Nell’indagine di Agcom, Agcm e Garante per la privacy pericoli e strumenti di tutela
Pagina a cura di Antonio Ciccia Messina
Codici di condotta, diritto di opposizione contro lo strapotere degli algoritmi e portabilità dei dati grezzi (che sono ricalcolati dalle macchine e vanno a comporre masse enorme di informazioni): è la trilogia delle tutele contro i pericoli dei big data messa in campo dal regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr), illustrata nell’indagine conoscitiva appunto sui big data, condotta congiuntamente dall’Autorità per le garanzie nelle comunicazioni, dall’Autorità garante della concorrenza e del mercato e dal Garante per la protezione dei dati personali.
Il rapporto finale dell’Indagine analizza pro e contro di un fenomeno tanto straripante nell’economia, quanto trascurato dalla legislazione (che necessiterebbe, comunque, una regolamentazione sovranazionale). Ma le persone non sono ostaggi dei big data, abbandonate a se stessi, perché molte armi di difesa si trovano proprio nel Gdpr, solo apparentemente estraneo a queste informazioni. Vediamo, dunque, pericoli dei big data e possibili protezioni.
Pericoli. I big data, si dice spesso troppo sbrigativamente, trattano dati anonimizzati. Per il vero è, invece, da riconoscere che in presenza di dati anonimizzati è possibile, incrociando una serie di data base e organizzando e correlando una mole di dati, non solo individuare circostanziati target al fine di creare specifiche categorie sulla base dei differenti identikit emersi, ma addirittura risalire all’identità del soggetto. Anzi più cresce la mole dei big data più cresce la possibilità di re-identificazione.
In ogni caso, si avverte nell’Indagine conoscitiva, i big data amplificano i pericoli per l’individuo e per l’assetto economico. Ecco una sintetica carrellata dei rischi.
La centralità del dato, anche come bene economico rende prioritaria l’analisi della tutela dei dati come diritto fondamentale della persona.
La profilazione algoritmica e delle piattaforme online impatta sul grado di concorrenza in vecchi e in nuovi mercati rilevanti.
Il programmatic advertising incide sulla qualità dell’informazione e sulle modalità di diffusione e acquisizione della stessa. Il pluralismo on-line è esposto ad attacchi in un contesto informativo esposto a strategie di disinformazione e di hatespeech. Le modalità di consenso circa l’uso del proprio dato evidenziano l’esigenza di garantire trasparenza e scelte effettive al consumatore, con particolare attenzione alla tutela dei minori.
I big data impongono, insomma, nuove strategie di difesa dei singoli individui, considerato che richiedono di inventare strategie di protezione del dato personale anche in ambiti non attualmente coperti dal regolamento Ue sulla privacy Gdpr.
L’apparente debolezza del Gdpr. Il regolamento (Gdpr), questa l’analisi nell’Indagine conoscitiva, sembrerebbe, a prima vista, non essere idoneo a fronteggiare i pericoli dei big data, dal momento che non se ne occupa direttamente.
Inoltre, nel caso dei big data, l’impostazione del flusso delle operazioni non è compatibile con l’impostazione del Gdpr, che pretende, a carico del titolare del trattamento, l’esplicitazione, con l’informativa all’interessato, delle finalità di utilizzo prima dell’inizio dell’utilizzo.
Nel settore dei big data, invece, i dati sono di sovente trattati per scopi predeterminati solo in termini generali e le finalità non vengono, in realtà, specificatamente individuate all’inizio, in ragione dell’emersione delle correlazioni fra i dati solo in fase successiva alla raccolta degli stessi.
L’impostazione tradizionale (dato ottenuto direttamente dall’interessato, generalmente sulla base del consenso, o comunque individuando preventivamente le responsabilità al trasferimento) si deve confrontare con un fenomeno del tutto nuovo (inedito per il Gdpr) dell’acquisizione massiva di dati personali e dei «parametri d’uso» che vengono acquisiti, per esempio, tramite le app e il loro sistema di permessi.
Peraltro, si è detto che il Gdpr è «a prima vista» inidoneo, e ciò perché, in realtà allo stato, lacunoso, della legislazione, proprio il Gdpr sembra essere un baluardo in grado di dare un po’ di garanzie.
Il Gdpr, anche se non tratta direttamente i big data, prevede, infatti, disposizioni a tutela delle persone, in grado di arginare gli abusi anche nel settore dei big data.
Rimedi tecnologici. Peraltro la via d’uscita, per molti, nota l’Indagine conoscitiva, quella maestra, sarebbe da ricercare nelle soluzioni tecnologiche, prima fra tutte nella effettiva anonimizzazione dei dati che vanno a costituire i Big Data.
L’impossibilità di risalire al singolo è la tutela più efficace per l’individuo. Ma la letteratura scientifica, come visto sopra, non dà garanzie assolute. Spazio, dunque, all’analisi delle tutele giuridiche.
Gli strumenti: codici di condotta. Un approccio volto a individuare una griglia sistematica di tutele e non solo semplici prerogative difensive in casi specifici, che il Garante sottolinea con forza, è quello dell’autoregolamentazione.
Il Garante della privacy ritiene, infatti, necessaria, nel settore dei big data, la via dei codici di condotta.
Sono prioritarie, si legge nell’Indagine conoscitiva, forme rafforzate di cooperazione, anche percorrendo la via dei codici di condotta previsti dall’articolo 40 del Gdpr.
Scudo contro le profilazioni. Ma il Gdpr dà strumenti per tutele anche a disposizione del singolo individuo.
A questo proposito, giocano un ruolo fondamentale i diritti applicabili volti a fronteggiare i potenziali rischi derivanti dalla profilazione e dal processo decisionale automatizzato.
Ai sensi del Gdpr, infatti, anche la profilazione e i processi decisionali automatizzati devono essere svolti nel rispetto dei principi generali di liceità, correttezza e trasparenza, finalità, minimizzazione, esattezza, limitazione della conservazione e in presenza di una base giuridica per il trattamento.
Inoltre la profilazione, al pari di ogni altro trattamento, prevede il diritto di opposizione e il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
In linea di principio, dunque, l’uso dei big data non dovrebbe comportare l’esclusione dell’intervento umano nel processo decisionale, il quale deve potersi dissociare dalla soluzione proposta all’esito del processo automatizzato.
Portabilità. Altro set di tutele è rinvenibile nel diritto, previsto dal Gdpr, alla portabilità dei dati.
Per quanto riguarda l’accesso ai dati grezzi (dati non strutturati), per i dati detenuti dalla pubblica amministrazione ci sono norme che prevedono la messa a disposizione del pubblico di quantità importanti di dati, al fine di consentirne il riuso; e per i dati detenuti da poche imprese, il Gdpr prevede il diritto di accesso ai dati personali e la loro portabilità, ai fini del trasferimento dei data set da una piattaforma a un’altra e della possibilità di accedere anche ai metadati.
I big data. I «big data» non sono definiti per legge, ma con questa espressione si fa riferimento alla raccolta, all’analisi e all’accumulo di ingenti quantità di dati, tra i quali possono essere ricompresi dati di natura personale, provenienti anche da fonti diverse.
La natura massiva delle operazioni di trattamento rende necessario che tali insiemi di informazioni (sia memorizzate, sia in streaming) siano oggetto di trattamento automatizzato, mediante algoritmi e altre tecniche avanzate, al fine di individuare correlazioni di natura (per lo più) probabilistica, tendenze e modelli.
In effetti i dati hanno assunto importanza via via crescente nell’organizzazione delle attività di produzione e di scambio, a tal punto da poter essere considerati, oltre che la proiezione della persona nel mondo digitale, anche una risorsa economica a tutti gli effetti, anzi la risorsa di gran lunga più importante in molti settori. Le organizzazioni, private e pubbliche, tendono a raccogliere dati di qualsiasi tipo, a elaborarli in tempo reale per migliorare i propri processi decisionali e a memorizzarli in maniera permanente al fine di poterli riutilizzare in futuro o di estrarne nuova conoscenza.
La creazione di dati sta seguendo un processo esponenziale: nell’anno 2018 il volume totale di dati creati nel mondo è stato di 28 zettabyte (ZB), registrando un aumento di più di dieci volte rispetto al 2011: si prevede che entro il 2025 il volume complessivo dei dati arriverà fino a 163 ZB. Questa espansione, guidata dall’affermazione delle piattaforme on-line, subirà un’ulteriore accelerazione con la connessione tra oggetti e le applicazioni 5G.
© Riproduzione riservata
Fonte: