Il recente dibattito sull’uso dell’app Immuni per il tracciamento dei movimenti dei cittadini, con l’obiettivo di gestire con maggiore tempestività e incisività l’emergere di eventuali nuovi focolai di contagio da Covid-19 (così da gestire in sicurezza la fase 2 dell’emergenza), ha riportato al centro del dibattito pubblico il tema della privacy e l’importanza di proteggere i dati sensibili dei cittadini. I rischi di violazione della privacy e, a cascata, di fondamentali diritti civili hanno indotto il soffermarsi sui modelli di raccolta e gestione dei dati, in modo da ottenere il risultato sperato senza procurare danno ai cittadini o esporli al rischio di nuove modalità di sorveglianza e controllo.
Indice degli argomenti
La necessità di nuovi modelli di privacy preservation
Il dibattito si inserisce in una più ampia discussione, in atto a livello internazionale, riguardo la necessità di tutelare la privacy dei cittadini, e con essa le loro libertà fondamentali, richiedendo alle società tecnologiche (a partire dalle big tech come Google, Facebook, Amazon, Apple) di gestire e accedere ai nostri dati in modo da offrire piena trasparenza rispetto al loro uso, anche tramite l’obbligo di ottenere il consenso informato per ogni specifica finalità di trattamento. In tale contesto, l’Unione Europea ha ormai da diversi anni predisposto un nuovo strumento di regolazione, ovvero il noto Regolamento Generale sulla protezione dei dati (General Data Protection Regulation – GDPR), che sta in effetti modellando gli sforzi delle big tech verso modalità di gestione dei dati in grado di offrire agli utenti i più alti livelli di privacy possibili.
Non sorprende in tal senso che molte società big tech abbiano messo al centro della loro agenda l’adozione di modelli di privacy preservation sempre più avanzati, e che la protezione della privacy stia diventando sempre più una specifica value proposition per gli utenti. Non sorprende neppure che nelle ultime ore si stia delineando, proprio per l’app Immuni, l’adozione di una nuova architettura decentralizzata di gestione dati basata proprio su soluzioni già adottate da Google e Apple.
Estrarre le informazioni dai dati con l’intelligenza artificiale
Più in generale, l’emergenza coronavirus può offrire l’opportunità di ragionare più a fondo sul tema dei dati, sulle opportunità offerte dalla tecnologia, e sulle relative sfide e criticità. Da un punto di vista tecnologico, si sta ponendo una sempre più forte convergenza di diverse tecnologie che consente di massimizzare lo sfruttamento della mole di dati continuamente prodotti dalle nostre interazioni con il mondo digitale, allo stesso tempo offrendo nuovi modelli di gestione di questi dati, con una maggiore centralità del cittadino, una sua più grande possibilità di controllo e una maggiore attenzione alla privacy.
Da un lato, infatti, sempre più avanzati algoritmi basati su intelligenza artificiale riescono a estrarre informazioni e predizioni sempre più accurate sulla base dell’analisi di enormi moli di dati (rimanendo vero che gli algoritmi sono tanto accurati quanto alta è la qualità e quantità dei database utilizzati per “addestrarli”). Tale capacità di processare in modo sicuro dati sensibili è di vitale importanza proprio in considerazione della crescente disponibilità di questi dati in ambiti quali la medicina preventiva e – in epoca di coronavirus – la gestione delle epidemie.
Dall’altro lato, si stanno sviluppando sistemi innovativi per consentire il training degli algoritmi in architetture distribuite: modelli sempre più raffinati di distributed o federated learning consentono di sviluppare e “istruire” algoritmi su basi dati distribuite, senza dunque richiederne la centralizzazione in un unico database (secondo un approccio già sperimentato con il sistema OPAL – open algorithm – del MIT, che segue il l’approccio di inviare il modello da addestrare verso i dati piuttosto che l’opposto). Anche attività di analisi dati possono essere effettuate in modalità distribuita, consentendo ai vari proprietari dei dati di mantenerne il possesso e garantirne la sicurezza, come nel caso delle tecniche d secure multi-party computation, che consentono a diversi attori di effettuare collettivamente analisi sull’insieme dei dati posseduti da ciascuna entità senza dover rivelare i dati grezzi con nessuna di queste.
Come garantire elevati livelli di protezione della privacy
Allo stesso tempo, nuove tecniche di analisi e utilizzo dei dati in grado di offrire alti livelli di protezione della privacy (già adottate da giganti come Google, Apple e Microsoft) sono in continuo sviluppo. Un esempio interessante, che verrà sfruttato anche per lo sviluppo di app che ci aiuteranno a gestire meglio l’emergenza coronavirus, è quello della c.d. local differential privacy, un sistema in grado di consentire a un utente/ titolare di dati. senza bisogno di un passaggio di aggregazione operato da una terza parte, di aggiungere un “rumore” al dato originario tale da rendere molto difficoltoso ad un eventuale malintenzionato di estrarre dal database risultate informazioni personali sull’utente.
La zero-knowledge proof è un’altra interessante tecnica che, attraverso metodi crittografici, consente alle parti di verificare la veridicità di una affermazione senza rivelare il dato sottostante, cosa che consente di minimizzare allo stretto indispensabile l’ammontare di informazioni personali condivise per l’accesso a un servizio o il completamento di una transazione (per esempio, poter dimostrare con certezza a un esercente il fatto di aver raggiunto l’età richiesta per l’acquisto di alcolici senza dover rivelare la propria data di nascita), Infine, vale la pena di menzionare, sebbene gli utilizzi pratici siano ancora limitati, la homomoprhic encryption, una tecnica crittografica che consente di effettuare operazioni sui dati o effettuare analisi, sulla basi di dati crittati, senza mai passare per la decrittazione degli stessi.
Per altro verso, oltre alle varie soluzioni poc’anzi velocemente ricordate per la protezione dei dati e della privacy, altre tecnologie stanno rendendo possibile lo sviluppo di nuovi modelli di accesso, controllo e condivisione dei dati, con sempre maggiori poteri in mano ai titolari di dati. È il caso delle tanto discusse tecnologie dei registri distribuiti (distributed ledger technologies, DLT, di cui la tecnologia blockchain è la più nota espressione). Le DLT consentono di asserire con maggiore efficacia il proprio diritto di proprietà su un determinato asset digitale, offrendo ai titolari dei dati di regolare l’accesso a tali dati tramite specifiche regole, automaticamente applicate dal network distribuito. La possibilità di aggiungere un elemento economico (ovvero la possibilità di subordinare l’accesso ai dati all’ottenimento di contropartite economiche stabilite dagli utenti) ha aperto un interessante dibattito rispetto al futuro della c.d. economia dei dati e alle opportunità e rischi di una monetizzazione diretta dei dati personali.
Le DLT per lo sviluppo di personal data account
Considerate queste caratteristiche, le DLT appaiono essere particolarmente versate per supportare o sviluppo dei c.d. personal data account (PDA), ovvero dei sistemi – per lo più realizzati tramite interfacce mobili – in grado di consentire all’individuo di avere un accesso capillare ai propri dati (provenienti da diverse fonti e utili in diversi contesti), e di determinare le regole di accesso ai dati stessi, incluso chi potrà accedere, per quale tipologia di trattamento e – in caso – in cambio di quale corrispettivo.
WHITEPAPER
Blockchain
Utility/Energy
Ci sono già diversi esempi di applicazioni mobili, come Digi.me, Solid, e Hu-manity, che stanno puntando a offrire agli individui sistemi di personal data account (PDA).
Hu-manity[1] è una società statunitense, nata nel 2018, offre agli utenti una applicazione mobile che consente agli individui di rivendicare il diritto alla proprietà dei loro dati. Seguendo un modello molto simile, app come Digi.me e Solid consentono di separare i dati dalle applicazioni, così da permettere all’individuo di decidere come utilizzare i propri dati, dove conservarli, e con chi condividerli, conservandone sempre controllo e accesso, dal momento che i dati rimangono sempre con l’individuo[2].
Grazie a queste soluzioni, i cittadini si troveranno a poter accedere e gestire i propri dati in modo molto più diretto, abilitando allo stesso tempo enti terzi, pubblici o privati, alla “raccolta” dei dati (necessari per l’accesso a un dato servizio) in maniera automatizzata e con il consenso degli individui. Combinando tali soluzioni, basate su DLT, con robusti modelli di identità decentralizzata[3], si consentirebbe ai cittadini di operare gli scambi in maniera diretta e disintermediata, allo stesso tempo facilitando la protezione della privacy Inoltre, queste nuove soluzioni tecnologiche, faciliterebbero una concreta applicazione dei nuovi diritti sanciti dalla GDPR, abilitando di fatto una operatività immediata dei diritti all’accesso e alla portabilità, rendendo altresì la presenza del consenso informato un prerequisito essenziale per il trattamento dei dati e facilitando la richiesta di cancellazione (l’esercizio del c.d. diritto all’oblio) per il singolo individuo.
La convergenza di DLT, nuove tecniche di distributed learning, nuovi algoritmi di intelligenza artificiale e nuove soluzioni per la protezione della privacy possono facilitare il passaggio a una nuova era di gestione e utilizzo dei dati che si fondi sulla decentralizzazione, sulla centralità del cittadino/titolare dei dati, e sullo sviluppo di grandi piattaforme aperte e distribuite di dati in grado di offrire migliori servizi ai cittadini e facilitare le imprese digitali nello sviluppo di nuovi servizi basati sui dati, nel rispetto delle normative vigenti sulla privacy, che diventerà un elemento cardine delle società digitali del futuro.
La questione della privacy per le app di tracciamento
Quello che manca, in tale contesto, è proprio un appropriato dibattito pubblico in materia. Torniamo per un momento al corrente dibattito sull’app Immuni e i relativi problemi con la privacy. Alcuni osservatori hanno trovato questo dibattito ozioso se non paradossale: come è possibile discutere di privacy in un contesto di chiara necessità ed emergenza globale e dimenticarsene quando i cittadini cedono volontariamente i loro dati soltanto per accedere a servizi online, molti dei quali lontani dall’essere essenziali? Il tema è in realtà mal posto: a ben vedere, la questione della privacy dovrebbe essere più stabilmente inserita nell’agenda politica in Europa, anche in considerazione delle potenziali ripercussioni che la gestione consapevole dei dati potrebbe avere sul funzionamento stesso delle nostre democrazie.
È sempre più chiaro che la vita dei cittadini si svolge ormai nell’intersezione fra il mondo reale e il mondo digitale. In questa intersezione, la libertà dei cittadini si configurare come concreta capacità di gestione della propria “identità digitale” e dei relativi dati che la compongono, la nostra digital footprint. L’assenza di questa concreta capacità e della relativa consapevolezza dell’importanza dei dati e della privacy, che dovrebbe essere parte centrale della educazione civica di ogni cittadino digitale, può aprire a scenari distopici inquietanti, in cui gli spazi di autentica libertà e auto-affermazione vengono progressivamente ridotti in un processo di datafication, control, and commodification delle nostre esperienze, un processo che nello stesso momento in cui soddisfa i nostri bisogni ci trasforma in mere fonti di dati, risultando in “a perverse amalgam of empowerment inextricably layered with diminishment”[4]. In tal senso appare più chiara quella visione secondo cui il principio alla base della privacy sia “non il principio di proprietà privata, ma quello di personalità inviolata. […] Il diritto alla privacy, in quanto parte del più generale diritto all’immunità della persona, [è] il diritto alla propria personalità”[5].
Tali scenari diventano tanto più preoccupanti quanto più gli sviluppi nel settore vedranno l’intelligenza artificiale conquistare un ruolo sempre più importante nella creazione di valore economico, proprio grazie a quella disponibilità di dati che potrà essere o un essenziale bene pubblico oppure diventare appannaggio di pochi grandi monopoli privati, mentre intere fette di popolazione che quei dati contribuiscono a creare rischiano di diventare progressivamente “irrilevanti” da un punto di vista economico[6].
Per questo motivo è fondamentale che i governi democratici si pongano il chiaro obiettivo di affiancare alla rivoluzione tecnologica in corso un appropriato percorso in grado di offrire ai cittadini gli strumenti adeguati a gestire la propria identità “Onlife” e vivere in modo consapevole nella società digitale. Tale processo dovrà passare per la fondazione di una nuova alleanza con i singoli cittadini sulla base di un nuovo patto sociale per l’epoca digitale, che includa in una nuova narrazione collettiva i diritti fondamentali dell’epoca digitale, fra cui la proprietà e il controllo dei dati, il consenso al trattamento dei dati personali, la tutela dell’individuo, come elementi fondamentali di garanzia delle libertà personali e collettive.
- https://hu-manity.org/ ↑
- https://solid.inrupt.com/how-it-works ↑
- Di cui si è detto più estesamente qui: https://www.agendadigitale.eu/cittadinanza-digitale/identita-digitale/privacy-i-nuovi-modelli-di-identita-per-la-dimensione-onlife/ ↑
- Zuboff, S. (2019) The age of surveillance capitalism: The fight for a human future at the new frontier of power. Profile Books, 2019. ↑
- Warren, S., Brandeis, L.D. (1890), “The right to privacy”, in Harward Law Review, 4,5, pp.193-220, citato in Floridi, L. (2017), La quarta rivoluzione: come l’infosfera sta trasformando il mondo. Raffaello Cortina. ↑
- Harari, Y. N. (2018). 21 Lessons for the 21st Century. Random House. ↑
Le notizia proviene per gentile concessione da Blockchain 4 Innovation