Le ricadute della violazioni della privacy non sono solo individuali, ma coinvolgono i cittadini in quanto parte del tessuto sociale.
di Martin Tisne
Ogni persona impegnata con il mondo in rete crea costantemente fiumi di dati. Lo facciamo in modi di cui siamo consapevoli e in modi in cui non lo siamo. Le aziende sono ansiose di approfittarne. Prendiamo, per esempio, NumberEight, una startup, che, secondo “Wired”, “aiuta le app a dedurre le attività degli utenti in base ai dati provenienti dai sensori di uno smartphone: che stiano correndo o seduti, vicino a un parco o un museo, alla guida o in treno”.
I nuovi servizi basati su tale tecnologia “combineranno ciò che sanno sull’attività di un utente sulle proprie app con le informazioni su ciò che sta facendo fisicamente in quel momento. Con queste informazioni”, continua l’articolo, “invece di creare un profilo, per esempio, per le donne sopra i 35 anni, un servizio potrebbe fare riferimento ai ‘mattinieri'”.
Il fenomeno è diffuso. Come afferma un recente articolo della “Harvard Business Review”, “la maggior parte dei CEO riconosce che l’intelligenza artificiale ha il potenziale per cambiare completamente il modo in cui lavorano le organizzazioni. Possono immaginare un futuro in cui, per esempio, i rivenditori consegnano prodotti personalizzati prima ancora che i clienti li richiedano, forse lo stesso giorno in cui vengono realizzati quei prodotti”. Poiché le aziende utilizzano l’intelligenza artificiale in domini sempre più distinti, l’articolo prevede che “le loro capacità di intelligenza artificiale miglioreranno rapidamente e scopriranno che il futuro immaginato è in realtà più vicino di quanto possa sembrare ora”.
Anche oggi, figuriamoci in un futuro del genere, la tecnologia può cancellare completamente la privacy. Elaborare leggi e politiche per impedire che ciò avvenga è un compito vitale per i governi. Poiché l’amministrazione Biden e il Congresso vogliono intervenire sulla privacy, devono evitare di cadere in un errore comune. Le leggi che tutelano la privacy dei dati delle persone non riguardano solo la protezione delle persone. Riguardano anche la protezione dei nostri diritti come parte della società nel suo insieme.
Il danno a qualsiasi individuo in un gruppo che risulta da una violazione dei diritti alla privacy potrebbe essere relativamente piccolo o difficile da definire, ma il danno per il gruppo nel suo insieme può essere profondo. Supponiamo che Amazon utilizzi i suoi dati sul comportamento dei consumatori per capire quali prodotti tagliare, per esempio scarpe o borse fotografiche.
Sebbene il danno immediato sia per questi produttori, quello a lungo termine – e in definitiva il più duraturo – è per i consumatori, ai quali viene tolta la possibilità di usufruire di un mercato aperto ed equo. E mentre il calzolaio o il produttore di borse per fotocamere possono intraprendere un’azione legale, è molto più difficile per i consumatori dimostrare il danno subito.
Il concetto non è semplice da capire. Le azioni legali collettive, in cui molti individui si uniscono anche se ognuno potrebbe aver subito solo un piccolo danno, sono una buona analogia concettuale. Le grandi aziende tecnologiche comprendono i vantaggi commerciali che possono derivare dall’analisi dei dati dei gruppi proteggendo superficialmente i dati degli individui attraverso tecniche matematiche come la privacy differenziale. Ma gli enti regolatori continuano a concentrarsi sulla protezione degli individui o, nella migliore delle ipotesi, delle classi protette come persone di particolari generi, età, etnie o orientamenti sessuali.
Se un algoritmo discrimina le persone suddividendole in gruppi che non rientrano in queste classi protette, le leggi antidiscriminatorie non si applicano negli Stati Uniti. (Tecniche di profilazione come quelle usate da Facebook per aiutare i modelli di apprendimento automatico a ordinare gli utenti sono probabilmente illegali secondo le leggi sulla protezione dei dati dell’Unione Europea, ma questo non è ancora stato oggetto di discussione). Molte persone non sapranno nemmeno di essere state profilate o discriminate, il che rende difficile intentare un’azione legale.
Le singole persone non dovrebbero dover lottare per i propri diritti alla privacy dei dati ed essere responsabili di ogni conseguenza delle proprie azioni digitali. Per esempio, le persone hanno diritto all’acqua potabile sicura, ma non devono esercitare tale diritto controllando la qualità dell’acqua con una pipetta ogni volta che bevono al rubinetto. Ci sono infatti le agenzie di regolamentazione che agiscono per conto di tutti per garantire che l’acqua sia sicura. Lo stesso dovrebbe essere fatto per la privacy digitale: non è qualcosa che l’utente medio deve proteggere in prima persona.
Ci sono due approcci paralleli che dovrebbero essere perseguiti per proteggere il pubblico. Uno è un miglior utilizzo delle azioni di classe o di gruppo, altrimenti note come azioni di ricorso collettivo. Storicamente, queste sono state limitate in Europa, ma nel novembre del 2020 il Parlamento europeo ha approvato una misura che richiede a tutti i 27 Stati membri dell’UE di attuare misure che consentano azioni di ricorso collettivo in tutta la regione.
Rispetto agli Stati Uniti, la UE ha leggi più severe che proteggono i dati dei consumatori e promuovono la concorrenza, quindi le azioni legali di classe o di gruppo in Europa possono essere un potente strumento per avvocati e attivisti per costringere le grandi aziende tecnologiche a cambiare il loro comportamento anche nei casi in cui i danni alle persone sono molto limitati.
Le azioni legali collettive sono state spesso intraprese negli Stati Uniti per chiedere danni finanziari, ma possono anche essere utilizzate per forzare cambiamenti nella politica e nella pratica. Possono muoversi di pari passo con campagne per cambiare l’opinione pubblica, specialmente quando riguardano i consumatori (per esempio, costringendo Big Tobacco ad ammettere il legame tra fumo e cancro, o aprendo la strada alle leggi sulle cinture di sicurezza delle auto). Sono strumenti potenti quando ci sono migliaia, se non milioni, di danni individuali simili, che nel loro insieme confermano il rapporto di causalità.
Parte del problema è ottenere le informazioni giuste per citare in giudizio. Le iniziative del governo, come una causa intentata contro Facebook a dicembre dalla Federal Trade Commission (FTC) e da un gruppo di 46 stati, sono fondamentali. Come afferma l’esperto di tecnologie, il giornalista Gilad Edelman: “L’erosione della privacy degli utenti nel tempo è una forma di danno per i consumatori e fa diventare Facebook un social network ai confini dell’illegalità”.
Negli Stati Uniti, come riportato di recente dal “New York Times”, le azioni legali private, comprese le azioni collettive, spesso “si basano su prove portate alla luce dalle indagini del governo”. Nella UE, invece, è il contrario: le cause private possono aprire la possibilità di un’azione normativa, che è limitata dal divario tra le leggi della UE e le autorità di regolamentazione nazionali.
Queste considerazioni introducono il secondo approccio: una legge francese del 2016 poco conosciuta chiamata Digital Republic Bill, incentrata sul processo decisionale automatizzato. La legge attualmente si applica solo alle decisioni amministrative prese dai sistemi algoritmici del settore pubblico, ma fornisce un’indicazione di come potrebbero essere le leggi future. Dice che il codice sorgente alla base di tali sistemi deve essere reso disponibile al pubblico. Chiunque può richiedere quel codice.
È importante sottolineare che la legge consente alle organizzazioni di difesa dei diritti di richiedere informazioni sul funzionamento di un algoritmo e sul codice sorgente dietro di esso anche se non rappresentano un individuo o un richiedente specifico che è stato presumibilmente danneggiato. La necessità di trovare una parte lesa che possa dimostrare un danno per intentare una causa rende molto difficile affrontare i problemi sistemici legati ai dati collettivi.
Laure Lucchesi, direttrice di Etalab, un ufficio governativo francese incaricato di supervisionare il disegno di legge, afferma che l’attenzione della legge sulla responsabilità algoritmica era in anticipo sui tempi. Altre leggi, come il Regolamento generale europeo sulla protezione dei dati (GDPR), si concentrano troppo sul consenso individuale e sulla privacy. Ma sia i dati sia gli algoritmi devono essere regolamentati.
Apple ricorda in un annuncio: “In questo momento, ci sono più informazioni private sul tuo telefono che a casa tua. Le tue posizioni, i tuoi messaggi, la tua frequenza cardiaca dopo una corsa. Queste sono cose private. E dovrebbero appartenerti”. Apple si dimentica di dire che il tuo telefono memorizza più dei tuoi dati personali, e che quelli davvero preziosi provengono dalle interazioni con i fornitori di servizi e altri. L’idea che il tuo telefono sia l’equivalente digitale del tuo schedario è una comoda illusione. Le aziende in realtà si preoccupano poco dei tuoi dati personali; per questo possono fingere di lasciarli in una “scatola”. Il valore sta nelle inferenze tratte dalle tue interazioni, che sono anche memorizzate sul tuo telefono, ma questi dati non ti appartengono.
L’acquisizione di Fitbit da parte di Google è un altro esempio. Google promette di “non utilizzare i dati Fitbit per la pubblicità”, ma le previsioni redditizie di cui ha bisogno Google non dipendono dai dati individuali. Come sostiene un gruppo di economisti europei in un recente documento pubblicato dal Centre for Economic Policy Research, un think tank di Londra, “è sufficiente che Google correli i risultati sanitari aggregati con i risultati non sanitari anche per un sottoinsieme di utenti Fitbit che non hanno accettato di far usare i loro dati, per poi prevedere i risultati sulla salute (e quindi le possibilità di targeting degli annunci) per tutti gli utenti non Fitbit (miliardi di essi).”
L’accordo Google-Fitbit è essenzialmente un accordo sui dati di gruppo. Posiziona Google in un mercato chiave per i dati sulla salute, consentendogli di triangolare diversi set di dati e guadagnare sfruttando il sistema di inferenze di cui dispongono i mercati sanitari e assicurativi.
Cosa devono fare i politici
I progetti di legge hanno cercato di colmare questa lacuna negli Stati Uniti. Nel 2019 i senatori Cory Booker e Ron Wyden hanno introdotto l’Algorithmic Accountability Act, che successivamente è stata bloccata al Congresso. La legge avrebbe richiesto alle aziende di intraprendere valutazioni d’impatto algoritmiche in determinate situazioni per verificare la presenza di pregiudizi o discriminazioni. Ma negli Stati Uniti è più probabile che questo problema cruciale venga affrontato prima nelle leggi che si applicano a settori specifici come l’assistenza sanitaria, dove il pericolo di pregiudizi algoritmici è stato amplificato dagli impatti disparati della pandemia sui diversi gruppi della popolazione statunitense.
Alla fine di gennaio, la Public Health Emergency Private Act è stata reintrodotta al Senato e alla Camera dei rappresentanti dai senatori Mark Warner e Richard Blumenthal. L’idea di fondo è che i dati raccolti per scopi di salute pubblica non vengano utilizzati per nessun altro scopo. Vieta inoltre l’uso dei dati sanitari per finalità discriminatorie, compresi la pubblicità commerciale, il commercio elettronico o i tentativi di controllare l’accesso al lavoro, alla finanza, all’assicurazione, all’alloggio o all’istruzione. Si tratterebbe di un ottimo inizio.
Andando oltre, una legge che si applica a tutti i processi decisionali algoritmici dovrebbe, ispirandosi all’esempio francese, concentrarsi su una forte responsabilità, una supervisione normativa del processo decisionale basato sui dati e la capacità di controllare e ispezionare le decisioni algoritmiche e il loro impatto sulla società.
Sono necessari tre elementi per garantire una rigorosa responsabilità: una chiara trasparenza su dove e quando vengono prese le decisioni automatizzate e in che modo influiscono su persone e gruppi, il diritto del pubblico di offrire un contributo significativo e invitare coloro che hanno l’autorità a giustificare le proprie decisioni e la capacità di applicare sanzioni. Fondamentalmente, i responsabili politici dovranno decidere, come è stato recentemente suggerito dalla UE, cosa costituisce un algoritmo “ad alto rischio” che dovrebbe soddisfare uno standard di controllo più elevato.
1. Chiara trasparenza
L’accento dovrebbe essere posto sul controllo pubblico del processo decisionale automatizzato e sui tipi di trasparenza che portano alla responsabilità. Ciò include rivelare l’esistenza di algoritmi, il loro scopo e i dati di addestramento dietro di essi, nonché i loro impatti, se hanno portato a risultati eterogenei e, in caso affermativo, in particolare su quali gruppi.
2. Partecipazione pubblica
Il pubblico ha il diritto fondamentale di chiedere a chi è al potere di giustificare le proprie decisioni. Questo “diritto di chiedere risposte” non dovrebbe essere limitato alla partecipazione consultiva, in cui alle persone viene chiesto il loro contributo, ma dovrebbe includere una partecipazione obbligatoria prima dell’implementazione di algoritmi ad alto rischio sia nel settore pubblico sia in quello privato.
3. Sanzioni
Infine, il potere di sanzionare è la chiave per il successo di queste riforme e per stabilire la responsabilità. Dovrebbe essere obbligatorio definire requisiti di audit per il targeting, la verifica e la cura dei dati, fornire ai revisori questa conoscenza di base e autorizzare gli organi di supervisione a imporre sanzioni, non solo per rimediare al danno dopo il fatto, ma per prevenirlo.
La questione dei danni collettivi causati dai dati riguarda tutti. Una legge sulla privacy per l’emergenza sanitaria pubblica è un primo passo. Il Congresso dovrebbe quindi sviluppare leggi che si concentrino specificamente sui diritti collettivi sui dati. Solo attraverso tale azione gli Stati Uniti possono evitare situazioni in cui le aziende impediranno in futuro un accesso egualitario a casa, lavoro, credito e altre opportunità.
(rp)
Foto: Franziska Barczyk
