Regolamento protezione dati: Cambridge Analytica & le presidenziali USA. Cosa sta cambiando?

Il 9 novembre 2016 Donald Trump ha vinto le elezioni presidenziali americane, battendo la favorita Hillary Clinton.

La lunga campagna elettorale non ha escluso colpi bassi – da entrambe le parti – e si è distinta per il massiccio utilizzo dei social media come mezzi per veicolare le informazioni. In modo sempre lecito? Forse no.

Tra l’altro, nelle ultime settimane abbiamo ricevuto numerose mail a proposito del trattamento dei nostri dati personali. Questo, sommato allo scandalo del caso Cambridge Analytica ha sollevato un polverone mediatico.

Il confine fra liceità ed infringement ha fatto molto discutere, ma cosa è successo realmente e che cosa succederà nel campo vastissimo del trattamento dei dati personali?

Ne abbiamo parlato con Ludovica Meschini, Vice President for Seminars and Conferences ELSA Siena.

 

Cambridge Analytica: che fine fanno i nostri dati?

La società, vicina alla destra repubblicana statunitense, analizza sostanzialmente dati dei consumatori. Queste informazioni vengono utilizzate per attività di marketing da organizzazioni di qualsiasi entità: “mi piace”, post visionati, dove vengono lasciati il maggior numero di commenti, il luogo da cui si condividono i contenuti etc.

Tutto questo concorre a realizzare il nostro profilo: in breve, i loro algoritmi riescono a conoscerci meglio di quanto ci conoscono i nostri amici. Non scherzo: pare proprio che all’algoritmo sviluppato dal ricercatore di Cambridge Michal Kosinski bastino solo 70 “Mi piace” su Facebook per sapere più cose sulla nostra personalità rispetto ai nostri amici.

Con 150, arriva a conoscerci meglio dei nostri genitori, con 300 può superare le conoscenze del nostro partner. Inquietante, vero?

Nel 2014 un altro ricercatore dell’Università di Cambridge, Aleksandr Kogan, realizzò Thisisyourdigitallife, app che prometteva di produrre profili psicologici e di previsione del proprio comportamento, basandosi sulle attività online.

270 000 persone si iscrissero all’applicazione di Kogan utilizzando Facebook Login. L’app è riuscita a mettere le mani sui dati sulle reti di amici dei soggetti iscritti, arrivando quindi a memorizzare informazioni su 50 milioni di profili.

Problemi in merito alla liceità? Assolutamente no: al tempo, tale pratica era del tutto consentita da Facebook.

I problemi sono nati quando Kogan ha condiviso tutte queste informazioni con Cambridge Analytica, violando i termini d’uso di Facebook. La società, comunque, sostiene che Facebook fosse al corrente del problema da circa due anni.

Comunque, C.A. viene sospesa di colpo dal social network con l’accusa di avere usato in modo improprio dati raccolti sul social network. Facebook è comunque stato considerato, dalla stampa, dalle istituzioni, presunto complice. Sospese la società, infatti, solo dopo che il NYT e il Guardian pubblicarono articoli in merito alla “falla nel sistema” di Zuckerberg.

 

Presidenziali 2016: pilotate a favore di Trump?

Arriviamo dunque alla campagna elettorale di Trump e: nel 2016,il suo comitato affidò a Cambridge Analytica la gestione della raccolta dati per la campagna.

Furono usate allora grandi quantità di account fasulli gestiti automaticamente per diffondere post, notizie false e altri contenuti contro Hillary Clinton. Ne vennero diffuse a migliaia: Clinton sarebbe stata sul punto di morire, era stata sostituita da una sosia, rapiva bambini e li rinchiudeva nel retro di una pizzeria. Non scherzo, purtroppo.

A elezioni vinte è poi emersa con sempre maggiore chiarezza l’interferenza russa nelle presidenziali americane – il cosiddetto russiagate. Il sospetto è che C.A. abbia in qualche modo facilitato il lavoro della Russia per fare propaganda contro Hillary Clinton e a favore di Trump.

 

GDPR: Cosa è cambierà dal 25 maggio per le società?

Con questo titolo, il 22 maggio – presso il Dipartimento di Giurisprudenza dell’Università di Siena – è stata organizzata da ELSA (The European Law Students’ Association) Siena una conferenza. Al centro, il nuovo regolamento che tenterà di portare ordine in questo campo minato.

A parlare del Regolamento UE sulla protezione dei dati personali sono intervenuti il Prof. Vincenzo Caridi (docente di Diritto Commerciale), il Prof. Alessandro Palmieri (docente di Diritto Privato Comparato) e il Prof. Gianluca Navone (responsabile dell’Università di Siena per il Data Protection Office).

La protezione dei dati personali tra tecnologia, sicurezza e diritti fondamentali è sicuramente un tema oscuro: se ne parla spesso e proprio il caso Cambridge Analytica ha contribuito a sollevare l’attenzione mediatica degli ultimi mesi.

Il GDPR (General Data Protection Regulation): Reg. UE 2016/679 del Parlamento Europeo e del Consiglio è entrato in vigore in tutta Europa il 25 maggio.

L’obiettivo? Uniformare una vola per tutte la disciplina in materia di trattamento dei dati personali all’interno dell’Unione Europea.

 

Chiedere il consenso: una buona pratica dimenticata.

Dov’è finito il ruolo del consenso? Da sempre considerato imprescindibile per l’utilizzo dei dati personali, viene oggi declassato ad uno dei tanti elementi che rendono lecito il trattamento.

Tra l’altro, il nuovo regolamento non apporta grossi miglioramenti in merito: prevede infatti che possa costituire base giuridica che rende legittimo il trattamento dei dati personali anche un «mero interesse legittimo del titolare dei dati o di un terzo».

Un esempio? Uno dei Considerando del testo normativo stabilisce che costituisce un interesse legittimo che autorizza al trattamento dei dati anche le finalità di marketing diretto.

 

Troppi interessi attorno alle nostre informazioni.

Siccome il regolamento opera in un mercato digitale, non guarda solo alla protezione ma anche alla circolazione dei dati. D’altra parte, sappiamo bene che l’adozione del regolamento sia stata accompagnata da una fortissima attività di lobbying.

Intorno a queste materie circolano interessi economici e politici consistenti – d’altro canto, l’attività di lobbying nell’ambito delle istituzioni europee è anche formalizzata a Bruxelles.

Pertanto, il goal tanto pubblicizzato del GDPR di «rinforzare la protezione dei dati e fornire ai cittadini il potere di tutelare la loro privacy» andrebbe forse riletto sotto un’ottica più critica.

 

Non è tutto oro quel che luccica.

Il regolamento dovrebbe essere, da definizione, disciplina direttamente applicabile. Invece, come ha sottolineato il Prof. Palmieri, l’uniformità che ci si propone di raggiungere nei confini europei è solo tendenziale: lascia, purtroppo, significativi margini di manovra.

Il Regolamento è entrato in vigore addirittura due anni fa e presenta due grossi ostacoli, uno formale ed uno attuativo.

Il Dott. Palmieri ha sottolineato in primo luogo la monumentalità del testo (rispetto agli standard dell’UE). L’art 4 potremmo definirlo come vittima di “bulimia definitoria” date le 26 nozioni che contiene. Tutte queste definizioni, va detto, sembrano voler nascondere e mistificare la stessa disciplina.

In secondo luogo, l’armonizzazione che ci si propone di raggiungere sembra più lontana del solito, data l’ampia discrezionalità che si permette di utilizzare agli Stati Membri.

Per esempio, la norma che si occupa del consenso dei minori in merito al trattamento dei loro dati personali sulle piattaforme online parla di 16 anni come limite minimo. A discrezione degli Stati, questo può però portarsi a 13!

 

Noi? Quelli del “last minute” – anzi, dell’imbarazzante “delay”.

Il nostro Paese è in ritardo, senza mezzi termini.

I limiti per l’approvazione del decreto legislativo 21/03/ 2018 che adegui l’Italia alle norme europee sulla privacy sono già stati superati. Il decreto legislativo avrebbe dovuto essere approvato dal Parlamento il 21 maggio, ma il termine è stato prorogato di tre mesi («fermo restando che il 25 maggio entra comunque in vigore il regolamento GDPR»).

Nei cosiddetti ‘palazzi’ se ne è parlato poco: il 17 maggio, in Senato, si è tenuta l’unica seduta d’esame del decreto presentato dal Governo Gentiloni il 21 marzo e trasmesso alle Camere il 10 maggio.

Ad onor del vero, comunque, il 48% delle imprese italiane ha “dichiarato” di essere complient al GDPR (dichiarato, sì: ma la prova dell’effettività di tali dichiarazioni ci lascia dubbiosi).

 

Cosa cambierà il GDPR?

Influirà su alcuni aspetti, non di poco rilievo:

  1. Consulenze da avvocati ed esperti in materia di Data Protection; alla ribalta ci sono già dispositivi che permettono anonimizzazione dei dati, poiché non si ritiene più sufficiente la cd. anonimizzazione “statica” che permette di assegnare a un nome e un cognome una serie mutabile di cifre:
  2. L’introduzione, dal prossimo 25 maggio, della  figura del Data protection officer (DPO), il Responsabile per la protezione dei dati. Si tratta di quella figura che d’ora in poi dovrà garantire la riservatezza di tutta una serie di informazioni sensibili. Designato dal titolare dell’impresa o dal responsabile del trattamento, coopererà con il Garante fungendo da punto di contatto con esso: potrà essere un soggetto terzo esterno all’azienda oppure un lavoratore già dipendente del titolare o del responsabile.
  3. Ad onor del vero, però, c’è da notare – in chiusura – un indiscutibile aspetto positivo, comprovato dalla grande percentuale dei cittadini europei che confermano di preferire di acquistare da operatori “privacy complient”: Il vantaggio per chi applica il regolamento non è solo quello di evitare sanzioni, ma è anche di ritorno economico, dato il valore competitivo della privacy (ebasta guardare, per comprendere il meccanismo, all’immagine sul mercato di Facebook che, durante lo scandalo Analytica, ha visto crollare le proprie azioni.).

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *