La Giornata europea dedicata alla protezione dei dati personali quest’anno si celebra otto mesi dopo la piena entrata in vigore del GDPR, il nuovo regolamento Ue sulla data protection. Un’occasione per fare il punto sulla sfida globale posta dal digitale nei confronti dei nostri diritti fondamentali, fra cui la riservatezza dei dati è diventata centrale. Ne hanno parlato oggi a Roma Aula del Palazzo dei Gruppi Parlamentari in occasione dell’evento I confini del digitale. Nuovi scenari per la protezione dei dati organizzato dal Garante per la Protezione dei dati personali Antonello Soro, presidente dell’Autorità (clicca qui per l’intervento completo di Antonello Soro); Erica Palmerini, docente della Scuola Superiore Sant’Anna di Pisa; Francesco Radicioni, giornalista di Radio Radicale; le componenti del Garante Privacy Licia Califano e Giovanna Bianchi Clerici; Stefano Mele, avvocato specializzato in diritto delle tecnologie, privacy e cybersecurity; Roberto Baldoni, vice Direttore Generale del Dis; Giuliano Amato, giudice costituzionale; Maurizio Molinari, Direttore de “La Stampa” e il ministro della Pubblica Amministrazione Giulia Bongiorno.
Antonello Soro: ‘Con tecnologie senza regole rischio è uomo non-persona’
“Se prive di regole, le nuove tecnologie possono alimentare un regime della sorveglianza tale da rendere l’uomo una non-persona, l’individuo da addestrare o classificare, normalizzare o escludere”, ha detto il presidente dell’Autorità Garante per la privacy Antonello Soro. “Ogni qualvolta ciò che costituisce la proiezione del sé nella dimensione digitale – il dato, appunto – viene considerato una mera cifra, da sfruttare senza considerarne l’impatto sulla persona, essa stessa si riduce a un’astrazione priva di individualità e, dunque, di dignità”, ha sottolineato il presidente Soro. E questo perché – ha continuato Soro – “Internet da mezzo qual era, al pari di ogni tecnologia, è divenuto la nuova dimensione entro cui si svolge la personalità di ciascuno, la realtà in cui si esercitano e si negano i diritti, si dispiegano libertà e responsabilità. Il tutto con straordinarie possibilità, impensabili anche solo pochi anni fa, ma anche con rischi che vanno prevenuti per porre davvero la tecnica al servizio dell’uomo”.
Soro: ‘Cybercrime costerà 3mila miliardi di dollari nel 2020’
“Si stima che la perdita economica imputabile al cybercrime possa raggiungere nel 2020 i 3000 miliardi di dollari e che gli attacchi informatici possano interessare il 74% del volume degli affari mondiali”. Ha detto Soro, aggiungendo che “Quella cibernetica – ha sottolineato Soro – è la frontiera su cui si sta spostando sempre più e in misura più pervasiva la dinamica delle conflittualità tra Stati e tra soggetti”.
Il caso del social credit system in Cina
“Quella cibernetica è la frontiera su cui si sta spostando sempre di più la dinamica della conflittualità tra Stati e tra soggetti” e “l’antagonismo commerciale tra Usa e Cina sottende una lotta tecnologica”. In questo modo Antonello Soro richiama la situazione in Cina dove si sta sperimentando il Social Credit System “per ora su base volontaria e dal 2020 obbligatorio”: “È una trasposizione sul piano sociale dei sistemi di affidabilità creditizia. Ai cittadini viene assegnato un punteggio sulle abitudini di acquisto, le frequentazioni e le pubblicazioni in rete penalizzando quelle socialmente o politicamente indesiderabili. Il conseguimento di un punteggio alto agevola la fruizione dei servizi pubblici e dei diritti, mentre un punteggio basso preclude l’accesso al credito e persino a prestazioni di welfare”.
“Il presente e il futuro della protezione dei dati si giocano sugli orizzonti dell’affermazione progressiva di tale diritto come diritto universalmente tutelato, per restituire alla persona quella centralità che da tempo sembra aver perso”, ha aggiunto il garante: “Questo è il ruolo più significativo che l’Europa potrà giocare in un contesto geopolitico così fortemente segnato dal potere dell’algoritmo, ridisegnando, a partire dalla protezione dei dati, i confini del tecnicamente possibile alla luce di ciò che è giuridicamente ed eticamente accettabile. Va in questa direzione il recente impegno delle istituzioni europee per un uso etico dell’intelligenza artificiale”.
“Se il valore di questo straordinario diritto riuscirà ad affermarsi anche in ordinamenti in cui l’ideologia del controllo sembra oggi aver ridotto la persona ad un fascio di informazioni illimitatamente acquisibili – ha concluso Soro -, allora, in questo tempo tanto complesso quanto affascinante, potrà dirsi vinta la più importante delle sfide lanciate all’idea di libertà dalla sinergia di tecnologia e potere”.
Dalle smart city allo scoring del cittadino: rischio robotizzazione dei cittadini
“Le città e le grandi metropoli stanno diventando sempre più i mondi connettivi del digitale”. ha detto la componente del Garante Privacy Giovanna Bianchi Clerici, aggiungendo che città come Singapore, Londra, Amburgo e il caso dell’Estonia dimostrano le peculiarità positive dei moderni ‘info Stati’ basati sull’elaborazione dei dati provenienti da cittadini e infrastrutture fonte di informazioni sempre più dettagliate da parte di un management tecnocratico sempre più specializzato.
Ma l’altra faccia delle smart city contemporanee, che dovrebbero migliorare la vita dei cittadini, è il rischio che la vita umana venga totalmente automatizzata, in un rapporto binario completamente automatizzato fra PA e cittadini-robot.
Rischio discriminazione digitale
Le moderne smart city gestiscono i dati per far funzionare meglio i servizi, quegli stessi dati che sono poi messi a disposizione delle grandi piattaforme online per la profilazione dei cittadini-consumatori con tutti i suoi rischi sottesi in termini di data protection.
La tecnologia applicata ai servizi al cittadino può avere effetti indesiderati, come nel caso del GPS per la segnalazione delle buche stradali introdotto dal Comune di Boston, raccontato da Erica Palmerini, docente della Scuola Superiore Sant’Anna di Pisa. “Il GPS consentiva ai cittadini di inviare le segnalazioni di buche stradali – racconta Palmerini – soltanto che la mappatura alla fine è stata fatta soltanto nei quartieri agiati, dove i cittadini hanno lo smartphone, mentre dai quartieri più poveri non arrivavano segnalazioni”.
Dal punto divista giuridico, in tema di Data protection, il consenso si è rivelato uno strumento inefficiente per esercitare il controllo sui propri dati, ha aggiunto Palmerini, che ha messo in guardia inoltre dall’uso automatizzato degli algoritmi per decisioni come ad esempio il rilascio di un prestito: “Le decisioni automatizzate sono più precise, ma non sono neutrali”.
AI, conflitto geopolitico Cina-Usa
La supremazia nell’Intelligenza Artificiale rientra nella guerra geopolitica per la supremazia globale fra Usa e Cina. Ma ad oggi “i dati raccolti in Cina sono più accurati e di migliore qualità”, ha detto Francesco Radicioni, giornalista di Radio Radicale, ricordando come i dati raccolti nel paese asiatico vadano tutti ad alimentare le grandi piattaforme locali come Baidu, WeChat, Tencent, Alibaba. Tanto più che le grandi piattaforme made in usa (Facebook e Google su tutti) sono off limits in Cina.
“WeChat ha un miliardo di utenti – ha aggiunto Radicioni – offre un’ampia gamma di servizi e si trova sull’83% dei 750 milioni di smartphone dei cinesi, che navigano in media 4 ore al giorno in mobilità”. Che il digitale in Cina sia molto diffuso lo dimostra la diffusione dell’mPayment, presente sul 67% degli smartphone, mentre il 100% di Pechino è sorvegliato da telecamere.
Nel secondo panel dal titolo “Minacce cibernetiche e sicurezza nazionale”, si sono riprese alcune delle riflessioni del Presidente Soro, a partire dalla necessità che il diritto ridefinisca il lessico e la semantica riscrivendo le nuove categorie con la duttilità necessaria ad accogliere una realtà che è in piena evoluzione; ammonendo inoltre sulla minaccia che le nuove tecnologie possono dar vita ad un regime di sorveglianza tale da rendere l’uomo un individuo da addestrare e classificare, invece che un individuo portatore di diritti.
“Ognuno di noi è sempre più immerso, coscientemente o meno, nel nascente ecosistema digitale, esponendosi ad una vasta gamma di attività e minacce che hanno l’obiettivo di acquisire e aggredire i nostri dati personali”, ha dichiarato Augusta Iannini, vicepresidente del Garante per la protezione dei dati personali, qui in veste di coordinatrice degli interventi.
Da qui discende la necessità di riflettere profondamente sul tema della tutela dei dati personali, sulle modalità con cui si alimentano questi sterminati contenitori e sul livello di trasparenza con cui acquisiscono dati, “per evitare che alla violenza degli attacchi si opponga una violenza della difesa che potrebbe travolgere gli stessi diritti”.
L’esigenza di tutela della difesa cibernetica, che è ormai parte del sistema di sicurezza nazionale, secondo Iannini, “ha legittimato misure obiettivamente limitative della privacy dei cittadini, consentendo un’ampia attività di prevenzione e contagiando sempre di più la giurisdizione”.
La potenza tecnologica e la capacità di analisi degli algoritmi, unitamente alle caratteristiche delle minacce cyber, dal terrorismo alla criminalità organizzata, ampliano le insicurezze e le risposte degli organi investigativi, riproponendo il problema dell’equilibrio da ricercare tra esigenze opposte.
Nel rapporto Clusit 2018, si segala che il 2017 è stato l’anno peggiore per gli attacchi informatici e tra il 2011 ed il 2017 i danni economici sono quintuplicati a 500 miliardi di dollari.
Il DIS, o Dipartimento delle informazioni per la sicurezza, coordina l’intera attività di informazione per la sicurezza, compresa quella relativa alla sicurezza cibernetica e ne verifica i risultati. Il DIS cura le attività di promozione della cultura della sicurezza.
“La minaccia cyber ha raggiunto oggi un alto livello di complessità. Conosciamo bene le minacce terroristiche e l’Italia ha una grande esperienza in tale settore”, ha precisato Roberto Baldoni, vicedirettore generale del DIS.
“Oggi però ci sono altre minacce, come gli investimenti predatori, con obiettivi più geopolitici che commerciali, a cui si aggiungono i cyber criminali che aggrediscono le economie globali.
Ultimo, ma non meno rilevante, è il problema della disinformazione che potrebbe divenire presto una minacccia per le nostre democrazie”.
C’è poi l’intelligenza artificiale, “che è da un lato è una grande tecnologia ed un vantaggio imprenditoriale, ma se pensiamo che tali tecnologie si alimentano di dati personali e più in generale di dati sensibili ecco che si mettono in pericolo più livelli dell’organizzazione sociale”.
Ed in effetti ci sono diversi livelli di azione: “C’è il piano operativo per affrontare il terrorismo, c’è la legge per evitare le speculazioni finanziarie come la Golden Power, mentre nel campo dei cyber criminali c’è la direttiva NIS. Concentrandoci sulla minaccia cyber c’è il sistema di difesa organizzato attorno al Piano nazionale stabilito dal Dpcm del 2017”.
Il documento relativo al Piano nazionale per la protezione cibernetica e la sicurezza informatica è teso al potenziamento delle capacità di difesa delle infrastrutture critiche nazionali e degli attori di rilevanza strategica per il sistema Paese; al miglioramento delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati; all’incentivazione della cooperazione tra istituzioni ed imprese nazionali;
la promozione e diffusione della cultura della sicurezza cibernetica; al rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica; al rafforzamento delle capacità di contrasto alle attività e contenuti illegali online.
“Dobbiamo diventare un Paese resiliente e quindi essere pronti ad affrontare ogni attacco.
Oltre alla risposta alla minaccia, abbiamo altri obiettivi da perseguire: la posizione nazionale all’interno dei contesti globali. La minaccia è orizzontale e riguarda tutti i settori economici e su questo si stanno aprendo tavoli che stiamo cercando di coordinare a livello internazionale. Stiamo inoltre cercando di creare un ecosistema nazionale ricerca industria e parte governativa, questo perché vogliamo sviluppare un’economia della cybersecurity”, ha sottolineato Baldoni.
Uno dei punti chiave è stata la direttiva NIS, in fase di implementazione, con l’identificazione recente di 465 operatori di servizi essenziali, che dovranno assicurare la gestione del rischio cyber ai loro sistemi e all’interno di linee guida che saranno definite a fine aprile prossimo.
“Stiamo organizzando gruppi di lavoro che mettano assieme imprese, ricerca e parte governativa per elaborare le linee guida per la sicurezza informatica nelle aziende e la promozione della cultura della sicurezza come valore economico.
Da settembre 2019 inizierà la fase ispettiva dopo che le aziende avranno avuto il tempio di mettersi in regola”.
Fondamentale, inoltre è il rapporto con il Garante privacy, che richiama la sinergia che sta nascendo tra l’Autorità e le organizzazioni che lavorano alla sicurezza nazionale: “in cui si sta definendo uno scambio informativo rispetto agli accordi del 2013 e dove si cerca di definire le soglie che porteranno degli eventi verso l’NSC per essere valutati in maniera approfondita”.
Il 12 febbraio, all’interno della conferenza Idatec di Pisa, sarà presentato alle impese un nuovo framework della cybersecurity integrato alla GDPR, che avrà un ruolo chiave nell’applicazione della NIS, perché cybersecurity e protezione dei dati personali sono due settori contigui, che lavorano assieme in sinergia.
“La cybersecurity non è un traguardo da raggiungere e una volta raggiunto abbiamo finito il lavoro, perché le minacce si evolvono e gli strumenti di difesa anche. La NIS è un punto di arrivo? No, interi settori, come il Governativo e la Difesa sono fuori tale recinto. Parlando di sovranità è importante che l’Italia si doti di uno strumento per il controllo forte dei servizi strategici per la sicurezza nazionale. Strumento che al momento non abbiamo”, ha concluso Baldoni.
Protezione dati personali e sicurezza nazionale, sono due temi centrali per l’economia digitale, quanto per la democrazia, ha invece affermato Stefano Mele, avvocato specializzato in diritto delle tecnologie, privacy e cybersecurity.
“Le informazioni sono il petrolio del nostro tempo. All’interno della società dell’informazione a circolare sono anche i nostri dati e se ne sono accorti sia i criminali digitali, sia i Governi.
Ci sono i cyber criminali, ci sono unità governative preposte al cyber spionaggio e ci sono i cyber attivisti.
Il 50% della minaccia cibernetiche ai dati personali in Italia è dovuto ai cyber attivisti.
Tutte le informazioni sono digitalizzate e tutte le nostre attività sono mediate da un apparecchio tecnologico, dalla voce alla nostra posizione, dalle nostre relazioni sociali agli impegni lavorativi, dai messaggi agli acquisti”.
Il livello di profilazione è dunque sempre più profondo.
“Le nuove frontiere della tecnologia, tra cui c’è la realtà aumentata, che sarà sempre più integrata al nostro quotidiano attraverso vari gadget e sistemi, nonché intelligenza artificiale e algoritmi, sono percepite come una minaccia per la nostra privacy, e se non ragioniamo sui limiti da apporvi, si arriverà presto al punto che device e sistemi operativi inizieranno a trattare anche le emozioni”.
“La protezione dei dati personali è un diritto fondamentale che affonda le sue radici nella dichiarazione universale dei diritti dell’uomo del 1948, nella carta dei diritti fondamentali dell’Unione europea del 1950. Un diritto che ci appartiene storicamente e che dobbiamo esercitare e difendere”, ha detto Mele.
La sicurezza nazionale si rafforza al potenziamento delle misure per la difesa dei dati personali.
“Nel dettato del GDPR c’è traccia di questo valore. È un diritto che va oltre l’individuo, che investe l’intera comunità.
La tecnologia è veloce e il diritto non sta al passo dell’innovazione.
La tutela dei dati personali è parte della sicurezza nazionale”.
Chi si occupa di sicurezza nazionale deve quindi trovare un accordo con il Garante per arrivare ad un giusto equilibrio con le esigenze di difesa dei dati personali.
Ci sono battaglie tra Stati sul posizionamento delle tecnologie del futuro sul mercato mondiale, con investimenti enormi in varie tecnologie emergenti, come 5G e intelligenza artificiale. Perché su questa strada si giocherà il destino del mondo.
Il diritto già rincorre queste situazioni.
“Il rischio concreto – ha precisato Mele al termine del suo intervento – è che questa rincorsa si dilati nel momento in cui noi non riusciamo più ad avere una visione prospettica di dove la tecnologie arriverà nel corso degli anni, con la possibilità che il distacco tra gli interessi delle aziende e quello della tutela dei diritti di privacy dei cittadini diventi troppo grande e non più colmabile”.