Privacy and Big Data
Intervista a Giovanni Buttarelli
“Dal 25 maggio del 2018 il nuovo regolamento europeo sulla privacy sarà applicabile a tutti i giganti dell’informazione, a prescindere dal fatto che abbiano sede nell’Unione Europea: è una rivoluzione copernicana”.
Giovanni Buttarelli, 59 anni, magistrato, dal 2014 Garante europeo della protezione dei dati personali, racconta cosa ci dobbiamo aspettare da quella che definisce “la rivoluzione dei Big Data”: “Le tecnologie renderanno sempre più facile lo scambio di informazioni tra cose e cose: tenderà ad assottigliarsi l’area di applicazione del concetto di dato anonimo”.
Lei ha detto spesso che i big data rappresentano una “rivoluzione” per il mondo della privacy: per il futuro si considera più ottimista o pessimista?
Ottimista per la portata innovativa di questo nuovo impiego delle tecnologie che si configura come una vera e propria nuova rivoluzione industriale. Ho condiviso l’approccio del Rapporto commissionato dalla presidenza Obama che individuava nell’utilizzo dei Big Data una grande opportunità, ma anche dei potenziali rischi per quanto riguarda la concentrazione delle informazioni in poche mani private, con una potenziale evanescenza del concetto di sovranità statuale.
Per Big Data non intendiamo solo i dati di cui dispongono consapevolmente le persone (età, residenza, colore degli occhi, etc) ma molte altre informazioni che li riguardano, per esempio gli spostamenti con i mezzi di trasporto, le abitudini di spesa, i comportamenti online, etc, che in qualche modo vanno oltre la privacy tradizionalmente intesa. I Big Data tendono a “superare” la privacy o dovremmo allargare il concetto di privacy?
La domanda è molto pertinente. E’ vero: i Big Data rappresentano una sfida per alcuni istituti tradizionali della privacy come la definizione di dato personale, definizione ora confermata dal nuovo regolamento europeo e che fa riferimento a qualunque informazione relativa a un individuo. Le tecnologie renderanno sempre più facile lo scambio di informazioni tra cose e cose: tenderà ad assottigliarsi l’area di applicazione del concetto di dato anonimo, un po’ tutto sarà dato personale o meglio la nozione di dato personale scomparirà a favore della nozione di dato che sarà comunque riferibile a uno o più individui, anche a gruppi di individui, a cluster che ci renderanno co-interessati. Gli algoritmi si affineranno in questa direzione.
Lei ha prospettato la possibilità di creare “casseforti individuali” che l’interessato potrà controllare affidandone la chiave di volta in volta a singoli operatori, spegnendo l’interruttore al momento opportuno. Cosa intende concretamente?
Oggi le nostre informazioni sono fornite consapevolmente da noi oppure cedute in maniera non corretta da altri ad altri operatori: spesso abbiamo difficoltà a sapere dove le informazioni sono presenti, anche con rischi di duplicazione, di assenza di validazione del contenuto o di non aggiornamento. Il nuovo regolamento europeo prevede la “data portability” per consentire che il passaggio dei dati da un operatore a un altro non sia penalizzante. Un’altra soluzione che si sta testando è quella del “one box only”: i dati sono presenti in un solo contesto tecnico sotto l’esclusiva autonomia dell’interessato il quale può autorizzare o meno l’utilizzo e solo per specifiche finalità da parte di alcuni operatori, interrompendo la legittimazione all’utilizzo quando vuole senza conseguenze negative per lui.
I Big Data rappresentano anche una grande opportunità, pensiamo per esempio ai settori del welfare e della sanità, ma anche ai trasporti. In Gran Bretagna, per esempio, si discute molto dell’accordo del NHS (National Health Service) con Google Deep Mind per analizzare i dati di milioni di pazienti. Qual è la sua opinione?
Ho appena consegnato un articolo su questo tema: uno degli interrogativi aperti sul futuro dei Big Data consiglierebbe una maggiore attenzione da parte dell’agenda politica. Molte informazioni che oggi non sono utili, domani lo saranno. Già oggi le imprese che raccolgono i maggiori fatturati al mondo lavorano sulle informazioni, domani il potere sarà ancora più legato a chi gestisce questi dati e sarà ancora più concentrato. La vicenda del Regno Unito non è certo la prima: già nel 2013 Viktor Mayer-Schönberger nel suo libro sui Big Data aveva evidenziato come per individuare i focolai di possibile diffusione del virus dell’aviaria negli Usa le autorità competenti in materia sanitaria avessero dovuto ricorrere all’uso delle parole chiave degli utenti nei motori di ricerca. Possiamo ringraziare Google per questa collaborazione, ma il futuro non può dipendere da una generosa concessione di una società. Oggi noi conosciamo delle regole giuridiche armonizzate a livello europeo che obbligano le amministrazioni pubbliche a mettere a disposizione dei privati i dati di cui dispongono, per fini di ricerca o altro. Mi chiedo cosa si debba fare per ottenere la stessa cosa dal punto di vista inverso.
In effetti in passato nessun privato ha mai detenuto un controllo così ampio di dati personali come Google e Facebook oggi. Però molti di noi probabilmente affiderebbero con ancora maggiore diffidenza i propri dati allo Stato. E’ giusto diffidare dell’uso pubblico dei dati o si perde un’opportunità?
Questo è un approccio tipico del passato, figlio della reazione ai totalitarismi. La legge francese del 1978 sulla tutela dei diritti e delle libertà informatiche nasce contro il progetto Safari che mirava a fondere diverse basi di dati per utilizzarli a fini di welfare, in Australia ci sono state sommosse di strada contro la nuova carta d’identità elettronica. La Convenzione Europea dei Diritti dell’Uomo prevede che ogni raccolta di dati da parte delle amministrazioni pubbliche sia considerata una interferenza nella vita privata per cui bisogna verificarne la proporzionalità e l’opportunità. Nel futuro la prospettiva potrebbe essere diversa: il nuovo regolamento europeo sarà applicabile a tutti i giganti dell’informazione per il solo fatto che offrono beni e servizi nell’Unione o che profilano persone anche da remoto.
In Europa sembra esserci una sensibilità maggiore sul tema della privacy rispetto agli Stati Uniti o alla Cina. I sistemi con minori tutele hanno un vantaggio competitivo dal punto di vista economico?
Forse lo hanno avuto in passato, fino agli anni Novanta, ora non più. Ormai sono 121 i paesi nel mondo che hanno una legislazione sulla privacy vicina a quella europea, 57 di questi sono fuori dall’Europa intesa in senso ampio. Il Giappone si è appena dotato di una legge ispirata a concetti a noi familiari. La globalizzazione dei flussi di dati non permette più una frammentazione delle politiche di gestione delle informazioni. Certo, non è facilmente realizzabile la prospettiva di un’adozione di una convenzione internazionale anche se come garanti europei l’abbiamo auspicata più volte. Oggi si preferisce parlare di interoperabilità tra diversi sistemi, di mutuo riconoscimento, ma è chiaro che il riavvicinamento di queste policy è inevitabile in un mondo globalizzato. Sulla privacy la prima importante risposta è quella europea: il nuovo regolamento, che non guarda più al luogo in cui sono stabilite le imprese ma ai cittadini europei interessati alla loro attività, ha un effetto che negli Usa chiamano di “extraterritorialità” ma che in realtà non lo è perché il concetto di sovranità oggi si sta evolvendo in modo nuovo. L’Europa oggi può sviluppare il suo Digital single market proprio perché garantisce alcune tutele: tutte le analisi sul commercio elettronico dimostrano che la privacy non è mai stata un fattore di freno per il digitale, anzi il contrario.