Una volta che la privacy è invasa, la privacy è perduta

Nell’era dei big data e dell’analisi predittiva la tutela dei dati personali – e dei dati in genere – è anche un interesse generale della società contro le capacità manipolative dei processi algoritmici e le nuove forme di sorveglianza basate sui dati.

Sempre più nuove e sofisticate forme di profilazione massiva dei comportamenti dei singoli e delle collettività, eseguite su larga scala, aventi ad oggetto non solo o non tanto i dati personali ma piuttosto i metadati e i dati inferiti¹, riescono ad influenzare e ad incidere, in modo a volte occulto o subliminale, sui bisogni reali o percepiti dei singoli, dei gruppi e della società. Si potrebbe quindi ritenere che le attuali legislazioni per la tutela dei dati personali e della privacy non risultino sempre adeguate a garantire la tutela del diritto delle persone all’autodeterminazione.
Tenendo conto di tutto questo nonché del fatto che il GDPR è stato il miglior compromesso legislativo che in quel particolare momento si poteva ottenere, e che ancora non ha visto la luce il nuovo Regolamento Europeo e-Privacy, si deve ritenere di dover considerare la necessità di individuare ulteriori quadri di protezione relativi ai dati, che vadano oltre le attuali nozioni di protezione dei dati personali e della privacy, arrivando ad affrontare in modo più ampio e organico gli impatti significativi dell’uso mirato dei dati sulle società e sull’effettivo esercizio dei diritti umani². Questo emerge anche dalla dichiarazione adottata dal Comitato dei Ministri del Consiglio di Europa sulle capacità manipolative dei processi algoritmici, in cui il Comitato richiama l’attenzione sul crescente rischio di utilizzare processi algoritmici per manipolare anche il comportamento sociale e politico.

Le discussioni in corso sull’applicazione e il rafforzamento delle leggi sulla protezione dei dati dovrebbero considerare i rischi e gli interessi particolari di tutti quei soggetti che potrebbero essere inconsapevoli dei pericoli derivanti dallo sfruttamento dei dati. Il riferimento non è rivolto solo a soggetti vulnerabili quali minori, anziani e minoranze in genere, ma deve soprattutto includere coloro che, a causa della loro ‘impronta digitale’ particolarmente ampia, sono specificatamente esposti a nuove forme di sorveglianza basate sui dati.

Sembrerebbe quindi che le normative oggi vigenti sulla protezione dei dati non risultino pienamente adeguate a poter garantire il rispetto e la tutela dei diritti fondamentali della persona e della società a causa dell’uso di tecnologie digitali avanzate. Questo con particolare riferimento al rispetto del diritto all’autodeterminazione quale sintesi del concetto di privacy³, che racchiude in sé tutti i diritti fondamentali della persona e sulla quale si concretizza la libertà della persona concepibile come lo spazio fisico e digitale nel quale ogni persona ha la facoltà di sviluppare ed esprimere la propria personalità.

Le problematiche sulla privacy legate all’autodeterminazione dell’individuo non sono questioni solo di oggi, ma le possiamo già ritrovare nelle dichiarazioni fatte nel 1952 da un giudice della Corte Suprema degli USA e rileggendole oggi, tenuto conto delle ovvie differenze tecnologiche e culturali, si può notare come tali parole possano essere ritenute attuali anche nei contesti dei giorni nostri.

Si trattava del caso 343 U.S. 451 (1952) Public Utilities Commission of District of Columbia v. Pollak e Martin⁴, riguardante il ricorso alla Corte Suprema di due pendolari contro la una società di trasporto pubblico per violazione della privacy a causa della diffusione di messaggi promozionali sui mezzi di trasporto pubblico.

I due pendolari persero il ricorso⁴ ma il giudice Douglas, che fu a favore dei ricorrenti, nella sua opinione dissenziente sostenne che:

Il caso ricade nel significato della “libertà” come intesa nel Quinto emendamento. Il ‘right to be let alone’ è infatti l’inizio di ogni libertà.
La privacy che un uomo gode nella propria casa (Quarto emendamento) viene in parte persa in luogo pubblico. Ma anche nelle sue attività al di fuori della casa gode ancora di alcune tutele che riconducono comunque al concetto di Privacy.

Quando costringiamo le persone ad ascoltare le idee di un’altra, stiamo dando al propagandista un’arma potente.

Oggi è un’impresa commerciale che trasmette un programma radiofonico con il benestare del governo. Domani potrebbe essere un gruppo politico o religioso dominante. Oggi lo scopo è benigno e non ci sono fini nascosti.

Ma il vizio è intrinseco al sistema. Una volta che la privacy è invasa, la privacy è perduta. Una volta che un uomo è costretto a sottomettersi ad un tipo di programma radiofonico, può essere costretto a sottomettersi ad un altro. Ma potrebbe anche essere breve il passo per passare da un programma culturale a un programma politico.

La forza del nostro sistema -e dei sistemi democratici- risiede nella fiducia verso la capacità degli individui di fare la scelta più saggia. Il diritto alla privacy, oggi violato, è un potente deterrente per chiunque voglia controllare le menti degli uomini (William O. Douglas, 1952).

Le parole del giudice Douglas, riviste nell’era dei Big Data, della Data Driven Society, dell’AI e del machine learning devono portare a comprendere l’enorme importanza della tutela della data protection e della privacy. Privacy intesa come diritto all’autodeterminazione dell’individuo, quale presupposto di tutti gli altri diritti, che viene ristretto nel momento in cui, contro la propria volontà, si viene esposti a messaggi pubblicitari come nel caso Pollak.

Ma la caratteristica sostanziale della pubblicità di cui parla Douglas e della pubblicità commerciale degli anni ’80 che ha profondamente influenzato e cambiato la società di allora, è che si trattava di pubblicità riconoscibili in quanto tali. Invece gli strumenti di machine learning contemporanei hanno la crescente capacità non solo di prevedere le scelte delle persone ma anche di influenzare emozioni e pensieri e alterare un corso d’azione previsto, a volte subliminalmente. Inoltre, per le attuali società democratiche, i pericoli derivano dalla possibilità di utilizzare tali capacità per manipolare e controllare non solo le scelte economiche ma anche i comportamenti sociali e politici.

Le tecnologie basate sui dati sono una presenza sempre crescente nella vita quotidiana delle persone, ma rimane diffusamente limitata la consapevolezza della misura in cui i dispositivi tecnologici di uso quotidiano raccolgono e generano enormi quantità di dati. Questi dati vengono poi utilizzati anche per addestrare le tecnologie di apprendimento automatico per varie finalità come prevedere e modellare le preferenze personali, modificare i flussi di informazioni e, tal volta, sottoporre gli individui a sperimentazione comportamentale.

La raccolta e l’analisi di grandi quantità di dati per identificare i modelli di comportamento, ricostruire e prevedere i desideri dei singoli, dei gruppi, delle collettività e anche di interi paesi, viene poi utilizzato e veicolato in forme e modi pervasivi e non riconoscibili, che espongono gli individui ad una significativa limitazione del diritto all’autodeterminazione.

Oggi si restringe la libertà di autodeterminazione dei singoli non con i dati personali ma attraverso i metadati e l’utilizzo aggregato dei dati.

L’utilizzo di grandi analisi sui dati supera i confini della dimensione individuale e assume una dimensione collettiva della privacy e della data protection.

Il rischio è quello di orientare lo sviluppo di una coscienza sociale senza che chi viene orientato se ne renda conto: per questo è necessario arrivare a normare e definire dove poter tracciare il confine tra forme di persuasione ammissibile e manipolazione inaccettabile.

Note

1. Dati ricavati, derivati o tratti da altri dati; un’informazione aggiunta ad altri dati o che descrive un set di dati.
2. Dalla dichiarazione sulle capacità manipolative dei processi algoritmici adottata dal Comitato dei Ministri del Consiglio di Europa il 13 febbraio 2019, URL: https://search.coe.int/cm/pages/result_details.aspx?ObjectId=090000168092dd4b , ultima consultazione 30/10/2019
3. Il termine Privacy è spesso impropriamente utilizzato per riferissi al diritto alla protezione dei dati personali. Il termine Privacy indica il diritto alla riservatezza che negli USA avviene per via giurisprudenziale con l’affermazione del Right to Privacy. Diritto di escludere gli altri dalla propria sfera più intima siano essi privati o pubblici poteri. Diritto di essere lasciati soli.
   In Europa si parla di protezione dei dati personali ed è un processo che avviene attraverso un riconoscimento normativo. Il diritto alla riservatezza è declinato, in alcuni Stati europei, a partire dagli anni settanta, come diritto alla tutela dei propri dati personali.
   È diventato ormai di uso comune utilizzare il termine Privacy per indicare, a seconda dei casi, sia il diritto di escludere gli altri dalla propria sfera più intima, sia come diritto alla protezione dei dati personali.
4. 343 U.S. 451 (1952) Public Utilities Commission of District of Columbia v. Pollak e Martin, URL: https://supreme.justia.com/cases/federal/us/343/451/, ultima consultazione 30/10/2019
5. Solo nel 1964 avviene il primo riconoscimento costituzionale del diritto alla privacy negli Stati Uniti. Sentenza Kats della Corte Suprema US; il caso riguardava la registrazione ambientale avvenuta in una cabina telefonica pubblica.

Bibliografia

De Montjoye – Yves-Alexandre, Computational Privacy: Towards Privacy-Conscientious Uses of Metadata, (2015), URL: https://dspace.mit.edu/handle/1721.1/101850, ultima consultazione 30/10/2019

Council of Europe, Declaration by the Committee of Ministers on the manipulative capabilities of algorithmic processes (Adopted on 13 February 2019 at the 1337th meeting of the Ministers’ Deputies), URL: https://search.coe.int/cm/pages/result_details.aspx?ObjectId=090000168092dd4b, ultima consultazione 30/10/2019

Articolo a cura di Stefano Luca Tresoldi

Profilo Autore

Stefano Luca Tresoldi

Data protection advisor, esperto nell'implementazione del GDPR in contesti operativi complessi anche in ambiti internazionali.
Ha maturando una significativa esperienza nella progettazione e nello sviluppo di Metodologie DPIA ad hoc per importanti gruppi internazionali. Ha ricoperto il ruolo di DPO ad interim per importanti gruppi industriali.

Altri Articoli

• Stefano Luca Tresoldi

  https://www.ictsecuritymagazine.com/author/stefano-luca-tresoldi/

  Normativa sui Cookie: l'Italia adegua le linee guida e in Europa sanzioni da 100 milioni di euro a Google e 35 milioni per Amazon
• Stefano Luca Tresoldi

  https://www.ictsecuritymagazine.com/author/stefano-luca-tresoldi/

  GDPR: Adeguamento aziende e criticità
• Stefano Luca Tresoldi

  https://www.ictsecuritymagazine.com/author/stefano-luca-tresoldi/

  GDPR perché certificarsi - La vera ragione economica e il fenomeno della selezione avversa
• Stefano Luca Tresoldi

  https://www.ictsecuritymagazine.com/author/stefano-luca-tresoldi/

  Le figure dell’Incaricato del trattamento e del Responsabile interno tra Direttiva, Codice Privacy e Regolamento