Costruire le radici della protezione dei dati e della privacy

Di Martin Abrams

Nel dicembre 2015, il supervisore europeo della protezione dei dati Giovanni Buttarelli ha emesso un parere che suggeriva la necessità di reinventare la protezione dei dati per l'era dei big data, non per scendere a compromessi sui principi, ma piuttosto per garantire che i big data vengano utilizzati per servire le persone.

La privacy e la protezione dei dati sono sempre state diverse, ma legate da esigenze umane comuni. La privacy è uno spazio in cui l'individuo e la sua cerchia intima sono liberi dallo scrutinio e dal giudizio degli altri. Si tratta dei concetti di privacy fisica estesa.

L'innovativo libro di Alan Westin Privacy and Freedom ha stabilito la necessità, in ogni cultura, di avere uno spazio in cui le persone possano fare cose sciocche, pensare in modo diverso ed esprimere comportamenti che differiscono dalla norma. Questo spazio privato non è mai stato perfetto: ci sono sempre stati guardoni e pettegoli. Nel diritto europeo, ciò si traduce nel diritto fondamentale all'autonomia e alla vita familiare.

La protezione dei dati, tuttavia, ha sempre riguardato l'uso sapiente dei dati trasformati in informazioni per soddisfare le esigenze degli individui e/o di una comunità. Come ha spiegato Peter Hustinx in un articolo del 2014, la protezione dei dati va oltre la privacy e si estende all'intera gamma di diritti fondamentali che vengono influenzati dal trattamento delle informazioni. La protezione dei dati è essenzialmente un controllo sul potere inappropriato che può verificarsi quando le organizzazioni detengono ed elaborano i dati.

L'esigenza di protezione dei dati inizia con la creazione della documentazione storica, l'invenzione della scrittura nell'antica Sumera. La tecnologia per la raccolta, l'aggregazione e la manipolazione delle informazioni è stata rapidamente appannaggio dei potenti. Gli scribi dell'antica Sumer lavoravano per i potenti. I dati che creavano venivano usati da chi comandava per mantenere il potere.

Tuttavia, la tecnologia non favorisce nessuno nel tempo. La tecnologia può scuotere i potenti. La scrittura può essere usata per diffondere nuovi pensieri e aggregare interessi. L'uso della tecnologia dell'informazione può essere utilizzato per creare nuovi mercati e spostare quelli consolidati. E questo ritmo di creazione e distruzione economica si è accelerato.

Consideriamo ora l'evoluzione della legge sulla privacy.

La Magna Carta, la base del sistema giuridico del mondo anglosassone, definiva lo spazio in cui le persone potevano aspettarsi la solitudine. La casa di un individuo è il suo castello. Un individuo controlla l'accesso alla propria casa e ai documenti che vi sono contenuti. I documenti sono un'estensione di quello spazio. Il comportamento che avviene in quella casa è osservabile solo su invito del proprietario.

Ciò che una persona faceva in uno spazio pubblico e con altri era aperto all'osservazione. Erano registrabili da altri individui che vi partecipavano o da altri nel pubblico comune. Ci sono sempre state norme sociali e persino leggi per coprire l'uso e la condivisione di queste osservazioni.

La Seconda guerra mondiale ci ha portato l'invenzione del computer. Negli anni Sessanta era chiaro che dovevamo andare oltre la Magna Charta. La ricerca degli anni Sessanta ha portato alla legge sulla privacy e sulla protezione dei dati negli anni Settanta, che a sua volta ha portato alle linee guida sulla privacy dell'OCSE.

Il concetto chiave era che i dati provenivano da me e che dovevano essere trasferiti da me ad altri sulla base di una chiara delimitazione delle regole relative a tali dati. La natura dell'utilizzo non era un problema. Lo era il trasferimento del controllo dei dati.

Tuttavia, si riconosceva anche che la generazione dei dati spesso coinvolgeva più di una parte. C'erano anche i dati pubblici, che erano sempre esistiti, ma che ora erano molto più visibili, poiché erano passati da scantinati polverosi a computer mainframe. Le leggi statunitensi hanno quindi iniziato a disciplinare l'uso corretto di dati come quelli relativi ai rapporti di credito. Non si trattava tanto di controllo quanto di un'applicazione equa da parte di finanziatori e datori di lavoro che detengono posizioni di potere. Il concetto di uso appropriato è stato ripreso dalla legislazione europea e ha rappresentato la genesi della base giuridica del trattamento.

Consideriamo ora l'evoluzione della tecnologia e il suo impatto sulla privacy e sulla protezione dei dati. Ci sono voluti migliaia di anni per passare dall'invenzione della scrittura alla stampa. E qualche centinaio di anni per passare dalla stampa alle macchine fotografiche. Poi ci sono state le macchine per l'ordinamento delle carte e i computer mainframe. Gli anni '70 portarono le tecnologie dei database. Gli anni '80 segnarono un'accelerazione delle tecnologie con l'elaborazione distribuita e l'analisi statistica di grandi insiemi di dati. L'inizio degli anni Novanta è stato un periodo dominato dal declino dei costi di comunicazione e di elaborazione, seguito da Internet per i consumatori e dalla vera e propria nascita di un mondo osservativo. Il 2000 ha portato l'elaborazione con moduli comuni (il prodotto dell'anno 2000). I costi di elaborazione e di comunicazione continuarono a diminuire, lasciando spazio ai personal organizer e infine agli smart phone. I big data sono seguiti insieme all'Internet of Everything. Le tecnologie dell'informazione hanno accelerato, passando da millenni tra un grande cambiamento e l'altro a decenni, anni e, a quanto pare, minuti.

Non è cambiata solo la tecnologia, è cambiata anche la natura del potere. Nel 2000, l'intelligence nazionale riguardava gli Stati nazionali. Nel 2001 è diventata un potere decentralizzato. Le minacce non erano più solo le spie, ma piuttosto i fabbricanti di bombe che prendevano lezioni su Internet.

Quindi, sia la privacy che la protezione dei dati diventano molto complicate. I semplici concetti contenuti nella legge del 1972 non colgono tutte le sfide di governance del 2016.

Ciò che non cambia sono alcuni bisogni umani essenziali:

• Abbiamo bisogno di privacy per avere uno spazio in cui possiamo essere imperfetti o perfetti senza che altri vedano, sentano e/o sappiano.
• Dobbiamo assicurarci che pensare con i dati serva a soddisfare i bisogni delle persone e non a potenziare chi detiene posizioni di potere dominanti.
• Abbiamo bisogno di informazioni per tenerci al sicuro, per avere un mercato più competitivo, per migliorare l'assistenza sanitaria, per migliorare l'istruzione e per offrire maggiori opportunità.
• Non vogliamo essere danneggiati da un uso scorretto delle informazioni o da intuizioni arroganti.
• Non vogliamo che il nostro futuro sia predestinato dalle previsioni.

Abbiamo bisogno di privacy per avere lo spazio per essere noi stessi, eppure le tecnologie continuano a espandere il pubblico comune e a rendere l'uso dei dati molto più semplice. Inoltre, l'uso dei dati e la loro elaborazione per soddisfare le nostre esigenze significa scoprire nuovi spunti per migliorare l'assistenza sanitaria, l'istruzione, la partecipazione economica e persino lo shopping. Per rispondere alle esigenze degli individui e delle comunità è necessario pensare con i dati. Pensare con i dati è la moderna analitica.

Gran parte della funzionalità della legge dipendeva dall'estensione dei dati come qualcosa di simile al nostro essere fisico. Tuttavia, il flusso della tecnologia ha ampliato l'osservazione oltre la protezione del castello. Quando uso il mio wearable collegato al mio smartphone, anche nel mio castello, non ho le protezioni associate alle mura del castello.

Tuttavia, mettersi davanti all'innovazione è come cercare di fermare una valanga con una pala. Incanalare l'applicazione dell'innovazione, tuttavia, significa garantire la civiltà.

Quindi, come reinventare la protezione dei dati, come suggerito dal GEPD? Chi deve avere un ruolo attivo? Quali dovrebbero essere questi ruoli? Come possiamo farlo con sensibilità interculturale? Reinventare la protezione dei dati significa reinventare i ruoli degli utenti dei dati, delle autorità di regolamentazione e delle persone comuni.

Si parte dagli utenti dei dati. Da lì, il concetto di responsabilità si espande. L'obiettivo di essere un custode responsabile e responsabile non cambia, ma gli aspetti che lo caratterizzano diventano molto più olistici. Questo vale soprattutto quando i dati vengono utilizzati al di là delle aspettative di persone ragionevoli.

I big data sono una grande metafora di questo fenomeno. Pertanto, per sua stessa natura, i big data sono una riorganizzazione dei dati, anche se i big data sono elencati come scopo in una dichiarazione sulla privacy.

In primo luogo, dobbiamo segmentare i big data in due fasi. Il concetto di approccio ai big data in due fasi è stato esplorato in un articolo scritto da Paula Bruening, Meg Leta Jones e da me nel 2013.[1] La prima fase è quella della scoperta e consiste nel pensare con i dati. La seconda fase è quella dell'applicazione e consiste nell'agire con la conoscenza che deriva dalla riflessione sui dati. I rischi per gli individui sono diversi in queste due fasi.

Una volta capito se si sta pensando o agendo, è necessario comprendere le ragioni dell'elaborazione. Qual è il problema che si sta cercando di risolvere? Comprendendo il problema, si possono iniziare a comprendere le sfide legate all'utilizzo dei dati per risolverlo.

In secondo luogo, dobbiamo comprendere la meccanica dell'elaborazione dei dati che stiamo utilizzando. Per molti versi, ciò coincide con i problemi di accuratezza chiaramente articolati dalle linee guida dell'OCSE. Le dimensioni e la diversità degli insiemi di dati non risolvono i problemi di accuratezza, come alcuni vorrebbero far credere, ma creano solo una maggiore complessità nel determinare se l'accuratezza dei dati avrà un impatto sulla credibilità delle soluzioni. La legalità e la moralità dei dati entrano in gioco. Alcuni dati sono preclusi dalla legge, altri da contratti o promesse, altri ancora non sono appropriati.

Il terzo punto è una chiara comprensione dell'algebra lineare associata all'esame dei benefici e dei rischi. Chi ottiene benefici e chi ha rischi? Se c'è uno squilibrio tra il portatore di rischi e il destinatario di benefici, è improbabile che il trattamento sia in equilibrio. Queste questioni sono esplorate in "The Unified Ethical Frame for Big Data" (La cornice etica unificata per i Big Data)[2]. La protezione dei dati ha sempre richiesto la comprensione dell'intera gamma di rischi per i diritti e le libertà fondamentali, e la cornice etica unificata esplora il modo in cui si possono bilanciare tali questioni. Alla fine, ciò porta a valutare semplicemente se il trattamento dei dati è legale, equo e giusto. In caso contrario, il trattamento deve essere rivisto per renderlo tale.

Quarto, i controlli e gli equilibri per gli utenti dei dati sono importanti. I responsabili del trattamento devono essere pronti a dimostrare che le loro valutazioni sono condotte con integrità. Essere pronti a dimostrarlo crea i mezzi per dimostrare a un agente di supervisione la validità del processo. Per creare veramente controlli e contrappesi e assicurare la partecipazione individuale, gli utenti dei dati devono essere educatori del pubblico su come i dati vengono utilizzati al di là delle aspettative dei singoli. L'educazione crea i mezzi per la partecipazione individuale, un elemento essenziale per la responsabilità.

Per quanto riguarda il ruolo di agente di controllo della privacy, le autorità di regolamentazione hanno bisogno di nuove competenze. Devono essere in grado di porre domande attive per verificare se la scoperta e l'applicazione dei dati soddisfano i criteri di legalità, equità e giustizia. Ciò significa che le autorità di regolamentazione devono essere disposte e capaci di distinguere tra le due cose. Per svolgere efficacemente il loro ruolo, i regolatori devono avere l'autorità di controllare l'elaborazione a campione.

Poi c'è il ruolo delle persone. Nei primi anni Settanta, quando i dati e i sistemi erano gli stessi, ci si aspettava che le persone svolgessero il ruolo attivo di governare i dati attraverso le scelte che facevano. In quello scenario, la luce del sole risolveva molti problemi. Oggi la luce del sole non è sufficiente. L'elaborazione, anche se ben spiegata, può essere al di là della capacità delle persone di gestirla. Tuttavia, le persone possono agire come comunità in un modo che non abbiamo mai visto prima. Come già detto, ciò dipende in larga misura dalla qualità del materiale esplicativo fornito dagli utenti dei dati. Il mio collega Peter Cullen sta esplorando il ruolo delle persone nel progetto di governance olistica che sta conducendo all'IAF.

Per concludere, vorrei suggerire agli operatori del settore di comprendere la differenza tra privacy e protezione dei dati. Entrambe le facce della medaglia legale e di governance sono importanti, ma differenziarle ci avvicina a soluzioni efficaci che soddisfano le esigenze della società. Inoltre, non possiamo più dipendere dai singoli individui per essere il regolatore del mercato attraverso la lettura delle informative e del consenso. La natura del trattamento è diventata molto complessa. Tuttavia, il sistema non può trasformarsi in un sistema in cui l'utente dei dati è l'unico arbitro di quale trattamento sia appropriato e quale no. L'utente dei dati come padre è un paternalismo che va oltre l'equità e la giustizia. Ciò significa che le persone, come individui o come gruppo, devono avere un ruolo significativo nel definire le norme per il trattamento dei dati al di là delle aspettative. Infine, anche i regolatori devono differenziare le questioni legate all'autonomia da quelle legate all'uso equo e giusto dei dati per favorire una maggiore conoscenza e una migliore applicazione delle soluzioni guidate dai dati.

[Questo blog si basa su un intervento tenuto presso l'Office of the Information and Privacy Commissioner, il 3 febbraio 2016].

Abrams è direttore esecutivo e capo stratega della Information Accountability Foundation, un'organizzazione no-profit di ricerca e formazione.

[1] Il Centre for Information Policy Leadership (2013), "Big Data and Analytics: Seeking Foundations for Effective Privacy Guidance", www.hunton.com/files/Uploads/Documents/News_files/Big_Data_and_Analytics_February_2013.pdf.

[2] The Information Accountability Foundation (2014) "A Unified Ethical Frame for Big Data Analysis", http://informationaccountability.org/wp-content/uploads/IAF-Unified-Ethical-Frame.pdf.