Nel 2018 il numero degli utenti connessi ad Internet nel mondo ha sorpassato i 4 miliardi. Si tratta di un dato storico, che di fatto evidenzia come oggi più della metà della popolazione mondiale abbia varcato le porte del web. Inutile elencare gli innumerevoli vantaggi derivanti dallo sviluppo tecnologico e digitale degli ultimi anni. Che internet costituisca oramai uno strumento indispensabile della vita quotidiana è un concetto assodato, quasi superfluo. Eppure, accanto agli svariati plus offerti dall’universo online, nel tempo l’attenzione degli esperti si è gradualmente spostata sui pericoli che la diffusione e l’abuso dei dati sono in grado di generare. Una preoccupazione più che giustificata se si pensa che ben 3 dei 4 miliardi di utenti connessi sul pianeta sonoregistrati ad almeno un social network. In un quadro simile, conoscere le possibili aree di rischio a cui la trasformazione digitale potrebbe aprire, specialmente in tema di riservatezza e protezione degli utenti, è divenuto quindi essenziale. Ne parla Luca Bolognini, avvocato e Presidente dell’Istituto Italiano per la Privacy, tra i massimi esperti europei in diritto della privacy edutilizzo dei dati personali.
Nel suo ultimo libro dal titolo ‘Follia artificiale’ (ed. Rubbettino) esamina i grandi temi giuridici ed etici posti dall’intelligenza artificiale e dal tracciamento continuo dei dati nell’universo digitale. Quali sono a suo avviso i principali pericoli che corriamo di fronte allo sviluppo inarrestabile delle tecnologie e alla digitalizzazione della vita quotidiana?
Siamo immersi nel tutto digitale, che cattura e analizzacostantemente le nostre tracce e meta-tracce comportamentali in ogni situazione,e non solo quando navighiamo sul web o usiamo lo smartphone: l’Internet delle Cose (Internet of Things, IoT), infatti, con i suoi sensori e oggetti interconnessi avrà sempre di più il potere di tradurci – volenti o nolenti, scienti o incoscienti –inelementi virtuali, in bit, in rappresentazioni immateriali di noi stessi, cioè in dati, anche a partire dal nostro essere-nel-mondo fisico e materiale. Viceversa, si possono realizzare milioni di elaborazioni immateriali dei nostri dati e di tante altre informazioni su di noi che non sappiamo neppure che esistano,raccolte online come offline, su server lontani magari migliaia di chilometri da noi, e queste elaborazioni possono far succedere cose fisicamente nelle nostre vite, case, quotidianità: porte che si aprono o restano chiuse, effetti solidi, impatti tangibili e concreti, in grado di influenzare la nostra sfera personale sulla base didecisioni prese da algoritmi invisibili. Un ciclo continuo, nel quale gli oggetti “se la faranno e se la diranno da soli”, a volte sulla nostra pelle. Fantascienza? No, anzi, un po’ passato, moltopresente e moltissimo futuro prossimo. Nel mio libro, però, parlo di “follia artificiale” non solo riferendomi ai rischi dell’artificiale che sbanda: serpeggiano forme umanissime, a volte blande, a volte gravi, di vera e propria psicopatologia della vita quotidiana digitale. Anche qui, non ha senso demonizzare: trovo inevitabile e scontato, per esempio, che le persone, nemmeno solo le più giovani, ormai si conoscano e innamorino prima online che di persona. Ma è vero che il “carnevale digitale”, in cui chiunque può indossare maschere a piacimento, enfatizza e abilita anche lati estremamente negativi degli esseri umani: tra questi, il senso di potere criticare tutto, sapere tutto, amare tutto, odiare tutto, facilmentee senza capire veramente a fondo le questioni di cui si parla. Il cyberbullismo, l’hate-speech, le autodiagnosi, le credenze in leggendarie fake news sono solo tasselli di queste derivemascherate o auto-ingannanti. Nessuno può dirsi immune, dovremmo allenarci e non abbassare la guardia, per difenderci dalla tentazione della tuttologia digitale fuorviante, a portata di click.
Riprendendo il pensiero del celebre scienziato Stephen Hawking, l’intelligenza artificiale potrebbe essere la cosa peggiore mai successa all’umanità. È d’accordo? Se sì, quali potrebbero essere le contromisure da adottare?
L’Intelligenza Artificiale potrebbe davvero essere “l’ultima invenzione dell’essere umano”, per citare, tra gli altri, James Barrat: in effetti, al di là della nostra sorte, potrebbe arrivare il momento in cui, quanto meno, le persone delegheranno la creatività e la capacità di inventare agli algoritmi. Uno scenario di autoriduzione allo stato vegetativo, del tutto non desiderabile. Le macchine, in passato, hanno sostituito le azioni umane e questo, come noto, ha avuto conseguenze per il loro potenziale impatto sui posti di lavoro. Oggi robot e algoritmi possono iniziare a sostituire i pensieri e le volontà degli esseri umani. C’è una bella differenza. Occuparsi di scenari distopici non vuol dire essere contro lo sviluppo tecnologico, l’Intelligenza Artificiale e le altre magnifiche sorti “e-progressive”, ma avere la consapevolezza e la determinazione, finché si è in tempo, di ancorare questa evoluzione ad un’etica umanistica. Vale per la scienza, per l’industria, per la politica e per ogni istituzione. La politica dovrebbe abbandonare i conformismi e prendere il toro per le corna: avere il coraggio, forse spudorato, di inserire nelle Costituzioni nuovi principi e norme fondamentali. Lo “Stato di diritto umano”, ad esempio, cioè la regola per cui mai dovrebbe essere lasciata la possibilità di fare leggi alle macchine e agli algoritmi. Bisogna assolutamente evitare l’avvento di deputati-bot, e l’ultima parola nell’amministrazione di società o sistemi informatici dovrebbe sempre e solo appartenere a esseri umani. L’umano, con le sue imperfezioni incalcolabili e con i suoi sentimenti misteriosi, custodisce il segreto della pace, sconosciuta all’iper-razionalità perfetta degli algoritmi, per i quali tutto è calcolabile.
Potremmo affermare che il 2018 è stato proprio l’anno della privacy, con l’entrata in vigore del nuovo regolamento europeo (GDPR). Come valuta questo primo periodo di adeguamento del nostro sistema economico alle nuove norme? Quali sono le principali difficoltà che le imprese stanno affrontando nel recepire le novità?
Il Regolamento privacy europeo rappresenta certamente una best practice mondiale, che tenta di porre al primo posto l’individuo, l’essere umano appunto, e di arginare gli sbilanciamenti di potere informativo tra utenti, cittadini, consumatori, persone fisiche, da un lato, e chi i dati li raccoglie, elabora e valorizza, tipicamenteaziende ed enti, dall’altro. La privacy si è trasformata, da mero diritto della riservatezza che era, ed ha generato una grande famiglia di diritti di nuova generazione, più in generale tutelanti il “sé” delle persone anche quando pubblico, conoscibile e non privato. Era una disciplina di nicchia, mentre oggi non c’è ambito contrattuale, di servizio, di scambio, di relazione che non implichi anche importanti problematiche in materia di protezione dei dati. I nostri studi legali specialisti della materia hanno lavorato moltissimo, nel 2018 e nei due anni precedenti, con gli uffici legali, organizzativi e informatici delle grandi imprese e degli enti per aiutarli ad adeguarsi: vedo significativi ritardi tra le piccole e medie imprese, invece, che probabilmente hanno meno budget da destinare in adempimenti di questo tipo. Il GDPR è stato “escogitato” in modo tale da imporre l’adozione di veri e propri modelli di organizzazione, gestione e controllo per assicurare conformità, in un’ottica basata sul rischio, e la difficoltà più grande è di solito avviare il gioco di squadra multidisciplinare – nella fase di costruzione e in quella di attuazione del Modello – perché necessita di apertura culturale e al dialogo tra le varie funzioni. Un’altra sfida è la “tenuta in vita” del modello stesso: non basta dire “ho fatto il progetto di adeguamento, bene, la partita è finita”. Tutt’altro, un modello GDPR abbandonato per strada e non fatto camminare, vivere, verificare ogni giorno è un modello perduto: quello sì rappresenterebbe uno spreco di soldi, per un’impresa.
Il possesso e il trattamento dei dati personali sembrano essersi trasformati in occasioni di business per i soggetti economici. Vede dei rischi in questa evoluzione del ruolo dei dati personali?
Rischi ce ne sono sempre, e d’altronde senza rischi non avremmo innovazione. A questo proposito, forse va detto che il GDPR si rivela un po’ troppo “bigotto” nei suoi principi generali (es. di minimizzazione dei dati, di data protection by default, di limitazione delle finalità e della conservazione) e nel suo imporre informativi e consensi preventivi, perché difficilmente si possono rendere conciliabili con attività che muovono il mondo e l’economia oggi, come il Big Data. Avrebbe più senso spostare le tutele a valle, per esempio mostrando informative-etichette – proprio come le etichette degli ingredienti e delle calorie sugli alimenti – quando vengono visualizzati i contenuti (non solo pubblicitari) o gli effetti derivanti da profilazione. Perché sto ricevendo questo contenuto? Clicco e scopro con quali dati hanno fatto l’analisi per propormi proprio quella cosa specifica, e magari esprimo le mie preferenze di ingredienti “a caldo”. Anche perché l’astrazione giustissima di certe normative che impongono adempimenti ex ante si scontra con la realtà dei fatti: quanti di noi leggono le informative privacy e le trovano utili?
Cosa possono fare i consumatori per difendersi da un uso indiscriminato dei propri dati personali?
Io credo che in Europa potremmo spostare l’orizzonte delle tutele più in là, con un regolamento sulla privacy dei consumatori digitali. Che sposi l’approccio di cui parlavo prima, focalizzato sugli impatti e con informative come etichette delle merendine. E poi credo che i consumatori-utenti dovrebbero guadagnarci la loro parte, nel grande business dei dati e dei metadati che li riguardano. Dovremmo fondare un nuovo diritto, il diritto di monetizzare i propri dati, e consentire agli utenti di dare in licenza le proprie informazioni a chi vogliono, in cambio di remunerazioni. Una sorta di “diritto d’autore sul sé digitale”. Questo però imporrebbe un cambio di paradigma nella relazione imprese-consumatori online, e richiederebbe anche l’avvento di intermediari in grado difare da tramite nella valorizzazione economica delle transazioni di dati: nuove app che possano abilitare l’utente nello stabilire dinamicamente a chi intendono aprire/dare in licenza i propri dati, per farne cosa, per quanto tempo e per quanti soldi, così come ritirare la licenza e “chiudere i bocchettoni”. Servirebbe anche un cambio di mentalità in molti giuristi della privacy, per i quali sentire parlare di “monetizzazione dei dati” risulta scandaloso e inaccettabile, come si trattasse di vendita di organi o prostituzione. Non è così, ma ci vorrà tempo per farlo capire. I diritti si tutelano non con norme astratte e impeccabili, ma inapplicabili, bensì prendendo atto della ruvida realtà, individuando soluzioni con senso di proporzionalità e ragionevolezza.
Un altro capitolo di spesa ormai sempre più rilevante per le aziende è quello relativo all’adeguamento alle normative sulla sicurezza informatica (cyber security). C’è qualcosa che il legislatore può fare per aiutare le imprese, considerato soprattutto che in ballo c’è la sicurezza dei nostri dati?
A mio avviso, sì. L’elaborazione dei dati è sempre più critica per la missione di aziende ed enti, costituisce spesso il loro core business o comunque un’attività inscindibilmente connessa ai servizi e prodotti che vengono offerti, anche in settori tradizionali ormai super-digitalizzati in ottica 4.0. Per questo, il legislatore potrebbe estendere agevolazioni fiscali, detrazioni per investimenti, per ricerca e innovazione nel campo della sicurezza informatica e cyber.In queste settimane, molti operatori – ad esempio quelli bancari, energetici, sanitari, dei trasporti, delle comunicazioni elettroniche – sono impegnati non solo nell’adeguamento di sicurezza in ottica GDPR, ma anche nell’implementazione di misure derivanti dalla cosiddetta disciplina NIS (Network and Information Security), che mira a proteggere le infrastrutture dei servizi essenziali e digitali. Aiutare le aziende a detrarre queste spese vuol dire anche contribuire a uno sviluppo tecnologico sostenibile e attento alla salvaguardia delle libertà.
Negli ultimi tempi tutti parlano di blockchain come nuova frontiera economica. Qualisono le opportunità e i rischi?
Le blockchain sono database virtuali aperti e distribuiti, il cui contenuto è pubblico o privato a seconda dei casi, che consentono di registrare i passaggi, gli aggiornamenti, le evoluzioni dei documenti digitali in modo sicuro, verificabile e permanente. Non entro in tecnicismi, ma in sostanza grazie a una blockchain si possono, almeno tecnicamente e logicamente – se non ancora dal punto di vista del valore legale – rendere superflue le autorità centralizzate (certificatori, ufficiali pubblici, ecc.) che “notarizzano” e rendono certe le transazioni tra le parti in un contesto digitale. Vedo molte buone prospettive negli ambiti totalmente digitali, quando il contenuto della transazione possa essere incorporato nel contenuto stesso notarizzato da una blockchain aperta, e questo può fare la differenza in molti casi di sharing economy. Meno interessanti le blockchain chiuse e private, perché non mi paiono competitive con altri database distribuiti in termini di risorse e costi. Mentre per i contenuti e gli elementi che restano “fuori dalla catena”, cd. off-chain, la strada è ancora lunga, non mi convincono ora come ora le filiere fisiche di produzione tracciate con blockchain, sembrano più che altro slogan: ma non è detto che anche questa strada non porti da nessuna parte. Sono anzi convinto che un aiuto in tal senso potrà derivare dall’Internet of Things (IoT) e da un’innovativa applicazione delle tecniche di sfragistica. La sfragistica – parola strana lo so – è la scienza che studia i sigilli, elementi fisici che non impediscono ma segnalano una manomissione: una buona combinazione tra sigilli fisici IoT, beni fisici, blockchain potrebbe in futuro riservare delle sorprese.
