Le sfide della privacy, della cybersicurezza e dell'intelligenza artificiale alla luce del regolamento europeo sulla protezione dei dati

  • 21
  •  
  •  
  • 5
  •  
  •  

IL FUTURO È INIZIATO - Ce ne stiamo rendendo conto poco a poco, ma il digitale è entrato nettamente nelle nostre vite: prendiamo come esempio la fine del roaming nell'Unione Europea per quanto riguarda le tariffe telefoniche o l'introduzione della rete 5G che non solo permetterà connessioni più veloci, ma darà anche la possibilità ai dispositivi domestici di comunicare tra loro per quello che fra qualche anno sarà il boom delle domotica. L'informatizzazione è una priorità della Commissione Europea che ha proposto un piano d'azione basato sulla facilità d'accesso ai servizi web dei consumatori e delle imprese, con misure legislative in grado di migliorare i servizi annessi.
Due delle tante missioni che l'Unione Europea si è prefissata sono la creazione di uno spazio cibernetico sicuro e risposte rapide in caso di attacchi sulla rete, ma le sue proposte e le sue direttive non sono sempre state pienamente applicate dai singoli paesi; tuttavia col regolamento europeo sulla protezione dei dati, semplificato in "GDPR", si è fatto un grandissimo passo in avanti a tutela dei cittadini. Di questo si è parlato ieri durante il seminario "Deontologia e privacy: l'economia dei dati nel mercato digitale UE" organizzato a Verona dal Sindacato dei giornalisti del Veneto.

IL GDPR E IL CASO "AVVOCHIC" - Nel 1996 alcuni paesi scandinavi insistettero per l'emissione di una direttiva che tutelasse la riservatezza nell'ambito dell'Unione Europea. A quei tempi sembrò una proposta fuori dal mondo, ma l'Italia si aggiornò con la L. 675 del 31 dicembre dello stesso anno e in seguito col codice per la protezione dei dati personali approvato nel 2003 ed entrato in vigore nel 2004. Questo percorso legislativo era basato su un sistema di standard minimi, ma ora, con l'arrivo del GDPR (promulgato il 25 maggio 2018), la questione sulla privacy dev'essere adeguata a tutti gli stati membri.
Sul tema ha parlato in maniera esaustiva l'avvocato Riccardo Berti, concentrandosi particolarmente sul concetto di dato personale (art. 4, par. 1 del regolamento), ossia le informazioni relative alle persone fisiche identificate o identificabili. La novità del GDPR sta nel criterio di identificazione: la persona può essere individuata direttamente o indirettamente con riferimento a un identificativo come il nome, un numero, dei dati relativi alla sua ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
A riguardo è stato fatto l'esempio del famoso gruppo Facebook "Avvochic & choc (la moda nei tribunali)", basato su foto scattate a legali vestiti nelle maniere più bizzarre: secondo il relatore, sulla base delle attuali norme, alcuni post pubblicati in quello spazio web sarebbero borderline, in quanto con l'attuale normativa anche il solo indicare il giorno e il luogo di provenienza e il mettere le iniziali dei nomi e dei cognomi è un trattare i dati personali. Il GDPR si basa, per l'appunto, sull'interconnessione fra i dati, il contesto quindi è rilevante e, non per niente, il gruppo non è più pubblico da tempo (per ottenere l'accesso bisogna iscriversi).

IL DPO E IL DIRITTO ALL'OBLIO - Col suddetto regolamento è stato introdotto il responsabile della protezione dei dati, anche conosciuto come "DPO" (da "data protection officier"). Si tratta di una figura lavorativa diventata obbligatoria in tutta l'Unione Europea dal 25 maggio 2018 allorquando il trattamento dei dati venga effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali nell'esercizio delle proprie funzioni. In merito si segnala il corso dell'Università degli Studi "Guglielmo Marconi", in grado di offrire la certificazione UNI 11697:2017.
Anche il diritto all'oblio è stato regolato dalla nuova normativa, la quale prevede che la richiesta dell'interessato dev'essere legittimamente motivata (art. 17). Il titolare può comunque riprendere il trattamento se dimostra motivi legittimi cogenti e prevalenti sui diritti e le libertà dell'opponente, inclusa quella di azione in giudizio (art. 21). È sicuramente un tema travagliato in cui lo stesso diritto all'oblio si scontra con la libertà di espressione e informazione.
Poi ci sono le stranezze, è il caso del D.Lgs. 101/18 con il quale l'Italia si è adeguata al GDPR, nel punto in cui il nostro paese ha provato a regolare i dati dei defunti, anche se il regolamento non prevedeva un passaggio simile: si tratta di un ragionamento giuridico assurdo perché viene previsto un mandatario e per legge il mandato si estingue per morte.

QUANTO SIAMO AL SICURO? - Durante il seminario si è menzionato l'importanza della crittografia: i sistemi operativi Windows che non sono in versione "pro" e i vecchi Android non sono cifrati di default e molte schede SD risentono ancora di questo problema. Sempre in tema di sicurezza si è fatto riferimento al servizio online "have I been pwned?", tra l'altro recentemente integrato al browser Firefox, che serve per scoprire se qualche pirata informatico è riuscito ad ottenere le password delle nostre email. Si tratta di argomenti analizzati anche da noi di DirittoeCronaca.it, illustrati nell'articolo "Cos'è la 'Breach Compilation' e perché dovremmo modificare tutte le nostre vecchie password".
Si è discusso anche sull'uso del "cloud" e si è giunti alla conclusione che è sempre meglio utilizzare server con hosting nell'UE.
Un punto importante è stato toccato nominando la profilazione dei siti che, tramite cookie, possono sia individuare le persone geograficamente sia misurare il loro tempo online (time profiling), addirittura, in certi casi, possono controllare il movimento dei mouse durante la permanenza sugli spazi web stessi. Questa profilazione ormai è fondamentale e la possiamo notare, per esempio, fra i video consigliati su YouTube, i prodotti suggeriti su Amazon e nelle notizie correlate sui media online. Si tratta di un'attività fondamentale basata sugli algoritmi, ma che dovrebbe essere applicata in modo etico.
La cybersecurity, poi, è un "ossimoro", perché non si tratta di gestire diligentemente la sicurezza di un sistema informatico o di un server o ancora di un sito, ma di individuare i bug prima che lo faccia qualcun altro.

L'INTELLIGENZA ARTIFICIALE - I big data ormai sono all'ordine del giorno e, per citare il personaggio di Nathan del film "Ex_Machina", «È la cosa assurda dei motori di ricerca, è come estrarre petrolio in un mondo che non ha inventato la combustione interna, troppo materiale grezzo, nessuno saprebbe che farci». In effetti questa massa abnorme di dati dev'essere processata per estrarre informazioni utili e dunque il loro valore. A volte il dato include anche la domanda, cioè risponde a questioni che nemmeno si pensava di porre: laddove una volta si usavano le statistiche, ora ci sono il machine learning e l'intelligenza artificiale.
Stiamo parlando di un sistema che, grazie ad algoritmi efficienti, può creare predizioni e quindi può analizzare ciò che, con alta probabilità, potrebbe avvenire in futuro, un esempio eclatante di tutto questo sono le proposte commerciali pubblicate conoscendo già i bisogni delle persone.
Essere in grado di predire questo genere di necessità può determinare il fallimento di un'azienda o l'ascesa politica di un partito, ma a questo punto si pongono due problemi. Il primo: saremo in balia degli algoritmi? Quanto saremo liberi di acquistare ciò che realmente vorremo? E quanto saremo noi stessi in realtà? Il secondo: di chi sarà la responsabilità di ciò che eleborerà un'intelligenza artificiale quando si arriverà a una tecnologia tale per cui, per esempio, non ci saranno autisti e tassisti a guidare le macchine?
l'I.A. sarà la sfida dei prossimi anni e diventerà fondamentale nell'ambito del diritto e della medicina personalizzata.

Link in ordine di presentazione

Autore: Davide Ronca

Dottore in giurisprudenza con un master in scienze forensi e uno in scienze criminologiche. Giornalista dal 2007, è da sempre attivissimo sul web per portare un'informazione di qualità.