre valore dai dati e di assistere proattivamente il soggetto nel prendere le decisioni più in linea con sue esigenze, nell’acquistare beni/servizi effettivamente utili o nell’effettuare ricerche pertinenti in un arco temporale estremamente breve.
Pertanto, individuare nuovi meccanismi di profilazione che siano in grado di generare un reale beneficio per i soggetti interessati e che siano basati su metodi riproducibili, spiegabili e – qualora si venissero a generare effetti discriminatori – modificabili, potrebbe contribuire ad uscire dall’economia del disturbo e a rinnovare la fiducia delle persone nel progresso tecnologico.
Trasparenza, Privacy e Security by Design
In questo contesto, un altro elemento indispensabile per accrescere la fiducia consiste nella concreta possibilità per gli individui di comprendere i meccanismi impiegati dagli applicativi tecnologici, così da essere posti nella condizione di poter scegliere liberamente se farne uso, anche in considerazione delle implicazioni relative al trattamento dei dati personali.
È importante evidenziare come tale principio di trasparenza non debba essere applicato al funzionamento degli algoritmi (sistemi la cui logica sottesa è talmente complessa da andare oltre le capacità cognitive umane) ma, come rilevato da D’Acquisto, ciò che deve essere reso trasparente e comprensibile per gli interessati sono le conseguenze – e le eventuali discriminazioni – che potrebbero derivarne, anche al fine di definire nuovi strumenti di garanzia per i diritti individuali.
Inoltre, affinché l’obbligo di informativa sancito dal GDPR non si riduca ad un mero adempimento formale, è necessario che il titolare si adoperi per livellare gli ostacoli cognitivi ad esso connessi, identificando le modalità più efficaci per rendere la comunicazione efficace e accessibile alle diverse categorie di soggetti interessati. Infatti, una concreta attuazione dei principi di privacy by design presupporrebbe la predisposizione di differenti messaggi (anche ricorrendo a strumenti non solo linguistici ma anche grafici) per comunicare con diverse tipologie di destinatari, tenendo in considerazione il loro livello di comprensione e sviluppo cognitivo.
I bambini, ad esempio, non parlano lo stesso linguaggio degli adulti e pertanto i servizi che si rivolgono ad un pubblico di giovanissimi utenti dovrebbero predisporre informative per loro facilmente comprensibili. La predisposizione di comunicazioni ad hoc per specifiche categorie di soggetti non è infatti fonte di discriminazione ma è uno strumento in grado di colmare le disparità rendendo effettiva la tutela dei diritti (a questo proposito si parla di profilazione “positiva”, come strumento capace di mitigare le disuguaglianze). In questa direzione si è recentemente mosso anche il Garante per la protezione dei dati personali che ha indetto un contest volto a studiare soluzioni che – attraverso l’utilizzo di icone e altre soluzioni grafiche – rendano le informative privacy più semplici, chiare e immediatamente comprensibili.
In riferimento alle tecniche di privacy by design, nel testo l’autore propone una suggestiva metafora in cui la privacy by design viene paragonata ad una macchina fotografica in grado di mettere a fuoco lo sfondo (i big data) senza rivelare i volti dei soggetti in primo piano. La privacy by design sarebbe pertanto uno strumento – nelle mani del titolare – capace di focalizzarsi sui dati di contesto senza soffermarsi sui dati dei soggetti che generano tale contesto. Ricorrendo a tecniche di privacy by design sarebbe pertanto possibile utilizzare i dati per finalità connesse al pubblico interesse – progresso scientifico e tecnologico – senza andare comprimere i diritti degli interessati e senza alcuna intromissione nella loro sfera personale.
Per rendere possibile la trasposizione di questa suggestiva immagine nei modelli aziendali di gestione e trattamento dei dati personali è necessario che i titolari e i responsabili – compatibilmente con i budget a loro disposizione – scelgano le soluzioni tecnologiche (incluse le tecniche di pseudonimizzazione, minimizzazione anonimizzazione) che offrono le più adeguate garanzie, anche in relazione del rischio specifico relativo ad ogni trattamento, per il raggiungimento di un equilibrio tra l’interesse pubblico e la tutela dei diritti degli interessati. D’Acquisto rileva come in questo contesto – al fine di garantire l’effettiva tutela dei diritti degli interessati – una certa rilevanza sia assunta anche dalle tecniche di standardizzazione, con particolare riferimento alla portabilità da intendersi come l’interoperabilità tra sistemi nel trasferimento di dati in formato strutturato.
Oltre all’implementazione dei tecnicismi legati alla privacy by design, si rileva inoltre indispensabile che le imprese si impegnino nell’investire in sicurezza, anche in considerazione del significativo incremento degli attacchi cyber a livello globale (nell’ultimo rapporto Clusit è stato rilevato il 12% in più di attacchi rispetto all’anno precedente e il 66% in più rispetto al 2017). Per ogni titolare del trattamento aver implementato un solido sistema di sicurezza non dovrebbe significare investire per finalità meramente difensive, ma valorizzare il patrimonio informativo aziendale e offrire maggiori garanzie in relazione ai servizi offerti.
Oltre al principio di privacy by design è pertanto necessario, ora più che mai, che venga a consolidarsi un principio di security by design inteso non come mera autodifesa ma come sicurezza funzionale volta alla tutela della persona e alla soddisfazione dei clienti.
Conclusioni
Nonostante sia stato elaborato in un momento storico in cui non era ancora chiaro l’impatto che il progresso tecnologico avrebbero avuto sull’ identità digitale degli individui, il GDPR dimostra di essere, ancora oggi, uno strumento sufficientemente elastico per garantire adeguata tutela ai diritti e alle libertà delle persone nell’ecosistema digitale.
Interpretare e mettere in pratica in ottica evolutiva e concretamente i principi sanciti nel GDPR è l’unico modo per infondere fiducia nelle persone e conciliare le esigenze di sviluppo tecnologico con la tutela della sfera intima delle persone.
