Critica del GDPR e Gestione dei Big Data: una Gap Analysis
I Big Data costituiscono attualmente il bene più prezioso esistente sul mercato globale.
La combinazione della enorme mole di dati che tutti noi quotidianamente produciamo e la loro analisi sottende un valore estremamente utile per chi li raccoglie: può portare infatti grandi vantaggi, sia per le aziende che li sfruttano, sia per i loro clienti; da una parte infatti possono significare risparmio di risorse, dall’altra forniscono la possibilità di proporre prodotti fatti su misura per ciascun utente.
Allo stesso tempo tuttavia, esiste anche un altro lato della medaglia piuttosto inquietante: la raccolta dei dati privati comporta la progressiva erosione del diritto alla privacy dell’individuo, e in alcuni casi può arrivare ad inasprire le disuguaglianze sociali e le discriminazioni.
Inoltre, l’utilizzo massivo del data mining (la tecnica di estrazione dei dati) può portare ad una erosione del principio di autodeterminazione: da una parte, l’azienda che conosce i gusti e le idee dell’individuo può indurlo a comprare determinati prodotti, dall’altra, in modo ancora più pericoloso per la libertà, uno stato senza riguardo per i diritti della persona può utilizzare questi dati per controllare la società, come già accade in Cina, dove esiste una sorta di sistema pubblico e politico di profilazione e rating dei cittadini.
Purtroppo, gli attuali impianti normativi a livello transnazionale risultano fortemente in ritardo in questa materia: non solo a livello internazionale mancano un accordo globale e un’autorità competente per la protezione dei dati (che sarebbero fondamentali visto la natura “senza confini” della rete web), ma laddove invece esiste una forma di regolamentazione questa risulta molto deficitaria, quasi inefficace: è il caso della normativa europea e in particolare del regolamento GDPR, specificamente focalizzato al trattamento e alla protezione dei dati personali.
Il GDPR mira ad affidare a ciascun soggetto la sovranità sui propri dati personali, e obbliga gli stati ad adottare un’autorità garante per la protezione dei dati.
Sfortunatamente, i 7 principi su cui si fonda il GDPR sono contraddetti in pieno dal concetto stesso e dal funzionamento dei Big Data
Infatti, mentre il GDPR consente la raccolta dei dati per un fine specifico, i Big Data, al contrario presuppongono l’incrocio di una massa indefinita di dati, raccolti per diversi fini, per procedere alla profilazione dell’individuo.
Praticamente i dati vengono conformemente raccolti per uno specifico scopo, ma la successiva analisi ne snatura lo scopo principale per cui sono stati raccolti.
E nonostante questa incompatibilità tra GDPR e Big Data, la Corte di Giustizia sostiene che le Big Data applications sono conformi al GDPR, poiché la definizione di dati personali che il GDPR adotta è limitata al dato in sé1GDPR art. 4 “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”, e non alla sua elaborazione.
Escludendo dall’equazione il principale processo di funzionamento della profilazione attraverso i Big Data, il GDPR risulta di fatto inutile.
Ciò che dovrebbe essere oggetto di regolamentazione, più che la distinzione tra dati sensibili/non sensibili e lo scopo della raccolta di tali dati, sono le modalità di riutilizzo ed analisi di tali dati.
Allo stesso modo, in ambito internazionale extra-UE, le altre principali policy che puntano a regolamentare i Big Data non riescono a centrare in pieno la questione, o la affrontano in modo sbrigativo.
Il problema principale di queste normative è che, oltre a essere state emanate con ritardo rispetto all’evoluzione e alla accresciuta importanza dei Big Data, sono pensate per essere più business-friendly, che a tutela dell’individuo.
Di fatto i cittadini UE non sono adeguatamente protetti dalle attuali normative contro l’utilizzo dei Big Data, che faticano a trovare un punto di equilibrio tra le necessità delle aziende BIG TECH legate all’’utilizzo dei dati e la protezione della sfera privata delle persone.
Tuttavia, la protezione del privato è una necessità superiore rispetto agli interessi delle imprese, ed è quindi urgente un intervento normativo per sopperire a queste mancanze delle normative attuali.
Intervento normativo che dovrebbe affiancarsi ed ispirarsi a solidi principi etici, in modo da evitare un “effetto check-list”, per cui gli obblighi normativi si traducono in una serie di operazioni formalmente conformi alle norme, ma nel concreto inutili (come il meccanismo “prendere visione – prestare consenso” del GDPR).
A tal proposito, è utile accennare al documento “Etichs Guidelines for trustworthy AI” prodotto dall’ “HLEG AI” (High Level Expert Group Of Artificial Intelligence), gruppo di lavoro di esperti, riunitosi su impulso della Commissione Europea.
Secondo il documento, le Artificial Intelligence utilizzate per l’analisi dei dati, per poter essere affidabili devono conformarsi a 4 principi etici fondamentali: rispetto per l’autonomia umana, prevenzione dei danni, correttezza, ed accountability (ovverosia esplicabilità a posteriori, intesa come trasparenza e possibilità di ricostruzione dei processi analitici e decisionali.
Si afferma la necessità di un’evoluzione globale rispetto al modo di affrontare questa materia, che coinvolga sia la società, che il diritto stesso.
Un modello efficace di riforma dei Big Data dovrebbe poggiare su 3 pilastri fondamentali:
- La sovranità dell’individuo sui propri dati
Il problema maggiore con cui si scontra la principale norma per la gestione dei dati, il GDPR, è il palese sbilanciamento dei valori di forza tra individui e le grandi compagnie di gestione dei dati: attualmente, infatti, i dati appartengono alle grandi compagnie, non ai soggetti privati; questo da un lato va a svantaggio dei soggetti privati, i quali non hanno il controllo dei propri dati, e dall’altra costituisce una sorta di concorrenza sleale nel mercato, perché le grandi società tecnologiche detengono di fatto il monopolio dei dati, escludendo di fatto i competitor.
Per questo sarebbe necessario fornire alle persone un’identità digitale autodeterminata.
Una riforma radicale dovrebbe ribaltare questo paradigma, dove l’identità digitale è fornita da ciascuna azienda o provider con cui il cittadino entri in contatto e fare in modo che ciascun individuo si possa riappropriare dei propri dati.
Chiunque di noi deve gestire una quantità sterminata di password e nomi utenti diversi, necessari a garantire l’accesso ad ogni servizio che richieda una forma di identificazione tramite login, per cui accade che gli stessi dati siano allocati in molte diverse posizioni.
Con l’identità digitale univoca accadrebbe il contrario, per cui ogni soggetto è già individuato e identificato, e può liberamente decidere con chi condividere i propri dati, quali dati condividere, e per quanto tempo.
Applicando la nuova Distributed Ledger Technology, i dati sono posseduti e controllati dai privati, raccolti in una banca dati sicura, e possono essere condivisi secondo le modalità scelte dal proprietario.
Inoltre, ogni accesso di terzi (previa chiave fornita dall’utente) è registrato.
2. La formazione e la responsabilizzazione dell’individuo
Un modello del genere, fortemente responsabilizzante, necessita chiaramente che ogni persona abbia gli strumenti necessari per comprendere l’importanza dei propri dati e del loro utilizzo.
È necessaria quindi un’educazione mirata alla sovranità sui propri dati.
Si tratta di un punto molto delicato ma necessario per una riforma, perché implica un cambiamento radicale nell’approccio della società al digitale.
Nello scorso decennio infatti è stato teorizzato il cd “privacy paradox”, per cui è stato dimostrato che gli utenti sono ben consci dell’importanza dei propri dati, ma nonostante ciò il loro comportamento non è coerente con questa consapevolezza.
In questo contesto, gioca un ruolo importante la necessità di rimanere connessi alla rete o far parte di un determinato gruppo, per cui gli utenti rinunciano alla propria sicurezza dei dati pur di non essere esclusi dal servizio o dalla rete.
È pertanto necessario un programma di educazione digitale che parta dalle scuole primarie e prosegua per tutto il ciclo di studi, che renda l’educazione digitale una parte integrante e necessaria del curriculum di ciascuna persona.
3. L’implementazione dei cd “Legal Tech” nel mondo del diritto.
Questo passo consiste nell’applicazione di veri e propri programmi che riproducano la legge in contesto digitale, dove i codici e il linguaggio giuridico faticano a tenere il passo.
Programmi che devono rispettare 2 requisiti fondamentali: devono essere emanati da soggetti con potere legislativo e devono essere contestabili in sede di giudizio. Una sfida sicuramente complicata, data anche la difficoltà nel tradurre in linguaggio binario alcuni concetti giuridici (es. la buona fede), ma altrettanto necessaria, vista la direzione sempre più digitale in cui si muove la società.
I Big Data e il loro utilizzo costituiscono quindi l’occasione giusta per compiere un’evoluzione necessaria e non più rinviabile, sia da parte della società e del diritto.
La velocità dello sviluppo tecnologico impone una maggiore consapevolezza della direzione in cui si muove il digitale, ormai teatro principale del commercio e della vita sociale.
Prima ancora della sovranità sui dati e dei “Legal Tech”, è fondamentale che la società impari a utilizzare e gestire in modo consapevole gli strumenti digitali, non solo per tutelare i propri dati e la propria privacy, ma anche per rimanere “governatori delle macchine”, e non finire con l’esserne governati.