Photo from Unsplash

Il 25 maggio 2018 il Regolamento Generale sulla Protezione dei Dati 2016/679 (General Data Protection Regulation) è divenuto direttamente applicabile in tutti gli Stati dell’Unione Europea. La nuova normativa è stata ritenuta necessaria, poiché, come spiegato nel Considerando n. 6, sia imprese private che pubbliche autorità possono raccogliere ed utilizzare dati personali in quantità esponenziale, per cui va garantita un’adeguata protezione. Nonostante oggi l’evoluzione tecnologica sia tale che Google ed il gruppo Facebook (composto altresì da WhatsApp, Messenger ed Instragram) possiedono e vendono tutti i dati personali che ci riguardano, si sottovalutano ancora i gravi rischi che ciò comporta.

Photo by Paulius Dragunas on Unsplash

Va infatti evidenziato che i social media non si limitano a conoscere la nostra vita quotidiana: spesso si dice che non è un problema se Facebook conosce la nostra vita privata e Google sa i siti su cui navighiamo, tanto alla fine non importa, non abbiamo nulla da nascondere. Ma non è solo questo.

I social media, grazie anche alle attività di vendita e scambio di dati con i nostri siti, conoscono le nostre preferenze in tutti i settori, sanno quando e quante volte accediamo al web, grazie alla geolocalizzazione sanno dove siamo e dove sono i nostri amici, sanno cosa scriviamo, come reagiamo alle notizie, conoscono ogni nostra esigenza, sono a conoscenza delle nostre informazioni più private, anche quelle sanitarie, più di noi stessi. Il cervello infatti seleziona automaticamente le informazioni rilevanti e dimentica le altre. Un server invece raccoglie tutti i dati.

Grazie a questa immensa quantità di informazioni, gli algoritmi i social media possono compiere un’attività di profilazione: possono cioè, correlando l’infinità dei dati a loro disposizione, prevedere, con alta probabilità di successo, i nostri comportamenti futuri. Possono, ad esempio, pubblicando una determinata notizia, prevedere quale sarà la reazione e così facendo, orientare i nostri comportamenti. Negli Stati Uniti, infatti, già da anni, le compagnie di assicurazioni sanitarie utilizzano accurati algoritmi di profilazione, che prevedono molto correttamente se e quando i loro clienti si ammaleranno e di quali patologie soffriranno, così da poter calcolare le tariffe assicurative più convenienti.

Del resto, con il recente scandalo di Cambridge Analytica, si è scoperto ciò che era ovvio: Donald Trump ed i sostenitori della Brexit hanno utilizzato i dati personali di milioni di persone, in modo tale da poter prevedere esattamente cosa dire e fare per convincerli a sostenere le loro ragione, che cosa avrebbe suscitato negli elettori il consenso. Poter prevedere le reazioni delle persone significa avere a disposizione una forma di condizionamento senza precedenti. La propaganda è sempre servita per convincere, mai è stato possibile conoscere così tante informazioni sulle persone, tanto da poter prevederne i comportamenti futuri.

Per questi motivi, la protezione dei dati personali è fondamentale ed il GDPR ha provato a regolare tale situazione. Gli articoli 5 e 6 stabiliscono che i dati personali debbano essere trattati in modo lecito, conservati per un tempo non superiore alle finalità per cui sono raccolti, trattati in maniera tale da garantire sicurezza e che il trattamento dei dati sia lecito se l’interessato fornisce il proprio consenso o se comunque tali dati servano per l’esecuzione di un contratto, per adempiere ad un obbligo legale o ad un pubblico interesse. L’art. 7 specifica inoltre che la richiesta di consenso debba essere chiara, semplice e comprensibile, quindi non sono legittime tutte le richieste generiche di consenso. Non è lecito raccogliere dati non necessari allo scopo richiesto. L’art. 9 vieta espressamente il trattamento di dati riguardanti l’origine etnica, le opinioni politiche, religiose, filosofiche e riguardanti la salute e l’orientamento sessuale. Secondo poi gli articoli 13 e 14, l’interessato, i cui dati sono raccolti, deve ricevere informazioni precise circa l’identità, i dati di contatto del titolare del trattamento, nonché le finalità, la possibilità di revoca del consenso e l’eventuale uso di algoritmi di profilazione. Importante è anche l’art. 17 che disciplina il diritto all’oblio, per cui è possibile ottenere la cancellazione dei propri dati in caso di revoca del consenso e di trattamento illecito di dati. Vi è, secondo l’art. 28, un responsabile del trattamento, che deve garantire il rispetto del Regolamento nella raccolta di dati. In caso di trattamento di dati su larga scala, l’art. 35 stabilisce debba essere nominato un responsabile della protezione dei dati, che ha lo specifico compito di sorvegliare l’osservanza degli obblighi previsti dal Regolamento e deve essere terzo ed imparziale.

Certamente è importante che tanti diritti siano stati sanciti dalla recente normativa comunitaria, così come sono da apprezzare le severe sanzioni, previste dall’art. 83, per cui, in caso di inosservanza degli obblighi di titolare e responsabile del trattamento, le sanzioni arrivano a 10 milioni di euro o al 2% del fatturato e, per le violazioni più gravi, arrivano fino a 20 milioni di euro ed al 4% del fatturato. Tuttavia il problema che ancora oggi abbiamo riguarda l’effettività di tale normativa: come si fa a dimostrare, ad esempio, che un sito abbia raccolto più dati personali del necessario? Chi può assicurarci che le attività di raccolta dati svolte siano davvero quelle descritte nelle informative privacy? Per ottenere davvero la tutela dei propri dati personali, è fondamentale cambiare non solo le norme giuridiche che regolano il web, ma anche e soprattutto le sue regole tecniche. La raccolta indiscriminata di dati non solo deve essere vietata, non deve proprio essere possibile, poiché il web stesso deve garantire l’anonimizzazione degli utenti, in modo tale che ognuno possa liberamente navigare, senza per questo subìre forme di profilazione.

Data l’importanza della protezione dei dati personali, consiglio l’uso di Tor: si tratta di un software libero, che permette di criptare ogni connessione, in maniera tale da non risalire in alcun modo all’utente. Utilizzando Tor, abbiamo a disposizione connessioni private, che mostrano che siamo collegati da diversi Stati spesso contemporaneamente. In questo modo, non è possibile risalire a noi ed i siti raccolgono dati non rispondenti a verità, quindi non riescono a svolgere una corretta attività di profilazione. Tor è disponibile anche su cellulare con l’applicazione Orbot.

In ogni caso, una delle sfide preponderanti del futuro prossimo consiste proprio nel rivendicare un web completamente diverso, le cui regole tecniche garantiscano la libertà e la privacy degli utenti e non certo il commercio di dati e la profilazione.

Giovanni Di Stasio

ivan.distasio@gmail.com