Comprendere l’importanza dei dati personali in un mondo interconnesso

Uno smartphone contiene da 14 a 20 sensori. Quando lo teniamo in mano o ci muoviamo, ognuno dei nostri movimenti viene trasformato in un insieme di dati. Anche se lo smartphone è appoggiato sul tavolo, alcuni dei sensori integrati restano attivi e producono dati. Persino l’assenza di movimento è un dato. L’utilizzo del digitale per monitorare le nostre azioni fisiche crea nuovi dati che non sono direttamente in correlazione con la stessa azione senza l’apporto della tecnologia. Ad esempio, i sistemi di pagamento senza contatto o tramite carta, oltre a fornire indicazioni sulla persona, sugli acquisti e sull’ora in cui sono stati effettuati, ci localizzano più precisamente di un GPS grazie all’indicazione del luogo fisico in cui si trova il terminale di pagamento. Se compro un biglietto del treno in forma fisica a un distributore della stazione e pago in contanti, non verrà creata alcuna informazione personale riguardo alla mia persona e potrò quindi viaggiare da A a B mostrando semplicemente un «pezzetto di carta stampata». È tutt’altra storia se acquisto lo stesso biglietto tramite l’app Mobile FFS. Innanzitutto, essa è connessa a Internet e scambia dati tramite questo canale. Non solo sarò indentificato durante l’acquisto del biglietto grazie al sistema di pagamento utilizzato, ma il biglietto stesso conterrà le mie informazioni personali. L’applicazione richiede l’accesso al sensore di attività fisica del mio smartphone, alle mie cartelle e alla geolocalizzazione. Mobile FFS integra inoltre dei tracciatori pubblicitari (che possono essere disattivati) e riceve informazioni da applicazioni di terzi installate sul mio smartphone, come ad esempio quelle provenienti da alcuni servizi di Google. Quando, durante il viaggio, presento il biglietto al controllore, verificando il mio titolo di trasporto questi accederà alla mia identità (acquistando un biglietto elettronico, ho l’obbligo di presentare un documento d’identità). Quindi ricapitolando: da un lato un pezzetto di carta stampata che non dice nulla della mia persona, dall’altro un sistema complesso che dice molto di me, che sa dove mi trovo e che si ricorda di me.

Questi dati di profilazione costituiscono informazioni di carattere sociodemografico, biometrico, di geoposizionamento, comportamentale e non solo.

Stéphane Koch

La Svizzera ha una propria legge sulla protezione dei dati, la legge federale sulla protezione dei dati (LPD), la cui recente revisione (nLPD) dovrebbe entrare in vigore il 1° settembre 2023. Tuttavia, per quanto riguarda i servizi online con sede al di fuori dei confini svizzeri, tra cui i siti per gli acquisti, i media sociali o gli oggetti connessi, nella maggior parte dei casi si applica il regolamento generale europeo sulla protezione dei dati (RGPD). In questo ambito, la Svizzera è stata integrata in una regione europea che definisce i Paesi che beneficiano della protezione offerta dal RGPD.

Ad esempio, a livello mondiale l’età legale (definita dai fornitori di servizi) per potersi iscrivere ai servizi proposti da META/Facebook, TikTok o Snapchat è di 13 anni. Il RGPD impone invece un’età minima di 16 anni, che corrisponde all’età a partire dalla quale una persona può acconsentire alla condivisione dei suoi dati personali. Tuttavia, a seconda delle condizioni di utilizzo del servizio in questione, può essere richiesto il consenso parentale fino alla maggiore età, 18 anni. Esiste comunque la possibilità per un bambino di 13 anni di iscriversi a una piattaforma sociale, se un parente o un rappresentante legale dà l’autorizzazione. Un’altra forma di eccezione riguarda l’applicazione svizzera di messaggistica sicura Threema: l’età legale descritta in precedenza è richiesta solo nel caso in cui al conto venga associato un dato personale come un numero di telefono e/o un indirizzo e-mail. Se viene utilizzata in forma anonima, non è richiesto alcun consenso parentale. Inoltre, Threema non raccoglie i dati personali dei propri utenti.

Il RGPD dà alle persone i diritti seguenti (la revisione della LPD, la nLPD, concederà diritti simili):

• diritto di essere informati (art. 14);
• diritto di accesso dell’interessato (art. 15);
• diritto di rettifica (art. 16);
• diritto alla cancellazione / diritto all’oblio (art. 17);
• diritto di limitazione di trattamento (art. 18);
• diritto alla portabilità dei dati (art. 20);
• diritto di opposizione (art. 21);
• diritti legati al processo decisionale automatizzato, compresa la profilazione (art. 22);
• diritto di revocare il consenso (art. 7 par. 3).

A questo titolo, la legge federale sulla protezione dei dati permette a tutti gli interessati di sapere quali dati che li riguardano sono registrati e permette, se necessario, di farli cancellare o rettificare.

Lo sentiamo dire spesso, ma non è vero. O meglio, non è così semplice… Questa massima non può ad esempio essere applicata all’app di messaggistica sicura Signal o ancora meno all’enciclopedia Wikipedia. In entrambi i casi, i servizi sono gratuiti, ma il loro modello «economico» non si basa sullo sfruttamento e sulla monetizzazione dei nostri dati personali bensì principalmente su un sistema aperto e donazioni nonché, nel caso di Wikipedia, sul contributo degli utenti all’arricchimento dell’enciclopedia. Lo stesso accade se paghiamo per un servizio online o per la periferica connessa che utilizziamo. Il fatto di pagare non offre alcuna garanzia che i nostri dati personali non vengano sfruttati. Anche se spendiamo centinaia di franchi per una smart TV o per uno smartwatch, nulla cambierà il fatto che i fabbricanti o i fornitori di servizi (p. es. le applicazioni presenti nelle smart TV come Netflix o Disney oppure lo smart box televisivo) sfrutteranno e monetizzeranno i nostri dati personali. Si tratta quindi di essere vigilanti e partire dal principio che se esiste una connessione Internet, diretta o indiretta, esiste anche il rischio che i nostri dati personali vengano sfruttati. Nel mondo digitale, tutte le forme di interazione con un oggetto generano dati. Parlando con SIRI o con l’Assistente Google creiamo immancabilmente anche un flusso di dati che saranno sfruttati da queste imprese. È quindi importante valutare preventivamente qual è l’atteggiamento dei servizi che utilizziamo nei confronti dei nostri dati. Non si deve esitare a porre domande al venditore, al fabbricante o al fornitore di servizi per quanto riguarda l’accesso e l’utilizzo dei vostri dati. Anche i motori di ricerca possono aiutare a trovare risposte alle nostre domande: 24 ore su 24, e senza brontolare.

Il «Quantified Self» o «sé quantificato» si definisce, secondo la CNIL, l’autorità di sorveglianza francese, come un insieme di nuove pratiche che consistono nell’analizzare la propria attività fisica o il proprio modo di vivere: peso, pressione del sangue, calorie consumate, numero di passi durante la giornata, ritmo cardiaco ecc. In questo tipo di misurazioni entrano in gioco differenti periferiche come braccialetti, podometri, orologi o applicazioni connesse ai sensori dello smartphone e bilance smart. Nella maggior parte dei casi questi dati, relativi alla salute, creati dagli oggetti connessi sono trasmessi al fabbricante che li monetizza producendoli. Spesso sono anche gli utenti stessi a condividerli sui media sociali. Per la CNIL, il «Quantified self» pone problemi a livello di sicurezza e di confidenzialità dei dati.

Per comprendere il valore intrinseco dei nostri dati basta osservare la cifra d’affari di META (che unisce Facebook, Instagram, Messenger, WhatsApp, Oculus/Meta Quest e NOVI). Nel 2021 l’impresa è riuscita a monetizzare i nostri dati per un totale di 118 miliardi di dollari e un risultato netto di 39 miliardi. Queste cifre sono interessanti non solo per comprendere il valore dei nostri dati personali. In primo luogo dimostrano che senza i nostri dati META non potrebbe esistere. E questo solleva una questione quasi filosofica: noi invece potremmo ancora «esistere» senza META? In secondo luogo, queste cifre permettono di realizzare che questi servizi non solo non sono «gratuiti» ma che, paradossalmente, costano molto cari anche all’impresa. Se sottraiamo il risultato netto dalla cifra d’affari, otteniamo circa 78 miliardi di dollari e ciò ci dà un’idea dei costi per il funzionamento della piattaforma, che dà lavoro a oltre 100 000 persone in tutto il mondo. Questo tipo di modello economico è utilizzato dalla maggior parte dei servizi non a pagamento.

META colleziona i nostri dati personali (tutti i campi che compiliamo, la lista dei nostri contatti nella rubrica del nostro smartphone se l’abbiamo inconsciamente o consapevolmente condivisa, come pure tutto ciò che i nostri amici condividono su di noi), le nostre interazioni sociali e quelle che abbiamo con i contenuti, ossia l’espressione dei nostri centri d’interesse. Vengono inoltre alimentati i cookie legati alle visite ai siti partner dei servizi proposti da META. Questi dati di profilazione costituiscono informazioni di carattere sociodemografico, biometrico, di geoposizionamento, comportamentale e non solo. META non vende direttamente i nostri dati bensì una forma di accesso a questi ultimi. I dati vengono integrati all’interno di uno strumento, una specie di banca dati che può essere consultata da chiunque e permette di identificare, tra questa massa di dati, dei segmenti o dei gruppi di persone che corrispondono a differenti criteri presenti all’interno dei dati raccolti. È quindi possibile pagare META per far apparire (sponsorizzare) una pubblicazione o una pubblicità basandosi sul genere, sull’età, sul luogo, sulla lingua e sui centri d’interesse. Il cliente ha inoltre la possibilità di definire la posizione in cui apparirà la pubblicazione o la pubblicità all’interno dei servizi proposti da META (Facebook, Instagram, Messenger) o sui siti web partner. In più, META permette ai siti web che lo desiderano di installare nel codice delle loro pagine un cookie detto PIXEL per tenere traccia degli internauti. Questo cookie invisibile crea una passerella tra i siti che lo utilizzano e i servizi di META. È per questo che alcune pubblicità appaiono su siti web terzi quando abbiamo appena visto lo stesso articolo su Instagram o Facebook e viceversa (questa procedura è detta remarketing o retargeting). Facebook dichiara: «i cookie ci consentono di mostrare le inserzioni alle persone che in precedenza hanno visitato il sito web di un’azienda, acquistato i suoi prodotti o usato le sue app e di suggerire prodotti e servizi in base a tali attività (…)». Una volta che il cliente ha selezionato i criteri voluti per avviare la sua campagna pubblicitaria, sarà informato del numero di persone che potrebbe raggiungere (il contenuto sponsorizzato verrà visualizzato attivamente sul news feed delle persone interessate dal targeting del cliente) e, una volta terminata la campagna, avrà accesso alle statistiche sul modo in cui questa è riuscita a raggiungere il pubblico mirato. Occorre inoltre essere coscienti che oltre allo sfruttamento a livello commerciale e governativo, i dati saranno utilizzati per alimentare strumenti di apprendimento automatico («Machine Learning») e di intelligenza artificiale*(1) …

Possiamo quindi constatare che, attualmente, i dati personali sono una vera e propria sfida per la società, sia in termini di protezione della sfera privata che a livello democratico. La nostra capacità di comprendere il valore dei nostri dati e i differenti modi in cui possono essere utilizzati permetterà in futuro di fare scelte consapevoli in merito al loro trattamento.

***

Un seguito a questo articolo fornirà consigli e suggerimenti per poter gestire al meglio i dati personali e i parametri di confidenzialità.

(1) Il Machine Learning è una tecnologia di intelligenza artificiale che permette ai computer di apprendere senza essere stati esplicitamente programmati a tale scopo. Per apprendere e svilupparsi, i computer hanno tuttavia bisogno di dati da analizzare e sui quali allenarsi. Di fatto, i big data sono l’essenza del Machine Learning, ed è la tecnologia che permette di sfruttare appieno il potenziale dei big data.