[ e-privacy XXIV — GDPR vs. Tecnologie Emergenti
"I popoli non dovrebbero temere i propri governi: sono i governi che dovrebbero temere i propri popoli."
V (da John Basil Barnhill)

Gli interventi

Tecnologia, business ed etica degli Oggetti Intelligenti

Marco Calamari (Progetto Winston Smith)

Gli "oggetti intelligenti" sono con noi da anni, e sono con noi per restare, anzi per "colonizzarci". Non si tratta di una descrizione negativa; ogni oggetto intelligente che compriamo ed utilizziamo ci rende, potenzialmente più abili, più veloci e più intelligenti. Ma può renderci più pigri, più lenti, più stupidi. Gli oggetti "intelligenti" richiedono cura per un utilizzo sicuro, una cura maggiore per sceglierli, un'estrema cura per concepirli e progettarli. Ma purtroppo vengono comprati d'impulso, usati malaccortamente. Vengono anche progettati in fretta e senza una visione d'insieme, contando su un'utenza preda della fascinazione e che per usarli non impiegherà nemmeno la stessa attenzione che dedica alla scelta dei pelati al supermercato. Come districarci tra gli oggetti intelligenti e connessi di oggi? Come prepararci all'invasione dei loro successori, sempre più piccoli, economici e per questo invisibili? O sempre più preoccupanti, come le armi autonome (AWS), antenati della razza di Terminator? Nello sviluppo di oggetti "intelligenti", di oggetti connessi e di oggetti dell'Internet delle Cose è importante considerare non solo la tecnologia, ma anche i modelli di business ed etici. Inizieremo descrivendo quelli di essi che sono considerati "archetipi", verranno poi descritte le tecnologie, sempre più impercettibili, che ne sono alla base, i modelli di business che ne guidano lo sviluppo, ed infine le problematiche etiche connesse ad essi Alcune considerazioni sulla sicurezza e privacy degli oggetti "intelligenti" alla luce del GDPR chiuderanno la relazione

GDPR vs. Tecnologie Emergenti

Giuseppe Busia (Segretario Generale Garante Privacy)

GDPR, Intelligenza artificiale e IOT: un approccio Ethics by design

Stefano Aterno

GDPR, Intelligenza artificiale e IOT: un approccio Ethics by design di Stefano Aterno

L’etica nell’uso della tecnologia dovrebbe basarsi su un assunto semplice: la vocazione della tecnologia è aiutare gli uomini. Non esiste un’etica soltanto della tecnologia e in ogni settore, quando parliamo di Etica, facciamo fatica ad applicarla e ad perseguirla veramente. Tendiamo a chiederla e ad esigerla agli altri: ognuno ha una sua Etica per esempio nello sviluppare o nell’usare la tecnologia. La relazione tra tecnica ed etica è molto complessa: per riassumerla, si potrebbe sostenere che la dimensione valoriale si ritrova non solo nella definizione degli scopi, che la tecnologia dovrebbe aiutare a raggiungere, ma anche nella produzione della tecnologia stessa. La tecnologia, a sua volta, è determinante nella produzione dei valori, non solo nella misura in cui è strumento per raggiungerli, ma anche perché modifica, per il suo carattere intrinseco di mediazione, il rapporto tra uomo e mondo. Si tratta allora di riflettere su come configurare un’etica adeguata per le tecnologie sviluppate negli ultimi decenni: un’analisi che raccolga questo concetto e permetta di applicarlo in un contesto regolatorio (soft law). La descrizione della tecnologia è comunque cruciale, a livello etico, perché alcune implicazioni etiche del suo uso diventano evidenti solo se si conosce la sua funzionalità tecnica. Chi non la conosce non può comprendere. Ecco perché è importante anche la divulgazione e la conoscenza più capillare possibile sulle modalità di funzionamento degli strumenti tecnologici basati su IOT e su IA. Avvertire ora e prevenire rischi per il futuro anche perché poi, come la storia dimostra, indietro non si torna. Chissà, forse hanno ragione coloro che ritengono necessario cambiare punto di vista: anziché sperare che il trattamento dei dati venga effettuato in maniera etica, bisogna costruire dei sistemi che implicano l'etica stessa nel processo di trattamento: principio di ethics by design. E’ arrivato il momento di gestire questi dati compatibilmente con i diritti umani. Non è più un problema soltanto di trattamento dei dati ma di cambiamento del modo di vivere e di vivere le relazioni sociali. Al momento, sembra che ogni cosa venga conservata per sempre, ed è un aspetto che deve essere declinato nel rispetto dei diritti dell’uomo presente e futuro. Per l'utente medio s’impone una conoscenza sempre più attenta della tecnologia, più la conoscerà maggiori saranno le probabilità che si interfacci ad essa in maniera responsabile. Questo processo deve prevedere anche la trasmissione dei principi etici di base della nostra società, dove per “Ethics by design” si deve intendere semplicemente che gli sviluppatori e gli ingegneri informatici, nello sviluppare queste nuove tecnologie, non devono rispondere solamente al codice deontologico che regola la loro professione (che molti neanche conoscono……) , ma anche ai principi etici che regolano la società in senso più ampio. Si deve trattare di un cambiamento che può avvenire soltanto in senso verticale. Difficilmente avverrà dall'alto, perché che ci piaccia o no queste violazioni dei principi etici nel trattamento dei dati da parte dell'industria sono ormai legate a doppio filo con dei flussi di denaro indispensabili per la sopravvivenza delle entità stesse. Quello che serve è un'educazione dal basso, di modo che gli stessi operatori dell'industria possano agire eticamente a partire direttamente dallo sviluppo delle tecnologie. Nessuno pensi di poter limitare il progresso tecnologico oppure a vincolarlo con leggi e leggine ma in maniera direttamente proporzionale al progresso deve svilupparsi, come esigenza primaria nella cultura dell’uomo, un processo che tenda alle virtù e al vivere civile. Stefano Aterno 18 ottobre 2018

Più DPO per tutti: il Data protection officer tra mito e realtà

Giovanni Battista Gallus (Circolo dei Giuristi Telematici - Nexa Center)

Il Regolamento generale sulla protezione dei dati (Regolamento 2016/679/UE -GDPR) ha generalizzato la figura del Data protection officer, soggetto che dovrebbe avere una competenza specialistica in tema di protezione dei dati personali, unita alla capacità di adempiere ai propri compiti, che spaziano dalla consulenza alla sorveglianza del rispetto del Regolamento e delle policy interne, alla cooperazione con l'autorità di controllo. Nell'imminenza dell'entrata in efficacia del GDPR, si è assistito a una corsa forsennata alla nomina, che ha portato a risultati quasi comici, come nel caso di alcuni che, attanagliati dal dubbio e pressati da "consulenti" fantasiosi, hanno nominato DPO se stessi. Il talk si propone di analizzare le principali problematiche sorte in ordine alla scelta del DPO, ed all'esercizio delle funzioni e compiti di questa figura nell'ambito degli enti pubblici e privati.

Le vite (social) degli altri. Un'analisi sui dati propri che svela quelli altrui

Manuela Vacca (Oohm), Renato Gabriele (Oohmm) e Giulia Seno (Giornalista)

ll Gdpr consente un interessante esercizio di stretching dei dati. Grazie al nuovo regolamento europeo è possibile infatti accedere ai dati personali propri e ottenerne una copia richiedendoli ai grandi player. La disponibilità di dati in formato strutturato consente un 'allungamento' anche sui dati di tutti coloro che hanno interazioni con quel profilo. Nel paper proposto si analizzano le vite altrui partendo da alcuni profili social di giornalisti. Quanto questa attività impatta sui dati dei terzi?

Le auto a guida autonoma ed i trattamento dei dati: serve il il gdpr?

Raffaele Zallone (STUDIO LEGALE)

Tra le nuove tecnologie pronte per essere lanciate sul mercato vi è quella delle auto a guida autonoma, un nuovo tipo di prodotto robotizzato che potrà operare solo grazie ed attraverso un sofisticato, costante, capillare meccanismo di raccolta, elaborazione, invio e ricezione di dati, la maggior parte dei quali saranno dati personali, non solo di chi guida, ma anche relativi all'ambiente circostante in cui si muove la macchina. Come sarà regolata questa attività di trattamento di dati? con quali misure di sicurezza? e chi saranno i soggetti autorizzati a trattare questi dati. Vi sono una serie enorme di problemi che difficilmente potranno trovare risposta con il tradizionale meccanismo di informativa e consenso. Una volta ancora la legge si trova a dover inseguire una realtà del tutto nuova, che richiede di rivedere l'approccio tradizionale seguito sin qui dal legislatore

AI vs GDPR: chi ci protegge dai protettori?

Modera: Marco Calamari (Progetto Winston Smith)
Partecipano: Manuela Vacca (Oohm), Alessandro Guarino , Flavio Del Soldato (Matris lingua - I Want My Language Back.), Giovanni Battista Gallus (Circolo dei Giuristi Telematici - Nexa Center)

Tecnologia, business ed etica degli Oggetti Intelligenti

Marco Calamari (Progetto Winston Smith)

Gli "oggetti intelligenti" sono con noi da anni, e sono con noi per restare, anzi per "colonizzarci". Non si tratta di una descrizione negativa; ogni oggetto intelligente che compriamo ed utilizziamo ci rende, potenzialmente più abili, più veloci e più intelligenti. Ma può renderci più pigri, più lenti, più stupidi. Gli oggetti "intelligenti" richiedono cura per un utilizzo sicuro, una cura maggiore per sceglierli, un'estrema cura per concepirli e progettarli. Ma purtroppo vengono comprati d'impulso, usati malaccortamente. Vengono anche progettati in fretta e senza una visione d'insieme, contando su un'utenza preda della fascinazione e che per usarli non impiegherà nemmeno la stessa attenzione che dedica alla scelta dei pelati al supermercato. Come districarci tra gli oggetti intelligenti e connessi di oggi? Come prepararci all'invasione dei loro successori, sempre più piccoli, economici e per questo invisibili? O sempre più preoccupanti, come le armi autonome (AWS), antenati della razza di Terminator? Nello sviluppo di oggetti "intelligenti", di oggetti connessi e di oggetti dell'Internet delle Cose è importante considerare non solo la tecnologia, ma anche i modelli di business ed etici. Inizieremo descrivendo quelli di essi che sono considerati "archetipi", verranno poi descritte le tecnologie, sempre più impercettibili, che ne sono alla base, i modelli di business che ne guidano lo sviluppo, ed infine le problematiche etiche connesse ad essi Alcune considerazioni sulla sicurezza e privacy degli oggetti "intelligenti" alla luce del GDPR chiuderanno la relazione

Presentazione BBA 2019

Winston Smith

Dati personali e beni comuni digitali

Marco Ciurcina (StudioLegale.it)

Le licenze libere sono state utili nel costruire beni comuni digitali, ma sono strumenti limitati sul piano tecnico-legale. La presentazione esplora il potenziale tecnico-legale offerto dagli smart-contracts e come potrebbe essere utilizzato per costruire beni comuni digitali che includono anche dati personali mettendo anche a frutto il potenziale offerto dai nuovi diritti previsti dal GDPR (diritto alla portabilità dei dati, ecc.) e cercando di superarne i limiti (ambito di applicazione limitato).

"Operazione antiboting": come prendere coscienza dei dati sporchi di bot e troll?

Renato Gabriele (Oohmm), Giulia Seno (Giornalista) e Manuela Vacca (Oohm)

Le conversazioni in Rete sono continuamente inquinate e la produzione di dati sporchi cresce senza argini. In particolare, negli ultimi mesi, i ricercatori internazionali hanno notato un massiccio aumento di troll e bot sui social media. Il dibattito pubblico e i profili privati sono ormai dominati dai contenuti di account automatizzati guidati da pochi utenti politicizzati, in grado di colpire o sostenere facilmente candidati e campagne elettorali, come è già avvenuto dopo l'estate in Svezia, in Assia (Germania) e come si teme anche per le elezioni di midterm negli Stati Uniti, nonostante il forte allarme arrivato già nel voto 2016 che portò Donald Trump alla presidenza. La vicenda italiana che ha avuto più spazio nelle top news è stata quella dei troll che hanno attaccato gli account del presidente Mattarella, in occasione della formazione del governo dopo le elezioni del 4 marzo 2018, episodio di 'odio automatizzato' sul quale ha aperto un'inchiesta la Procura di Roma e sul quale l'osservatorio Oohmm ha raccolto i big data. Conoscere il reale attraverso i big data è un'azione concreta a favore dell'ecologia dell'informazione e presentare i reali numeri dei fenomeni più recenti è l'ultima operazione antiboting e di contrasto all'odio in rete intrapresa dall'osservatorio Oohmm.

Social Scoring. Dalla Cina all'Italia: come fronteggiare il trattamento dei dati di profilazione. La DPIA nel GDPR

Monica Gobbato (Privacy Academy), Emanuela Micillo (Privacy Academy) e Carlotta Frasca (Privacy Academy)

In Cina esiste già un programma nel quale ogni informazione fa parte del punteggio del Social Credit System: comportamenti d’acquisto, posizione di credito, amicizie e relazioni online. Uno scenario alla Black Mirror, con ricompense per le persone ritenute più “affidabili” e "malus" per quelle inaffidabili. Nel mondo, e ormai anche in Italia, sono presenti specifici siti e app mobile riguardanti strutture e professionisti sanitari che recensiscono e votano (attraverso il metodo di scoring) visite specifiche, medici e strutture. Secondo i dati del Journal of the American Medical Association, il 35% degli utenti ha ammesso di scegliere il medico da cui andare basandosi sulle recensioni positive. E’ chiaro allora come un tale processo possa portare dei rischi altissimi in termini di diritti che coinvolgono, fra l’altro, il bene supremo costituzionalmente garantito quale la libertà. E’ proprio in questi termini che occorre ragionare ed evitare risvolti “drammatici” e “pericolosi” che segnino lo sconfinamento alla deriva di quello che potrebbe metaforicamente essere intitolato “ gli 007 sono ovunque anche se hanno una nuova veste”.
La relazione illustrerà gli scenari più inquietanti come quello cinese e quelli più eventualmente utili come quello sanitario. Nelle modalità di programmazione di tali attività si prenderà in esame il modello di valutazione di impatto come proposto dal WP29 sulla DPIA. (La relazione sarà una discussione a tre voci)

IoT in-sicurezza dei dati raccolti

Fabio Carletti (lejot opensource tecnology)

IoT sta prendendo sempre più piede ma la sicurezza dei dispositivi viene sempre meno perchè considerati usa e getta. I dati che raccolgono tramite sensori, webcam,..ecc non vengono tenuti a regola d'arte. Sempre più spesso è possibile trovare accesso da remoto con passwd di default a questi dispositivi o connessi alla wify di casa/alberghi senza controllo di accesso da parte di IP non autorizzati. Il mio talk che vado a proporrere è l'insicurezza di questi dispositivi attuali progettati fin dal principio come un oggetto fine a se stesso e non considerando il problema di privacy e/o sicurezza del software/firmware e dell'utilizzo/custodia dei dati raccolti.

Ricerca scientifica, dato genetico e tecnologie

Adriana Augenti e Gennaro Maria Amoruso

L’intervento mira ad evidenziare l’importanza della ricerca scientifica e il bilanciamento di interessi tra le finalità proprie della ricerca e le tutele e i diritti dell’interessato. Dopo una breve disamina del contesto normativo europeo e di quello nazionale, anche al fine di verificare l’aderenza del secondo al primo, si verterà sull’analisi delle nuove tecnologie applicate alla ricerca scientifica in campo genetico e l’impatto che queste hanno sulla tutela dei dati personali. In proposito verrà approfondita l’opportunità dell’adozione di misure di garanzia volte a determinare la minimizzazione e l’anonimizzazione dei dati personali e l’effettività delle stesse nonché l’opportunità e le misure di salvaguardia per il riuso di tali dati.

Dove finisce la privacy nelle istanze FOIA?

Laura Carrer (Transparency International Italia), Luca Rinaldi e Riccardo Coluccini (Hermes Center for Transparency and Digital Human Rights)

Il Freedom of Information Act (d.lgs. 97/2016) è la legge che ha introdotto in Italia il diritto di accesso agli atti prodotti e detenuti dalle Pubbliche Amministrazioni, dagli enti controllati e da quelli partecipati dallo Stato. Chiunque ha accesso ad un gran numero di documenti, dati ed informazioni che altrimenti resterebbero negli archivi. A due anni dalla sua introduzione e dal suo utilizzo, si rileva come il FOIA viaggi su un binario parallelo a quello della privacy, senza mai intersecarsi: questi due diritti fondamentali trovano infatti difficile applicazione durante il processo di richiesta alle informazioni. Spesso le istanze FOIA sono rigettate per motivi di privacy; altre volte le amministrazioni sembrano tutelare solo i dati personali di alcuni attori del processo. Sarebbe importante venisse attuato un delicato bilanciamento fra i due diritti, in modo tale da non incappare in un meccanismo “o tutto o niente”. In secondo luogo, sarebbe utile porre l’attenzione del legislatore sulla tutela dei dati personali del richiedente FOIA.

Nello specifico siamo di fronte a un’asimmetria informativa che colloca il richiedente su un gradino più basso rispetto al controinteressato o alla PA. Una situazione che minaccia la sicurezza di particolari categorie, come ad esempio quella dei giornalisti. Dall’altra parte, e paradossalmente, le PA si trincerano dietro la protezione dei dati personali dei controinteressati per negare l’accesso agli atti. Per questo motivo, vogliamo chiedere al Garante per la privacy - attraverso un esposto (anche in ottica GDPR, al quale il nostro FOIA non si è allineato) - di tutelare in primis chi richiede informazioni pubbliche e di far prevalere il diritto alla conoscenza rispetto al segreto.

Transparency Italia ha lanciato, a giugno di quest'anno, FOIA4journalists, attività di supporto alla stesura di istanze di accesso da parte dei giornalisti. Per capire quanto, effettivamente, le PA siano aperte alla condivisione di informazioni relative al numero, la tipologia e l’esito delle richieste FOIA inoltrate dai cittadini, e quanto siano sensibili alla privacy, abbiamo effettuato un monitoraggio sui 13 Ministeri italiani. Poter attribuire una categoria a quel "chiunque" che ha diritto ad inviare le richieste di accesso — siano essi giornalisti, comuni cittadini, avvocati - può infatti dare l’idea dello scenario italiano sull’utilizzo del diritto all’accesso. In questo talk, quindi, presenteremo anche i risultati del nostro monitoraggio, sottolineando tutte le problematiche che sorgono quando il diritto di accesso si scontra con la protezione della privacy.

Opzioni Legislative per una Rete che non metta in Disagio la Democrazia

Carlo Von Lynx (Partito Pirata Italiano)

End-to-end encryption by default su tutti i dispositivi. Per legge. Questa l'unica soluzione per garantire il rispetto dell'articolo 15 della Costituzione nell'era della tecno-sorveglianza. Presentazione di una proposta di legge scritta in modo collaborativo da un gruppo di attivisti politici, e che propone, tra le altre cose, anche il divieto di tracciamento dei dispositivi e l'obbligatorietà, per i produttori, di rendere pubblico e anonimamente visionabile sotto licenza General Public Affero il codice sorgente del software utilizzato per implementare le funzionalità di comunicazione.

Le Linee guida WP 251 sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679: quali tutele pratiche?

Alessandro Del Ninno (Studio legale Tonucci & Partners)

Il regolamento generale sulla protezione dei dati tratta in maniera specifica la profilazione e il processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione.

La profilazione e il processo decisionale automatizzato sono utilizzati in un numero crescente di settori, tanto privati quanto pubblici. Banche e finanza, assistenza sanitaria, fiscalità, assicurazioni, marketing e pubblicità sono soltanto alcuni esempi dei settori nei quali la profilazione viene effettuata con maggiore regolarità a sostegno del processo decisionale.

I progressi tecnologici e le capacità in materia di analisi dei megadati (big data), intelligenza artificiale e apprendimento automatico hanno reso più facile la creazione di profili e l’adozione di decisioni automatizzate, con potenziali ripercussioni significative sui diritti e sulle libertà delle persone fisiche.

La diffusa disponibilità di dati personali su Internet e di quelli ricavabili dai dispositivi di Internet delle cose, associata alla capacità di trovare correlazioni e creare collegamenti, può consentire la determinazione, l’analisi e la previsione di aspetti della personalità, del comportamento, degli interessi e delle abitudini di una persona.

La profilazione e il processo decisionale automatizzato possono essere utili per le persone fisiche e le organizzazioni, offrendo loro vantaggi quali:

• miglioramenti dell’efficienza; • risparmi di risorse.

Presentano inoltre numerose applicazioni commerciali: ad esempio, possono essere utilizzati per segmentare meglio i mercati e personalizzare i servizi e i prodotti allineandoli alle singole esigenze. Anche la medicina, l’istruzione, l’assistenza sanitaria e i trasporti possono beneficiare di questi processi.

Tuttavia, la profilazione e il processo decisionale automatizzato possono comportare rischi significativi per i diritti e le libertà delle persone fisiche, che richiedono garanzie adeguate.

Questi processi possono essere poco trasparenti. Le persone fisiche potrebbero non sapere di essere profilate o non comprenderne le conseguenze.

La profilazione può perpetuare stereotipi e la segregazione sociale. Può anche confinare una persona in una categoria specifica e limitarla alle preferenze suggerite per tale categoria. Ciò può minare la libertà delle persone di scegliere, ad esempio, determinati prodotti o servizi quali libri, musica o newsfeed. In taluni casi, la profilazione può portare a previsioni imprecise, in altri al diniego di servizi e beni e a discriminazioni ingiustificate.

Le Linee Guida WP 251 specificano i principi del GDPR per far fronte ai rischi derivanti dalla profilazione e dal processo decisionale automatizzato. Il paper intende illustrare gli impatti pratici delle Line Guida ed analizzare se le tutele predisposte siano sufficienti nell'attuale società tecnocontrollata.

Tecnologia, business ed etica degli Oggetti Intelligenti

Marco Calamari (Progetto Winston Smith)

Gli "oggetti intelligenti" sono con noi da anni, e sono con noi per restare, anzi per "colonizzarci". Non si tratta di una descrizione negativa; ogni oggetto intelligente che compriamo ed utilizziamo ci rende, potenzialmente più abili, più veloci e più intelligenti. Ma può renderci più pigri, più lenti, più stupidi. Gli oggetti "intelligenti" richiedono cura per un utilizzo sicuro, una cura maggiore per sceglierli, un'estrema cura per concepirli e progettarli. Ma purtroppo vengono comprati d'impulso, usati malaccortamente. Vengono anche progettati in fretta e senza una visione d'insieme, contando su un'utenza preda della fascinazione e che per usarli non impiegherà nemmeno la stessa attenzione che dedica alla scelta dei pelati al supermercato. Come districarci tra gli oggetti intelligenti e connessi di oggi? Come prepararci all'invasione dei loro successori, sempre più piccoli, economici e per questo invisibili? O sempre più preoccupanti, come le armi autonome (AWS), antenati della razza di Terminator? Nello sviluppo di oggetti "intelligenti", di oggetti connessi e di oggetti dell'Internet delle Cose è importante considerare non solo la tecnologia, ma anche i modelli di business ed etici. Inizieremo descrivendo quelli di essi che sono considerati "archetipi", verranno poi descritte le tecnologie, sempre più impercettibili, che ne sono alla base, i modelli di business che ne guidano lo sviluppo, ed infine le problematiche etiche connesse ad essi Alcune considerazioni sulla sicurezza e privacy degli oggetti "intelligenti" alla luce del GDPR chiuderanno la relazione

Sono finiti i biscotti – Device fingerprinting e tracciamento dell’utente senza l’utilizzo dei cookie ai tempi del GDPR

Edoardo Prandin (Bicocca Security Lab)

La relazione analizzerà i profili giuridici dell’utilizzo del device fingerprinting al fine di profilare e tracciare gli utenti, come tecnica alternativa all’utilizzo dei cookie, con riferimento all’attuale quadro normativo in materia di protezione dei dati personali, costituito dal nuovo regolamento generale in materia di protezione dei dati personali (Regolamento (EU) 679/206 cd. GDPR), dalla direttiva e-privacy (Direttiva 2002/58/CE) e dal progetto di regolamento che andrà a sostituirla, con considerazione delle pronunce del gruppo di lavoro articolo 29.

Il nuovo regolamento in materia di protezione dei dati personali, e i testi normativi ad esso antecedenti, fanno espressa menzione, in riferimento al tracciamento dell’utente, dell’uso dello strumento dei cookie. Questa tecnica di tracciamento permette, con il salvataggio di semplici stringhe di testo sul dispositivo dell’utente, di “riconoscerlo” durante le diverse sessioni di navigazione. Ciò avviene per diverse finalità, quella più diffusa ad oggi è sicuramente il marketing. L’invio di messaggi pubblicitari mirati sulla base delle preferenze dell’utente garantisce un’accuratezza ed efficacia maggiori rispetto alle pubblicità rivolte ad un pubblico indeterminato. Per come oggi è strutturato il world wide web e gli strumenti che ad esso si appoggiano, esistono in realtà metodi alternativi per tracciare l’utente, che non prevedono l’utilizzo dei cookies. Collegandosi alla rete ogni dispositivo, nel momento in cui comunica con un server, invia informazioni sulle sue caratteristiche, queste informazioni spaziano dalla risoluzione in pixel dello schermo, alle dimensioni della finestra aperta dall’utente, alle caratteristiche ambientali (eventuali parti hardware come fotocamera, lettore di impronta digitale, flash), come anche versioni di software e plugin installati. Tutte queste informazioni se raccolte ed elaborate possono permettere di tracciare una sorta di “impronta digitale del dispositivo”, attraverso questa è possibile identificare in tutto o in parte i singoli utenti, anche quando questi non acconsentono all’utilizzo di cookies di profilazione. Mediante queste tecniche, definite di device fingerprinting, è possibile monitorare l’utente attraverso la raccolta di dati puramente tecnici e di proprietà del dispositivo, passivamente o attivamente e soprattutto a sua insaputa. Maggiore è il numero di informazioni che si hanno a disposizione, maggiori sono le probabilità di effettuare il single out dell’utente che sta visitando il sito o fruendo del un servizio, l’identificazione può avvenire anche fra piattaforme o dispositivi diversi. Ciò implica una serie di conseguenze sul piano giuridico della riservatezza dei dati poiché è molto difficile opporsi o sottrarsi a queste tecniche di profilazione e monitoraggio, dato che spesso si celano dietro a richieste con finalità di tipo tecnico.

Il nuovo regolamento non menziona espressamente le tecniche di fingerprinting, questo perché, sulla base di una scelta ponderata grazie all’esperienza pregressa, il legislatore europeo ha preferito rimanere “tecnologicamente neutrale”, dettando norme generiche, al fine di evitare che eventuali nuove tecnologie non rimanessero escluse dalla disciplina. Considerata l’ampia definizione di dati personali data dal GDPR e le pronunce in materia di fingerprinting del gruppo di lavoro articolo 29, che afferma che questa tecnica può costituire trattamento di dati personali, è pacifico affermare che l’utilizzo del fingerprinting debba rispettare ed essere conforme alla normativa in materia di protezione dei dati personali. È necessario inoltre, come espressamente affermato dallo stesso gruppo di lavoro, la necessità di informare l’utente e acquisirne il consenso.

Osservando però come sono state sino ad oggi utilizzate tecniche di fingerprinting, è molto difficile immaginare che vi sia un cambiamento che porti dall'oscurità intenzionale alla piena trasparenza e alla comunicazione diretta con gli utenti, in ottemperanza ai principi del GDPR. Sicuramente un adeguamento dei trattamenti, come già avvenuto nel caso dei cookie, è quantomeno necessario ma appare evidente che l’uso del fingerprinting presenta rischi maggiori, in virtù della sua natura e della pratica diffusa di occultare l’utilizzo di queste tecniche di tracciamento. Se oggi il tema dei cookie è un argomento per il quale vi è una diffusa consapevolezza da entrambe le parti (interessati e titolari) ed è stato oggetto di un’intensa campagna di sensibilizzazione, lo stesso non accade per il device fingerprinting, forse proprio in conseguenza dell’evoluzione normativa. Con l’entrata in vigore del GDPR sarà sicuramente più difficile e costoso effettuare trattamenti sfuggendo ai controlli o operando appena al di sotto della normativa con giustificazioni ambigue. Questo sul piano teorico, dal punto di vista pratico, come la stessa direttiva e-privacy non ha determinato la scomparsa dell’uso dei cookie, non ci si può aspettare che il fingerprinting scompaia a causa del nuovo regolamento o che sia sempre ed in ogni caso conforme alla normativa. Seppure sia evidente che questo tipo di tecnica rientri nei casi regolamentati dal regolamento europeo, ciò non appare sufficiente al fine di tutelare i diritti degli interessati, sarebbe necessaria un’opera più invasiva da parte delle autorità di controllo nazionali e del EDPB, con ad esempio l’inclusione dei trattamenti basati su tecniche di fingerprinting nel novero dei trattamenti soggetti obbligatoriamente a valutazione d’impatto sul trattamento dei dati personali.

La psicanalisi di un chatbot

Edoardo Ferri (Studio Tecnico Ferri & Costantino)

Il terapista di fiducia sarà un chatbot, un robot software che verrà a conoscenza delle nostre abitudini più intime, dei farmaci di cui avremo bisogno. Saremo pronti a raccontargli i dettagli dei nostri incubi notturni. Tutto verrà processato da efficientissimi algoritmi che formuleranno la migliore terapia. Una rapida panoramica sui principali servizi sanitari gestiti per mezzo di chatbot osservando, con il dovuto senso critico, i limiti tecnici nella gestione dei dati sensibili che verranno trasformati in sensibilissime informazioni personali.

Più di un anno di proteste possono anche far scappare Google

Claudio Agosti

Circa 2 anni fa, Google annunciò il suo interesse ad installare un Campus a Berlino, nel quartiere di Kreuzberg. Poichè il gradimento del brand di G. è uno dei più alti al mondo, la notizia poteva sembrare posivita ad eccezione del gruppo di attivisti locali che vedeva, in Alphabet, una serie di problemi sociali e politici normalmente ignorati dalla stampa generalista che tristemente, si trova ad elemosinare da Google visibilità e advertising. Fast forward: a causa delle costanti proteste, il 24 Ottobre viene annunciato l'abbandono del progetto, ma la resistenza non smette, il problema si delinea sempre di più, e dopo la prima vittoria da Berlino si pianificano le prossime azioni.

Algoritmi giudiziari e bias cognitivi

Carlo Blengino e Monica Senor

Gli algoritmi si stanno sempre più diffondendo nell’ambiente giudiziario, sia come strumenti di supporto alle professioni legali che come sistemi esperti artificiali in grado di sostituirsi o quanto meno affiancarsi al giudice nella decisione dei casi, anche in settori particolarmente delicati come il diritto penale: negli USA, ad esempio, gli algoritmi predittivi del rischio di recidiva vengono utilizzati per la determinazione della cauzione, per la definizione dei procedimenti con la "probation" e per la concessione della "parole". Il tema vede spesso contrapposti i tecno-entusiasti, che magnificano l’efficacia degli algoritmi predittivi e la superiore efficienza delle macchine ed i tecno-scettici, che vedono nell’algoritmo un pericolo, la misteriosa ruminazione di dati che restituisce vaticini inconfutabili che espropriano il confortante giudizio razionale dell’uomo. Forse ancora una volta il problema è mal posto e non c’è un vincitore, quanto a fallacia, tra la macchina e l’uomo.

La sicurezza delle informazioni nella società postindustriale

Corrado Giustozzi

Si dice che l’informazione è il petrolio del terzo millennio, e non è solo un luogo comune: la società nella quale viviamo infatti è davvero la “società dell’informazione”, nel senso che trova valore in attività che riguardano l’elaborazione delle informazioni, come in passato il valore era nella trasformazione delle materie prime. Il riflesso nella nostra vita di tutti i giorni è che anche le nostre informazioni, quelle che ci riguardano, hanno un grande valore, e spesso a nostra insaputa: esse vanno quindi tutelate contro chi cerca di abusarne o sfruttarle a nostro danno. E se nell’era digitale la privacy è morta, occorre essere ancora più consapevoli e attenti per non rischiare di cadere vittima di situazioni spiacevoli o addirittura pericolose.

Cryptovalute e Blòckchain alla luce della privacy

Modera: Rebecca Berto
Partecipano: Diego Giorio (SEPEL Editrice / Comune di Villanova Canavese), Giovambattista Vieri (ENT SRL ), Marco Calamari (Progetto Winston Smith), Carlo Von Lynx (Partito Pirata Italiano), Corrado Giustozzi

Organizzato da

In collaborazione con

Patrocinato da

Supporter

Media Partner