Big data e privacy
La comparsa dei Big Data nel discorso pubblico — spesso anche a sproposito — ha riportato all’attenzione del mondo la privacy come questione di tale importanza da richiedere l’intervento della politica pubblica. E’ difficile controbilanciare i valori delle tecnologie di Big Data e il valore della privacy. La difficoltà nasce tanto dalla regolare sorveglianza quanto dalla cosiddetta “sousveillance”, la sorveglianza “dal basso”. Servizi di Intelligence governativi e organismi di ordine pubblico raccolgono ogni giorno una massa enorme di dati tramite la regolare attività di sorveglianza. Meno discusse — pur costituendo un problema ancora più grosso per chi non è bersaglio di terrorismo o soggetto a indagini delle forze dell’ordine — sono le telecamere dei cellulari e le tecnologie “indossabili” che raccolgono “dal basso” quello che facciamo e diciamo: la “sousveillance”, appunto. I nostri segreti e vite private rischiano di essere esposti al mondo da qualcuno che li rende pubblici dal cellulare non meno di quanto rischino di essere raccolti e divulgati dall’alto. È un problema che nasce tanto dal governo quanto dall’industria e anche da individui che oggi posseggono strumenti di una tecnologia che quindici anni fa era considerata di livello militare. Tutto questo senza neanche cominciare a parlare della mole di dati recuperata dalla profilazione che avviene ogni momento tramite i social network e le app di lavoro che usiamo in continuazione, come le email.
Per rispondere ai fondati timori suscitati da questa erosione che la tecnologia sta operando sulla riservatezza, molti governi europei hanno provato a fissare rigide normative in tema di privacy. Il problema in cui ci si imbatte in questo campo è duplice.
Primo: la maggior parte di queste tecnologie non opera paese per paese — a livello legislativo -nel raccogliere informazioni e organizzarne la raccolta e la distribuzione. Se l’app è collocato giuridicamente e conserva i dati in un ambiente pro business e permissivo come gli Stati Uniti, il presupposto operativo di molte aziende è che loro obbligo sia solo agire all’interno del quadro giuridico statunitense.
Secondo: quando un paese cerca invece di impedire alle proprie aziende di realizzare prodotti che ledono i regolamenti sulla privacy, in pratica riduce la propria capacità di competere in uno dei segmenti in più rapida crescita dell’economia globale. Limitare l’accesso ai dati nell’economia odierna è un po’ come regolamentare l’uso dei terreni durante l’epoca dell’agricoltura o stabilire che cosa i padroni delle fabbriche potevano produrre nell’era dell’industrializzazione. Questi paesi si trovano davanti a un dilemma di difficile soluzione: perché una legislazione giovi all’interesse pubblico deve essere sufficientemente rigida per proteggere i diritti dell’individuo e della comunità, ma anche sufficientemente flessibile da non sopprimere investimenti e sviluppo economico.
Che si voglia o meno rispettare una versione inflessibile della privacy, bisogna rendersi conto che oggi non si può più tornare indietro per adottare concretamente quel modello, almeno dal punto di vista della raccolta. Margo Seltzer, docente di Scienze informatiche a Harvaard, ha sostenuto al World Economie Forum di Davos del 2015 che “la privacy così come l’abbiamo conosciuta in passato non è più possibile. [ … ] Il modo convenzionale che abbiamo di pensare alla privacy è morto”. Con la proliferazione di sensori, dispositivi e reti che risucchiano dati da ogni cosa e da ogni comportamento, potremmo aver sorpassato il punto in cui era ancora possibile mettere un freno significativo alla raccolta dei dati. Potremmo invece doverci concentrare sulla loro conservazione e correttezza di uso, stabilendo con chiarezza per quanto tempo i dati possono essere trattenuti e fissando regole su come possono essere utilizzati, se possono essere venduti, e sul genere di consenso da ottenere dalla persona che li fornisce.
Non più tardi di tre settimane fa il La Camera dei Deputati ha appunto legiferato in materia, ma in una direzione opposta a quanto si potesse sperare. Con la scusa della lotta al terrorismo, si triplicano i tempi della data retention: questo vuol dire che le compagnie e i provider di telecomunicazione potranno conservare tutti i nostri dati di traffico dati e telefonico non per 6 mesi, non per un anno o al massimo due, come accade nel resto d’Europa, ma per sei anni.
Si parla ovviamente di un obbligo del mantenimento di dati a fini investigativi e giuridici e non commerciali, ma il concetto alla base potrebbe essere un interessante grimaldello per indebolire quegli operatori che, spesso in maniera poco chiara se non truffaldina, si è impossessata di dati personali poi aggregati e rivenduti fino a data indefinita, finendo per minare profondamente la fiducia della cittadinanza nell’idea di poter mantenere il controllo dei propri dati e della propria privacy.
Nuove opportunità
Nel 2015 l’attuale Garante europeo della protezione dei dati, Giovanni Buttarelli, dichiarava un progetto interessante:
“Vogliamo capire se sarà possibile creare “casseforti individuali” che l’interessato potrà controllare affidandone la chiave di volta in volta a singoli operatore, spegnendo l’interruttore al momento opportuno. Stiamo valutando fino a che punto l’interazione con le regole antitrust e le regole sulla tutela dei consumatori possa funzionare meglio, e come la disciplina degli open data possa essere applicata anche a informazioni in possesso non di soggetti pubblici.”
Questo permetterebbe di superare l’attuale sistema che grazie alla Cookie Law (che permetteva e regolava l’acquisizione e la successiva gestione illimitata dei dati grazie all’informativa e l’acquisizione del consenso per l’uso dei cookie) di ribaltare il paradigma del processo di gestione: ora l’azienda web raccoglie il dato in maniera si legale — grazie all’informativa — ma soprattutto scarica sulla sua accettazione la responsabilità sul singolo utente di qualsiasi utilizzo successivo a cui questo non può sottrarsi pena la non fruizione del servizio.
Non è escluso difatti che un buon compromesso tra la protezione dei diritti del consumatore e cittadino, e la protezione di un mercato in rapida crescita passi per una regolamentazione che a sua volta vada ad incentivare la creazione di un mercato secondario: il mercato europeo è composto da pochi big data player al momento: solo due sui venti maggiori a livello mondiale. Ad oggi il mercato è composto soprattutto di piccole e medie imprese e di startup. Invitando — o costringendo — le piccole e medie imprese a investire sui principi di privacy by design e privacy by default si andrà a regolamentare dei servizi che impattano sui diritti della comunità ma al contempo ci sarà un enorme business e nasceranno nuove figure professionali, nelle applicazioni privacy friendly e nel nuovo percorso per la formazione dei data protection officer, come nel campo della consulenza giuridica e tecnica.
Creare in questo senso un limite cronologico di “vita” del dato utilizzabile a fini commerciali costringerebbe un ricambio — o perlomeno una azione chiarificatrice — del dato raccolto creando un ciclo che a breve potrebbe ripulire i big data di tutti quelli acquisiti in questa prima era “sregolamentata” della raccolta.
Seltzer sostiene che praticamente ogni minima frazione delle nostre informazioni personali è attualmente a disposizione di chi vuole entrarne in possesso, ma ci sono aspetti della nostra vita che possono restare privati, e che vale la pena combattere per mantenere tali. Al momento il modo migliore per farlo è definire delle regole per la conservazione e l’uso corretto di questi dati.
Privacy e sanità
Gran parte delle informazioni sulla nostra salute rimane privata, e il bisogno di riservatezza crescerà con l’affermarsi della genomica. John Quackenbush, professore di Biologia computazionale e Bioinformatica a Harvard, spiega che “appena si toccano dati genomici, quelle informazioni diventano essenzialmente identificabili. Posso cancellare il tuo indirizzo e il numero della tua tessera sanitaria e ogni altro elemento di identificazione, ma non posso rendere anonimo il tuo genoma senza cancellare le informazioni che mi occorre analizzare”.
È difficile sovrastimare il pericolo rappresentato da una disponibilità generale delle informazioni genomiche: tutti i dettagli più intimi di chi e che cosa siamo geneticamente potrebbero essere usati da governi e imprese per ragioni che vanno al di là della creazione di medicinali. Se in cambio di terapie salvavita basate sulla genomica saremo costretti a cedere i nostri dati più intimi, non ci si può esimere dalla creazione di rigide regole su come essi saranno archiviati e usati.
Il trattamento dei dati in ambito sanitario costituisce al momento uno dei contesti più delicati in ragione della natura “ultrasensibile” dei dati che attengono allo stato di salute degli interessati, dati rispetto ai quali l’aspettativa di riservatezza e confidenzialità è, tradizionalmente, molto elevata e la legge garantisce i più alti livelli di protezione. In un sistema sanitario sempre più “dipendente” dai dati personali trattati attraverso molteplici strumenti (fascicolo sanitario elettronico, sistemi di diagnostica, telemedicina, dispositivi medici, ecc.) il pieno rispetto dei principi di protezione dati (tra i quali quelli di liceità, correttezza, trasparenza, esattezza, integrità e sicurezza) rappresenta ormai una condizione indispensabile per il corretto svolgimento della professione medica (come peraltro già espressamente previsto del Codice di deontologia medica).
Occorre considerare inoltre che i dati sanitari (e il loro elevato potenziale informativo) sono oggetto di enormi interessi, talvolta illeciti. Non è un caso infatti che l’obiettivo dei più recenti attacchi informatici siano stati proprio i sistemi informativi di aziende sanitarie e ospedali bloccando, anche solo temporaneamente, l’accesso ai dati sanitari con finalità estorsive.
Il Regolamento europeo prevede inoltre che i dati sulla Salute possono essere usati solo per finalità connesse alla Salute (finalità di cura), per la supervisione del Sistema sanitario nazionale (finalità di governo) e per la ricerca nel pubblico interesse ma lascia agli Stati membri la possibilità di mantenere o introdurre condizioni particolari o ulteriori limiti per il trattamento.
Trovandoci quindi in una situazione in cui il settore è giuridicamente protetto e molto chiuso, la tendenza è invece quella di legittimare in qualche modo l’utilizzo di dati che hanno un grandissimo valore sul mercato: addirittura l’Unione Europea, che come abbiamo visto sta lavorando a fondo per mettere un freno all’utilizzo indiscriminato dei dati personali, ha messo a punto nel programma di fondi Horizon 2020, il più grande programma quadro Ue mai realizzato per la ricerca e l’innovazione, investimenti in ambito sanitario per portare le idee e le rivoluzionarie applicazioni ICT dagli incubatori al mercato. Nell’individuare le nuove sfide per la Società 4.0 in termini di salute, cambiamento demografico e well-being, gli investimenti europei nelle aree di leadership industriale ed eccellenza scientifica, permetteranno infatti di rendere disponibili a tutti nuove cure, di interconnettere i sistemi sanitari e di far triangolare gli scienziati dei Centri di Ricerca con i laboratori in cui si creano nanomedicine e tessuti intelligenti. Il passo a rendere questi dataset commercializzabili alle aziende farmaceutiche per studi mirati allo sviluppo o al commercio è breve e non è detto che — se questo potesse evitare una deriva verso una privatizzazione della sanità — questo sia da evitare a tutti i costi.
Le battaglie da combattere
Nell’arco dei prossimi quindici anni, con il crescere della porzione delle nostre vite catturata da tecnologie Big Data, le norme cambieranno ulteriormente e si spera in un senso più ragionevole di alcune norme inapplicabili come il discutibile “diritto all’oblio”. Quello che oggi costituisce un comportamento scandaloso non sarà altrettanto anomalo o degno di nota. Dovremo accettare sempre di più la fallibilità che si accompagna all’essere umani, perché ognuno di noi avrà i suoi errori e segreti conservati in dati indelebili. Anche con queste norme in mutamento, sarà comunque necessario cercare di impedire che informazioni essenziali come il nostro corredo genetico diventino di dominio pubblico. Mentre i Big Data erodono la privacy, ci sono alcune cose per la cui segretezza vale la pena lottare. Il nuovo regolamento europeo, a cui si dovrà essere compliance entro maggio 2018, prevede l’introduzione di concetti come la Privacy by design e il Data Protection Officer, che sono due — ottimi — concetti per un più responsabile immagazzinamento e protezione dei dati raccolti ma da parte di reti, programmi, istituzioni che non hanno fini commerciali. La vera battaglia si giocherà invece nel pensare una legislazione restrittiva per le iniziative commerciali che le sfruttano, nell’uniformare le varie legislazioni nazionali comunitarie, avere la forza di metterle in essere sul territorio anche per quelle extracomunitarie e attraverso sanzioni abbastanza pesanti da rendere economicamente sconveniente l’infrazione.
Ben poco di tutto questo è nel nostro prossimo futuro.
Originally published at Argo.
