“Nutrire” APP e Web in modo consapevole
Pierluigi Perri – Avvocato e Professore di sicurezza informatica, privacy e protezione dati sensibili presso l’Università Statale di Milano – è stato uno dei relatori intervenuti il 29 novembre a Cyber & Privacy forum, giornata di formazione e aggiornamento nel segno della convergenza tra cybersecurity e data protection. L’evento, organizzato da Ethos Media in collaborazione con Federprivacy, ha ospitato oltre 500 persone tra cui esponenti del Garante per la protezione dei dati e dell’Agenzia Nazionale per la Cybersecurity oltre a un nutrito pool di professionisti ed esperti, in ambito sia giuridico che informatico.
Fra le varie tematiche, si è discusso anche del web e tutte le sue piattaforme di servizi come le chatbot e in particolar modo l’intelligenza artificiale che per poter funzionare hanno bisogno di un carburante che è rappresentato dai dati. È un argomento complesso e delicato quello dei dati poiché, avendo assunto il ruolo di valuta parallela, spesso le pratiche di trattamento e raccolta non rispondono in modo concreto alle norme contenute nel GDPR. In merito a ciò, Pierluigi Perri ha fornito un autorevole parere sugli scenari della rete e sull’avvento delle nuove tecnologie, su cosa sta succedendo e come possiamo tutelarci, non solo attraverso le norme GDPR, dalla raccolta “selvaggia” delle informazioni.
Parliamo delle correlazioni che vi sono fra dati personali, privacy e web. È innegabile che la maggior parte delle APP si “nutre” dei nostri dati, così come le chatbot e l’IA. A oggi, le normative sul trattamento dei dati sono ancora “deboli”, oppure sono molte le scappatoie e/o i raggiri che vengono adottati per acquisire in modo non del tutto corretto le informazioni?
Il web, le chatbot e l’intelligenza artificiale stanno beneficiando di un processo evidente che è in corso già da molto tempo. Lo si evince dalla spinta verso l’utente nel persuaderlo a immettere sempre più dati all’interno della rete. Questo è un meccanismo che viene incentivato con diverse tecniche più o meno camuffate: l’invito a partecipare a un gioco, ad esprimere la propria opinione in una comunità, e in tutti i casi, l’obiettivo comune è quello di invogliare l’utente a compiere alcune attività, che finiscono per raccogliere i dati. L’esempio più noto è, probabilmente, quello di Cambridge Analytica, dove tutto nacque proprio dall’invito a partecipare a un gioco reso disponibile su una piattaforma social.
Va anche detto che questo genere di attività, sono sempre più possibili poiché le tecnologie stanno progredendo con estrema rapidità. Pensiamo, ad esempio, all’intelligenza artificiale, tecnologia non nuova poiché se ne parla dagli anni 50 del secolo scorso. Tuttavia, ai tempi, per poter sviluppare qualcosa di classificabile come intelligenza mancavano due fattori fondamentali: la potenza di calcolo e la capacità delle reti di comunicazione in grado di veicolare una grande quantità di dati. Questi sistemi poi devono essere “nutriti” attraverso le informazioni su cui gli algoritmi devono fare addestramento, analisi statistiche, predizioni. Oggi, questo processo è reso possibile proprio grazie al progresso tecnologico e a noi che, in un modo o nell’altro, andiamo a condividere dati e informazioni. Ciò spiega anche gli incentivi che tutte le piattaforme di servizi e forniture adottano per convincerci a immettere e condividere sempre più dati.
Uno dei problemi che questa diffusa pratica presenta è la trasparenza nella raccolta e trattamento dei dati dell’utente. L’azienda che vuole raccogliere i dati in diverse forme come, ad esempio, corresponsione o riconoscimento di un servizio, deve dichiarare quale tipo di dati andrà a raccogliere, per quanto tempo li conserverà e se li condividerà con società terze. Questa operazione è resa valida, da un punto di vista legale, grazie al consenso che l’utente fornisce, il quale deve essere informato adeguatamente e con trasparenza per poter decidere liberamente.
Bisogna tuttavia rilevare che, nella prassi, molte piattaforme hanno sempre cercato di sfuggire a queste prescrizioni poiché la presentazione di un’informativa e la richiesta di consenso possono andare ad interrompere l’esperienza utente e il meccanismo di ingaggio adottato dalla piattaforma. Il consenso, di fatto, ha lo scopo di generare un momento di consapevolezza per l’utente, il quale potrebbe decidere a quel punto di non voler condividere i dati né con la piattaforma stessa né con società terze.
Per ovviare a questo problema, diverse piattaforme hanno cercato varie soluzioni tramite le quali dare continuità e portare a termine la raccolta dei dati: la più utilizzata è stata l’utilizzo della base giuridica dell’esecuzione di un contratto. Mi spiego meglio: per usufruire di un certo servizio, il cliente deve accettare alcune condizioni contrattuali, che vengono utilizzate come base giuridica anche per il trattamento dei dati. Questo modo di procedere, come chiarito dalle Autorità Garanti, non è un meccanismo valido di raccolta, dovendosi invece applicare necessariamente lo schema di informativa e il consenso sul trattamento.
Un altro aspetto importante è l’effettivo valore del consenso prestato all’interno di dinamiche molto ingaggianti, nonché quanto siano effettivamente significative e trasparenti le informative che vengono fornite dagli erogatori di servizi. Va quindi tenuto sempre conto di come le piattaforme e le applicazioni siano in grado di raccogliere una quantità enorme di dati personali che, anche se generici, possono rendere gli utenti identificabili. La situazione poi si complica se si comincia a parlare di dati che rivelano stato di salute, orientamento politico o sessuale e che potrebbero essere utilizzate in un’ottica di discriminazione degli utenti. Per tutti questi motivi, la soluzione del Legislatore è stata quella di fare in modo che l’utente sia consapevole riguardo al trattamento dei dati e che il titolare del trattamento provveda, nell’ambito dei suoi obblighi di accountability, alla protezione di tutti i dati personali, ivi comprese le categorie particolari (quelli che venivano chiamati “dati sensibili”).
Spostiamo il focus sui social: allo stato attuale la popolazione che usufruisce di questi servizi ha ancora poca consapevolezza riguardo alla possibilità di profilazione senza consenso. La pubblicazione di immagini o post offre comunque la possibilità ai social di profilare la persona. Cosa possiamo dire a questo proposito?
La percezione è, purtroppo, ancora bassa, perché manca la consapevolezza e la cultura sui meccanismi di funzionamento della maggior parte delle piattaforme social. Negli anni, infatti, ci si è concentrati quasi esclusivamente sulla parte regolamentare, ossia i requisiti legali. In realtà, la parte regolamentare, per essere maggiormente efficace, deve essere accompagnata da un’azione culturale: laddove non arriva la legge, deve arrivare la consapevolezza della persona.
Alla luce dello scenario attuale è evidente che manca ancora una buona conoscenza delle meccaniche delle piattaforme social e di come possano raccogliere, scambiare e trattare i dati. La soluzione per limitare questa raccolta non può essere fornita esclusivamente dal legislatore, poiché spesso questa soluzione arriva dopo che i dati sono stati raccolti e gli individui sono già stati ampiamente profilati. Sappiamo anche che le sanzioni previste dalla legge, rischiano di non essere particolarmente afflittive per quelle società con disponibilità economiche molto elevate.
In modo congiunto alle sanzioni, un provvedimento attuabile, non senza numerose problematiche, potrebbe essere la richiesta di cancellazione completa del dataset e la successiva verifica che tale cancellazione sia stata portata a termine. Se, però, ci si focalizza sui sistemi cosiddetti di Intelligenza Artificiale, la situazione diventa però molto più complessa poiché non è sempre possibile effettuare un’asportazione “chirurgica” dei dati raccolti ed elaborati. Resterebbero quindi presenti dei modelli già elaborati la cui cancellazione diventerebbe molto complicata.
A questo punto, potrebbe essere opportuno spendere due parole sul GDPR a livello applicativo: vi è una percezione che il testo di legge non sia più sufficientemente aggiornato per arginare le nuove pratiche di raccolta e sfruttamento di dati personali. Bisogna tuttavia ricordare che il compito delle leggi è quello di fissare gli obiettivi di tutela e, quindi, fornire il supporto per sapere come agire in modo conforme. Tuttavia, non si può pretendere che le leggi seguano di pari passo i progressi della tecnologia, poiché qualsiasi norma rischierebbe di diventare superata anche dopo un breve lasso temporale.
Il compito del GDPR resta, quindi, quello di fissare garanzie, obiettivi, criteri e obblighi, anche nel caso in cui la tecnologia cambi. Parallelamente, tuttavia, e mi riallaccio a quanto affermato all’inizio della risposta, va diffusa una conoscenza più approfondita riguardo al funzionamento dei social e ai meccanismi di raccolta dei dati personali: questo, a mio parere, nell’attuale scenario delle reti può essere un ottimo “disinfettante” rispetto ad un uso non consono dei dati.
Analizziamo meglio l’ambito IA: è possibile difendersi dal “cattivo uso”? Cosa occorre per poter integrare la cybersicurezza e la privacy nell’ambito della protezione dati in relazione a questa nuova tecnologia?
Nei sistemi IA, il tema cybersicurezza è senza ombra di dubbio centrale. Questi sistemi sono arrivati a un tale livello di complessità (faccio l’esempio del deep learning) che diventa difficile applicare metodiche tradizionali di cybersicurezza. Per questo motivo, occorre ripensare le tecniche da utilizzare su questo genere di sistemi. Ad ogni modo qualcosa si sta già facendo, poiché uno dei primi accorgimenti richiesti dalle norme è quello di assicurare la spiegabilità degli output: sebbene questo approccio non risulti strettamente protettivo nel modo in cui siamo abituati a concepire la cybersicurezza, è invece è molto utile. Laddove si renda necessario andare a investigare un comportamento anomalo dell’IA, il fatto che il sistema sia stato progettato con parametri di “explicable AI” sicuramente aiuterebbe molto nello svolgimento delle analisi. Va inoltre ricordato che qualunque trattamento di dati personali, anche in riferimento all’intelligenza artificiale, è soggetto al rispetto dei principi applicabili al trattamento dei dati personali, primo fra tutti il principio di minimizzazione. Questo principio parte dal presupposto di trattare soltanto i dati strettamente necessari per la fruizione di un servizio, per cui la necessaria limitazione della quantità di informazioni va conseguentemente a porre un limite alla possibile elaborazione che questi strumenti potranno andare a svolgere. Un altro aspetto importante, sul quale si sta lavorando, è quello che prevede il processo di segmentazione dei dataset. Uno dei problemi che nasce dall’utilizzo dell’intelligenza artificiale, infatti, è legato al fatto che questi sistemi sono liberi di raccogliere informazioni non solo direttamente dagli utenti, ma continuano ad arricchire i profili in modo autonomo attraverso informazioni rese disponibili su varie fonti. Pertanto, l’idea di predisporre una segmentazione dei dati disponibili potrebbe porre un altro limite alla “fame” di informazioni tipica di questi sistemi.
Le registrazioni delle singole sessioni in plenaria e dei workshop tenutisi a Cyber & Privacy forum sono disponibili online su https://www.secsolution.com/audiovideo.asp
Image by rawpixel.com on Freepik