Lo strapotere dell’algoritmo ha completamente cambiato il mondo negli ultimi sei anni e il Garante Privacy Antonello Soro nel suo mandato è stato testimone di questa rivoluzione digitale che tutto ha sconvolto in nome dei Big Data. Sei anni fa, la Data Protection era un tema di nicchia per pochi addetti ai lavori, oggi muove miliardi di euro ed è al centro dei maggiori conflitti economici ed etici globali. Basti pensare agli attriti fra Ue e Usa sul Privacy Shield. Oggi, tutti sanno di cosa stiamo parlando quando diciamo privacy e Data Protection, tutti conoscono i rischi potenziali di invasione delle nostre vite insiti nello sfruttamento dei nostri dati personali per ogni genere di scopo. Dati personali che sono il nuovo petrolio dell’economia globale e che vanno protetti.
Basti pensare agli ultimi tre anni, dallo scandalo Snowden a quello che pochi mesi fa ha investito Facebook con Cambridge Analytica, per capire come la dimensione digitale sia presente in maniera ormai ineludibile nelle nostre vite, indirizzando i nostri gusti di consumatori e le nostre scelte di cittadini, anche quelle politiche.
“L’assenza di regolazione può consentire a potenze straniere di condizionare, con un sapiente quanto spregiudicato uso della profilazione, persino il processo elettorale”. E’ l’allarme lanciato oggi dal Garante della privacy, Antonello Soro, in occasione della presentazione della Relazione annuale dell’Autorità. “La mancanza di un quadro regolatorio adeguato – ha avvertito Soro – anziché favorire il libero dispiegarsi delle dinamiche di mercato e, con esse, il benessere collettivo, espone a rischio la stessa sovranià’, rendendo vulnerabili proprio gli Stati che non hanno disciplinato le condizioni per un corretto sviluppo dell’economia digitale”.
Soro: Sovranità degli Stati a rischio, Cambridge Analytica punta dell’iceberg
L’attenzione va tenuta alta, ed è in questo contesto che oggi il Presidente Soro ha presentato alla Camera la relazione annuale dell’Autorità Garante per la protezione dei dati personali, appunto la sesta del suo mandato e la prima nella nuova era del GDPR, nella quale ci lascia una summa dell’era turbolenta in cui viviamo e della sua esperienza.
“Per molto tempo i governi hanno sottostimato gli effetti e i rischi di un regime privo di regolamentazione, nel quale i grandi gestori delle piattaforme del web hanno scritto le regole, promuovendo un processo inarrestabile di acquisizioni e concentrazioni, dando vita all’attuale sistema di oligopoli”, ha detto Soro, sottolineando la necessità di recuperare il tempo perduto per “inscrivere in un sistema di regole democratiche la rivoluzione digitale”.
Il caso Cambridge Analityca è la “punta di un iceberg sicuramente ben più esteso ha reso evidente le implicazioni di ordine politico e ordinamentale” quando l’ex amministratore delegato di questa società, già nel 2016, dichiarava di disporre di ‘qualcosa di simile a 4-5 mila data point per ogni statunitense adulto’, utilizzabili secondo un metodo che – prosegue Soro – a suo dire sarebbe stato già applicato in ‘oltre duecento elezioni nel mondo’. “La mancanza di un quadro regolatorio adeguato – prosegue Soro – anziché favorire il libero dispiegarsi delle dinamiche di mercato e, con esse il benessere collettivo, espone a rischio la stessa sovranità, rendendo vulneralbili proprio gli Stati che non hanno disciplinato le condizioni per un corretto sviluppo dell’economia digitale”. Gli accertamenti condotti dal garante, in collaborazione con altre Autorità (fra cui l’indagine conoscitiva sui Big data ndr) – sottolinea ancora Soro – hanno “messo in luce implicazioni, spesso sottovalutate, del sistema di gestione delle inserzioni sulle grandi piattaforme del web”. E il processo di digitalizzazione investe anche l’attività politica “creando indubbi vantaggi ma anche rischi”, anche in questo caso “spesso sottovalutati”. Gli algoritmi, per il Garante, “non sono neutri sillogismi di calcolo, ma opinioni umane strutturate in forma matematica”.
Soro: gli algoritmi non sono neutri
“Dall’esattezza dei dati utilizzati e dalla logica del trattamento alla base della configurazione degli algoritmi dipende l”intelligenza’ delle loro scelte. Se e’ errata la classificazione delle casistiche di riferimento fornita all’algoritmo per decidere, ad esempio, la natura di una patologia o per valutare un marker, sarà poi la conseguente diagnosi ad essere sbagliata, con effetti potenzialmente anche fatali per il paziente. Le possibili implicazioni, sul piano sociale, sono tutt’altro che marginali”, ha aggiunto.
Sorveglianza digitale nell’era dell’Internet of me
“Siamo soggetti – più di quanto ne siamo consapevoli – a una sorveglianza digitale, in gran parte occulta, prevalentemente a fini commerciali e destinata, fatalmente, ad espandersi anche su altri piani, con effetti dirompenti sotto il profilo sociale”. Questo un altro allarme lanciato dal garante Soro, che inaugura “La definizione ‘Internet of Me’ – ha sottolineato Soro – riferita al flusso di dati che dalla rete giunge al singolo consumatore, con contenuti personalizzati, attraverso oggetti di uso quotidiano capaci di apprendere dall’esperienza e adattarsi in maniera evolutiva ai comportamenti, è in questo senso significativa. Essa è infatti costruita su di un singolare ossimoro: internet dovrebbe essere il mondo, tutto ciò che è al di fuori di me e con cui ‘io’ interagisco. Diviene invece la porzione di mondo che mi conferma nelle mie idee, la rappresentazione immateriale della realtà che mi sono costruito”. Del resto, “il web di cui facciamo esperienza non è la rete – ha proseguito il Garante – ma soltanto la sua parte selezionata da algoritmi che, analizzando le nostre attività e preferenze, ci espongono a contenuti il più possibile affini ad esse, per esigenze di massimizzazione dei ricavi da parte dei gestori, legate al tempo di permanenza e al traffico online”.
GDPR, dal 25 maggio denunce Data Breach +500%
In Italia, nel solo mese di maggio, gli attacchi informatici “hanno toccato la soglia di 140 al giorno. Dal 25 maggio (data di piena entrata in vigore del GDPR ndr) sono aumentate di oltre il 500% le comunicazioni di data breach al Garante, che hanno interessato, assieme a quelli notificati a partire da marzo, oltre 330.000 persone”, ha detto Soro.
Data Retention, troppi sei anni per i tabulati telefonici
“E’ da considerare un’occasione mancata l’omessa modifica della disciplina sulla conservazione, per fini di giustizia, dei dati di traffico telefonico e telematico in senso conforme alla giurisprudenza della Corte di giustizia, con l’abrogazione della norma sulla conservazione per sei anni dei tabulati – ha ribadito Soro –La loro conservazione per un periodo cosi’ lungo, indifferenziata per tipologia di dati e presupposti d’indagine – ha spiegato Soro – contrasta con il principio di proporzionalità tra limitazione della riservatezza ed esigenze investigative”.
Telemarketing selvaggio, abuso continua
“Utilizzo spregiudicato di ingenti basi di dati di utenze telefoniche (anche di dubbia origine)”, “assenza di adeguate procedure di raffronto con le doverose black list”, “violazione delle regole di correttezza nella raccolta del consenso” e “generalizzata noncuranza nei riguardi dei diritti degli interessati”. E’ il quadro del “telemarketing selvaggio” emerso – secondo il Garante – dalle verifiche condotte nell’ultimo anno con il supporto del Nucleo Privacy della Guardia di finanza: i controlli, effettuati anche all’estero, hanno riguardato “una pluralità di soggetti operanti nella filiera: dai principali committenti (in particolare, operatori telefonici e del mercato energetico) fino agli ‘ultimi anelli della catena’ costituita – non di rado – da operatori di call center con capitali sociali pari a poche migliaia di euro”.
“Emerge – ha proseguito Soro – un intricato reticolo di interessi poco chiari e relazioni non sempre formalizzate tra committenti, agenti e innumerevoli call center, nonché il fenomeno di chiamate promozionali da numerazioni ‘fantasma’ assegnate a soggetti non identificabili o, a detta dei committenti , non appartenenti alla propria rete di vendita, ancorché i contatti commerciali siano attivati nel loro interesse. Abbiamo avuto una proficua interlocuzione con il Parlamento, ai fini della predisposizione della nuova disciplina del Registro delle opposizioni, che auspichiamo possa assicurare l’effettivita’ delle garanzie per gli interessati. L’Autorità continuerà, in ogni caso, a contrastare con decisione ogni tipo di illecito”.
Banche dati pubbliche, chiesto check up
“Abbiamo sollecitato una forte iniziativa, da parte delle diverse istituzioni coinvolte nei processi decisionali relativi all’innovazione tecnologica del Paese, per una verifica puntuale dello stato di sicurezza delle banche dati pubbliche e dei processi in corso di attuazione dell’Agenda digitale”, ha detto Soro. Sotto questo profilo, “abbiamo segnalato che alcune recenti norme volte alla duplicazione e integrazione generalizzata delle banche dati delle pubbliche amministrazioni, contrastano con i principi, di matrice europea, di proporzionalità, non eccedenza, limitazione della finalità – spiega – La pur necessaria valorizzazione del patrimonio informativo pubblico non deve avvenire a discapito della tutela dei diritti fondamentali e con possibili ricadute anche in termini di sicurezza nazionale. Pertanto, eserciteremo con responsabilità il nostro ruolo affinché tali iniziative non comportino peri cittadini italiani un arretramento dell’effettività dei principi europei su cui si fonda la salvaguardia dei dati personali”.
Cyberbullismo e Fake news
Fra le azioni dell’Autorità garante per la protezione dei dati personali, “di particolare rilievo è risultata anche l’attività volta ad accordare tutela ai minori vittime di cyberbullismo. Se nella maggior parte dei casi è stato rimosso il contenuto lesivo a seguito dell’intervento del Garante o per spontanea adesione dei gestori, le maggiori criticità si sono riscontrate rispetto a siti extraeuropei”. Sul tema fake news, Il Garante osserva che nella società digitale “il ruolo del giornalista si carica ulteriormente di responsabilità nel fornire un’informazione corretta e rispettosa dei diritti altrui: un faro da seguire per orientarsi tra le post-verità.
Garante Privacy, 600 violazioni accertate e 3,8 milioni di multe nel 2017 (+15%)
Nel 2017 L’Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, ha adottato 573 provvedimenti collegiali. E’ stato fornito riscontro a circa 6.000 quesiti, reclami e segnalazioni con specifico riferimento ai seguenti settori: marketing telefonico (in costante aumento); credito al consumo; videosorveglianza; concessionari di pubblico servizio; recupero crediti; settore bancario e finanziario; assicurazioni; lavoro; giornalismo; enti locali; sanità e servizi di assistenza sociale.
Sono stati decisi 276 ricorsi, riguardanti soprattutto editori (anche televisivi); banche e società finanziari; P.A. e concessionari di pubblici servizi; datori di lavoro pubblici e privati; fornitori telefonici e telematici; marketing.
I pareri resi dal Collegio al Governo e al Parlamento sono stati 19 ed hanno riguardato, in larga parte, l’attività di polizia e sicurezza nazionale, i dati sanitari, l’informatizzazione delle banche dati della P.a., il fisco.
Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 41, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati e trattamento illecito. Le violazioni amministrative contestate nel 2017 sono state 589, in larghissima parte concernenti il trattamento di dati senza consenso, la diffusione di dati su internet da parte della P.a., il telemarketing, seguite dall’omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali, dalla mancata adozione di misure di sicurezza e dall’omessa esibizione di documenti al Garante.
Le sanzioni amministrative riscosse ammontano a circa 3 milioni 800 mila euro, pari ad un complessivo 15% in più rispetto al 2016.
Sono state effettuate 275 ispezioni. Gli accertamenti, svolti anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy, hanno riguardato numerosi e delicati settori, sia nell’ambito pubblico che privato. Per quanto riguarda il settore privato, le ispezioni si sono rivolte principalmente ai trattamenti di dati effettuati da società operanti nella “sharing economy”, da imprese di vendita a domicilio, da società che operano nel settore dell’intermediazione creditizia o nel recupero crediti, da società di selezione del personale o che offrono servizi di informazioni commerciali o svolgono attività di telemarketing (in particolare di quelle situate in Albania). Oggetto di accertamento è stato anche l’uso di sistemi di geolocalizzazione dei dipendenti da parte di imprese private.
Per quanto riguarda il settore pubblico l’attività di verifica si è concentrata in particolare sulla gestione del “dossier sanitario” da parte di Asl e Aziende ospedaliere e altri enti sanitari pubblici, sulle grandi banche dati pubbliche, sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit, sul sistema informativo dell’Istat, sullo Spid.
Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a circa 20.000 quesiti, che hanno riguardato, in particolare, gli adempimenti legati all’applicazione del Regolamento Ue; alle telefonate promozionali indesiderate; a Internet; alla videosorveglianza; a mail, fax e sms indesiderati; al rapporto di lavoro; ai dati bancari.